JP5319575B2 - 通信方法および通信システム - Google Patents
通信方法および通信システム Download PDFInfo
- Publication number
- JP5319575B2 JP5319575B2 JP2010037747A JP2010037747A JP5319575B2 JP 5319575 B2 JP5319575 B2 JP 5319575B2 JP 2010037747 A JP2010037747 A JP 2010037747A JP 2010037747 A JP2010037747 A JP 2010037747A JP 5319575 B2 JP5319575 B2 JP 5319575B2
- Authority
- JP
- Japan
- Prior art keywords
- node
- authentication
- iker
- ikei
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P20/00—Technologies relating to chemical industry
- Y02P20/50—Improvements relating to the production of bulk chemicals
- Y02P20/52—Improvements relating to the production of bulk chemicals using catalysts, e.g. selective catalysts
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
次に、図4を用いて、通信システムを構成するノード10,20、認証サーバ30の構成を説明する。ノード10,20、認証サーバ30はそれぞれ、入出力部、処理部および記憶部を備える。
まず、IKEiのノード10を説明する。IKEiのノード10は、入出力部11、処理部12および記憶部13を備える。まず、記憶部13から説明する。記憶部13は、リモートアクセス管理情報131を記憶する。このリモートアクセス管理情報131は、IKErのノード20のID(例えば、IKErのノード20のアドレスのドメイン)ごとに、このIKErのノード20が仮IDを用いてIKEv2のIKE_AUTH1stメッセージを送信してもよいノードか否かを示すフラグと、仮IDを用いてIKE_AUTH1stメッセージを送信してもよいノードであるとき、このノードに対し用いる仮IDおよび本IDとを示した情報である(図5参照)。
次に、IKErのノード20を説明する。IKErのノード20は、入出力部21、処理部22および記憶部23を備える。まず、記憶部23から説明する。この記憶部23は、ドメイン管理情報231を記憶する。このドメイン管理情報231は、IKEiのノード10のID(例えば、IKEiのノード10のアドレスのドメイン)ごとに、当該IDが本IDか仮IDかを示すフラグと、そのIDのIKEiのノード10からのIKE_AUTHメッセージを受信したとき、そのIKEiのノード10の認証方法を問い合わせる認証サーバ30のアドレスを示した情報である。例えば、図6に示すドメイン管理情報231において、IKEiのノード10から「vpn1-remote.net」というドメインを持つIDをIKE_AUTHメッセージで受信したとき、このIDは仮IDであり(フラグOn)、このIDのIKEiのノード10の認証方法の問い合わせ先の認証サーバ30のアドレスは「1100::1」であることを示す。このドメイン管理情報231は、入出力部21経由で更新される。このドメイン管理情報231は、図4の仮ID判定部221(後記)において、IKEiのノード10から送信されたIDが本IDか仮IDかを判定するときや、IKEiのノード10の認証方法の問い合わせ先である認証サーバ30を選択するときに参照される。
次に、認証サーバ30を説明する。認証サーバ30は、入出力部31、処理部32および記憶部33を備える。まず、記憶部33から説明する。この記憶部33は、ユーザ管理情報331を記憶する。ユーザ管理情報331は、図7に示すように、IKEiのノード10の仮IDおよび本IDと、このIKEiのノード10が用いる認証方式と、その認証方式に用いる情報とを示した情報である。なお、図7のユーザ管理情報331は、認証方式が、MD5-Challengeであるノード10に発行するチャレンジ値(発行Challenge)、パスワード等を含む。このチャレンジ値は、この値がMD5-Challengeに用いられるチャレンジ値であることを示す識別情報を含む。これにより、IKEiのノード10は、この値がMD5-Challengeに用いられるチャレンジ値であることを判断できる。このユーザ管理情報331は、図4の入出力部31経由で更新される。また、このユーザ管理情報331は、認証部321(後記)が、IKEiのノード10の認証方式やその認証方式に用いる情報(チャレンジ値等)を選択するとき等に参照される。
まず、IKEiのノード10は、IPsecトンネルの確立先のIKErのノード20のアドレスを取得する。そして、IKEiのノード10は、このIKErのノード20のアドレスと、リモートアクセス管理情報131(図5参照)とを参照して、このIKErのノード20は、IKE_AUTH1stメッセージで仮IDを用いることが可能なIKErのノード20か否かを判断する(S21:リモートアクセス管理情報において仮IDフラグOnのIKEr?)。ここで、このIKErのノード20がIKE_AUTH1stメッセージで仮IDを用いることが可能なIKErのノード20であれば(S21のYes)、IKEiのノード10のIKE_AUTHメッセージ処理部121は、リモートアクセス管理情報131を参照して、このIKErのノード20のアドレスに仮IDと本IDの設定があるか否かを判断する(S22)。ここで、仮IDと本IDの設定があれば(S22のYes)、IKE_AUTHメッセージ処理部121は、IKE_AUTH1stメッセージにて仮IDをIKErのノード20へ送信する(S23)。
次に、図9を用いて、IKErのノード20の処理手順を説明する。IKErのノード20は、IKE_AUTH1stメッセージにてIKEiのノード10の仮IDを受信する(S41)。そして、IKErのノード20の仮ID判定部221は、ドメイン管理情報231を参照して、受信ID(仮IDのドメイン)が、ドメイン管理情報231上に存在し(S42のYes)、かつ、受信IDのドメインは、ドメイン管理情報231上で仮IDフラグがOn(S43のYes)であることを確認すると、処理をS44へ進める。つまり、IKErのノード20は、通常の認証サーバ30との連携とRFC4306に基づく動作を実行する(S44)。すなわち、IKErのノード20は、仮IDがドメイン管理情報231上に存在することを確認すると、図3のS13〜S19に基づき、IKEiのノード10からIKE_AUTH3rdメッセージを受信する。また、図4のIKErのノード20のAccess-Request1stメッセージ処理部222は、IKE_AUTH3rdメッセージにて、IKEiのノード10のID(本ID)とハッシュ化パスワードを受信したとき(S45のYes)、以降、IKEiのノード10のIDとして、このIKE_AUTH3rdメッセージで受信したIDを用いて、RFC4306に基づく動作を実行する(S46)。すなわち、図1のS3以降の処理と同様の処理を実行する。
次に、図10を用いて認証サーバ30の処理手順を説明する。認証サーバ30の認証部321(図4参照)は、Access-Request1stメッセージにて、IKEiのノード10のIDを受信する(S51)。そして、認証部321は、この受信IDがユーザ管理情報331(図7参照)上に存在するか否かを判断する(S52)。ここで、受信IDがユーザ管理情報331上に存在すれば(S52のYes)、ユーザ管理情報331を参照して、このIDのIKEiのノード10に対し用いる認証方式を選択する。そして、この選択した認証方式に従い処理を行う(S53)。例えば、当該IKEiのノード10の認証方式として、MD5-Challengeを選択した場合、認証部321は、IKErのノード20へ、このIKEiのノード10に用いるチャレンジ値をユーザ管理情報331から読み出し、IKErのノード20へAccess-Challengeメッセージにより送信する(S54)。
11,21,31,51 入出力部
12,22,32,52 処理部
13,23,33,53 記憶部
30 認証サーバ
40 端末
121 IKE_AUTHメッセージ処理部
122 認証処理部
123 認証情報作成部
124,225,521 IPsecトンネル処理部
131 リモートアクセス管理情報
221 仮ID判定部
222 Access-Requestメッセージ処理部
223 ディジタル署名生成部
224,522 IKE_AUTHメッセージ処理部
231 ドメイン管理情報
321 認証部
331 ユーザ管理情報
Claims (4)
- IKE(Internet Key Exchange)v2においてイニシエータとなるIKEiのノードと、前記IKEv2におけるレスポンダとなるIKErのノードと、前記IKErのノードからの認証要求に応じて認証処理を行う認証サーバとを含む通信システムにおける通信方法であって、
前記IKErのノードのIDごとに、前記IKEv2において、前記IDのIKErのノードに対し用いる自身のIKEiのノードの仮IDおよび本IDを示したリモートアクセス管理情報を記憶する記憶部を備える前記IKEiのノードは、
前記リモートアクセス管理情報から読み出した、前記IKErのノードに対し用いる前記仮IDを含むIKE_AUTH1stメッセージを、前記IKErのノードへ送信し、
前記IKErのノードは、
前記IKEiのノードからのIKE_AUTH1stメッセージを受信したとき、
前記認証サーバへ、前記IKE_AUTH1stメッセージに含まれる仮IDのノードの認証に用いる認証方式を問い合わせるAccess-Request1stメッセージを送信し、
前記認証サーバから前記仮IDのノードの認証に用いる認証方式を含む応答を受信し、前記自身のIKErのノードのディジタル署名を生成し、
前記受信した応答に含まれる認証方式と、前記自身のIKErのノードのディジタル署名とを含むIKE_AUTH2ndメッセージを前記IKEiのノードへ送信し、
前記IKEiのノードは、
前記IKErのノードから受信した前記IKE_AUTH2ndメッセージに含まれるディジタル署名に基づき前記IKErのノードの認証処理を実行し、前記IKErのノードの認証OKが確認されたとき、前記リモートアクセス管理情報から読み出した前記IKErのノードに対し用いる本IDと前記認証方式の認証に用いる認証情報とを含むIKE_AUTH3rdメッセージを前記IKErのノードへ送信し、
前記IKErのノードは、
前記IKEiのノードから受信した前記IKE_AUTH3rdメッセージに含まれる前記本IDと前記認証方式の認証に用いる認証情報とをAccess-Request2ndメッセージに含めて、前記認証サーバへ送信し、
前記認証サーバから受信した、前記Access-Request2ndメッセージの応答が前記IKEiのノードの認証結果が認証OKを示すものであるとき、前記IKEiのノードとの間にIPsecトンネルを確立することを特徴とする通信方法。 - 前記IKErのノードは、
前記IKEiのノードから受信した前記IKE_AUTH3rdメッセージに前記IDが含まれていなかったとき、前記Access-Request1stに含まれるIDをAccess-Request2ndメッセージに含めて、前記認証サーバへ送信し、
前記認証サーバから受信した、前記Access-Request2ndメッセージの応答が前記IKEiのノードの認証結果が認証OKを示すものであるとき、前記IKEiのノードとの間にIPsecトンネルを確立することを特徴とする請求項1に記載の通信方法。 - 前記認証サーバは、
前記ノードの仮IDおよび本IDと、前記ノードが用いる認証方式を含むユーザ管理情報を備え、
前記IKErのノードから、前記仮IDを含むAccess-Request1stメッセージを受信したとき、前記ユーザ管理情報を参照して、前記仮IDのノードの認証に用いる認証方式を含む応答を前記IKErのノードへ送信し、
前記本IDおよび認証情報を含むAccess-Request2ndメッセージを受信したとき、前記ユーザ管理情報を参照して、前記本IDのノードの認証処理を行い、前記認証処理の認証結果をIKErのノードへ送信することを特徴とする請求項1または請求項2に記載の通信方法。 - IKE(Internet Key Exchange)v2においてイニシエータとなるIKEiのノードと、前記IKEv2におけるレスポンダとなるIKErのノードと、前記IKErのノードからの認証要求に応じて認証処理を行う認証サーバとを含む通信システムであって、
前記IKEiのノードは、
前記IKErのノードのIDごとに、前記IKEv2において、前記IDのIKErのノードに対し用いる自身のIKEiのノードの仮IDおよび本IDを示したリモートアクセス管理情報を記憶する記憶部と、
前記リモートアクセス管理情報から読み出した、前記IKErのノードに対し用いる前記仮IDを含むIKE_AUTH1stメッセージを、前記IKErのノードへ送信し、認証処理部により前記IKErのノードの認証OKが確認されたとき、前記リモートアクセス管理情報から読み出した前記IKErのノードに対し用いる本IDと前記作成した認証情報を含むIKE_AUTH3rdメッセージを前記IKErのノードへ送信する第1のIKE_AUTHメッセージ処理部と、
前記IKErのノードから受信したIKE_AUTH2ndメッセージに含まれる認証方式に従い前記IKEiのノードの認証情報を作成する認証情報作成部と、
前記IKErのノードから受信した前記IKE_AUTH2ndメッセージに含まれるディジタル署名に基づき前記IKErのノードの認証処理を実行する前記認証処理部と、
前記IKErのノードとの間にIPsecトンネルを確立する第1のIPsecトンネル処理部とを備え、
前記IKErのノードは、
(1)認証サーバへ、前記IKE_AUTH1stメッセージに含まれる前記仮IDノードの認証に用いる認証方式を問い合わせるAccess-Request1stを送信し、(2)前記IKEiのノードから前記IKE_AUTH3rdメッセージを受信したとき、前記IKE_AUTH3rdに含まれる前記本IDおよび前記IKEiのノードの認証情報をAccess-Request2ndメッセージに含めて、前記認証サーバへ送信する、Access-Requestメッセージ処理部と、
前記認証サーバから、前記Access-Request1stの応答を受信したとき、前記自身のIKErのノードのディジタル署名を生成するディジタル署名生成部と、
前記受信したAccess-Request1stの応答に含まれる認証方式と、前記自身のIKErのノードのディジタル署名とを含む前記IKE_AUTH2ndメッセージを前記IKEiのノードへ送信する第2のIKE_AUTHメッセージ処理部と、
前記認証サーバから受信した、前記Access-Request2ndメッセージの応答が前記IKEiのノードの認証結果が認証OKを示すものであるとき、前記IKEiのノードとの間にIPsecトンネルを確立する第2のIPsecトンネル処理部とを備えることを特徴とする通信システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010037747A JP5319575B2 (ja) | 2010-02-23 | 2010-02-23 | 通信方法および通信システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010037747A JP5319575B2 (ja) | 2010-02-23 | 2010-02-23 | 通信方法および通信システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011176469A JP2011176469A (ja) | 2011-09-08 |
JP5319575B2 true JP5319575B2 (ja) | 2013-10-16 |
Family
ID=44688949
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010037747A Expired - Fee Related JP5319575B2 (ja) | 2010-02-23 | 2010-02-23 | 通信方法および通信システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5319575B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107005410A (zh) * | 2015-10-31 | 2017-08-01 | 华为技术有限公司 | 因特网协议安全性隧道建立方法,用户设备及基站 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694809A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike主模式协商方法 |
CN107579948B (zh) | 2016-07-05 | 2022-05-10 | 华为技术有限公司 | 一种网络安全的管理系统、方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4006403B2 (ja) * | 2004-01-21 | 2007-11-14 | キヤノン株式会社 | ディジタル署名発行装置 |
JP4212051B2 (ja) * | 2004-07-06 | 2009-01-21 | 日本電信電話株式会社 | セキュリティ情報管理方法、通信主体、および、通信主体プログラム |
JP4785992B2 (ja) * | 2011-01-05 | 2011-10-05 | 株式会社エヌ・ティ・ティ・ドコモ | 認証方法及び中継装置 |
-
2010
- 2010-02-23 JP JP2010037747A patent/JP5319575B2/ja not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107005410A (zh) * | 2015-10-31 | 2017-08-01 | 华为技术有限公司 | 因特网协议安全性隧道建立方法,用户设备及基站 |
CN107005410B (zh) * | 2015-10-31 | 2020-06-26 | 大势至(北京)软件工程有限公司 | 因特网协议安全性隧道建立方法,用户设备及基站 |
Also Published As
Publication number | Publication date |
---|---|
JP2011176469A (ja) | 2011-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4801147B2 (ja) | 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム | |
JP6370215B2 (ja) | マシン−対−マシンノード消去手順 | |
KR101786132B1 (ko) | 저-지연 피어 세션 구축 | |
JP4965671B2 (ja) | 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布 | |
US7562384B1 (en) | Method and apparatus for providing a secure name resolution service for network devices | |
JP4962117B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
JP2008160252A (ja) | 通信端末を認証する装置、方法およびプログラム | |
WO2011063744A1 (zh) | 一种eap认证中的标识认证方法、系统和设备 | |
WO2010054542A1 (zh) | Cga公钥识别、cga公钥确定的方法、系统及装置 | |
JP2005295038A (ja) | 提供装置、提供方法、通信装置、通信方法、及び、プログラム | |
US8443419B2 (en) | Method, device, and system for pre-authentication | |
JP6148458B2 (ja) | 認証装置およびその方法、ならびにコンピュータプログラム | |
JP2009193336A (ja) | 処理分散システム、認証サーバ、分散サーバ及び処理分散方法 | |
JP4643596B2 (ja) | 端末装置を認証する装置、方法、プログラム、端末装置、および端末装置の通信を中継する装置 | |
KR101359600B1 (ko) | 로컬 도메인 네임을 취득하기 위한 방법, 장치 및 시스템 | |
JP5319575B2 (ja) | 通信方法および通信システム | |
US20180183584A1 (en) | IKE Negotiation Control Method, Device and System | |
JP2006074451A (ja) | IPv6/IPv4トンネリング方法 | |
JP6266397B2 (ja) | 通信制御装置、通信制御方法及び通信制御システム | |
JP5830128B2 (ja) | 通信システム、アクセスポイント装置、サーバ装置、ゲートウェイ装置及び通信方法 | |
US11671451B1 (en) | Server/client resolution for link level security protocol | |
JP3911697B2 (ja) | ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体 | |
JP2008199420A (ja) | ゲートウェイ装置および認証処理方法 | |
JP5018484B2 (ja) | 通信制御装置 | |
CN115314278B (zh) | 可信网络连接身份认证方法、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110825 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120118 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130201 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130628 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130709 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130711 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5319575 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |