JP3911697B2 - Network connection device, network connection method, network connection program, and storage medium storing the program - Google Patents
Network connection device, network connection method, network connection program, and storage medium storing the program Download PDFInfo
- Publication number
- JP3911697B2 JP3911697B2 JP2004051334A JP2004051334A JP3911697B2 JP 3911697 B2 JP3911697 B2 JP 3911697B2 JP 2004051334 A JP2004051334 A JP 2004051334A JP 2004051334 A JP2004051334 A JP 2004051334A JP 3911697 B2 JP3911697 B2 JP 3911697B2
- Authority
- JP
- Japan
- Prior art keywords
- network connection
- public key
- key certificate
- address
- connection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 43
- 238000004891 communication Methods 0.000 claims description 69
- 238000012545 processing Methods 0.000 claims description 51
- 238000012795 verification Methods 0.000 claims description 33
- 238000010586 diagram Methods 0.000 description 10
- 238000013500 data storage Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
Images
Description
本発明は、自動鍵交換プロトコルにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続機器に関する。 The present invention relates to a network connection device that establishes a security association with a network connection device of a communication partner by exchanging a public key certificate and an IP address by an automatic key exchange protocol.
従来、インターネット上での通信セキュリティに関する技術としては、IETF(The Internet Engineering Task Force)のIPsec(Internet Protocol Security)ワーキンググループで議論されている技術、例えばSecurity Architecture for the Internet Protocol(インターネットプロトコルのためのセキュリティアーキテクチャ)や公開鍵基盤(Public Key Infrastructure)を利用したIKE(自動鍵交換プロトコル、Internet Key Exchange)等が知られている(非特許文献1、非特許文献2参照)。
ここでIPsecとは、インターネット上でパケットを暗号化して、通信を安全に行うためのプロトコルであり、IKEとは、通信を始める前に暗号化アルゴリズムや暗号化鍵等の情報を交換・共有するための折衝を自動で行うプロトコルである。
Conventionally, as technology related to communication security on the Internet, technologies discussed in the IPsec (Internet Protocol Security) working group of the IETF (The Internet Engineering Task Force), such as Security Architecture for the Internet Protocol (for the Internet protocol). IKE (automatic key exchange protocol, Internet Key Exchange) using a security architecture and public key infrastructure is known (see Non-Patent Document 1 and Non-Patent Document 2).
Here, IPsec is a protocol for encrypting packets on the Internet and performing communication safely, and IKE exchanges and shares information such as an encryption algorithm and an encryption key before starting communication. This is a protocol that automatically negotiates for this purpose.
IPsecでは、通信を始める前に、暗号化方式、暗号鍵の情報、自身のID等を交換・共有するセキュリティアソシエーション(以下、SAと略す)の折衝を行い、安全な通信路を確立する。このSA(IPsec SA)を確立する際、IKEを用いて通信相手の認証を行う方法があるが、この方法は、IKEのフェーズ1で通信主体側ノードが、通信相手から送信された公開鍵証明書の検証を行うので、通信相手のいわゆる「なりすまし(spoofing)」を防止できたり、通信相手のアクセス否認を防止できるという特徴がある。
なお、前記したIKEのフェーズ1では、IPsecにおいてセキュリティプロトコルのSAの折衝等を安全に行うためのSAの折衝を行う。すなわち、ISAKMP SA(Internet Security Association Key Management Protocol Security Association)の折衝を行う。ちなみに、IKEのフェーズ2では、フェーズ1で折衝し、確立したISAKMP SAに基づいて、セキュリティプロトコルのSAの折衝や共有秘密鍵の生成を行う。
In the IKE phase 1 described above, SA negotiation is performed for safely performing security protocol SA negotiation or the like in IPsec. That is, negotiation of ISAKMP SA (Internet Security Association Key Management Protocol Security Association) is performed. Incidentally, in IKE phase 2, negotiation is performed in phase 1 and security protocol SA negotiation and shared secret key generation are performed based on the established ISAKMP SA.
しかし、IKEのフェーズ1では、通信主体側ノードと通信相手側ノードとの間でのID(IPアドレス)の交換で、通信主体側ノードは、通信相手側ノードが送信してきたID(IPアドレス)の使用権がその通信相手側ノードにあるかどうかを判断することができない。すなわち、通信相手側ノードが他人のIPアドレスを利用して(なりすまして)アクセスしても、それがなりすましであることをチェックできない。つまり、通信主体側ノードが、なりすましのIPアドレスを申請してきたノードとのIPsecSAを確立してしまう可能性がある。 However, the IKE phase 1, in exchange for ID between the communication partners node and communication partner nodes (IP addresses), communication partner node, the communication partner node has transmitted ID (IP address) It is not possible to determine whether the right to use is in the communication partner node. That is, even if the communication partner node accesses (spoofes) using another person's IP address , it cannot check that it is impersonation. That is, there is a possibility that the communication subject side node establishes an IPsec SA with the node that applied for the spoofed IP address .
本発明は、前記した事情を鑑みてなされたものであり、なりすましのIPアドレスを申請してきたノードとのIPsecSAの確立を防止するネットワーク接続機器等を提供することを課題とする。 The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a network connection device or the like that prevents establishment of an IPsec SA with a node that has applied for a spoofed IP address .
前記した課題を解決するため、本発明は、自動鍵交換プロトコルであるIKEにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続機器を、ネットワーク経由で各種情報の送受信を行うインターフェース部と、通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを記憶するIPアドレステーブル記憶部と、インターフェース部を介して、他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信して、他のネットワーク接続機器とのIKEによるセキュリティアソシエーションの折衝処理を行うIKE処理部と、IPアドレステーブル記憶部のIPアドレステーブルを検索して、他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルに記憶されているか否かを判断する検証部とを含み、他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、IPアドレステーブルに記憶されていると検証部が判断したとき、IKE処理部は、他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とする構成とした。 In order to solve the above-described problem, the present invention provides a network connection device that exchanges a public key certificate and an IP address by IKE, which is an automatic key exchange protocol, and establishes a security association with a network connection device of a communication partner. An interface unit that transmits / receives various types of information via an IP address table, an IP address table storage unit that stores an IP address table indicating correspondence between an IP address of a network connection device of a communication partner and identification information of a public key certificate, and an interface unit An IKE processing unit which receives an IP address and a public key certificate transmitted from another network connection device via IKE and negotiates a security association with the other network connection device by IKE, and an IP address table storage IP address And a verification unit that searches the table and determines whether the combination of the IP address and the public key certificate transmitted from the other network connection device is stored in the IP address table, and the other network connection device When the verification unit determines that the combination of the IP address and the public key certificate transmitted from is stored in the IP address table, the IKE processing unit can establish a security association with another network connection device. It was set as the structure to do.
なお、請求項における「ネットワーク接続機器」とは、後記する実施の形態における「ノード」に相当する。また、請求項における「通信相手のネットワーク接続機器」とは、通信主体(ネットワーク接続機器)が通信相手として意図するネットワーク接続機器のことを指し、「他のネットワーク接続機器」とは、ネットワーク経由で通信主体にアクセスしてくる(データを送信してくる)ネットワーク接続機器全般を指すものとする。 The “network connection device” in the claims corresponds to a “node” in an embodiment described later. In addition, the “network connection device of the communication partner” in the claims refers to a network connection device intended by the communication subject (network connection device) as the communication partner, and the “other network connection device” refers to via a network. It refers to all network connection devices that access (send data) to the communication entity.
本発明によれば、通信主体のネットワーク接続機器が、通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書との対応関係を示したIPアドレステーブルを記憶するので、他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書が、このIPアドレステーブルに記載されていないとき、このネットワーク接続機器との間でIKEフェーズ1におけるISAKMP SAを確立しないようにすることができる。したがって、通信主体のネットワーク接続機器は、なりすましによりアクセスしてきたネットワーク接続機器との間でIPsecSAを確立しないようにすることができる。 According to the present invention, since the network connection device of the communication subject stores the IP address table indicating the correspondence between the IP address of the network connection device of the communication partner and the public key certificate, it is transmitted from the other network connection device. When the registered IP address and public key certificate are not described in the IP address table, the ISAKMP SA in the IKE phase 1 can be prevented from being established with the network connection device. Therefore, it is possible for the network-connected device that is the communication subject to not establish an IPsec SA with the network-connected device that has been accessed by impersonation.
以下、本発明の実施の形態について、図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
まず、本発明の実施の形態であるノードを含むシステムの基本的構成および基本的処理手順について図1〜図3を用いて説明し、その後、本発明の特徴的構成を説明する。
なお、ここではIPsecSAの折衝(より詳細には、IPsecSAのIKEのフェーズ1)において、デジタル署名を用いるデジタル署名認証方式(アグレッシブモード)を用いた場合の適用例を説明する。
なお、アグレッシブモードとは、IKEのフェーズ1におけるSAパラメータ、鍵情報、ID(IPアドレス)の交換を、3つのメッセージで交換する方法である。
図1は、本発明の実施の形態であるノード(ネットワーク接続機器)を含むネットワーク接続システムの基本的構成を示したブロック図である。
図2および図3は、本発明の実施の形態であるノード(ネットワーク接続機器)を含むネットワーク接続システムの基本的処理手順を示したシーケンス図である。
First, a basic configuration and a basic processing procedure of a system including a node according to an embodiment of the present invention will be described with reference to FIGS. 1 to 3, and then a characteristic configuration of the present invention will be described.
Here, an application example in the case of using a digital signature authentication method (aggressive mode) using a digital signature in IPsec SA negotiation (more specifically, Phase 1 of IKE of IPsec SA) will be described.
The aggressive mode is a method of exchanging SA parameters, key information, and ID (IP address) in IKE phase 1 with three messages.
FIG. 1 is a block diagram showing a basic configuration of a network connection system including nodes (network connection devices) according to an embodiment of the present invention.
2 and 3 are sequence diagrams showing basic processing procedures of a network connection system including a node (network connection device) according to an embodiment of the present invention.
<基本的構成>
本実施の形態の基本的構成であるネットワーク接続システムは、図1に示すようにノード100(100A〜C)と、このノード100(100A〜C)の公開鍵証明書や秘密鍵を発行する認証局200(200A、200B)と、これらを接続するネットワーク4とを含んで構成される。
ノード100(100A〜C)は、ネットワーク4を介して通信データの送受信を行うネットワーク接続機器であり、例えばPC(Personal Computer)や、ルータ等である。ネットワーク4は、例えば、地域IP網やインターネット網である。
なお、ノード100は、複数のノード100の間で互いにデータの送受信(通信)を行うものであるが、ここでは説明のため、IKEフェーズ1の第1メッセージを送信する側のノードをノード100B(請求項における他のネットワーク接続機器)とし、IKEフェーズ1の第1メッセージを受信し、通信主体となるノードをノード100Aとする。また、ノード100Aの通信相手のノード(通信相手として意図しているノード)をノード100Cとする。
<Basic configuration>
As shown in FIG. 1, the network connection system that is the basic configuration of the present embodiment includes a node 100 (100A to C) and authentication for issuing a public key certificate and a private key of the node 100 (100A to C). Station 200 (200A, 200B) and the network 4 which connects these are comprised.
The nodes 100 (100A to 100C) are network connection devices that transmit and receive communication data via the network 4, and are, for example, PCs (Personal Computers), routers, and the like. The network 4 is, for example, a regional IP network or the Internet network.
Note that the node 100 performs data transmission / reception (communication) among the plurality of nodes 100, but here, for the sake of explanation, the node that transmits the first message of the IKE phase 1 is designated as the
ノード100Aは、IKE開始前にノード100Cの認証局である認証局200Bから認証局200Bの公開鍵証明書を取得しておく。そして、IKE開始後、ノード100Bからノード100BのID(IPアドレス)、公開鍵証明書およびデジタル署名を含むIKEのメッセージを受信する。次に、認証局200Bの公開鍵証明書で、IKEメッセージに含まれる公開鍵証明書が正当な公開鍵証明書であるか否かを検証する。そして、ノード100Bから受信した公開鍵証明書が正当な公開鍵証明書であることの検証ができたとき、この公開鍵証明書で、ノード100Bのデジタル署名を検証する。
このようにして、ノード100Aは、ノード100Bが正当な通信相手(ノード100C)であることの確認(認証)をした上で、ノード100B(ノード100C)との間でIKEフェーズ2以降の処理を行う。
The node 100A acquires the public key certificate of the
In this way, the node 100A confirms (authenticates) that the
次に、図1を用いて、ノード100(100A〜C)の基本的構成を説明する。
なお、ノード100Aは、ノード100B,Cと同様の構成であるので、ノード100(100A〜C)の構成は、図1の通信主体のノード100Aの構成を用いて説明する。
Next, the basic configuration of the node 100 (100A to 100C) will be described with reference to FIG.
Since the node 100A has the same configuration as the
ノード100(100A〜C)は、ネットワーク4経由で各種情報の送受信を行うインターフェース部101と、IKEを用いて通信相手のノード100B,CとのIKEによるSAの折衝処理を行う処理手段120と、SAに関する各種情報を記憶する記憶手段110とを含んで構成される。
The node 100 (100A to C) includes an
(処理手段)
処理手段120は、IKE処理部121と、公開鍵証明書取得部122と、検証部123とを含んで構成される。
IKE処理部121は、ノード100Bとの間でIKEフェーズ1(ISAKMP SAの折衝)を実行する。具体的には、1)ノード100Bからノード100BのIPアドレス、公開鍵証明書およびデジタル署名を含むISAKMP SA用データ(メッセージ)を受信し、2)これに応じてノード100AのISAKMP SA用データ(メッセージ)を作成し、3)このメッセージをノード100Bへ送信してノード100BとのISAKMP SAの折衝を行う。
(Processing means)
The processing unit 120 includes an
The IKE
公開鍵証明書取得部122は、IKEフェーズ1のISAKMP SAの折衝開始前に、ネットワーク4経由で、通信相手のノード100Cの認証局である認証局200Bから認証局200Bの公開鍵証明書を取得する。そして、認証局200Bの公開鍵証明書を公開鍵証明書記憶部111に格納し、ノード100A(自身のノード)の公開鍵証明書等をIKE用データ記憶部112に格納する。
The public key
検証部123は、ノード100Bから送信されたISAKMP SA用データに含まれる公開鍵証明書を、後記する公開鍵証明書記憶部111に記憶された認証局200Bの公開鍵証明書で検証し、ノード100Bから送信された公開鍵証明書が正当な公開鍵証明書であるか否かを判断する。また、ノード100Bから送信された公開鍵証明書が、正当な公開鍵証明書であると判断したときに、その公開鍵証明書の公開鍵でノード100Bのデジタル署名を検証する。つまり、認証局200Bから取得した公開鍵証明書の検証と、デジタル署名の検証との2つのステップでノード100Bが通信相手(ノード100C)であるか否かを確認する。
これら処理手段120の各構成要素の動作は、後記する通信処理手順の項で詳細に説明する。
The
The operation of each component of the processing means 120 will be described in detail in the section of the communication processing procedure described later.
(記憶手段)
次に、記憶手段110を説明する。記憶手段110は、公開鍵証明書記憶部111と、IKE用データ記憶部112とを含んで構成される。
(Memory means)
Next, the storage unit 110 will be described. The storage unit 110 includes a public key
公開鍵証明書記憶部111は、公開鍵証明書取得部122が取得した認証局200Bの公開鍵証明書を記憶する。
The public key
IKE用データ記憶部112は、ノード100Bとの間のIKEによる折衝(ISAKMP SAの折衝)用の各種データを記憶する。ISAKMP SAの折衝用のデータとは、ノード100Aが認証局200Aから取得した秘密鍵、公開鍵証明書、ISAKMP SA用のパラメータの候補、ノード100Aの鍵情報、ノード100AのID(IPアドレス)等である。
IKE処理部121は、このIKE用データ記憶部112のデータを読み出して、ISAKMP SAの折衝用メッセージを作成する。
The IKE
The
<通信処理手順>
次に、図2および図3を用いてノード100(100A,B)の基本的通信処理手順を説明する。
<Communication processing procedure>
Next, a basic communication processing procedure of the node 100 (100A, B) will be described using FIG. 2 and FIG.
まず、ノード100BとのIKEによるSA(ISAKMP SA)を開始する前に、ノード100Aの公開鍵証明書取得部122は、認証局200Aからノード100Aの秘密鍵と、この秘密鍵の対となる公開鍵を含む公開鍵証明書とを取得する(ステップS101)。そして、これらの情報をIKE用データ記憶部112に格納する。併せて、ノード100Cの認証局である認証局200Bの公開鍵証明書を取得し(ステップS102)、この公開鍵証明書を公開鍵証明書記憶部111に格納する。
First, before starting the IKE SA (ISAKMP SA) with the
このとき、ノード100Bも、ノード100AのステップS101およびステップS102と同様に、認証局200Bからノード100Bの秘密鍵とこの秘密鍵の対となる公開鍵を含む公開鍵証明書とを取得し(ステップS103)、ノード100Aの認証局である認証局200Aから公開鍵証明書を取得しておく(ステップS104)。
At this time, the
次に、ノード100Aは、ノード100Bから送信されたIKEフェーズ1(ISAKMP SAの折衝)の第1メッセージを受信してIKEを開始する。すなわち、ISAKMP SAのパラメータの候補、ノード100Bの鍵情報、ノード100BのID(IPアドレス)、ノード100Aの公開鍵証明書の要求等を受信すると(ステップS201)、ノード100AはIKEの処理を開始する。
Next, the node 100A receives the first message of the IKE phase 1 (ISAKMP SA negotiation) transmitted from the
具体的には、ノード100AがIKEフェーズ1の第1メッセージを受信すると、IKE処理部121が、1)ノード100Bから送信されたISAKMP SAパラメータ候補からISAKMP SAパラメータを選択し、2)ノード100Aの鍵情報を作成し、3)IKE用データ記憶部112から読み出したノード100Aの秘密鍵でノード100Aの署名(デジタル署名)を作成し、4)これらの情報に、ノード100Aの公開鍵証明書、ノード100AのIPアドレスおよびノード100Bの公開鍵証明書の要求を含めたIKEフェーズ1の第2メッセージを作成する。そして、このメッセージをノード100Bへ送信する(ステップS202)。
Specifically, when the node 100A receives the first message of the IKE phase 1, the
次に、ノード100Aは、ノード100Bから送信されたIKEフェーズ1の第3メッセージ(ノード100Bの公開鍵証明書および署名)を受信すると(ステップS203)、図3のステップS301へ進み、ステップS203で受信したノード100Bの署名の検証を行う。つまり、ノード100Bがノード100Aの通信相手(ノード100C)であるか否かを判断する。
Next, when the node 100A receives the third message of the IKE phase 1 (the public key certificate and signature of the
このときのノード100Aの処理手順を、図3を用いて具体的に説明する。
まず、検証部123が、ノード100Bの認証局である認証局200Bの公開鍵証明書を公開鍵証明書記憶部113から読み出し、ステップS203で取得した公開鍵証明書が正当なものであるか否かを検証する(ステップS301)。次に、ステップS203で受信した公開鍵証明書が正当なものであることが検証できたとき(ステップS302のYes)、ステップS303へ進む。
The processing procedure of the node 100A at this time will be specifically described with reference to FIG.
First, the
一方、検証部123が、ステップS203で受信した公開鍵証明書が正当なものでないと判断したとき(ステップS302のNo)、ノード100BへIKEフェーズ1(ISAKMP SA)の折衝が失敗した旨を通知し、処理を終了する(ステップS306)。つまり、ノード100Aは、アクセスしてきたノード100Bの公開鍵証明書が正当なものか否かを確認し、正当なものではないときは、なりすまし等によるアクセスの可能性もあるので、その後のIPsecSAの処理を行わないようにする。
On the other hand, when the
公開鍵証明書が正当なものであることの確認ができたステップS303では、ステップS203で受信した公開鍵証明書で、検証部123がノード100Bの署名の検証を行う。
具体的には、検証部123がステップS203で受信した公開鍵証明書の公開鍵で、ノード100Bの署名に含まれる暗号文が復号できるか否かを判断する。ここで、ステップS203で受信した公開鍵証明書の公開鍵で、署名に含まれる暗号文を検証部123が復号できたとき(ステップS304のYes)、ステップS305へ進む。
そして、IKE処理部121が、ノード100Bとの間でISAKMP SAを確立し、IKEフェーズ2以降の処理を行う(ステップS305)。すなわち、ノード100Aは、ノード100Bが通信相手(ノード100C)であると確認できたとき、その後のIPsecSAの処理を行うようにする。
In step S303 in which the public key certificate can be confirmed to be valid, the
Specifically, the
Then, the
なお、ステップS304において、検証部123がノード100Bから送信された公開鍵証明書の公開鍵で、ノード100Bの署名に含まれる暗号文が復号できなかったとき(ステップS304のNo)、IKE処理部120は、ノード100BへIKEフェーズ1(ISAKMP SA)の折衝が失敗した旨を通知し、処理を終了する(ステップS306)。すなわち、ノード100Bは、ノード100AのIPsecの通信相手(ノード100C)ではないと判断し、IPsecSAの処理を行わないようにする。
In step S304, when the ciphertext included in the signature of the
このようにすることで、ノード100Aはノード100Bが通信相手(ノード100C)であることを確認した上でIPsecSAを確立するようにすることができる。
In this way, the node 100A can establish IPsec SA after confirming that the
<特徴的構成>
次に、本発明の実施の形態であるノード300(300A〜C)を含むネットワーク接続システムの特徴的構成および処理手順について適宜図1〜図3を参照しつつ、図4〜図6を用いて説明する。なお、IKEフェーズ1の第1メッセージを送信する側のノードをノード300B(請求項における他のネットワーク接続機器)とし、IKEフェーズ1の第1メッセージを受信する側のノードをノード300Aとする。また、ノード300Aの通信相手のノード(通信相手として意図しているノード)をノード300Cとする。
図4は、本発明の実施の形態であるノードを含むネットワーク接続システムの構成を示したブロック図である。
図5および図6は、本発明の実施の形態であるノードを含むネットワーク接続システムの処理手順を示したシーケンス図である。
なお、前記した基本的構成と同様の構成要素は同じ符号を付して、説明を省略する。
<Characteristic configuration>
Next, the characteristic configuration and processing procedure of the network connection system including the nodes 300 (300A to 300C) according to the embodiment of the present invention will be described with reference to FIGS. explain. Note that a node that transmits the first message of IKE phase 1 is a
FIG. 4 is a block diagram showing a configuration of a network connection system including nodes according to the embodiment of the present invention.
5 and 6 are sequence diagrams showing the processing procedure of the network connection system including the node according to the embodiment of the present invention.
In addition, the same components as the basic configuration described above are denoted by the same reference numerals, and description thereof is omitted.
本実施の形態の特徴は、ノード300Aが、1)通信相手(ノード300C)の公開鍵証明書の識別情報とIPアドレスとの対応関係を示したIPアドレステーブルを格納し、2)ノード300BからIKEで受信したIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルに記憶されている(ある)とき、ノード300Bを通信相手(ノード300C)と判断して、IPsecSAを確立可能とするように構成されていることである。
The feature of this embodiment is that the node 300A stores 1) an IP address table indicating the correspondence between the identification information of the public key certificate of the communication partner (
すなわち、ノード300Aは、前記したノード100Aの基本的構成に、IPアドレステーブルを作成するIPアドレステーブル作成部124と、このIPアドレステーブルを記憶するIPアドレステーブル記憶部113とを加えた構成となっている。また、検証部123は、ノード300BからIKEで受信したIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルにあるか否かを判断する。そして検証部123で、ノード300Bから受信したIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルにあると判断したときに、IKE処理部121は、ノード300Bとの間でISAKMP SAを確立し、IKEのフェーズ2以降の処理を行うようにする。
That is, the node 300A has a configuration in which an IP address
以下に、本実施の形態の構成要素を説明する。
IPアドレステーブル作成部124は、通信相手(ノード300C)のIPアドレスと認証局200Bから取得した通信相手(ノード300C)の公開鍵証明書との対応関係を示したIPアドレステーブルを作成する。
Below, the component of this Embodiment is demonstrated.
The IP address
表1は、IPアドレステーブル作成部124が作成するIPアドレステーブルを例示したものである。
Table 1 illustrates an IP address table created by the IP address
表1に例示されるように、IPアドレステーブルは、ノード300CのIPアドレスと、そのノード300Cの公開鍵証明書の識別情報とから構成される。
例えば、表1のIPアドレステーブルのNo.1の情報は、IPアドレス「aaa.aaa.aaa.aaa」のノード300Cの公開鍵証明書の識別情報は「xxx」であることを示している。
As illustrated in Table 1, the IP address table includes an IP address of the
For example, in the IP address table of Table 1, No. The information 1 indicates that the identification information of the public key certificate of the
ここで、通信相手(ノード300C)のIPアドレスおよび公開鍵証明書は、ノード300Aのユーザが通信相手(ノード300C)から事前に書面やメール等で入手しておくものとする。すなわち、ノード300Aのユーザが、ノード300CからIPアドレスおよび公開鍵証明書の通知等を受けて、図示しない入力手段(キーボードやマウス等)を介してノード300Aに入力し、ノード300Aの記憶手段110等で記憶するものとする。
Here, it is assumed that the IP address and public key certificate of the communication partner (
また、公開鍵証明書の識別情報は、公開鍵証明書取得部122が認証局200から取得した公開鍵証明書の、1)Subjectフィールド(公開鍵証明書の所有者の情報が書き込まれるフィールド)に記載された文字列から作成するようにしても良いし、2)Issuerフィールド(当該公開鍵証明書を発行した認証局200Bの識別情報が書き込まれるフィールド)に記載された文字列とSerial Numberフィールド(認証局200が作成した公開鍵証明書の通し番号が書き込まれるフィールド)の文字列との組みあわせから作成するようにしても良い。
The identification information of the public key certificate includes 1) Subject field (a field in which information of the owner of the public key certificate is written) of the public key certificate acquired by the public key
ここで、公開鍵証明書の識別情報として、Subjectフィールドの文字列の他、Issuerフィールドの文字列とSerial Numberフィールドの文字列との組み合わせも用いることができるのは、これらの情報の組み合わせでもノード300Aは「どの認証局200が作成(発行)した、どの公開鍵証明書であるか」を特定(識別)できるからである。すなわち、ノード300Aが取得した公開鍵証明書を識別することができるからである。 Here, in addition to the character string in the Subject field, a combination of the character string in the Issuer field and the character string in the Serial Number field can be used as the identification information of the public key certificate. This is because 300A can identify (identify) which public key certificate is created (issued) by which certificate authority 200. That is, the public key certificate acquired by the node 300A can be identified.
このように、IPアドレステーブルで用いる公開鍵証明書の識別情報は、公開鍵証明書の識別ができる情報であれば、前記した情報に限定されない。また、IPアドレスの形式はIPv4(Internet Protocol version 4)でも良いし、IPv6(Internet Protocol version 6)でも良い。さらに、本実施の形態では、ノード300のID(識別情報)としてIPアドレスを用いることとしたが、ネットワーク4上でノード300を識別できる情報であれば、IPアドレスに限定されない。 As described above, the identification information of the public key certificate used in the IP address table is not limited to the above-described information as long as the information can identify the public key certificate. The IP address format may be IPv4 (Internet Protocol version 4) or IPv6 (Internet Protocol version 6). Furthermore, in this embodiment, the IP address is used as the ID (identification information) of the node 300. However, the information is not limited to the IP address as long as the information can identify the node 300 on the network 4 .
IPアドレステーブル作成部124が作成したIPアドレステーブルは、IPアドレステーブル記憶部113に格納される。
The IP address table created by the IP address
検証部123は、前記した基本的構成の項で述べた公開鍵証明書の検証機能の他に、IKE処理部121がIKEフェーズ1でノード300BのIPアドレスおよび公開鍵証明書を受信すると、これらの組みあわせがIPアドレステーブルに記憶されているか否かを判断し、ノード300Bが通信相手(ノード300C)であることの検証を行う機能を有する。
When the
<処理手順>
次に、適宜図1〜図4を参照しつつ、図5および図6を用いてノード300(300A,B)の通信処理手順を説明する。ここでも、基本的処理手順と同様にIKEのフェーズ1で、デジタル署名認証方式(アグレッシブモード)を用いた場合を例として通信処理手順を説明する。
<Processing procedure>
Next, the communication processing procedure of the node 300 (300A, B) will be described using FIGS. 5 and 6 with reference to FIGS. Again, the basic processing steps as well as IKE Phase 1, the illustrating the communication procedure as an example the case of using a digital signature authentication method (A Aggressive mode).
まず、ノード300Aは、IKE開始前に、IPアドレステーブル作成部124で、ノード300Cの公開鍵証明書のSubjectフィールドの文字列およびノード300CのID(IPアドレス)の入力を受けて、これらの対応関係を示したIPアドレステーブルを作成する(図5のステップS400)。
なお、IPアドレステーブルの作成は、事前に記憶部110等に記憶されたIPアドレスおよび公開鍵証明書を読み出して作成するようにしても良い。
First, before starting the IKE, the node 300A receives the input of the character string of the Subject field of the public key certificate of the
The IP address table may be created by reading out the IP address and public key certificate stored in advance in the storage unit 110 or the like.
図5のステップS401〜ステップS503の処理は、図2のステップS101〜ステップS203の処理と同様なので説明を省略し、ステップS503の後の処理を示す図6のステップS601の処理から説明する。 The processing in steps S401 to S503 in FIG. 5 is the same as the processing in steps S101 to S203 in FIG. 2, and thus description thereof will be omitted. The processing after step S601 in FIG.
ステップS601では、検証部123が、1)ステップS501(IKEフェーズ1の第1メッセージ)で受信したID(IPアドレス)と、2)ステップS503(IKEフェーズ1の第3メッセージ)で受信した公開鍵証明書のSubjectフィールドの文字列の組み合わせをIPアドレステーブル記憶手段113のIPアドレステーブルから検索する。つまり、検証部123は、ノード300Bから送信された公開鍵証明書とIPアドレスとの組み合わせが、IPアドレステーブルに有るか否かを判断する。
In step S601, the
ここで、検証部123が、ノード300Bから送信された公開鍵証明書とIPアドレスとの組み合わせがIPアドレステーブルに有る(記憶されている)と判断したとき(ステップS602のYes)、ステップS701以降の処理を行う。このステップS701〜ステップS706の処理は、図3のステップS301〜ステップS306の処理と同様なので説明を省略する。
Here, when the
一方、検証部123が、ノード300Bから送信された公開鍵証明書とIPアドレスの組み合わせが無いと判断したとき(ステップS602のNo)、すなわちこれらの情報のうち、1)両方ともIPアドレステーブルに記載されていないと判断したとき、2)どちらか一方しかIPアドレステーブルに記載されていないと判断したとき、3)これらの情報の組み合わせがIPアドレステーブルに記載されている組み合わせと異なると判断したとき、IKE処理部120は、ノード300BへIKEフェーズ1(ISAKMP SA)の折衝が失敗した旨を通知し(ステップS706)、処理を終了する。
On the other hand, when the
このようにノード300(300A)が、1)公開鍵証明書の正当性の検証、2)デジタル署名の検証、3)IPアドレスと公開鍵証明書の組み合わせの確認の3つのステップを実行することで、ノード300Bが確かに通信相手(ノード300C)であることを確認した上で、IPsecSAの確立を行うことができる。つまり、通信主体であるノード300Aが、なりすましのIPアドレスでアクセスしてきたノード300とIPsecSAを確立してしまうことを防ぐことができるので、よりセキュリティ度の高いネットワーク接続を行うことができる。
As described above, the node 300 (300A) executes three steps of 1) verification of the validity of the public key certificate, 2) verification of the digital signature, and 3) confirmation of the combination of the IP address and the public key certificate. Thus, it is possible to establish IPsec SA after confirming that
本発明は発明の趣旨を逸脱しない範囲で応用可能である。例えば、前記した実施の形態では、ノード300AがIKEフェーズ1における通信相手の認証にデジタル認証方式(アグレッシブモード)を用いる場合を例として説明したが、公開鍵証明書とノード300CのIPアドレス(ID)の交換を行う方法であれば、デジタル認証方式(メインモード)を用いる場合や、改良型公開鍵暗号化方式(アグレッシブモード、メインモード)を用いる場合にも適用できる。
The present invention can be applied without departing from the spirit of the invention. For example, in the embodiment described above, the node 300A has has been described as an example the case of using a digital authentication method for authenticating a communication partner in the IKE phase 1 (A Aggressive Mode), IP address of the public key certificate and the
また、前記した実施の形態では、ノード300(300A〜C)が格納するIPアドレステーブルは、ノード300(300A〜C)内のIPアドレステーブル作成部124が作成することとしたが、外部のサーバ等(図示せず)で作成するようにしても良い。すなわち、外部のサーバ等で作成したIPアドレステーブルを処理手段120等によりネットワーク4経由で取得するようにしても良い。
In the embodiment described above, the IP address table stored in the node 300 (300A to C) is created by the IP address
本実施の形態に係るネットワーク接続機器は、前記したような処理を実行させるネットワーク接続用プログラムによって実現することができ、そのプログラムをコンピュータによる読み取り可能な記憶媒体に記憶して提供することが可能である。また、そのプログラムを、ネットワークを通して提供することも可能である。 The network connection device according to the present embodiment can be realized by a network connection program for executing the processing as described above, and can be provided by storing the program in a computer-readable storage medium. is there. It is also possible to provide the program through a network.
100(100A〜C) ノード(ネットワーク接続機器)
101 インターフェース部
110 記憶手段
111 公開鍵証明書記憶部
112 IKE用データ記憶部
113 IPアドレステーブル記憶部
120 処理手段
121 IKE処理部
122 公開鍵証明書取得部
123 検証部
124 IPアドレステーブル作成部
200(200A,B) 認証局
300(300A〜C) ノード(ネットワーク接続機器)
100 (100A to C) node (network connection device)
DESCRIPTION OF
Claims (9)
ネットワーク経由で各種情報の送受信を行うインターフェース部と、
前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを記憶するIPアドレステーブル記憶部と、
前記インターフェース部を介して、他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信して、前記他のネットワーク接続機器とのIKEによるセキュリティアソシエーションの折衝処理を行うIKE処理部と、
前記IPアドレステーブル記憶部の前記IPアドレステーブルを検索して、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されているか否かを判断する検証部と、
を含み、
前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、前記IPアドレステーブルに記憶されていると前記検証部が判断したとき、前記IKE処理部は、前記他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とするよう構成したことを特徴とするネットワーク接続機器。 A network connection device that establishes a security association with a network connection device of a communication partner by exchanging a public key certificate and an IP address by IKE which is an automatic key exchange protocol,
An interface unit for transmitting and receiving various information via a network;
And IP address table storage unit for storing an IP address table showing the correspondence between the identification information of the IP address and the public key certificate of the network connection apparatus of the communication partner,
An IKE processing unit that receives an IP address and a public key certificate transmitted from another network connection device via the interface unit, and performs a negotiation process of security association by IKE with the other network connection device;
The search for the IP address table of the IP address table storage unit, determines whether the combination of the public key certificate transmitted IP address from the other network connection apparatus is stored in the IP address table A verification unit to
Including
When the verification unit determines that the combination of the IP address and the public key certificate transmitted from the other network connection device is stored in the IP address table, the IKE processing unit A network connection device configured to be able to establish a security association with a connection device.
前記検証部が、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、前記IPアドレステーブルに記憶されていると判断したとき、前記IKE処理部は、前記他のネットワーク接続機器とのIKEフェーズ1のセキュリティアソシエーションを確立するよう構成したことを特徴とする請求項2に記載のネットワーク接続機器。 The IP address table creation unit, before starting the security association by the IKE, and receives the IP address and public key certificate of the network connection apparatus of the communication partner, the public IP address of the network connection apparatus of the communication partner Configure to create an IP address table showing the correspondence with the identification information of the key certificate,
When the verification unit determines that the combination of the IP address and the public key certificate transmitted from the other network connection device is stored in the IP address table, the IKE processing unit 3. The network connection device according to claim 2, wherein the network connection device is configured to establish an IKE phase 1 security association with the network connection device.
記憶部に前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを記憶するネットワーク接続機器が、
他のネットワーク接続機器とのIKE処理を行うIKE処理部で、前記他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信するステップと、
前記公開鍵証明書の検証およびデジタル署名の検証を行う検証部で、前記記憶部に記憶されたIPアドレステーブルを検索して、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されているか否かを判断するステップと、
前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、前記IPアドレステーブルに記憶されていると前記検証部が判断したとき、前記IKE処理部で、前記他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とするステップと、
を実行することを特徴とするネットワーク接続方法。 A network connection method in which a network connection device establishes a security association with a network connection device of a communication partner by exchanging a public key certificate and an IP address by IKE which is an automatic key exchange protocol,
A network connection device that stores an IP address table indicating correspondence between the IP address of the network connection device of the communication partner and the identification information of the public key certificate in the storage unit,
Receiving an IP address and a public key certificate transmitted from the other network connection device in an IKE processing unit that performs an IKE process with the other network connection device;
The verification unit that performs verification of the public key certificate and verification of the digital signature searches the IP address table stored in the storage unit , and transmits the IP address and the public key certificate transmitted from the other network connection device. Determining whether the combination is stored in the IP address table;
When the verification unit determines that the combination of the IP address and the public key certificate transmitted from the other network connection device is stored in the IP address table, the IKE processing unit determines that the other network Making it possible to establish a security association with a connected device;
The network connection method characterized by performing.
前記ネットワーク接続機器が、
前記通信相手のネットワーク接続機器のIPアドレスおよび公開鍵証明書の入力を受け付けるステップと、
前記入力された前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを作成するIPアドレステーブル作成部で、前記IPアドレステーブルを作成し、このIPアドレステーブルを記憶手段に記憶するステップと、
他のネットワーク接続機器とのIKE処理を行うIKE処理部で、IKEにより前記他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信するステップと、
前記他のネットワーク接続機器の公開鍵証明書の検証およびデジタル署名の検証を行う検証部で、前記記憶手段のIPアドレステーブルを検索して、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されているか否かを判断するステップと、
前記他のネットワーク接続機器から受信したIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されていると前記検証部で判断したとき、前記IKE処理部で、前記他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とするステップと、
を実行することを特徴とするネットワーク接続方法。 A network connection method in which a network connection device establishes a security association with a network connection device of a communication partner by exchanging a public key certificate and an IP address by IKE which is an automatic key exchange protocol,
The network connection device is
Receiving an input of an IP address and a public key certificate of the network connection device of the communication partner;
In IP address table creation unit to create an IP address table showing the correspondence between the identification information of the public key certificate and IP address of the network connection device of the inputted the communication partner, creating the IP address table, the Storing an IP address table in a storage means;
Receiving an IP address and a public key certificate transmitted from the other network connection device by the IKE in an IKE processing unit that performs IKE processing with the other network connection device;
The verification unit that verifies the public key certificate of the other network connection device and the digital signature verifies the IP address table of the storage unit, and discloses the IP address transmitted from the other network connection device. Determining whether a combination with a key certificate is stored in the IP address table;
When the verification unit determines that the combination of the IP address received from the other network connection device and the public key certificate is stored in the IP address table, the IKE processing unit determines the other network connection device. Enabling the establishment of a security association with
The network connection method characterized by performing.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004051334A JP3911697B2 (en) | 2004-02-26 | 2004-02-26 | Network connection device, network connection method, network connection program, and storage medium storing the program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004051334A JP3911697B2 (en) | 2004-02-26 | 2004-02-26 | Network connection device, network connection method, network connection program, and storage medium storing the program |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2005244573A JP2005244573A (en) | 2005-09-08 |
JP2005244573A5 JP2005244573A5 (en) | 2005-10-27 |
JP3911697B2 true JP3911697B2 (en) | 2007-05-09 |
Family
ID=35025825
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004051334A Expired - Lifetime JP3911697B2 (en) | 2004-02-26 | 2004-02-26 | Network connection device, network connection method, network connection program, and storage medium storing the program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3911697B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100856918B1 (en) | 2006-11-02 | 2008-09-05 | 한국전자통신연구원 | Method for IP address authentication in IPv6 network, and IPv6 network system |
JP7148947B2 (en) | 2017-06-07 | 2022-10-06 | コネクトフリー株式会社 | Network system and information processing equipment |
JP2020096275A (en) * | 2018-12-12 | 2020-06-18 | コネクトフリー株式会社 | Information communication method and information communication system |
-
2004
- 2004-02-26 JP JP2004051334A patent/JP3911697B2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2005244573A (en) | 2005-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2542911C2 (en) | Low-latency peer-to-peer session establishment | |
JP4801147B2 (en) | Method, system, network node and computer program for delivering a certificate | |
Housley et al. | Guidance for authentication, authorization, and accounting (AAA) key management | |
JP4962117B2 (en) | Encryption communication processing method and encryption communication processing apparatus | |
EP2329621B1 (en) | Key distribution to a set of routers | |
JP3944182B2 (en) | Security communication method | |
JP2005303485A (en) | Key distribution method and system for encryption communication | |
JP2005295509A (en) | Authenticated exchange of public information using e-mail | |
CN101960814A (en) | IP address delegation | |
JP2007143049A (en) | Authentication method and information processor | |
JP5012173B2 (en) | Encryption communication processing method and encryption communication processing apparatus | |
JP4938408B2 (en) | Address management system, address management method and program | |
JP2007181123A (en) | Digital certificate exchange method, terminal device, and program | |
JP3911697B2 (en) | Network connection device, network connection method, network connection program, and storage medium storing the program | |
JP6056970B2 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
JP5319575B2 (en) | Communication method and communication system | |
JP4552785B2 (en) | Encrypted communication management server | |
JP2011054182A (en) | System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message | |
JP4601979B2 (en) | Certificate mutual authentication system and certificate mutual authentication method | |
JP2009278388A (en) | Communication terminal device, management device, communication method, management method, and computer program | |
JP2007166552A (en) | Communication apparatus and encryption communication method | |
JP2007184993A (en) | Key distribution method and system for encryption communication | |
JP2008199420A (en) | Gateway device and authentication processing method | |
JP4736722B2 (en) | Authentication method, information processing apparatus, and computer program | |
JP4707325B2 (en) | Information processing device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050706 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050706 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061018 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061025 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061220 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070117 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20070119 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070119 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3911697 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110209 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110209 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120209 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130209 Year of fee payment: 6 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |