JP3911697B2 - Network connection device, network connection method, network connection program, and storage medium storing the program - Google Patents

Network connection device, network connection method, network connection program, and storage medium storing the program Download PDF

Info

Publication number
JP3911697B2
JP3911697B2 JP2004051334A JP2004051334A JP3911697B2 JP 3911697 B2 JP3911697 B2 JP 3911697B2 JP 2004051334 A JP2004051334 A JP 2004051334A JP 2004051334 A JP2004051334 A JP 2004051334A JP 3911697 B2 JP3911697 B2 JP 3911697B2
Authority
JP
Japan
Prior art keywords
network connection
public key
key certificate
address
connection device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004051334A
Other languages
Japanese (ja)
Other versions
JP2005244573A5 (en
JP2005244573A (en
Inventor
啓輔 ▲崎▼谷
志郎 水野
和彦 鈴木
真司 阿部
昌也 田中
康志 高木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004051334A priority Critical patent/JP3911697B2/en
Publication of JP2005244573A publication Critical patent/JP2005244573A/en
Publication of JP2005244573A5 publication Critical patent/JP2005244573A5/ja
Application granted granted Critical
Publication of JP3911697B2 publication Critical patent/JP3911697B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

本発明は、自動鍵交換プロトコルにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続機器に関する。 The present invention relates to a network connection device that establishes a security association with a network connection device of a communication partner by exchanging a public key certificate and an IP address by an automatic key exchange protocol.

従来、インターネット上での通信セキュリティに関する技術としては、IETF(The Internet Engineering Task Force)のIPsec(Internet Protocol Security)ワーキンググループで議論されている技術、例えばSecurity Architecture for the Internet Protocol(インターネットプロトコルのためのセキュリティアーキテクチャ)や公開鍵基盤(Public Key Infrastructure)を利用したIKE(自動鍵交換プロトコル、Internet Key Exchange)等が知られている(非特許文献1、非特許文献2参照)。
ここでIPsecとは、インターネット上でパケットを暗号化して、通信を安全に行うためのプロトコルであり、IKEとは、通信を始める前に暗号化アルゴリズムや暗号化鍵等の情報を交換・共有するための折衝を自動で行うプロトコルである。 Conventionally, as technology related to communication security on the Internet, technologies discussed in the IPsec (Internet Protocol Security) working group of the IETF (The Internet Engineering Task Force), such as Security Architecture for the Internet Protocol (for the Internet protocol). IKE (automatic key exchange protocol, Internet Key Exchange) using a security architecture and public key infrastructure is known (see Non-Patent Document 1 and Non-Patent Document 2).
Here, IPsec is a protocol for encrypting packets on the Internet and performing communication safely, and IKE exchanges and shares information such as an encryption algorithm and an encryption key before starting communication. This is a protocol that automatically negotiates for this purpose.

IPsecでは、通信を始める前に、暗号化方式、暗号鍵の情報、自身のID等を交換・共有するセキュリティアソシエーション(以下、SAと略す)の折衝を行い、安全な通信路を確立する。このSA(IPsec SA)を確立する際、IKEを用いて通信相手の認証を行う方法があるが、この方法は、IKEのフェーズ1で通信主体側ノードが、通信相手から送信された公開鍵証明書の検証を行うので、通信相手のいわゆる「なりすまし(spoofing)」を防止できたり、通信相手のアクセス否認を防止できるという特徴がある。
なお、前記したIKEのフェーズ1では、IPsecにおいてセキュリティプロトコルのSAの折衝等を安全に行うためのSAの折衝を行う。すなわち、ISAKMP SA(Internet Security Association Key Management Protocol Security Association)の折衝を行う。ちなみに、IKEのフェーズ2では、フェーズ1で折衝し、確立したISAKMP SAに基づいて、セキュリティプロトコルのSAの折衝や共有秘密鍵の生成を行う。
IETF、RFC2401、[online]、[2004年2月17日検索]、インターネット、<URL:http://www.ietf.org/rfc/rfc2401.txt > IETF、RFC2409、[online]、[2004年2月17日検索]、インターネット、<URL:http://www.ietf.org/rfc/rfc2409.txt > In IPsec, before starting communication, a secure communication path is established by negotiating a security association (hereinafter abbreviated as SA) for exchanging and sharing an encryption method, encryption key information, own ID, and the like. When establishing this SA (IPsec SA), there is a method of authenticating the communication partner using IKE. In this method, the communication subject side node transmits the public key certificate transmitted from the communication partner in phase 1 of IKE. Since the verification of the certificate is performed, it is possible to prevent so-called “spoofing” of the communication partner and to prevent denial of access by the communication partner.
In the IKE phase 1 described above, SA negotiation is performed for safely performing security protocol SA negotiation or the like in IPsec. That is, negotiation of ISAKMP SA (Internet Security Association Key Management Protocol Security Association) is performed. Incidentally, in IKE phase 2, negotiation is performed in phase 1 and security protocol SA negotiation and shared secret key generation are performed based on the established ISAKMP SA.
IETF, RFC2401, [online], [Search February 17, 2004], Internet, <URL: http: //www.ietf.org/rfc/rfc2401.txt> IETF, RFC2409, [online], [Search February 17, 2004], Internet, <URL: http: //www.ietf.org/rfc/rfc2409.txt>

しかし、IKEのフェーズ1では、通信主体側ノードと通信相手側ノードとの間でのID(IPアドレス)の交換で、通信主体側ノードは、通信相手側ノードが送信してきたID(IPアドレス)の使用権がその通信相手側ノードにあるかどうかを判断することができない。すなわち、通信相手側ノードが他人のIPアドレスを利用して(なりすまして)アクセスしても、それがなりすましであることをチェックできない。つまり、通信主体側ノードが、なりすましのIPアドレスを申請してきたノードとのIPsecSAを確立してしまう可能性がある。 However, the IKE phase 1, in exchange for ID between the communication partners node and communication partner nodes (IP addresses), communication partner node, the communication partner node has transmitted ID (IP address) It is not possible to determine whether the right to use is in the communication partner node. That is, even if the communication partner node accesses (spoofes) using another person's IP address , it cannot check that it is impersonation. That is, there is a possibility that the communication subject side node establishes an IPsec SA with the node that applied for the spoofed IP address .

本発明は、前記した事情を鑑みてなされたものであり、なりすましのIPアドレスを申請してきたノードとのIPsecSAの確立を防止するネットワーク接続機器等を提供することを課題とする。 The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a network connection device or the like that prevents establishment of an IPsec SA with a node that has applied for a spoofed IP address .

前記した課題を解決するため、本発明は、自動鍵交換プロトコルであるIKEにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続機器を、ネットワーク経由で各種情報の送受信を行うインターフェース部と、通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを記憶するIPアドレステーブル記憶部と、インターフェース部を介して、他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信して、他のネットワーク接続機器とのIKEによるセキュリティアソシエーションの折衝処理を行うIKE処理部と、IPアドレステーブル記憶部のIPアドレステーブルを検索して、他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルに記憶されているか否かを判断する検証部とを含み、他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、IPアドレステーブルに記憶されていると検証部が判断したとき、IKE処理部は、他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とする構成とした。 In order to solve the above-described problem, the present invention provides a network connection device that exchanges a public key certificate and an IP address by IKE, which is an automatic key exchange protocol, and establishes a security association with a network connection device of a communication partner. An interface unit that transmits / receives various types of information via an IP address table, an IP address table storage unit that stores an IP address table indicating correspondence between an IP address of a network connection device of a communication partner and identification information of a public key certificate, and an interface unit An IKE processing unit which receives an IP address and a public key certificate transmitted from another network connection device via IKE and negotiates a security association with the other network connection device by IKE, and an IP address table storage IP address And a verification unit that searches the table and determines whether the combination of the IP address and the public key certificate transmitted from the other network connection device is stored in the IP address table, and the other network connection device When the verification unit determines that the combination of the IP address and the public key certificate transmitted from is stored in the IP address table, the IKE processing unit can establish a security association with another network connection device. It was set as the structure to do.

なお、請求項における「ネットワーク接続機器」とは、後記する実施の形態における「ノード」に相当する。また、請求項における「通信相手のネットワーク接続機器」とは、通信主体(ネットワーク接続機器)が通信相手として意図するネットワーク接続機器のことを指し、「他のネットワーク接続機器」とは、ネットワーク経由で通信主体にアクセスしてくる(データを送信してくる)ネットワーク接続機器全般を指すものとする。   The “network connection device” in the claims corresponds to a “node” in an embodiment described later. In addition, the “network connection device of the communication partner” in the claims refers to a network connection device intended by the communication subject (network connection device) as the communication partner, and the “other network connection device” refers to via a network. It refers to all network connection devices that access (send data) to the communication entity.

本発明によれば、通信主体のネットワーク接続機器が、通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書との対応関係を示したIPアドレステーブルを記憶するので、他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書が、このIPアドレステーブルに記載されていないとき、このネットワーク接続機器との間でIKEフェーズ1におけるISAKMP SAを確立しないようにすることができる。したがって、通信主体のネットワーク接続機器は、なりすましによりアクセスしてきたネットワーク接続機器との間でIPsecSAを確立しないようにすることができる。 According to the present invention, since the network connection device of the communication subject stores the IP address table indicating the correspondence between the IP address of the network connection device of the communication partner and the public key certificate, it is transmitted from the other network connection device. When the registered IP address and public key certificate are not described in the IP address table, the ISAKMP SA in the IKE phase 1 can be prevented from being established with the network connection device. Therefore, it is possible for the network-connected device that is the communication subject to not establish an IPsec SA with the network-connected device that has been accessed by impersonation.

以下、本発明の実施の形態について、図面を参照して詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

まず、本発明の実施の形態であるノードを含むシステムの基本的構成および基本的処理手順について図1〜図3を用いて説明し、その後、本発明の特徴的構成を説明する。
なお、ここではIPsecSAの折衝(より詳細には、IPsecSAのIKEのフェーズ1)において、デジタル署名を用いるデジタル署名認証方式(アグレッシブモード)を用いた場合の適用例を説明する。
なお、アグレッシブモードとは、IKEのフェーズ1におけるSAパラメータ、鍵情報、ID(IPアドレス)の交換を、3つのメッセージで交換する方法である。
図1は、本発明の実施の形態であるノード(ネットワーク接続機器)を含むネットワーク接続システムの基本的構成を示したブロック図である。
図2および図3は、本発明の実施の形態であるノード(ネットワーク接続機器)を含むネットワーク接続システムの基本的処理手順を示したシーケンス図である。 First, a basic configuration and a basic processing procedure of a system including a node according to an embodiment of the present invention will be described with reference to FIGS. 1 to 3, and then a characteristic configuration of the present invention will be described.
Here, an application example in the case of using a digital signature authentication method (aggressive mode) using a digital signature in IPsec SA negotiation (more specifically, Phase 1 of IKE of IPsec SA) will be described.
The aggressive mode is a method of exchanging SA parameters, key information, and ID (IP address) in IKE phase 1 with three messages.
FIG. 1 is a block diagram showing a basic configuration of a network connection system including nodes (network connection devices) according to an embodiment of the present invention.
2 and 3 are sequence diagrams showing basic processing procedures of a network connection system including a node (network connection device) according to an embodiment of the present invention.

<基本的構成>
本実施の形態の基本的構成であるネットワーク接続システムは、図1に示すようにノード100(100A〜C)と、このノード100(100A〜C)の公開鍵証明書や秘密鍵を発行する認証局200(200A、200B)と、これらを接続するネットワーク4とを含んで構成される。
ノード100(100A〜C)は、ネットワーク4を介して通信データの送受信を行うネットワーク接続機器であり、例えばPC(Personal Computer)や、ルータ等である。ネットワーク4は、例えば、地域IP網やインターネット網である。
なお、ノード100は、複数のノード100の間で互いにデータの送受信(通信)を行うものであるが、ここでは説明のため、IKEフェーズ1の第1メッセージを送信する側のノードをノード100B(請求項における他のネットワーク接続機器)とし、IKEフェーズ1の第1メッセージを受信し、通信主体となるノードをノード100Aとする。また、ノード100Aの通信相手のノード(通信相手として意図しているノード)をノード100Cとする。 <Basic configuration>
As shown in FIG. 1, the network connection system that is the basic configuration of the present embodiment includes a node 100 (100A to C) and authentication for issuing a public key certificate and a private key of the node 100 (100A to C). Station 200 (200A, 200B) and the network 4 which connects these are comprised.
The nodes 100 (100A to 100C) are network connection devices that transmit and receive communication data via the network 4, and are, for example, PCs (Personal Computers), routers, and the like. The network 4 is, for example, a regional IP network or the Internet network.
Note that the node 100 performs data transmission / reception (communication) among the plurality of nodes 100, but here, for the sake of explanation, the node that transmits the first message of the IKE phase 1 is designated as the node 100B ( Other network connection devices in the claims), the node that receives the first message of the IKE phase 1 and becomes the communication subject is the node 100A. Further, a node of a communication partner of the node 100A (a node intended as a communication partner) is a node 100C.

ノード100Aは、IKE開始前にノード100Cの認証局である認証局200Bから認証局200Bの公開鍵証明書を取得しておく。そして、IKE開始後、ノード100Bからノード100BのID(IPアドレス)、公開鍵証明書およびデジタル署名を含むIKEのメッセージを受信する。次に、認証局200Bの公開鍵証明書で、IKEメッセージに含まれる公開鍵証明書が正当な公開鍵証明書であるか否かを検証する。そして、ノード100Bから受信した公開鍵証明書が正当な公開鍵証明書であることの検証ができたとき、この公開鍵証明書で、ノード100Bのデジタル署名を検証する。
このようにして、ノード100Aは、ノード100Bが正当な通信相手(ノード100C)であることの確認(認証)をした上で、ノード100B(ノード100C)との間でIKEフェーズ2以降の処理を行う。 The node 100A acquires the public key certificate of the certificate authority 200B from the certificate authority 200B that is the certificate authority of the node 100C before the start of IKE. Then, after the start of the IKE, an IKE message including the ID (IP address) of the node 100B , the public key certificate, and the digital signature is received from the node 100B. Next, it is verified whether or not the public key certificate included in the IKE message is a valid public key certificate with the public key certificate of the certificate authority 200B. When it is verified that the public key certificate received from the node 100B is a valid public key certificate, the digital signature of the node 100B is verified with the public key certificate.
In this way, the node 100A confirms (authenticates) that the node 100B is a valid communication partner (node 100C), and then performs the processes after the IKE phase 2 with the node 100B (node 100C). Do.

次に、図1を用いて、ノード100(100A〜C)の基本的構成を説明する。
なお、ノード100Aは、ノード100B,Cと同様の構成であるので、ノード100(100A〜C)の構成は、図1の通信主体のノード100Aの構成を用いて説明する。 Next, the basic configuration of the node 100 (100A to 100C) will be described with reference to FIG.
Since the node 100A has the same configuration as the nodes 100B and 100C, the configuration of the node 100 (100A to C) will be described using the configuration of the communication subject node 100A in FIG.

ノード100(100A〜C)は、ネットワーク4経由で各種情報の送受信を行うインターフェース部101と、IKEを用いて通信相手のノード100B,CとのIKEによるSAの折衝処理を行う処理手段120と、SAに関する各種情報を記憶する記憶手段110とを含んで構成される。   The node 100 (100A to C) includes an interface unit 101 that transmits and receives various types of information via the network 4, a processing unit 120 that performs IKE negotiation processing with the nodes 100B and 100 of communication partners using IKE, And a storage unit 110 that stores various types of information regarding the SA.

(処理手段)
処理手段120は、IKE処理部121と、公開鍵証明書取得部122と、検証部123とを含んで構成される。
IKE処理部121は、ノード100Bとの間でIKEフェーズ1(ISAKMP SAの折衝)を実行する。具体的には、1)ノード100Bからノード100BのIPアドレス、公開鍵証明書およびデジタル署名を含むISAKMP SA用データ(メッセージ)を受信し、2)これに応じてノード100AのISAKMP SA用データ(メッセージ)を作成し、3)このメッセージをノード100Bへ送信してノード100BとのISAKMP SAの折衝を行う。 (Processing means)
The processing unit 120 includes an IKE processing unit 121, a public key certificate acquisition unit 122, and a verification unit 123.
The IKE processing unit 121 executes IKE phase 1 (ISAKMP SA negotiation) with the node 100B. Specifically, 1) ISAKMP SA data (message) including the IP address , public key certificate, and digital signature of the node 100B is received from the node 100B, and 2) the ISAKMP SA data (message) of the node 100A is received accordingly (message). 3) Send this message to the node 100B to negotiate an ISAKMP SA with the node 100B.

公開鍵証明書取得部122は、IKEフェーズ1のISAKMP SAの折衝開始前に、ネットワーク4経由で、通信相手のノード100Cの認証局である認証局200Bから認証局200Bの公開鍵証明書を取得する。そして、認証局200Bの公開鍵証明書を公開鍵証明書記憶部111に格納し、ノード100A(自身のノード)の公開鍵証明書等をIKE用データ記憶部112に格納する。   The public key certificate acquisition unit 122 acquires the public key certificate of the certificate authority 200B from the certificate authority 200B, which is the certificate authority of the communication partner node 100C, via the network 4 before the start of the IKE phase 1 ISAKMP SA negotiation. To do. Then, the public key certificate of the certificate authority 200B is stored in the public key certificate storage unit 111, and the public key certificate of the node 100A (own node) is stored in the IKE data storage unit 112.

検証部123は、ノード100Bから送信されたISAKMP SA用データに含まれる公開鍵証明書を、後記する公開鍵証明書記憶部111に記憶された認証局200Bの公開鍵証明書で検証し、ノード100Bから送信された公開鍵証明書が正当な公開鍵証明書であるか否かを判断する。また、ノード100Bから送信された公開鍵証明書が、正当な公開鍵証明書であると判断したときに、その公開鍵証明書の公開鍵でノード100Bのデジタル署名を検証する。つまり、認証局200Bから取得した公開鍵証明書の検証と、デジタル署名の検証との2つのステップでノード100Bが通信相手(ノード100C)であるか否かを確認する。
これら処理手段120の各構成要素の動作は、後記する通信処理手順の項で詳細に説明する。 The verification unit 123 verifies the public key certificate included in the ISAKMP SA data transmitted from the node 100B with the public key certificate of the certificate authority 200B stored in the public key certificate storage unit 111 to be described later. It is determined whether or not the public key certificate transmitted from 100B is a valid public key certificate. When it is determined that the public key certificate transmitted from the node 100B is a valid public key certificate, the digital signature of the node 100B is verified with the public key of the public key certificate. That is, whether or not the node 100B is a communication partner (node 100C) is confirmed by two steps of verification of the public key certificate acquired from the certificate authority 200B and verification of the digital signature.
The operation of each component of the processing means 120 will be described in detail in the section of the communication processing procedure described later.

(記憶手段)
次に、記憶手段110を説明する。記憶手段110は、公開鍵証明書記憶部111と、IKE用データ記憶部112とを含んで構成される。 (Memory means)
Next, the storage unit 110 will be described. The storage unit 110 includes a public key certificate storage unit 111 and an IKE data storage unit 112.

公開鍵証明書記憶部111は、公開鍵証明書取得部122が取得した認証局200Bの公開鍵証明書を記憶する。   The public key certificate storage unit 111 stores the public key certificate of the certificate authority 200B acquired by the public key certificate acquisition unit 122.

IKE用データ記憶部112は、ノード100Bとの間のIKEによる折衝(ISAKMP SAの折衝)用の各種データを記憶する。ISAKMP SAの折衝用のデータとは、ノード100Aが認証局200Aから取得した秘密鍵、公開鍵証明書、ISAKMP SA用のパラメータの候補、ノード100Aの鍵情報、ノード100AのID(IPアドレス)等である。
IKE処理部121は、このIKE用データ記憶部112のデータを読み出して、ISAKMP SAの折衝用メッセージを作成する。 The IKE data storage unit 112 stores various types of data for IKE negotiations (ISAKMP SA negotiations) with the node 100B. ISAKMP SA negotiation data includes the secret key, public key certificate, ISAKMP SA parameter candidate, node 100A key information, ID (IP address) of the node 100A, etc. acquired by the node 100A from the certificate authority 200A. It is.
The IKE processing unit 121 reads the data in the IKE data storage unit 112 and creates an ISAKMP SA negotiation message.

<通信処理手順>
次に、図2および図3を用いてノード100(100A,B)の基本的通信処理手順を説明する。 <Communication processing procedure>
Next, a basic communication processing procedure of the node 100 (100A, B) will be described using FIG. 2 and FIG.

まず、ノード100BとのIKEによるSA(ISAKMP SA)を開始する前に、ノード100Aの公開鍵証明書取得部122は、認証局200Aからノード100Aの秘密鍵と、この秘密鍵の対となる公開鍵を含む公開鍵証明書とを取得する(ステップS101)。そして、これらの情報をIKE用データ記憶部112に格納する。併せて、ノード100Cの認証局である認証局200Bの公開鍵証明書を取得し(ステップS102)、この公開鍵証明書を公開鍵証明書記憶部111に格納する。 First, before starting the IKE SA (ISAKMP SA) with the node 100B, the public key certificate acquisition unit 122 of the node 100A makes a private key of the node 100A and the public of the private key pair from the certification authority 200A. A public key certificate including the key is acquired (step S101). These pieces of information are stored in the IKE data storage unit 112. At the same time, a public key certificate of the certificate authority 200B, which is the certificate authority of the node 100C, is acquired (step S102), and the public key certificate is stored in the public key certificate storage unit 111.

このとき、ノード100Bも、ノード100AのステップS101およびステップS102と同様に、認証局200Bからノード100Bの秘密鍵とこの秘密鍵の対となる公開鍵を含む公開鍵証明書とを取得し(ステップS103)、ノード100Aの認証局である認証局200Aから公開鍵証明書を取得しておく(ステップS104)。 At this time, the node 100B also obtains the private key of the node 100B and the public key certificate including the public key that is a pair of the private key from the certificate authority 200B (step S101 and step S102 of the node 100A) (step S101). In step S103, a public key certificate is acquired from the certificate authority 200A that is the certificate authority of the node 100A (step S104).

次に、ノード100Aは、ノード100Bから送信されたIKEフェーズ1(ISAKMP SAの折衝)の第1メッセージを受信してIKEを開始する。すなわち、ISAKMP SAのパラメータの候補、ノード100Bの鍵情報、ノード100BのID(IPアドレス)、ノード100Aの公開鍵証明書の要求等を受信すると(ステップS201)、ノード100AはIKEの処理を開始する。 Next, the node 100A receives the first message of the IKE phase 1 (ISAKMP SA negotiation) transmitted from the node 100B and starts IKE. That is, upon receiving ISAKMP SA parameter candidates, node 100B key information, node 100B ID (IP address) , node 100A public key certificate request, etc. (step S201), node 100A starts IKE processing. To do.

具体的には、ノード100AがIKEフェーズ1の第1メッセージを受信すると、IKE処理部121が、1)ノード100Bから送信されたISAKMP SAパラメータ候補からISAKMP SAパラメータを選択し、2)ノード100Aの鍵情報を作成し、3)IKE用データ記憶部112から読み出したノード100Aの秘密鍵でノード100Aの署名(デジタル署名)を作成し、4)これらの情報に、ノード100Aの公開鍵証明書、ノード100AのIPアドレスおよびノード100Bの公開鍵証明書の要求を含めたIKEフェーズ1の第2メッセージを作成する。そして、このメッセージをノード100Bへ送信する(ステップS202)。 Specifically, when the node 100A receives the first message of the IKE phase 1, the IKE processing unit 121 1) selects the ISAKMP SA parameter from the ISAKMP SA parameter candidates transmitted from the node 100B, and 2) the node 100A Create key information, 3) create a signature (digital signature) of the node 100A with the private key of the node 100A read from the IKE data storage unit 112, and 4) add the public key certificate of the node 100A to these pieces of information, A second message of IKE phase 1 including the IP address of node 100A and the public key certificate request of node 100B is created. Then, this message is transmitted to the node 100B (step S202).

次に、ノード100Aは、ノード100Bから送信されたIKEフェーズ1の第3メッセージ(ノード100Bの公開鍵証明書および署名)を受信すると(ステップS203)、図3のステップS301へ進み、ステップS203で受信したノード100Bの署名の検証を行う。つまり、ノード100Bがノード100Aの通信相手(ノード100C)であるか否かを判断する。   Next, when the node 100A receives the third message of the IKE phase 1 (the public key certificate and signature of the node 100B) transmitted from the node 100B (step S203), the process proceeds to step S301 in FIG. The signature of the received node 100B is verified. That is, it is determined whether or not the node 100B is a communication partner (node 100C) of the node 100A.

このときのノード100Aの処理手順を、図3を用いて具体的に説明する。
まず、検証部123が、ノード100Bの認証局である認証局200Bの公開鍵証明書を公開鍵証明書記憶部113から読み出し、ステップS203で取得した公開鍵証明書が正当なものであるか否かを検証する(ステップS301)。次に、ステップS203で受信した公開鍵証明書が正当なものであることが検証できたとき(ステップS302のYes)、ステップS303へ進む。 The processing procedure of the node 100A at this time will be specifically described with reference to FIG.
First, the verification unit 123 reads the public key certificate of the certificate authority 200B, which is the certificate authority of the node 100B, from the public key certificate storage unit 113, and whether or not the public key certificate acquired in step S203 is valid. Is verified (step S301). Next, when it is verified that the public key certificate received in step S203 is valid (Yes in step S302), the process proceeds to step S303.

一方、検証部123が、ステップS203で受信した公開鍵証明書が正当なものでないと判断したとき(ステップS302のNo)、ノード100BへIKEフェーズ1(ISAKMP SA)の折衝が失敗した旨を通知し、処理を終了する(ステップS306)。つまり、ノード100Aは、アクセスしてきたノード100Bの公開鍵証明書が正当なものか否かを確認し、正当なものではないときは、なりすまし等によるアクセスの可能性もあるので、その後のIPsecSAの処理を行わないようにする。   On the other hand, when the verification unit 123 determines that the public key certificate received in step S203 is not valid (No in step S302), it notifies the node 100B that the IKE phase 1 (ISAKMP SA) negotiation has failed. Then, the process ends (step S306). In other words, the node 100A confirms whether or not the public key certificate of the accessing node 100B is valid, and if it is not valid, there is a possibility of access by impersonation or the like. Avoid processing.

公開鍵証明書が正当なものであることの確認ができたステップS303では、ステップS203で受信した公開鍵証明書で、検証部123がノード100Bの署名の検証を行う。
具体的には、検証部123がステップS203で受信した公開鍵証明書の公開鍵で、ノード100Bの署名に含まれる暗号文が復号できるか否かを判断する。ここで、ステップS203で受信した公開鍵証明書の公開鍵で、署名に含まれる暗号文を検証部123が復号できたとき(ステップS304のYes)、ステップS305へ進む。
そして、IKE処理部121が、ノード100Bとの間でISAKMP SAを確立し、IKEフェーズ2以降の処理を行う(ステップS305)。すなわち、ノード100Aは、ノード100Bが通信相手(ノード100C)であると確認できたとき、その後のIPsecSAの処理を行うようにする。 In step S303 in which the public key certificate can be confirmed to be valid, the verification unit 123 verifies the signature of the node 100B using the public key certificate received in step S203.
Specifically, the verification unit 123 determines whether or not the ciphertext included in the signature of the node 100B can be decrypted with the public key of the public key certificate received in step S203. Here, when the verification unit 123 can decrypt the ciphertext included in the signature with the public key of the public key certificate received in step S203 (Yes in step S304), the process proceeds to step S305.
Then, the IKE processing unit 121 establishes an ISAKMP SA with the node 100B, and performs processing after the IKE phase 2 (step S305). That is, when the node 100A can confirm that the node 100B is the communication partner (node 100C), the node 100A performs subsequent IPsec SA processing.

なお、ステップS304において、検証部123がノード100Bから送信された公開鍵証明書の公開鍵で、ノード100Bの署名に含まれる暗号文が復号できなかったとき(ステップS304のNo)、IKE処理部120は、ノード100BへIKEフェーズ1(ISAKMP SA)の折衝が失敗した旨を通知し、処理を終了する(ステップS306)。すなわち、ノード100Bは、ノード100AのIPsecの通信相手(ノード100C)ではないと判断し、IPsecSAの処理を行わないようにする。   In step S304, when the ciphertext included in the signature of the node 100B cannot be decrypted with the public key of the public key certificate transmitted from the node 100B by the verification unit 123 (No in step S304), the IKE processing unit The node 120 notifies the node 100B that the IKE phase 1 (ISAKMP SA) negotiation has failed and ends the process (step S306). That is, the node 100B determines that it is not the IPsec communication partner (node 100C) of the node 100A, and does not perform the IPsec SA processing.

このようにすることで、ノード100Aはノード100Bが通信相手(ノード100C)であることを確認した上でIPsecSAを確立するようにすることができる。   In this way, the node 100A can establish IPsec SA after confirming that the node 100B is the communication partner (node 100C).

<特徴的構成>
次に、本発明の実施の形態であるノード300(300A〜C)を含むネットワーク接続システムの特徴的構成および処理手順について適宜図1〜図3を参照しつつ、図4〜図6を用いて説明する。なお、IKEフェーズ1の第1メッセージを送信する側のノードをノード300B(請求項における他のネットワーク接続機器)とし、IKEフェーズ1の第1メッセージを受信する側のノードをノード300Aとする。また、ノード300Aの通信相手のノード(通信相手として意図しているノード)をノード300Cとする。
図4は、本発明の実施の形態であるノードを含むネットワーク接続システムの構成を示したブロック図である。
図5および図6は、本発明の実施の形態であるノードを含むネットワーク接続システムの処理手順を示したシーケンス図である。
なお、前記した基本的構成と同様の構成要素は同じ符号を付して、説明を省略する。 <Characteristic configuration>
Next, the characteristic configuration and processing procedure of the network connection system including the nodes 300 (300A to 300C) according to the embodiment of the present invention will be described with reference to FIGS. explain. Note that a node that transmits the first message of IKE phase 1 is a node 300B (another network connection device in the claims), and a node that receives the first message of IKE phase 1 is a node 300A. In addition, a node of a communication partner of the node 300A (a node intended as a communication partner) is a node 300C.
FIG. 4 is a block diagram showing a configuration of a network connection system including nodes according to the embodiment of the present invention.
5 and 6 are sequence diagrams showing the processing procedure of the network connection system including the node according to the embodiment of the present invention.
In addition, the same components as the basic configuration described above are denoted by the same reference numerals, and description thereof is omitted.

本実施の形態の特徴は、ノード300Aが、1)通信相手(ノード300C)の公開鍵証明書の識別情報とIPアドレスとの対応関係を示したIPアドレステーブルを格納し、2)ノード300BからIKEで受信したIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルに記憶されている(ある)とき、ノード300Bを通信相手(ノード300C)と判断して、IPsecSAを確立可能とするように構成されていることである。   The feature of this embodiment is that the node 300A stores 1) an IP address table indicating the correspondence between the identification information of the public key certificate of the communication partner (node 300C) and the IP address, and 2) from the node 300B When the combination of the IP address received by IKE and the public key certificate is stored in the IP address table (existing), the node 300B is determined as the communication partner (node 300C), and the IPsec SA can be established. It is configured.

すなわち、ノード300Aは、前記したノード100Aの基本的構成に、IPアドレステーブルを作成するIPアドレステーブル作成部124と、このIPアドレステーブルを記憶するIPアドレステーブル記憶部113とを加えた構成となっている。また、検証部123は、ノード300BからIKEで受信したIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルにあるか否かを判断する。そして検証部123で、ノード300Bから受信したIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルにあると判断したときに、IKE処理部121は、ノード300Bとの間でISAKMP SAを確立し、IKEのフェーズ2以降の処理を行うようにする。   That is, the node 300A has a configuration in which an IP address table creating unit 124 that creates an IP address table and an IP address table storage unit 113 that stores the IP address table are added to the basic configuration of the node 100A. ing. Further, the verification unit 123 determines whether or not the combination of the IP address and the public key certificate received by the IKE from the node 300B is in the IP address table. When the verification unit 123 determines that the combination of the IP address received from the node 300B and the public key certificate is in the IP address table, the IKE processing unit 121 establishes an ISAKMP SA with the node 300B. , IKE phase 2 and subsequent processes are performed.

以下に、本実施の形態の構成要素を説明する。
IPアドレステーブル作成部124は、通信相手(ノード300C)のIPアドレスと認証局200Bから取得した通信相手(ノード300C)の公開鍵証明書との対応関係を示したIPアドレステーブルを作成する。 Below, the component of this Embodiment is demonstrated.
The IP address table creation unit 124 creates an IP address table indicating the correspondence between the IP address of the communication partner (node 300C) and the public key certificate of the communication partner (node 300C) acquired from the certificate authority 200B.

表1は、IPアドレステーブル作成部124が作成するIPアドレステーブルを例示したものである。   Table 1 illustrates an IP address table created by the IP address table creation unit 124.

Figure 0003911697
Figure 0003911697

表1に例示されるように、IPアドレステーブルは、ノード300CのIPアドレスと、そのノード300Cの公開鍵証明書の識別情報とから構成される。
例えば、表1のIPアドレステーブルのNo.1の情報は、IPアドレス「aaa.aaa.aaa.aaa」のノード300Cの公開鍵証明書の識別情報は「xxx」であることを示している。 As illustrated in Table 1, the IP address table includes an IP address of the node 300C and identification information of the public key certificate of the node 300C.
For example, in the IP address table of Table 1, No. The information 1 indicates that the identification information of the public key certificate of the node 300C with the IP address “aaa.aaa.aaa.aaa” is “xxx”.

ここで、通信相手(ノード300C)のIPアドレスおよび公開鍵証明書は、ノード300Aのユーザが通信相手(ノード300C)から事前に書面やメール等で入手しておくものとする。すなわち、ノード300Aのユーザが、ノード300CからIPアドレスおよび公開鍵証明書の通知等を受けて、図示しない入力手段(キーボードやマウス等)を介してノード300Aに入力し、ノード300Aの記憶手段110等で記憶するものとする。   Here, it is assumed that the IP address and public key certificate of the communication partner (node 300C) are obtained in advance from the communication partner (node 300C) in writing or by mail. That is, the user of the node 300A receives the notification of the IP address and the public key certificate from the node 300C and inputs the notification to the node 300A via an input unit (keyboard, mouse, etc.) not shown, and the storage unit 110 of the node 300A. Etc. shall be memorized.

また、公開鍵証明書の識別情報は、公開鍵証明書取得部122が認証局200から取得した公開鍵証明書の、1)Subjectフィールド(公開鍵証明書の所有者の情報が書き込まれるフィールド)に記載された文字列から作成するようにしても良いし、2)Issuerフィールド(当該公開鍵証明書を発行した認証局200Bの識別情報が書き込まれるフィールド)に記載された文字列とSerial Numberフィールド(認証局200が作成した公開鍵証明書の通し番号が書き込まれるフィールド)の文字列との組みあわせから作成するようにしても良い。   The identification information of the public key certificate includes 1) Subject field (a field in which information of the owner of the public key certificate is written) of the public key certificate acquired by the public key certificate acquisition unit 122 from the certificate authority 200. 2) The character string described in the Issuer field (the field in which the identification information of the certificate authority 200B that issued the public key certificate is written) and the Serial Number field You may make it produce from the combination with the character string of (The field where the serial number of the public key certificate produced by the certification authority 200 is written).

ここで、公開鍵証明書の識別情報として、Subjectフィールドの文字列の他、Issuerフィールドの文字列とSerial Numberフィールドの文字列との組み合わせも用いることができるのは、これらの情報の組み合わせでもノード300Aは「どの認証局200が作成(発行)した、どの公開鍵証明書であるか」を特定(識別)できるからである。すなわち、ノード300Aが取得した公開鍵証明書を識別することができるからである。   Here, in addition to the character string in the Subject field, a combination of the character string in the Issuer field and the character string in the Serial Number field can be used as the identification information of the public key certificate. This is because 300A can identify (identify) which public key certificate is created (issued) by which certificate authority 200. That is, the public key certificate acquired by the node 300A can be identified.

このように、IPアドレステーブルで用いる公開鍵証明書の識別情報は、公開鍵証明書の識別ができる情報であれば、前記した情報に限定されない。また、IPアドレスの形式はIPv4(Internet Protocol version 4)でも良いし、IPv6(Internet Protocol version 6)でも良い。さらに、本実施の形態では、ノード300のID(識別情報)としてIPアドレスを用いることとしたが、ネットワーク4上でノード300を識別できる情報であれば、IPアドレスに限定されない As described above, the identification information of the public key certificate used in the IP address table is not limited to the above-described information as long as the information can identify the public key certificate. The IP address format may be IPv4 (Internet Protocol version 4) or IPv6 (Internet Protocol version 6). Furthermore, in this embodiment, the IP address is used as the ID (identification information) of the node 300. However, the information is not limited to the IP address as long as the information can identify the node 300 on the network 4 .

IPアドレステーブル作成部124が作成したIPアドレステーブルは、IPアドレステーブル記憶部113に格納される。   The IP address table created by the IP address table creation unit 124 is stored in the IP address table storage unit 113.

検証部123は、前記した基本的構成の項で述べた公開鍵証明書の検証機能の他に、IKE処理部121がIKEフェーズ1でノード300BのIPアドレスおよび公開鍵証明書を受信すると、これらの組みあわせがIPアドレステーブルに記憶されているか否かを判断し、ノード300Bが通信相手(ノード300C)であることの検証を行う機能を有する。   When the IKE processing unit 121 receives the IP address and public key certificate of the node 300B in the IKE phase 1, in addition to the public key certificate verification function described in the basic configuration section above, the verification unit 123 It is determined whether or not the combination is stored in the IP address table, and the node 300B has a function of verifying that it is a communication partner (node 300C).

<処理手順>
次に、適宜図1〜図4を参照しつつ、図5および図6を用いてノード300(300A,B)の通信処理手順を説明する。ここでも、基本的処理手順と同様にIKEのフェーズ1で、デジタル署名認証方式(アレッシブモード)を用いた場合を例として通信処理手順を説明する。 <Processing procedure>
Next, the communication processing procedure of the node 300 (300A, B) will be described using FIGS. 5 and 6 with reference to FIGS. Again, the basic processing steps as well as IKE Phase 1, the illustrating the communication procedure as an example the case of using a digital signature authentication method (A Aggressive mode).

まず、ノード300Aは、IKE開始前に、IPアドレステーブル作成部124で、ノード300Cの公開鍵証明書のSubjectフィールドの文字列およびノード300CのID(IPアドレス)の入力を受けて、これらの対応関係を示したIPアドレステーブルを作成する(図5のステップS400)。
なお、IPアドレステーブルの作成は、事前に記憶部110等に記憶されたIPアドレスおよび公開鍵証明書を読み出して作成するようにしても良い。 First, before starting the IKE, the node 300A receives the input of the character string of the Subject field of the public key certificate of the node 300C and the ID (IP address) of the node 300C at the IP address table creation unit 124, An IP address table showing the relationship is created (step S400 in FIG. 5).
The IP address table may be created by reading out the IP address and public key certificate stored in advance in the storage unit 110 or the like.

図5のステップS401〜ステップS503の処理は、図2のステップS101〜ステップS203の処理と同様なので説明を省略し、ステップS503の後の処理を示す図6のステップS601の処理から説明する。   The processing in steps S401 to S503 in FIG. 5 is the same as the processing in steps S101 to S203 in FIG. 2, and thus description thereof will be omitted. The processing after step S601 in FIG.

ステップS601では、検証部123が、1)ステップS501(IKEフェーズ1の第1メッセージ)で受信したID(IPアドレス)と、2)ステップS503(IKEフェーズ1の第3メッセージ)で受信した公開鍵証明書のSubjectフィールドの文字列の組み合わせをIPアドレステーブル記憶手段113のIPアドレステーブルから検索する。つまり、検証部123は、ノード300Bから送信された公開鍵証明書とIPアドレスとの組み合わせが、IPアドレステーブルに有るか否かを判断する。   In step S601, the verification unit 123 1) the ID (IP address) received in step S501 (IKE phase 1 first message) and 2) the public key received in step S503 (IKE phase 1 third message). A combination of character strings in the Subject field of the certificate is searched from the IP address table in the IP address table storage unit 113. That is, the verification unit 123 determines whether or not the combination of the public key certificate and the IP address transmitted from the node 300B exists in the IP address table.

ここで、検証部123が、ノード300Bから送信された公開鍵証明書とIPアドレスとの組み合わせがIPアドレステーブルに有る(記憶されている)と判断したとき(ステップS602のYes)、ステップS701以降の処理を行う。このステップS701〜ステップS706の処理は、図3のステップS301〜ステップS306の処理と同様なので説明を省略する。   Here, when the verification unit 123 determines that the combination of the public key certificate and the IP address transmitted from the node 300B exists (stored) in the IP address table (Yes in step S602), the process from step S701 is performed. Perform the process. Since the processing from step S701 to step S706 is the same as the processing from step S301 to step S306 in FIG.

一方、検証部123が、ノード300Bから送信された公開鍵証明書とIPアドレスの組み合わせが無いと判断したとき(ステップS602のNo)、すなわちこれらの情報のうち、1)両方ともIPアドレステーブルに記載されていないと判断したとき、2)どちらか一方しかIPアドレステーブルに記載されていないと判断したとき、3)これらの情報の組み合わせがIPアドレステーブルに記載されている組み合わせと異なると判断したとき、IKE処理部120は、ノード300BへIKEフェーズ1(ISAKMP SA)の折衝が失敗した旨を通知し(ステップS706)、処理を終了する。   On the other hand, when the verification unit 123 determines that there is no combination of the public key certificate and the IP address transmitted from the node 300B (No in step S602), that is, 1) of these pieces of information both in the IP address table. When judged not to be listed 2) When judged that only one of them is listed in the IP address table 3) Determined that the combination of these information is different from the combination listed in the IP address table Then, the IKE processing unit 120 notifies the node 300B that the IKE phase 1 (ISAKMP SA) negotiation has failed (step S706), and ends the process.

このようにノード300(300A)が、1)公開鍵証明書の正当性の検証、2)デジタル署名の検証、3)IPアドレスと公開鍵証明書の組み合わせの確認の3つのステップを実行することで、ノード300Bが確かに通信相手(ノード300C)であることを確認した上で、IPsecSAの確立を行うことができる。つまり、通信主体であるノード300Aが、なりすましのIPアドレスでアクセスしてきたノード300とIPsecSAを確立してしまうことを防ぐことができるので、よりセキュリティ度の高いネットワーク接続を行うことができる。   As described above, the node 300 (300A) executes three steps of 1) verification of the validity of the public key certificate, 2) verification of the digital signature, and 3) confirmation of the combination of the IP address and the public key certificate. Thus, it is possible to establish IPsec SA after confirming that node 300B is indeed the communication partner (node 300C). In other words, since it is possible to prevent the node 300A, which is the communication subject, from establishing an IPsec SA with the node 300 that has accessed with the spoofed IP address, a network connection with a higher security level can be performed.

本発明は発明の趣旨を逸脱しない範囲で応用可能である。例えば、前記した実施の形態では、ノード300AがIKEフェーズ1における通信相手の認証にデジタル認証方式(アレッシブモード)を用いる場合を例として説明したが、公開鍵証明書とノード300CのIPアドレス(ID)の交換を行う方法であれば、デジタル認証方式(メインモード)を用いる場合や、改良型公開鍵暗号化方式(アレッシブモード、メインモード)を用いる場合にも適用でる。 The present invention can be applied without departing from the spirit of the invention. For example, in the embodiment described above, the node 300A has has been described as an example the case of using a digital authentication method for authenticating a communication partner in the IKE phase 1 (A Aggressive Mode), IP address of the public key certificate and the node 300C as long as the method of replacing the (ID), and when using a digital authentication method (main mode), modified public key encryption scheme (a Aggressive mode, main mode) ∎ you can in be applied when used.

また、前記した実施の形態では、ノード300(300A〜C)が格納するIPアドレステーブルは、ノード300(300A〜C)内のIPアドレステーブル作成部124が作成することとしたが、外部のサーバ等(図示せず)で作成するようにしても良い。すなわち、外部のサーバ等で作成したIPアドレステーブルを処理手段120等によりネットワーク4経由で取得するようにしても良い。   In the embodiment described above, the IP address table stored in the node 300 (300A to C) is created by the IP address table creating unit 124 in the node 300 (300A to C). Or the like (not shown). That is, an IP address table created by an external server or the like may be acquired via the network 4 by the processing means 120 or the like.

本実施の形態に係るネットワーク接続機器は、前記したような処理を実行させるネットワーク接続用プログラムによって実現することができ、そのプログラムをコンピュータによる読み取り可能な記憶媒体に記憶して提供することが可能である。また、そのプログラムを、ネットワークを通して提供することも可能である。   The network connection device according to the present embodiment can be realized by a network connection program for executing the processing as described above, and can be provided by storing the program in a computer-readable storage medium. is there. It is also possible to provide the program through a network.

発明の実施の形態であるノードを含むネットワーク接続システムの基本的構成を示したブロック図である。It is the block diagram which showed the basic composition of the network connection system containing the node which is embodiment of this invention. 発明の実施の形態であるノードを含むネットワーク接続システムの基本的処理手順を示したシーケンス図であるIt is the sequence diagram which showed the basic processing procedure of the network connection system containing the node which is embodiment of this invention 発明の実施の形態であるノードを含むネットワーク接続システムの基本的処理手順を示したシーケンス図であるIt is the sequence diagram which showed the basic processing procedure of the network connection system containing the node which is embodiment of this invention 発明の実施の形態であるノードを含むネットワーク接続システムの構成を示したブロック図である。It is the block diagram which showed the structure of the network connection system containing the node which is embodiment of this invention. 発明の実施の形態であるノードを含むネットワーク接続システムの処理手順を示したシーケンス図である。It is the sequence diagram which showed the process sequence of the network connection system containing the node which is embodiment of this invention. 発明の実施の形態であるノードを含むネットワーク接続システムの処理手順を示したシーケンス図である。It is the sequence diagram which showed the process sequence of the network connection system containing the node which is embodiment of this invention.

符号の説明Explanation of symbols

100(100A〜C) ノード(ネットワーク接続機器)
101 インターフェース部
110 記憶手段
111 公開鍵証明書記憶部
112 IKE用データ記憶部
113 IPアドレステーブル記憶部
120 処理手段
121 IKE処理部
122 公開鍵証明書取得部
123 検証部
124 IPアドレステーブル作成部
200(200A,B) 認証局
300(300A〜C) ノード(ネットワーク接続機器)



100 (100A to C) node (network connection device)
DESCRIPTION OF SYMBOLS 101 Interface part 110 Storage means 111 Public key certificate storage part 112 IKE data storage part 113 IP address table storage part 120 Processing means 121 IKE processing part 122 Public key certificate acquisition part 123 Verification part 124 IP address table creation part 200 ( 200A, B) Certificate authority 300 (300A-C) Node (network connection equipment)



Claims (9)

自動鍵交換プロトコルであるIKEにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続機器であって、
ネットワーク経由で各種情報の送受信を行うインターフェース部と、
前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを記憶するIPアドレステーブル記憶部と、
前記インターフェース部を介して、他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信して、前記他のネットワーク接続機器とのIKEによるセキュリティアソシエーションの折衝処理を行うIKE処理部と、
前記IPアドレステーブル記憶部の前記IPアドレステーブルを検索して、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されているか否かを判断する検証部と、
を含み、
前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、前記IPアドレステーブルに記憶されていると前記検証部が判断したとき、前記IKE処理部は、前記他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とするよう構成したことを特徴とするネットワーク接続機器。 A network connection device that establishes a security association with a network connection device of a communication partner by exchanging a public key certificate and an IP address by IKE which is an automatic key exchange protocol,
An interface unit for transmitting and receiving various information via a network;
And IP address table storage unit for storing an IP address table showing the correspondence between the identification information of the IP address and the public key certificate of the network connection apparatus of the communication partner,
An IKE processing unit that receives an IP address and a public key certificate transmitted from another network connection device via the interface unit, and performs a negotiation process of security association by IKE with the other network connection device;
The search for the IP address table of the IP address table storage unit, determines whether the combination of the public key certificate transmitted IP address from the other network connection apparatus is stored in the IP address table A verification unit to
Including
When the verification unit determines that the combination of the IP address and the public key certificate transmitted from the other network connection device is stored in the IP address table, the IKE processing unit A network connection device configured to be able to establish a security association with a connection device. 前記通信相手のネットワーク接続機器のIPアドレスおよび公開鍵証明書の入力を受けて、前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを作成するIPアドレステーブル作成部をさらに備えることを特徴とする請求項1に記載のネットワーク接続機器。 Upon receipt of the IP address and public key certificate of the network connection device of the communication partner, an IP address table indicating the correspondence between the IP address of the network connection device of the communication partner and the identification information of the public key certificate is created. The network connection device according to claim 1, further comprising an IP address table creation unit that performs the operation. 前記IPアドレステーブル作成部は、前記IKEによるセキュリティアソシエーション開始前に、前記通信相手のネットワーク接続機器のIPアドレスおよび公開鍵証明書の入力を受けて、前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを作成するよう構成し、
前記検証部が、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、前記IPアドレステーブルに記憶されていると判断したとき、前記IKE処理部は、前記他のネットワーク接続機器とのIKEフェーズ1のセキュリティアソシエーションを確立するよう構成したことを特徴とする請求項2に記載のネットワーク接続機器。 The IP address table creation unit, before starting the security association by the IKE, and receives the IP address and public key certificate of the network connection apparatus of the communication partner, the public IP address of the network connection apparatus of the communication partner Configure to create an IP address table showing the correspondence with the identification information of the key certificate,
When the verification unit determines that the combination of the IP address and the public key certificate transmitted from the other network connection device is stored in the IP address table, the IKE processing unit 3. The network connection device according to claim 2, wherein the network connection device is configured to establish an IKE phase 1 security association with the network connection device. 前記IPアドレステーブルの公開鍵証明書の識別情報は、前記公開鍵証明書の所有者を示すSubjectフィールドに記載された文字列、または前記公開鍵証明書を発行した認証局を示すIssuerフィールドに記載された文字列と前記認証局が発行した前記公開鍵証明書の通し番号を示すSerial Numberフィールドの文字列との組み合わせで構成されていることを特徴とする請求項2または請求項3に記載のネットワーク接続機器。 The identification information of the public key certificate in the IP address table is described in the character string described in the Subject field indicating the owner of the public key certificate, or in the Issuer field indicating the certificate authority that issued the public key certificate. 4. The network according to claim 2, wherein the network is composed of a combination of a character string that is generated and a character string in a Serial Number field that indicates a serial number of the public key certificate issued by the certificate authority. Connected equipment. ネットワーク接続機器が、自動鍵交換プロトコルであるIKEにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続方法であって、
記憶部に前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを記憶するネットワーク接続機器が、
他のネットワーク接続機器とのIKE処理を行うIKE処理部で、前記他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信するステップと、
前記公開鍵証明書の検証およびデジタル署名の検証を行う検証部で、前記記憶に記憶されたIPアドレステーブルを検索して、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されているか否かを判断するステップと、
前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、前記IPアドレステーブルに記憶されていると前記検証部が判断したとき、前記IKE処理部で、前記他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とするステップと、
を実行することを特徴とするネットワーク接続方法。 A network connection method in which a network connection device establishes a security association with a network connection device of a communication partner by exchanging a public key certificate and an IP address by IKE which is an automatic key exchange protocol,
A network connection device that stores an IP address table indicating correspondence between the IP address of the network connection device of the communication partner and the identification information of the public key certificate in the storage unit,
Receiving an IP address and a public key certificate transmitted from the other network connection device in an IKE processing unit that performs an IKE process with the other network connection device;
The verification unit that performs verification of the public key certificate and verification of the digital signature searches the IP address table stored in the storage unit , and transmits the IP address and the public key certificate transmitted from the other network connection device. Determining whether the combination is stored in the IP address table;
When the verification unit determines that the combination of the IP address and the public key certificate transmitted from the other network connection device is stored in the IP address table, the IKE processing unit determines that the other network Making it possible to establish a security association with a connected device;
The network connection method characterized by performing. ネットワーク接続機器が、自動鍵交換プロトコルであるIKEにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続方法であって、
前記ネットワーク接続機器が、
前記通信相手のネットワーク接続機器のIPアドレスおよび公開鍵証明書の入力を受け付けるステップと、
前記入力された前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを作成するIPアドレステーブル作成部で、前記IPアドレステーブルを作成し、このIPアドレステーブルを記憶手段に記憶するステップと、
他のネットワーク接続機器とのIKE処理を行うIKE処理部で、IKEにより前記他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信するステップと、
前記他のネットワーク接続機器の公開鍵証明書の検証およびデジタル署名の検証を行う検証部で、前記記憶手段のIPアドレステーブルを検索して、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されているか否かを判断するステップと、
前記他のネットワーク接続機器から受信したIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されていると前記検証部で判断したとき、前記IKE処理部で、前記他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とするステップと、
を実行することを特徴とするネットワーク接続方法。 A network connection method in which a network connection device establishes a security association with a network connection device of a communication partner by exchanging a public key certificate and an IP address by IKE which is an automatic key exchange protocol,
The network connection device is
Receiving an input of an IP address and a public key certificate of the network connection device of the communication partner;
In IP address table creation unit to create an IP address table showing the correspondence between the identification information of the public key certificate and IP address of the network connection device of the inputted the communication partner, creating the IP address table, the Storing an IP address table in a storage means;
Receiving an IP address and a public key certificate transmitted from the other network connection device by the IKE in an IKE processing unit that performs IKE processing with the other network connection device;
The verification unit that verifies the public key certificate of the other network connection device and the digital signature verifies the IP address table of the storage unit, and discloses the IP address transmitted from the other network connection device. Determining whether a combination with a key certificate is stored in the IP address table;
When the verification unit determines that the combination of the IP address received from the other network connection device and the public key certificate is stored in the IP address table, the IKE processing unit determines the other network connection device. Enabling the establishment of a security association with
The network connection method characterized by performing. 前記IPアドレステーブル作成部で、前記公開鍵証明書の所有者を示すSubjectフィールドに記載された文字列、または前記公開鍵証明書を発行した認証局を示すIssuerフィールドに記載された文字列と前記認証局が発行した前記公開鍵証明書の通し番号を示すSerial Numberフィールドの文字列との組み合わせに基づいて、前記IPアドレステーブルの公開鍵証明書の識別情報を作成することを特徴とする請求項6に記載のネットワーク接続方法。 In the IP address table creation unit, the character string described in the Subject field indicating the owner of the public key certificate, or the character string described in the Issuer field indicating the certificate authority that issued the public key certificate, and the 7. The identification information of the public key certificate of the IP address table is created based on a combination with a character string in a Serial Number field indicating a serial number of the public key certificate issued by a certificate authority. The network connection method described in 1. ネットワーク接続機器を動作させるコンピュータに、請求項5ないし請求項7のいずれか1項に記載のネットワーク接続方法を実行させることを特徴とするネットワーク接続用プログラム。   A network connection program that causes a computer that operates a network connection device to execute the network connection method according to any one of claims 5 to 7. 請求項8に記載のネットワーク接続用プログラムを記憶し、前記ネットワーク接続機器を動作させるコンピュータに読み取り可能な記憶媒体。   A computer-readable storage medium that stores the network connection program according to claim 8 and that operates the network connection device.
JP2004051334A 2004-02-26 2004-02-26 Network connection device, network connection method, network connection program, and storage medium storing the program Expired - Lifetime JP3911697B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004051334A JP3911697B2 (en) 2004-02-26 2004-02-26 Network connection device, network connection method, network connection program, and storage medium storing the program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004051334A JP3911697B2 (en) 2004-02-26 2004-02-26 Network connection device, network connection method, network connection program, and storage medium storing the program

Publications (3)

Publication Number Publication Date
JP2005244573A JP2005244573A (en) 2005-09-08
JP2005244573A5 JP2005244573A5 (en) 2005-10-27
JP3911697B2 true JP3911697B2 (en) 2007-05-09

Family

ID=35025825

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004051334A Expired - Lifetime JP3911697B2 (en) 2004-02-26 2004-02-26 Network connection device, network connection method, network connection program, and storage medium storing the program

Country Status (1)

Country Link
JP (1) JP3911697B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100856918B1 (en) 2006-11-02 2008-09-05 한국전자통신연구원 Method for IP address authentication in IPv6 network, and IPv6 network system
JP7148947B2 (en) 2017-06-07 2022-10-06 コネクトフリー株式会社 Network system and information processing equipment
JP2020096275A (en) * 2018-12-12 2020-06-18 コネクトフリー株式会社 Information communication method and information communication system

Also Published As

Publication number Publication date
JP2005244573A (en) 2005-09-08

Similar Documents

Publication Publication Date Title
RU2542911C2 (en) Low-latency peer-to-peer session establishment
JP4801147B2 (en) Method, system, network node and computer program for delivering a certificate
Housley et al. Guidance for authentication, authorization, and accounting (AAA) key management
JP4962117B2 (en) Encryption communication processing method and encryption communication processing apparatus
EP2329621B1 (en) Key distribution to a set of routers
JP3944182B2 (en) Security communication method
JP2005303485A (en) Key distribution method and system for encryption communication
JP2005295509A (en) Authenticated exchange of public information using e-mail
CN101960814A (en) IP address delegation
JP2007143049A (en) Authentication method and information processor
JP5012173B2 (en) Encryption communication processing method and encryption communication processing apparatus
JP4938408B2 (en) Address management system, address management method and program
JP2007181123A (en) Digital certificate exchange method, terminal device, and program
JP3911697B2 (en) Network connection device, network connection method, network connection program, and storage medium storing the program
JP6056970B2 (en) Information processing apparatus, terminal, information processing system, and information processing method
JP5319575B2 (en) Communication method and communication system
JP4552785B2 (en) Encrypted communication management server
JP2011054182A (en) System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message
JP4601979B2 (en) Certificate mutual authentication system and certificate mutual authentication method
JP2009278388A (en) Communication terminal device, management device, communication method, management method, and computer program
JP2007166552A (en) Communication apparatus and encryption communication method
JP2007184993A (en) Key distribution method and system for encryption communication
JP2008199420A (en) Gateway device and authentication processing method
JP4736722B2 (en) Authentication method, information processing apparatus, and computer program
JP4707325B2 (en) Information processing device

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050706

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050706

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061018

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061025

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070117

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20070119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070119

R150 Certificate of patent or registration of utility model

Ref document number: 3911697

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110209

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110209

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120209

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130209

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350