JP2001298449A - セキュリティ通信方法、通信システム及びその装置 - Google Patents

セキュリティ通信方法、通信システム及びその装置

Info

Publication number
JP2001298449A
JP2001298449A JP2000110651A JP2000110651A JP2001298449A JP 2001298449 A JP2001298449 A JP 2001298449A JP 2000110651 A JP2000110651 A JP 2000110651A JP 2000110651 A JP2000110651 A JP 2000110651A JP 2001298449 A JP2001298449 A JP 2001298449A
Authority
JP
Japan
Prior art keywords
security
communication
information
type
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000110651A
Other languages
English (en)
Inventor
Masafumi Yamaguchi
雅史 山口
Yutaka Tanaka
豊 田中
Hirotaka Yamauchi
弘貴 山内
Yusaku Ota
雄策 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2000110651A priority Critical patent/JP2001298449A/ja
Priority to US09/825,857 priority patent/US20010042201A1/en
Priority to EP03026370A priority patent/EP1418728B1/en
Priority to EP01303423A priority patent/EP1170927B1/en
Priority to DE60121483T priority patent/DE60121483T2/de
Priority to KR1020010019260A priority patent/KR20010098513A/ko
Priority to DE60121101T priority patent/DE60121101T2/de
Priority to CN01116541A priority patent/CN1317899A/zh
Publication of JP2001298449A publication Critical patent/JP2001298449A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 データ送信を行うユーザごとにセキュリティ
通信のレベルを設定でき、容易に各種セキュリティ通信
の接続パラメータを変更でき、接続先とのセキュリティ
通信のレベルを自動で設定するセキュリティ通信装置、
システム、及び方法を提供する。 【解決手段】通信端末を使用するユーザの情報とセキュ
リティ種を対応付けた対応情報を記憶し、上記対応情報
からセキュリティ種を決定する。又、インターネットア
ドレス情報と、セキュリティ種とを対応付けた対応情報
を記憶し、上記インターネットアドレス情報に基づい
て、上記対応情報からセキュリティ種を決定する。さら
に、セキュリティ種を所定のセキュリティ情報装置に問
い合わせ、該問い合わせの回答に基づいて上記セキュリ
ティ種を決定する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、セキュリティ通信
方法に係り、詳しくは、必要に応じてセキュリティ種を
変更可能なセキュリティ通信方法、通信システム及びそ
の装置に関するものである。
【0002】
【従来の技術】近年、パーソナルコンピュータとインタ
ーネット技術の急激な普及により、容易でしかも安価に
インターネット上に公開されるホームページによる情報
提供及び情報収集が可能になっている。さらにこれだけ
にとどまらず、インターネットあるいは企業間のイント
ラネットを介した電子メールの交換や、これらを利用し
た電子商取引や電子決済が一般化しつつある。このよう
なサービスを利用する場合、特に重要な情報を含む通信
には専用線並のセキュリティの確保が重要である。
【0003】上述したようなセキュリティを確保する技
術として、例えばインターネットのような広域ネットワ
ークを仮想私設網とするVPN(Virtual Private Netwo
rk)技術等のセキュリティ通信技術が注目されている。
VPNを実現するセキュリティ通信のための接続手順と
してトンネリングプロトコルがあり、L2F(Layer 2Fo
rwarding)、PPTP(Point-to-Point Tunneling Proto
col) 、L2TP(Layer 2 Tunneling Protocol)、AT
MP(Ascend Tunnel Management Protocol) 、BayD
VS(BayStream Dial VPN Service ) 、IPSEC(Int
ernet ProtocolSecurity Protocol) 等が提案されてい
る。上記セキュリティ通信のためのプロトコルを使用す
ることにより、第3者が通信等を盗聴しうる上記広域ネ
ットワークにおいて通信等のセキュリティを確保すると
が可能となる。
【0004】これらの技術のうち、上記IPSECは、
ネットワーク層(OSI参照モデル(Open System Inter
connection reference model) 第3層)で認証、暗号化
を行うセキュリティプロトコルで、インターネット技術
標準化委員会(IETF)で標準化されている(RFC
2401から2412、2451)。上記IPSEC機
能を搭載したコンピュータや、ネットワーク接続装置で
あるルータ等を介してインターネットに接続することに
より、上記VPNを構築することが可能である。即ち、
ユーザはネットワークの種類を意識することなく、安全
にインターネットを利用することができる。尚、IPS
ECを利用した通信を行うにあたっては、どのような認
証アルゴリズムや暗号化アルゴリズムを使用するか、あ
るいはどのような暗号化鍵を使用するかなどを、事前に
送信側と受信側のIPSEC機能を搭載したコンピュー
タまたは、ネットワーク接続装置が整合を取っておく必
要がある。この認証、暗号化アルゴリズムの整合をとる
ための相互通信を、セキュリティ通信のための接続と呼
ぶ。IPSECにおいては、この接続はSA(Security
Association) によって実現されている。上記SAは認
証とセキュアメッセージ交換の機能を提供する基本的な
枠組であり、通信のコンテキストを確立し、その通信の
セキュリティのいくつかの側面を定義する。
【0005】以下に、図14、図15、図17、図18
を参照しながら、従来の、セキュリティ通信としてIP
SECを用いた通信方法について説明する。又、ここに
通信端末とは、ネットワーク接続装置及びコンピュータ
を含む。
【0006】図14は、従来のセキュリティ通信として
IPSEC機能を搭載したルータを使用してVPNネッ
トワークを構成したネットワークシステムの概略図、図
15は、上記IPSEC機能を搭載したネットワーク接
続装置間でのセキュリティ通信の接続手順を表した図、
図17は、従来技術におけるIPSECの処理方針を決
めるデータベースであるSPD(Security Policy Data
base)の例、図18は、従来技術におけるSAデータベ
ースであるSAD(Security Association Dtabase) の
例である。ここに、SPDとはセキュリティポリシーを
構成するデータベースである。又、セキュリティポリシ
ーとは、セキュリティを確保されたシステムへのアクセ
ス規制のことであり、一般にセキュリティ要件、セキュ
リティ上のリスク、及びセキュリティの測定手段が含ま
れる。通信端末間のセキュリティを確保するシステムに
おいては、セキュリティを適用する相手先通信端末を区
別する情報、セキュリティを適用するかどうかの情報等
を備える。尚、IPSECにおいては、セキュリティポ
リシーは上記SPDに記述され、該SPDには送信先通
信端末のIPアドレス、IPSEC処理の有無、認証、
暗号化アルゴリズム等の内容を記述した上記SAが格納
されるメモリ上のアドレスの位置情報を備える。
【0007】コンピュータ1401はLAN1407(L
ocal AreaNerwork) で他のコンピュータ1405及びネ
ットワーク接続装置1402と接続されており、ネット
ワーク接続装置1402を経由して、外部のインターネ
ット1409やイントラネット等のWANに接続されて
いる。このインターネット1409には他のネットワー
ク接続装置1403を介してコンピュータ1404、1
406が接続されるLAN1408が接続されている。
ここで、上記ネットワーク接続装置1402、1403
は、ルータ、ゲートウエイ、プロキシサーバ等のファイ
アウォールやVPN専用装置等である。ここで、コンピ
ュータ1401他は、パーソナルコンピュータ、ワーク
ステーション、サーバ、ノート型パソコン、IP電話、
IPテレビ電話、IP携帯電話等の通信機能をもつ端末
であればよい。
【0008】ここでは上記ネットワーク接続装置140
2、1403にIPSEC機能を搭載し、ネットワーク
接続装置1402、1403間でIPSECによる通信
を行うものとして説明する。また、上記コンピュータ1
401及び1404にIPSEC機能を搭載し、上記コ
ンピュータ1401、1404間でIPSECによる通
信を行うことも可能である。さらに、同様にIPSEC
機能を搭載した、コンピュータ1401とIPSEC機
能を搭載しているネットワーク接続装置1403間でI
PSECによる通信を行うことも可能である。
【0009】ところで、コンピュータ1401がインタ
ーネット1409を介してコンピュータ1404にデー
タを送信する場合には、予め上記ネットワーク接続装置
1402、1403間において上記セキュリティ通信の
ための接続を行う必要がある。以下に該セキュリティ通
信のための接続について説明する。
【0010】IPSEC通信を始めるにあたり、まず、
IPSECの暗号鍵交換のためのプロトコルであるIK
E(Internet Key Exchange)が用いられる。該IKEを
使用した通信は、IKEフェーズ1とIKEフェーズ2
とに分けて説明することができ、上記ネットワーク接続
装置1402、1403間で行われる。尚、IKEによ
る自動鍵交換を行わず、手動で秘密鍵の交換を行っても
よい。
【0011】上記IKEフェーズ1(1501)では、
IKE自身が安全に通信を行うために、互いに利用可能
なSA(Security Association)を確立するための情報を
交換する。ここでSAとは、例えば、認証アルゴリズム
や認証パラメータ、暗号化アルゴリズムや暗号化パラメ
ータ等を含む一連の定義情報群である。
【0012】次に、IKEフェーズ2(1502)で
は、前記IKEフェーズ1にて確立した上記SAを用い
て、IPSEC通信用のSAに関する情報を交換する。
ここで、IPSEC通信用のSAの一例について図18
に示す。図18は、複数の上記SAである、SA−1
(1802)〜SA−M(1803)を含むSAD18
01であり、さらに各SAにはアドレス情報1804、
インデックス情報であるSPI1805(Security Par
ameters Index )、及びセキュリティパラメータである
SAP1806が含まれる。上記アドレス情報1804
には送信先IPアドレス、送信先ポート番号、送信元I
Pアドレス、送信元ポート番号、プロトコル番号等が含
まれる。又、上記SPI1805には、擬似乱数等が用
いられ、上記SAP1806は、認証アルゴリズム、暗
号化アルゴリズム、暗号化鍵等のセキュリティ通信のレ
ベルに直接関連する情報を持つ。例えば上記SAP−1
(1806)の場合、認証アルゴリズムとしてHMAC
−MA5を、暗号化アルゴリズムとしてDES−CBS
が含まれる。
【0013】上記IKEフェーズ2(1502)で行わ
れるIPSEC通信用のSAに関する情報の交換は、具
体的には、ネットワーク接続装置1402がネットワー
ク接続装置1403に対し、IPSEC通信に使用する
上記SAの構成の提案を送信し、該ネットワーク接続装
置1403は上記提案の中から受け入れ可能なSAを返
信するものである。ここで、上記SAの構成の提案は、
上記ネットワーク接続装置1402の後述するデータ記
憶部2103に予め記憶されている認証アルゴリズム、
暗号化アルゴリズム等を用いて構成される。上記ネット
ワーク接続装置1402がどの様な認証アルゴリズム、
暗号化アルゴリズムを搭載しているかは、ネットワーク
接続装置により異なる。また、予め上記ネットワーク接
続装置1402が提案するSAを決めておくことも可能
である。
【0014】上記SAの返信処理により、IPSEC通
信に使用されるSAが確立される。上記確立されたIP
SEC通信に使用されるSAの情報は、図18に示すS
AD1801及び、図17に示すSPD1701に格納
される。該SPD1701の構成は以下の例に示され
る。即ち、送信先IPアドレス1702、IPSEC処
理の有無1703、上記SAD1801における各SA
の位置を示すアドレスポインタ1704、及び上記送信
先IPアドレス1702にデータを送信する場合に、I
PSECパケットを送信すべき先の通信端末のIPアド
レス1705である。ここで、上記IPアドレス170
5は、具体的にはネットワーク接続装置1403のIP
アドレスとなる。ここで、送信の通信端末がIPSEC
機能を搭載している場合、上記IPアドレス1702が
上記IPアドレス1705と同一となる。また、上記送
信先IPアドレス1702及び1705は範囲指定が可
能である。範囲指定とは、具体的にはIPアドレスを用
いて例えば”192.168.1.1〜192.16
8.1.100”という指定を指し、上記範囲指定によ
り1つの指定で例えば200台の通信端末へのデータの
送信を指定することが出来る。尚、上記SAは片方向で
1つ設定されるので、双方通信の場合は独立したSAが
ネットワーク接続装置1402、1403にそれぞれ設
定される。
【0015】上記IPSEC通信に使用されるSAが確
立された後、送信側のコンピュータ1401から上記コ
ンピュータ1404に送信されるデータは、該コンピュ
ータ1401にてIPヘッダを付加され、IPパケット
としてLAN1407を介してネットワーク接続装置1
402に送られる。該ネットワーク接続装置1402
は、後述するIPSEC処理を行うことにより上記IP
パケットをIPSECパケット1503として、上記ネ
ットワーク接続装置1403に送信する。上記IPSE
Cパケット1503を受信した上記ネットワーク接続装
置1403は、同じく後述するIPSEC処理にて上記
IPSECパケット1503をIPパケットに戻し、上
記LAN1408を介して上記コンピュータ1404に
送信する。即ち、上記インターネット1409を介して
接続される上記ネットワーク接続装置1402、140
3間では、送信側のコンピュータ1401から上記コン
ピュータ1404に送信されるデータはIPSECによ
りセキュリティが確保される。
【0016】続いて、図14、図16、図19、図20
を用いて上記ネットワーク接続装置1402及び140
3におけるIPSEC処理の詳細を説明する。ここに図
16は、AH(Authentication Header) フォーマット及
び、ESP(Encapsulation Security Payload)ヘッダフ
ォーマットの詳細図、図19は、送信側ネットワーク接
続装置におけるIPSEC処理のフローチャート、図2
0は、受信側ネットワーク接続装置におけるIPSEC
処理のフローチャートである。
【0017】尚、後述するSPD、SADはそれぞれの
ネットワーク接続装置内のデータ記憶部2103に記憶
されている。ここで、図19、20におけるSはステッ
プを意味する。
【0018】上記ネットワーク接続装置1402では、
送信側のコンピュータ1401より送信されたIPパケ
ットを受信すると、まずその送信先IPアドレスを読み
出す(図19:S1901)。つづいて該送信先IPア
ドレスを基に上記ネットワーク接続装置1402に格納
される上記SPD1701の送信先IPアドレス170
2を検索し、対応するIPSECパケットを送信すべき
先の通信端末のIPアドレス1705、IPSEC処理
の有無1703及びSAの位置を示すアドレスポインタ
1704を読み出す(図19:S1902)。
【0019】ここで、IPSEC処理を行わない設定、
即ちIPSEC処理の有無1703が”無”の場合、上
記受信したIPパケットをそのまま上記ネットワーク接
続装置1403に送信する(図19:S1903のN
o)。
【0020】IPSEC処理を行う設定、即ちIPSE
C処理の有無1703が”有”の場合、更に上記SAの
位置を示すアドレスポインタ1704を用いて上記SA
D1801を検索し、該当するSAの内容を読み出す
(図19:S1903のYes→S1905)。該SA
は、上記IKEフェーズ2(1502)で確立されたS
Aである。次に、上記ネットワーク接続装置1402
は、上記SAの内容に従い、例えば認証アルゴリズムと
してHMAC−MA5を、暗号化アルゴリズムとしてD
ES−CBSを用いて上記IPパケットから認証/暗号
化データを作成する(図19:S1905)。さらに、
上記ネットワーク接続装置1402は、上記認証/暗号
化データに、認証ヘッダAHまたは認証/暗号化ヘッダ
ESPを追加し、IPSEC処理を施したIPパケット
(IPSECパケット1503)とする(図19:S1
906)。ここで、上記AH及びESPには上記IKE
フェーズ2で確立したSAを構成する上記SPI180
5が含まれる。続いて上記IPSECパケット1503
は、インターネット1409を介して上記SPD170
1のIPアドレス1705が示す上記ネットワーク接続
装置1403に送信される。ここで、IPSECの処理
には”トランスポートモード”と”トンネルモード”が
あり、上記説明はトンネルモードの説明であるが、例え
ば上記トランスポートモードを使用する場合には上記I
Pパケットの送信先IPアドレスは暗号化されない。
又、上記トランスポートモード及びトンネルモードは適
宜選択可能である。尚、上記AHフォーマット及びES
Pヘッダフォーマットの詳細を図16(a)、(b)に
示す。
【0021】次に、上記ネットワーク接続装置1403
は、受信したIPパケットがIPSECパケットである
かを判別する(図20:S2001)。
【0022】ここで、IPSECパケットでない場合、
上記IPパケットはそのままLAN1408を介してコ
ンピュータ1404に送信される(図20:S2001
のNo)。
【0023】受信したIPパケットが、IPSECパケ
ットである場合、以下の処理を行う(図20:S200
1のYes)。即ち、まず上記IPSECパケット内の
上記AHやESPヘッダを調べ、該AHやESPヘッダ
に含まれるSPIを読み出す(図20:S2002)。
次に、上記ネットワーク接続装置1403に格納される
SADを上記SPIを用いて検索し、上記SPIに該当
する、上記IKEフェーズ2で確立したSAの内容を読
み出す(図20:S2003)。これにより、上述した
IKEフェーズ2で確立した該当SAが読み出されるこ
とになる。ここで、S2002にて該当SPIが無い場
合はユーザにその旨を表示して処理を終了する(図示せ
ず)。
【0024】さらに、上記ネットワーク接続装置140
3は、上記読み出したSAで指定された認証/暗号化ア
ルゴリズム等を用いて、上記IPSECパケットの認証
/暗号化データを認証/復号化する(図20:S200
4)。又、必要に応じて上記SAのアドレス情報180
4からSPD1701を検索し、送信元のIPアドレス
及び、IPSEC処理の有無を確認し、元のIPパケッ
トを生成する(図20:S2005→2006)。続い
て上記ネットワーク接続装置1403は生成した上記I
Pパケットをコンピュータ1404に送信する。
【0025】以上により、上記認証/復号化された上記
IPSECパケットの認証/暗号化データは、IPパケ
ットとしてLAN1408を介してコンピュータ140
4に送信される。即ち、上記ネットワーク接続装置14
02、1403間では、送信側のコンピュータ1401
から上記コンピュータ1404に送信されるデータはI
PSECにてセキュリティが確保される。
【0026】続いて、図21を用いて上記ネットワーク
接続装置1402の構成の概略を説明する。尚、ネット
ワーク接続装置1403も同様の構成である。
【0027】上記ネットワーク接続装置1402及び1
403は、一般的に図21に示すような構成を有する。
即ち、処理部2101、一時データ記憶部2102、デ
ータ記憶部2103、システム制御部2104、ネット
ワーク制御部2106、回線制御部2107が内部バス
或いはスイッチ2105にてそれぞれ接続されている。
また、上記ネットワーク制御部2106は上記LAN1
407に、上記回線制御部2107はインターネット1
409とそれぞれ接続されている。
【0028】上述したSPD、SADは、フラッシュメ
モリ、ハードディスク、ROM等の不揮発性メモリで構
成された上記データ記憶部2103に格納される。上記
処理部2101は、上記ネットワーク接続装置1402
の電源投入時に上記データ記憶部2103からシステム
制御部2104を経由して、上記SPD,SADを読み
出し、DRAM、SRAM等の揮発メモリで構成される
上記一時データ記憶部2102に格納するかあるいは、
必要なときに読み出し、一時データ記憶部2102に格
納する。又、上記SPD、SADの更新は上記データ記
憶部2103に格納されているSPD、SADに対して
行なわれる。
【0029】LAN1407或いはインターネット14
09からそれぞれネットワーク制御部2106、回線制
御部2107を経由して受信した個々のIPパケット
(IPSECパケット)は、上記処理部2101にて上
述したIPSEC処理が行われる。即ち、上記処理部2
101は、個々のIPSECパケットの上記AH、ES
P情報を読み出し、上述した処理フローに従って上記一
時データ記憶部2102に格納された必要なSPD、S
ADを検索してIPSECに関する認証/暗号化、認証
/復号化を行なった後、送信先アドレスに送信する。ま
た、その他の機能(ルーティング機能等)も上記処理部
2101にて提供される。
【0030】ここで、個々のIPパケット処理時に、一
時データ記憶部2102に格納されたSPD、SADを
検索する理由は、上記一時データ記憶部2102がデー
タ記憶部2103に比べて高速にアクセス可能であり、
上記IPSEC処理の高速化を図ることができるためで
ある。
【0031】このように、一時データ記憶部2102に
格納されたSPD、SADを参照して処理を進めるた
め、例えばSAに関するパラメータが変更された場合、
変更後のSAパラメータが上記IPSECを用いた通信
に反映されるのは、一般的に上記ネットワーク接続装置
1402の電源投入時及び、リセット時等の起動時のみ
である。これは通常、ルータ等のネットワーク接続装置
1402は連続通電され、常時運用されており、一時デ
ータ記憶部2102に格納されたSAに関するパラメー
タと変更されたパラメータとの整合をとる機構が必要な
ためと、現状のIPSECを用いた通信は、主に例えば
本社と支社間等、決まったネットワーク接続装置間での
LAN間接続に用いられているため、上記データ記憶部
2103に格納されるSPD、SAD、その他の設定パ
ラメータについて、変更される機会が少ないことを前提
にしているためである。
【0032】
【発明が解決しようとする課題】上記のようなネットワ
ーク層でのセキュリティプロトコルは、通信パケット全
体に対してセキュリティを確保するため、アプリケーシ
ョンごとにセキュリティを施す必要がなく、LAN間接
続時のセキュリティ対策として利便性が高い。しかしな
がら、セキュリティに関する認証/暗号化等の処理は非
常に計算量が多く、セキュリティの強度(即ち安全性)
を高くすれば通信が漏洩する可能性が低くなるが、それ
だけ各コンピュータやネットワーク接続装置の負荷が高
くなり、即ち、処理の遅延を招く。ここで、セキュリテ
ィの強度を下げれば当然通信が漏洩する可能性が高くな
る。
【0033】従来技術では、上記のように相手先端末に
対応してセキュリティ通信のレベルを設定しているた
め、例えば複数のユーザが使用する送信元端末から、暗
号化の必要ないユーザが送信するデータにも、一定強度
のセキュリティを付与する必要があった。このような通
信は、各コンピュータやネットワーク接続装置の不必要
な負荷を増大させ、即ち処理の遅延を招くに至ってい
る。逆に、レベルの高いセキュリティを必要とするユー
ザが送信するデータであっても、それより低いレベルの
セキュリティでしか送信できない難点があった。
【0034】また、従来のIPSEC機能を搭載したル
ータ等では、予め上述したように通信先のIPアドレス
に対して使用するSAを対応付ける必要があり、さらに
その対応付け手続きの困難性から、セキュリティ通信の
レベルを柔軟に変更できないばかりでなく、専門知識の
ないユーザが各自で適宜セキュリティ通信のレベルを変
えることが困難であった。しかしながらインターネット
あるいは企業間のイントラネットを介した電子メールの
交換や、これらを利用した電子商取引が一般化しつつあ
るため、ネットワークに関する専門的な技術を持った保
守者がいる大企業等だけでなく、そのような専門的な技
術者が期待できないSOHO(Small Office Home Offi
ce) や家庭においても使用できるような容易な設定方法
が求められる。 また、接続先や、電子商取引時のクレ
ジット番号発信等、通信によって、セキュリティ通信の
レベルを最適に変えたい場合があるが、従来の技術で
は、接続時のセキュリティ通信のレベルが最適かどうか
分からないという課題がある。 本発明は、上記課題を
解決するために提案するものであり、従来の利便性を損
なうことなくデータ送信を行うユーザごとにセキュリテ
ィ通信のレベルを設定できると共に、ネットワークに関
する専門知識がなくても容易に各種セキュリティ通信の
ための接続パラメータを変更でき、かつ直ちに該変更の
有効性の確認、及び反映を行うことが可能であり、さら
に、接続先との通信にどれ程のセキュリティ通信のレベ
ルを設定すれば良いかを自動で決定できるセキュリティ
通信方法を提供するものである。
【0035】
【課題を解決するための手段】本発明は、上記目的を達
成するために以下の手段を備える。
【0036】すなわち、通信端末を使用するユーザの情
報とセキュリティ種を対応付けた対応情報を記憶する記
憶手段と、上記ユーザの情報に基づいて、上記対応情報
からセキュリティ種を決定する上記セキュリティ種選択
手段を備える。
【0037】さらに、上記セキュリティ種選択手段が、
上記対応情報の変更時に、上記変更後の情報に基づいた
通信の確立を直ちに確認する構成がある。
【0038】ユーザ毎にセキュリティ種を対応付けるこ
とにより、従来の利便性を損なうことなくデータ送信を
行うユーザごとにセキュリティ通信のレベルを設定でき
る。又、上記対応情報の変更時に、上記変更後の情報に
基づいた通信の確立を直ちに確認できることで、直ちに
該変更の有効性の確認、及び反映を行うことが可能であ
る。
【0039】又、通信端末にて動作するアプリケーショ
ンに入力されるインターネットアドレス情報と、セキュ
リティ種とを対応付けた対応情報を記憶する記憶手段
と、上記インターネットアドレス情報に基づいて、上記
対応情報からセキュリティ種を決定する上記セキュリテ
ィ種選択手段を備える。
【0040】さらに、上記通信端末を使用するユーザの
情報とセキュリティ種とを対応付けた構成がある。
【0041】当該手段により、ユーザになじみの深いイ
ンターネットアドレス情報をセキュリティ種と対応付け
ることにより、ネットワークに関する専門知識がなくて
も容易に各種セキュリティ通信のための接続パラメータ
を変更できる。
【0042】又、通信装置が、セキュリティ種を所定の
セキュリティ情報装置に問い合わせる問い合わせ手段
と、上記問い合わせに対応する回答に基づいて上記セキ
ュリティ種を決定する上記セキュリティ種選択手段を備
え、さらに上記セキュリティ情報装置が、通信装置の端
末特定情報と、該通信装置との通信において推奨される
セキュリティ種とを対応付けた対応情報を記憶する記憶
手段と、他の通信装置からの、上記通信装置について推
奨されるセキュリティ種の問い合わせに対し、上記推奨
されるセキュリティ種を選択する推奨セキュリティ種管
理手段と、上記選択された推奨されるセキュリティ種を
送信する送信手段を備える。
【0043】当該手段により、上記セキュリティ情報装
置にセキュリティ種を問い合わせることにより、接続先
との通信にどれ程のセキュリティ通信のレベルを設定す
れば良いかを自動で決定できる。
【0044】尚、上記セキュリティ種が、セキュリティ
プロトコルである場合や、認証アルゴリズムや暗号化ア
ルゴリズムを含む定義情報群である構成がある。
【0045】また、セキュリティ通信方法は、各通信装
置又は通信端末に上述した手段をそれぞれ備えることに
より実現する。
【0046】
【発明の実施の形態】以下、添付図面を参照して、主に
従来例との違いについて本発明の実施の形態につき説明
し、本発明の理解に供する。尚、以下の実施の形態は、
本発明を具体化した一例であって、本発明の技術的範囲
を限定する性格のものではない。
【0047】〔実施の形態1〕始めに、図1、図2
(a)、図2(b)、図4を参照しながら、実施の形態
1におけるセキュリティ通信方法、通信システム及びそ
の装置の概略について説明する。
【0048】図1は本発明に係るセキュリティ通信方法
を用いたシステムの概略を示す図である。当該図1にお
いて、コンピュータ101はLAN107で他のコンピ
ュータ105及びネットワーク接続装置102と接続さ
れており、ネットワーク接続装置102を経由して、外
部のインターネット109やイントラネット等のWAN
に接続されている。このインターネット109には他の
ネットワーク接続装置103、LAN108が接続され
ており、該LANにはコンピュータ104、106が接
続されている。ここで、上記ネットワーク接続装置10
2、103は、ルータ、ゲートウエイ、プロキシサーバ
等のファイアウォールやVPN専用装置等である。さら
に、上記コンピュータ101、105にはそれぞれユー
ザ認証装置110、111が接続されている。ここで、
コンピュータ101他はパーソナルコンピュータ、ワー
クステーション、サーバ、ノート型パソコン、IP電
話、IPテレビ電話、IP携帯電話等の通信機能を持つ
端末であればよい。以下、従来例と同様に、ネットワー
ク接続装置102、103間でIPSEC処理を行うも
のとして説明を行う。尚、IPSEC処理を行うのは前
記ネットワーク接続装置102、103に限定するもの
ではなく、送信元コンピュータ101、送信先コンピュ
ータ104間でも良く、また、コンピュータ102、ネ
ットワーク接続装置103間でも良いのは従来例と同様
である。又、図2(a)は本実施の形態1において用い
られるユーザ毎のSPDであり、図2(b)はユーザ毎
のSADの例である。上記ユーザ毎のSPD及びユーザ
毎のSAD内容の詳細は後述する。
【0049】まず、図4の上記ネットワーク接続装置1
02(103も同様の構成である)の構成の概略図を用
いて上記ネットワーク接続装置102、103の内部の
処理を説明する。
【0050】本実施の形態における上記ネットワーク接
続装置では、ユーザ毎に異なるセキュリティレベルを設
定することを可能にするため、後述するユーザの設定及
び送信先のIPアドレスの設定を行なう。このため、従
来使用されているネットワーク接続装置のような本社と
支社間等の決まったLANを接続している場合でも、例
えばユーザの追加等、設定の更新が従来より多いことが
予想される。このような更新の都度従来のような装置電
源投入や装置リセット等を行なうと通信が短時間でもス
トップすることとなり、ユーザにとっては不便である。
そこで、上記ネットワーク接続装置の内部処理を以下の
ようにすることにより、装置電源投入や装置リセット等
を行なうことなく常時運用を実現する。
【0051】即ち、図4において、ネットワーク接続装
置102、103は処理部401、一時データ記憶部4
02、データ記憶部403、システム制御部404、ネ
ットワーク制御部406、回線制御部407を備え、そ
れぞれ内部バス或いはスイッチ405にて接続されてい
る。ここで、上記処理部401、一時データ記憶部40
2、システム制御部404は後述する処理におけるセキ
ュリティ種選択手段408として機能する。
【0052】さらに、上記ユーザ毎のSPD201及び
上記ユーザ毎のSAD207はフラッシュメモリ、ハー
ドディスク、ROM等の不揮発メモリで構成されたデー
タ記憶部403に格納されている。また、上記ネットワ
ーク接続装置102の電源投入時に上記処理部401
は、上記データ記憶部403からシステム制御部404
を経由して、上記ユーザ毎のSPD201、ユーザ毎の
SAD207を読み出し、DRAM、SRAM等の揮発
メモリで構成される上記一時データ記憶部402に格納
する。以後、上記処理部401では、上記一時データ記
憶部402に格納された上記ユーザ毎のSPD201、
ユーザ毎のSAD207を用いてIPSEC処理が行な
われる。又、設定の変更に伴う上記ユーザ毎のSPD2
01、ユーザ毎のSAD207の更新はデータ記憶部4
03に格納されているユーザ毎のSPD201、ユーザ
毎のSAD207に対して行なわれる。ここまでの処理
は、上記ユーザ毎のSPD201及び、ユーザ毎のSA
D207の構造を除き、前記従来技術と同様である。
【0053】ここで、従来技術では、一時データ記憶部
に格納されたSPD、SADを参照してIPSEC処理
を進め、再度データ記憶部からSPD、SADが読みだ
されるのは装置電源投入や装置リセット等を行なった後
の装置起動時のみであった。このため、SPD、SAD
が変更された場合、その更新されたSAがIPSEC処
理に反映されるのは、同じく装置電源投入時及び装置リ
セット時等の装置起動後であった。
【0054】しかし、本実施の形態では、上記データ記
憶部403の上記SPD、SADが設定の変更等により
更新された場合には以下の処理を行なう。即ち、上記処
理部401は、上記一時データ記憶部402に格納され
ているSPD、SADを用いて通信処理を行なっている
場合は該処理中の処理が終わり次第通信を中断するとと
もに、更新されたSPD、SADをデータ記憶部403
から読み出し、上記一時データ記憶部402に格納され
た該当するSPD、SADに上書きする。ここで、上書
きするのは上記更新されたSPD、SADのみであり、
ユーザ毎のSPDのうち、更新されていないものについ
ては更新を行わない。これにより、更新に関係しないS
PD、SADを用いて通信を行っているユーザのIPS
EC通信には影響を及ぼさない。
【0055】次に、該格納されたSPD、SADを用い
て上述したIKEフェーズ2を用いてSAを再確立し、
新たに確立された該SAを用いてIPSEC処理を再開
する。
【0056】上述したSPD、SADの更新処理を行な
うことにより、セキュリティ通信のレベルを変更した場
合でも、装置を再度起動する必要がなく、直ちに更新の
有効性の確認、即ちIKEフェーズ2を用いたSAの再
確立、及び更新の反映を行うことが可能である。
【0057】尚、IPSEC通信中のSAの再確立につ
いては、通信を中断して即時再確立を行なう方法や、処
理中のIPSEC通信が終了してから再確立を行う方法
を予め選択できるとともに、処理するパケットの種類に
応じて上記再確立の方法を選択できるものとする。
【0058】次に、セキュリティ通信を始めるにあたり
予め上記ネットワーク接続装置102において、図2に
示すユーザ毎のSPD、ユーザ毎のSAD等の定義情報
群を設定する手順の詳細を説明する。
【0059】即ち、まず上記ネットワーク接続装置10
2の管理者は、当該ネットワーク接続装置102の上記
処理部401に対し、上記コンピュータ101、105
を使用するユーザ毎に、各送信先IPアドレスと、通信
する際のIPSEC処理を行なうか否かの設定を行な
い、ユーザ毎のSPD(SPD−1〜SPD−N)設定
を行う。尚、ユーザを識別する方法については後述す
る。ここで、上記各送信先IPアドレスが、例えば上記
コンピュータ104、106のIPアドレスを指すこと
は、従来例の場合と同様である。又、該設定は上記コン
ピュータ101、105等の例えばWEBブラウザ等よ
り行うか又は、直接ネットワーク接続装置102にて行
うことができる。又、上記各送信先IPアドレスは従来
技術と同様範囲指定が可能である。
【0060】次に、IPSEC処理を行なう場合には該
IPSEC処理に使用するSAの内容である認証アルゴ
リズムや認証パラメータ、暗号化アルゴリズムや暗号化
パラメータ等を含むユーザ毎の一連の定義情報群SAD
(SAD−1〜SAD−N)の設定も行なう。上記設定
により、図2(a)に示すユーザ毎のSPD201が上
記ネットワーク接続装置102のデータ記憶部403に
複数登録され、さらに、上記SAの内容である認証アル
ゴリズムや認証パラメータ、暗号化アルゴリズムや暗号
化パラメータ等を含む一連の定義情報群がユーザ毎のS
AD207として登録される。上記登録されたSAD2
07が含むSAは後述するIKEフェーズ2にてネット
ワーク接続装置103に提案される。
【0061】ここで、図2(a)に示すユーザ毎のSP
D201は、前記従来技術におけるSPD1701と同
様、送信先アドレス202、IPSEC処理の有無20
3、SAの位置を示すアドレスポインタ204、送信先
IPアドレス202にデータを送信する場合に、IPS
ECパケットを送信すべき先の通信端末のIPアドレス
206を含むが、さらにユーザ名205によって区別さ
れている点で従来技術と異なる。尚、図2(a)にはユ
ーザ毎にSPDを設ける例を示したが、1つのSPD内
に個々のユーザを識別する項目を設けることによりユー
ザ毎のSAを指定してもよい。
【0062】同様に、図2(b)に示すユーザ毎のSA
D207は、図18に示す従来技術におけるSAD18
01と同様の構成を有し、1つのSADに複数のSAを
含む。例えば、SAD−1にはSA−11からSA−1
M(211)を含み、同様に、SAD−NにはSA−N
1からSA−NMを含む。また、アドレス情報209、
インデックス情報であるSPI210、セキュリティパ
ラメータであるSAP212を有する。上記アドレス情
報209には送信先IPアドレス、送信先ポート番号、
送信元IPアドレス、送信元ポート番号、プロトコル番
号等が含まれる点も、従来技術と同様である。但し、ユ
ーザ名208によって区別されている点で従来技術と異
なる。尚、図2(b)にはユーザ毎にSADを設ける例
を示したが、1つのSAD内に個々のユーザを識別する
項目を設けることによりユーザ毎のSAを管理してもよ
い。
【0063】上記設定が終了すると、上記ネットワーク
接続装置102は、後述するユーザ情報を元に、上記設
定の有効性を確認するために、前記従来技術と同様IK
Eフェーズ1及びフェーズ2を用いて、上記ネットワー
ク接続装置103と通信を行ない、上記設定された内容
に基づいてIPSEC通信が可能であるかを確認すると
ともに、通信が可能であればSAを確立する。尚、前記
SAの確立は、上記設定の終了時に必ずしも行う必要は
なく、例えばコンピュータ101とコンピュータ104
が上記ネットワーク接続装置102及びネットワーク接
続装置103を介して通信を開始する場合に行ってもよ
い。
【0064】また、上記ネットワーク接続装置103に
対しても、上記ネットワーク接続装置102に対して行
なった場合と同様、上記コンピュータ104、106に
ユーザ認証装置を接続する等して、当該コンピュータ1
04、106を使用するユーザ毎に、各送信先IPアド
レスに関する設定を行ってもよい。
【0065】続いて、上記コンピュータ101を使用す
るユーザの識別方法について説明する。
【0066】上記コンピュータ101を使用するユーザ
は、該コンピュータ101の使用時に上記ユーザを特定
することができる固有番号を記憶しているICカードを
上記ユーザ認証装置110に通して入力する。次に、該
ユーザ認証装置110より上記固有番号に対応するパス
ワードを入力する。上記ユーザ認証装置110にて入力
されたICカードの固有番号と上記パスワードが、あら
かじめ設定されているものと一致すれば上記ユーザは認
証され、上記コンピュータ101を使用可能となる。ま
た上記ユーザの認証により得られたユーザ名が上記コン
ピュータ101に記憶される。
【0067】尚、上記ユーザの認証はICカードである
必要は無く、例えば磁気カード、ワンタイムパスワー
ド、指紋、掌形、掌皺、筆跡、虹彩、顔面形状、声紋、
DNA等で個人を識別する装置でもよく、さらには、上
記ユーザ認証装置を設けず、上記コンピュータ101へ
のユーザ名とパスワードの入力によって上記認証を行っ
てもよい。さらに、上記あらかじめ設定された固有番号
及びパスワードの記憶場所は、上記コンピュータ101
である必要は無く、例えば固有番号及びパスワードを一
元管理するコンピュータを別途設け、ユーザの認証時に
上記コンピュータ101から上記一元管理するコンピュ
ータに問い合わせを行ってもよい。
【0068】次に、図1、図2、図3を用いて、上記コ
ンピュータ101がインターネット109を介して接続
される上記コンピュータ104と通信を行なう場合の処
理の詳細を説明する。以下の処理は、上述した図4にお
けるセキュリティ種選択手段408にて実行される。
【0069】尚、上記IPSEC通信に使用されるSA
が確立された後、送信側のコンピュータ101から上記
コンピュータ104に送信されるデータは、上記コンピ
ュータ101にてIPヘッダを付加され、IPパケット
としてLAN107を介してネットワーク接続装置10
2に送られる点は前記従来技術と同様である。但し、本
実施の形態においては、加えて上記ユーザ認証にて得ら
れたユーザ名を上記IPヘッダのオプション部に挿入す
る処理が行なわれている。上記オプション部は、上記I
Pヘッダ中でユーザ(設計者)が任意に使用できるデー
タエリアである。
【0070】ネットワーク接続装置102では、送信側
のコンピュータ101より送信されたIPパケットを受
信すると、まず、該IPパケットに含まれるユーザ名及
び送信先IPアドレスを読み出す(図3:S301)。
つづいて複数のユーザ毎のSPD201より上記ユーザ
名に対応するSPDを選択し、さらに該ユーザ名に対応
するSPDから、上記送信先IPアドレスをもとに送信
先IPアドレス202を検索する(図3:S302)。
また、対応するIPSEC処理203の有無を確認す
る。
【0071】ここで、上記IPSEC処理203が”
無”、即ちIPSEC処理を行なわない設定の場合、後
述するIPSEC処理は行なわずに上記受信したIPパ
ケットをそのまま上記ネットワーク接続装置103に送
信する(図3:S303のNo)。
【0072】上記IPSEC処理203が”有”、即ち
IPSEC処理を行う設定である場合、さらに、対応す
る上記IPSECパケットを送信すべき先の通信端末の
IPアドレス206及びSAの位置を示すアドレスポイ
ンタ204を読み出すと共に、該アドレスポインタ20
4に基づいて該当するSAを読み出す(図3:S30
4)。尚、当該SAは、上記IKEフェーズ2で確立さ
れたSAである点は、従来技術と同様である。
【0073】次に、上記ネットワーク接続装置102
は、上記SAの内容に従い、所定の認証アルゴリズム及
び暗号化アルゴリズムを用いて上記IPパケットから認
証/暗号化データを作成する(図3:S305)。さら
に、上記ネットワーク接続装置102は、上記認証/暗
号化データに、認証ヘッダであるAHまたは認証/暗号
化ヘッダであるESPを追加し、次いで、送信先アドレ
スを上記IPSECパケットを送信すべき先の通信端末
のIPアドレス206としてインターネット109を介
して上記ネットワーク接続装置103に送信する(図
3:S306)。
【0074】以降、上記ネットワーク接続装置103
が、受信したIPパケットがIPSECパケットである
かを判別し、元のIPパケットを生成するまでの処理は
前記従来技術と同様である。
【0075】以上のように、予めユーザ毎にSPDを設
け、さらに、各通信端末におけるユーザ認証の情報を用
いてセキュリティ通信の内容を示すSAを決定するた
め、従来の利便性を損なうことなくユーザに応じて最適
なセキュリティ通信のレベルを設定することが可能とな
る。
【0076】尚、上述した実施の形態1では、ネットワ
ーク接続装置にIPSEC機能を搭載しているが、当
然、コンピュータ101や104等にIPSEC機能を
搭載しセキュリティ通信を行っても問題ない。
【0077】尚、SAが確立した状態で、ユーザ名に対
応するSPDを検索した場合で、該当するSPDが無い
場合、及び、SPDに該当IPアドレスが無い場合(図
示せず)、ユーザにその旨を表示し、セキュリティ処理
を施さずIPパケットを送出しても良いし、また、送信
を行わないといったことも可能である。また、ユーザに
送信するかどうか問い合わせるといった対応を行っても
よい。尚、SPDでIPSEC処理を行わない設定にな
っていた場合は、そのままIPSEC処理を行わず送信
先IPアドレスにIPパケットを送出する。
【0078】さらに、本実施の形態では、セキュリティ
通信のプロトコルをIPSECに限定しているが、ネッ
トワーク接続装置が複数のセキュリティ通信のプロトコ
ルを搭載している場合には、上記ユーザ情報と上記セキ
ュリティ通信のプロトコルを対応付けることにより、ユ
ーザによってセキュリティ通信のプロトコルを使い分け
ることが可能になる。上記セキュリティ通信のプロトコ
ルを使い分けることにより、更に多種多様なセキュリテ
ィ通信を行なうことが出来る。
【0079】さらに、本実施の形態ではIPSECを用
いて各ユーザに対応するSPDを指定しているが、IP
SEC以外のプロトコルを用いる場合についても同様で
あり、ユーザ認証情報から対応するSPDもしくはSP
Dに相当するデータベースを参照して、SAもしくはS
Aに相当する情報を指定することにより、認証アルゴリ
ズム、暗号化アルゴリズム等の一連の定義情報群を指定
することが出来る。当然、用いるプロトコルの種類によ
ってはSPDを参照せずに直接SAを指定してもよい。
【0080】また、ユーザ数が多数の場合等にはユーザ
毎にSPDを作成せず、各ユーザが所属するグループを
作成し、該グループごとにセキュリティ通信のレベルを
変更してもよい。この場合には、ユーザ認証時にグルー
プ情報も併せて管理し、該グループ情報を以て上記SP
Dを参照する。
【0081】尚、本実施の形態では、ユーザ認証にて得
られたユーザ名をIPヘッダのオプション部に挿入する
ことにより、各IPパケットとユーザ名を対応付けてい
るが、例えばユーザ認証時に該認証内容を各コンピュー
タがネットワーク接続装置に通知し、該ネットワーク接
続装置にて各ユーザ名とコンピュータをそれぞれ対応づ
けるデータベースを持つことにより各IPパケットとユ
ーザ名の対応付けを行ってもよい。
【0082】〔実施の形態2〕次に、図5、図6を参照
しながら、実施の形態2におけるアプリケーション層の
アドレス情報をSAに対応づける方法について説明す
る。ここでアプリケーション層とは、OSI参照モデル
の第7層を指し、主に通信処理が関係するアプリケーシ
ョンを意味する。ここで、アプリケーション層のインタ
ーネットアドレス情報はホスト名、あるいはホスト名と
接続プロトコルを組み合わせたURL(Uniform Resour
ce Locator) 表記を含むものとする。また、後述するネ
ットワーク接続装置は上記実施の形態1で示した場合と
同様、セキュリティ通信のレベルを変更した場合等で
も、装置を再度起動しなおすことなく変更を反映できる
ものである。
【0083】図5に示すインターネットアドレスを用い
たSPD501は、インターネットアドレス502、送
信先IPアドレス503、IPSEC処理の有無50
4、SAの位置を示すアドレスポインタ505、送信先
IPアドレス503にデータを送信する場合に、IPS
ECパケットを送信すべき先の通信端末のIPアドレス
506を備える。上記インターネットアドレス502を
備える点を除いては従来技術におけるSPD1701と
同様である。また、上記アドレスポインタ505の示す
SAが含まれるSADの構成も、従来技術のSAD18
01と同様である。さらに、上記インターネットアドレ
ス502は具体的には例えば"http://abc.def.com"とい
ったURLや”abc@def.com"といった電子メールアドレ
ス、同様に電子メールの送受信に使用されるPOPサー
バ(Post Office Protocol サーバ) 、SMTPサーバ
(Simple Mail Transfar Protocol サーバ) 等のアドレ
スが格納される。
【0084】まず始めに図6を用いて本実施の形態2に
おける、アプリケーション層のアドレス情報をSAに対
応づける具体的な操作の例を説明する。図6はIPSE
C機能を搭載したネットワーク接続装置の設定を行うコ
ンピュータ等の通信端末装置の概略図である。
【0085】図6において、通信端末装置本体608
は、制御手段609、ディスプレイ601、ネットワー
ク接続装置管理手段610、入力手段611、指示入力
手段612を備える。また、後述する各ソフトウェアは
上記制御手段609又は該上記制御手段609を構成す
る上記ネットワーク接続装置管理手段にて実行される。
また、上記通信端末装置本体608を使用するユーザに
対する情報の表示等は、必要に応じて上記各ソフトウェ
アの表示機能により上記ディスプレイ601に表示され
る。
【0086】まず、上記通信端末装置本体608の上記
制御手段609にて、アプリケーション層のアドレス情
報となるURL603を表示するアプリケーションソフ
トウェアであるWEB閲覧ソフトウェア602等を実行
する。
【0087】さらに、上記ネットワーク接続装置管理手
段610にて、ネットワーク接続装置管理ソフトウェア
605を実行する。該ネットワーク接続装置管理ソフト
ウェア605は、パラメータ設定用ウインドウ606及
び設定ボタン607を表示する機能を有し、上記パラメ
ータ設定用ウインドウ606には上記ネットワーク接続
装置がサポートする複数のSAが表示されている。尚、
上記複数のSAは、認証アルゴリズム、暗号化アルゴリ
ズム等が異なり、この違いによりセキュリティ通信のレ
ベルが異なるものである。又、上記ディスプレイ601
は上記ネットワーク接続装置に直接接続され、該ネット
ワーク接続装置が上記制御手段609及びネットワーク
接続装置管理手段610の機能を提供してもよいが、ネ
ットワーク接続装置とネットワークを介して接続されて
いるコンピュータ(例えばコンピュータ101)にて上
記制御手段609及びネットワーク接続装置管理手段6
10の機能を提供してもよい。この場合には、上記操作
は上記コンピュータによって行われ、通信によって上記
操作の変更が上記ネットワーク接続装置に反映される。
【0088】上記ネットワーク接続装置の設定を行うユ
ーザは、上記通信端末装置本体608にて、ディスプレ
イ601に表示されているアドレス情報である上記UR
L603等を指示入力手段612を用いてドラッグし、
上記パラメータ設定用ウインドウ606に表示されてい
る複数のSAの内の希望する任意の一つにドロップす
る。上記指示入力手段612とは、例えばコンピュータ
にて一般的に使用されるマウス、トラックボール、ジョ
イスティック、タッチペン、指等のポインタ指示手段で
あり、該指示入力手段612が指し示すディスプレイ6
01上の位置がポインタ604として表示される。この
操作により上記アプリケーション層のアドレス情報をS
Aに対応づけることができる。続いて上記設定ボタン6
07をクリックすることにより、上記ネットワーク接続
装置にて後述する設定処理が行われる。尚、設定ボタン
607をクリックした場合、IPSEC通信の途中であ
っても、当該通信を中断して、直ちに当該設定更新処理
を行うか、当該通信が終了してから直ちに当該設定更新
処理を行うかは設定等で選択できるものとする。また、
通信を行う場合に初めて当該設定変更があった通信先と
セキュリティ通信のための接続を行うか、直ちに前記接
続を行うかについても設定等で選択が可能であるものと
する。
【0089】次に、図4、図5、図7を用いて、上記ユ
ーザによる操作が終了した後の上記ネットワーク接続装
置にて行われる設定処理を説明する。まず、ネットワー
ク接続装置の設定を行うユーザが上述したように上記ア
プリケーション層のアドレス情報をSAに対応づけた
後、上記ネットワーク接続装置の処理部401はデータ
記憶部403に格納されるSPD501のインターネッ
トアドレス502にアプリケーション層のアドレス情報
を格納する(図7:S701〜S702)。
【0090】次に上記処理部401はDNSサーバ(Do
main Name System サーバ) を用いて上記アドレス情報
をIPアドレスに変換する(図7:S703)。ここ
に、DNSサーバとは、インターネット接続環境があれ
ば一般的に使用できるサービスで、上記アドレス情報で
ある例えば"abc.def.com" といった文字列を用いて問い
合わせることにより、上記"abc.def.com" に対応するI
Pアドレスを回答するサーバである。次に、上記処理部
401は、上記変換したIPアドレスを上記SPD50
1の送信先IPアドレス503に格納し、さらに上記デ
ータ記憶部403に格納されるSAD1801を構成す
るアドレス情報1804に必要な、送信先IPアドレ
ス、送信先ポート番号、送信元IPアドレス、送信元ポ
ート番号、プロトコル番号等をそれぞれ上記SADに格
納する(図7:S704)。ここで、上記送信先、送信
元ポート番号及びプロトコル番号は、例えば上記アドレ
ス情報の一部である”http”により判断される。
【0091】上記SPD501及びSAD1801に必
要な情報がそろった後、上記ネットワーク接続装置のセ
キュリティ選択手段408は、上記設定による接続の確
認を行うかをユーザに問い合わせる(図7:S70
5)。尚、ユーザへの問い合わせは、別途設定で自動的
に行うかどうかを設定してもよく、また、接続の確認を
行う設定アイコン又はボタンを設けて、その設定アイコ
ンまたはボタンが押されたら接続の確認を行うようにし
てもよい。
【0092】接続の確認を行う場合は、上記送信先IP
アドレスに対して従来技術同様IKEフェーズ1、フェ
ーズ2及び、新たに設定された上記SPD501及びS
AD1801の情報を用いて接続確認を行い、該結果を
ユーザに通知する(図7:S705のYes→S70
7)。以上の処理により、アプリケーション層のアドレ
ス情報のSAへの対応付けが完了する。設定後は、上記
新たに設定されたSPD501及びSAD1801を用
いてセキュリティ通信が行われる。
【0093】尚、上記接続確認は、特にユーザに問い合
わせる必要はなく、自動で確認を行うようにしてもよ
い。又、後述するセキュリティ情報装置を導入すること
で上記IPSEC機能を搭載した通信端末のIPアドレ
スの入力を自動で行うことも可能となる。
【0094】このように、普段よく使用するアプリケー
ションで指定するアドレス情報を用いてSAの設定を行
うことにより、専門知識のないユーザでもSAの指定を
容易に行うことが出来る。
【0095】さらに、上記パラメータ設定用ウインドウ
606のSAの表示を、例えば”セキュリティ高”、”
セキュリティ中”、”セキュリテイ低”、”セキュリテ
ィ無し”といった表示にすることにより、ユーザによる
アドレス情報のSAへの対応付けをより分かりやすくす
ることが出来る。
【0096】尚、本実施の形態2ではIPSECを用い
た場合のアドレス情報のSAへの対応付け例を示してい
るが、IPSEC以外のプロトコルを用いる場合につい
ても同様である。
【0097】当然、上記実施の形態1にて実施されるユ
ーザ毎のセキュリティ通信と同時に実施しても何ら問題
ない。この場合のSPDの例を図8のSPD801に示
す。
【0098】〔実施の形態3〕次に、図9、図10、図
11、図12、図13を参照しながら、実施の形態3に
おけるセキュリティ情報装置の機能について説明する。
図9に示す各種機器等101〜111は図1に示したも
のと同様であるが、さらにネットワーク接続装置902
を介してセキュリティ情報装置901がインターネット
109に接続されている。ここで、上記ネットワーク接
続装置902は特にIPSEC機能を搭載している必要
はなく、上記セキュリティ情報装置901に対する外部
からの不正なアクセスを防ぐものであればよい。
【0099】上記セキュリティ情報装置901は、図1
3(a)に示される構成を有する。即ち、推奨SA管理
手段1301、記憶手段1302を具備し、上記推奨S
A管理手段1301は、送受信手段1304を介して上
記ネットワーク接続装置902と接続されている。ま
た、図11に示す推奨するSAを検索するための第1の
データベース1101及び、図12に示す推奨するSA
を検索するための第2のデータベース1201が、上記
記憶手段1302に格納されており、必要に応じて上記
推奨SA管理手段が読み出し可能である。
【0100】また、ネットワーク接続装置102、10
3は、図13(b)に示すように送受信手段1308、
記憶手段1309、制御手段1305を備え、該制御手
段1305はさらに問い合わせ手段1306及び問い合
わせ回答手段1307を備える。
【0101】次に、コンピュータ104は、図13
(c)に示すように送受信手段1312問い合わせ回答
手段1311を備える。尚、各手段の機能は適宜説明す
る。
【0102】上記第1のデータベースは、送信先IPア
ドレス1102、IPSECパケットを送信すべき先の
通信端末のIPアドレス1103、IPSEC処理の有
無1104、SAの位置を表すアドレスポインタ110
5より構成される。ここで、上記送信先IPアドレス1
102及びIPSECパケットを送信すべき先の通信端
末のIPアドレス1103は、IPアドレスの範囲を登
録することも可能である。また、上記IPSECパケッ
トを送信すべき先の通信端末のIPアドレス1103
は、IPアドレス1102に対してIPSEC処理を行
う、IPSEC機能を搭載した通信端末のIPアドレス
である。
【0103】更に図12は、推奨するSAを格納する第
2のデータベース1201であり、複数の推奨SAが格
納されている。該推奨SAとは、送信先であるIPSE
C機能を搭載した通信端末が推奨するSAや、第3者機
関が規定したSAであり、送信先の提供するサービスに
よってセキュリティ通信のレベルが異なる。尚、図10
は、理解に供するため、図9から説明に不必要な機器を
省略したものである。本実施の形態3では、まず、図9
において、ネットワーク接続装置102が、IPSEC
通信を行おうとするネットワーク接続装置103との間
でSAの確立を行う前に、セキュリティ情報装置901
に上記IPSEC通信にふさわしい推奨SAを問い合わ
せる。上記ネットワーク接続装置102とネットワーク
接続装置103との間でSAの確立を行うのは、例えば
上記ネットワーク接続装置102及びネットワーク接続
装置103の初期設定時や、コンピュータ101とコン
ピュータ104が上記ネットワーク接続装置102及び
ネットワーク接続装置103を介して通信を開始する場
合等である。尚、推奨SAでSAの確立を図ったにもか
かわらず、希望する推奨SAでSAが確立できない場
合、送信を中止する、あるいはユーザに問い合わせる、
そのまま推奨SA以外のSAでSA確立を行い、IPS
EC通信を行う等の方法が考えられる。
【0104】ここでコンピュータ101とコンピュータ
104が上記ネットワーク接続装置102及びネットワ
ーク接続装置103を介して通信を開始する場合の上記
推奨SAの問い合わせを想定すると以下のようになる。
【0105】即ち、ネットワーク接続装置102が上記
コンピュータ101より上記コンピュータ104に送信
するIPパケットを上記送受信手段1308を介して受
信すると、上記制御手段1305は上記ネットワーク接
続装置102の上記記憶手段1309に格納されるSP
Dを読み出す。
【0106】ここで該SPDに上記コンピュータ104
の情報がない場合、上記ネットワーク接続装置102
は、上記問い合わせ手段1306により、セキュリティ
情報装置901に上記IPSEC通信にふさわしい推奨
SAを問い合わせる(図10S1001)。尚、上記セ
キュリティ情報装置901のアドレスは予め上記ネット
ワーク接続装置102の記憶手段1309に格納されて
いるものとする。
【0107】上記推奨SAの問い合わせにあたり、上記
ネットワーク接続装置102は、送信先のコンピュータ
104のIPアドレスを上記セキュリティ情報装置90
1に送信する。上記送受信手段1304を介して上記コ
ンピュータ104のIPアドレスを受信した上記セキュ
リティ情報装置901の推奨SA管理手段1301は、
上記コンピュータ104のIPアドレスを基に、上記記
憶手段1302に格納されている上記第1のデータベー
ス1101の送信先IPアドレス1102を検索し、対
応する上記IPSECパケットを送信すべき先の通信端
末のIPアドレス1103、IPSEC処理の有無11
04及び、SAの位置を表すアドレスポインタ1105
を得る。
【0108】さらに、上記推奨SA管理手段1301
は、上記アドレスポインタ1105を用いて上記記憶手
段1302に格納されている第2のデータベース120
1より推奨SAを得、該推奨するSAを、上記送受信手
段1304を介してIPSECパケットを送信すべき先
の通信端末のIPアドレス1103、IPSEC処理の
有無1104と共に上記ネットワーク接続装置102に
返送する(図10S1002)。
【0109】ここで、上記IPSECパケットを送信す
べき先の通信端末のIPアドレス1103には、予め登
録された上記ネットワーク接続装置103のIPアドレ
スが記憶されている。尚、返送する推奨SAの数は複数
であっても構わない。
【0110】次に、上記推奨SA、上記IPSECパケ
ットを送信すべき先の通信端末のIPアドレス1103
及びIPSEC処理の有無1104を受信したネットワ
ーク接続装置102の上記制御手段1305は、上記受
信したIPSECパケットを送信すべき先の通信端末の
IPアドレス1103に基づいてネットワーク接続装置
103との間で、従来技術で説明したSAの確立を行
い、IKEフェーズ2におけるSAの候補として、推奨
SAを提案する(図10S1003)。
【0111】ネットワーク接続装置103は受け取った
推奨SAでのIPSEC通信が可能な場合は、ネットワ
ーク接続装置102に該推奨SAを返送し、SAの確立
が行われる(図10S1004)。
【0112】従って、上記ネットワーク接続装置102
がセキュリティ情報装置901に推奨SAを問い合わせ
ることによって、相手先と安全に通信が可能なSAを知
ることができ、該推奨SAによるIPSEC通信が可能
となる。
【0113】ここで、上記ネットワーク通信装置102
が上記IPSEC通信にふさわしい推奨SAの問い合わ
せを行った場合で、上記セキュリティ情報装置901の
上記第1のデータベース中に該当IPアドレスの登録が
ない場合が考えられる(図10S1001)。
【0114】このような場合、上記セキュリティ情報装
置901の上記推奨SA管理手段1301は、該当する
コンピュータ104に、セキュリティ通信に必要なSA
の候補を問い合わせる(図10S1005)。
【0115】問い合わせを受けた上記コンピュータ10
4は、問い合わせ回答手段1311により、該コンピュ
ータ104に予め登録されている、IPSEC機能を搭
載したネットワーク接続装置103のIPアドレスを上
記セキュリティ情報装置901に返送する(図10S1
006)。
【0116】上記IPSEC機能を搭載したネットワー
ク接続装置103のIPアドレスを受信した上記セキュ
リティ情報装置901の推奨SA管理手段1301は、
上記ネットワーク接続装置103に対しSAの候補を問
い合わせる(図10S1007)。問い合わせを受けた
上記ネットワーク接続装置103の制御手段1305
は、該ネットワーク接続装置103の記憶手段1309
に格納されているSAの候補を、問い合わせ回答手段1
307により上記認証サーバ901に送信する(図10
S1008)。
【0117】上記SAの候補を受信したセキュリティ情
報装置901の推奨SA管理手段1301は、上記第2
のデータベース1201に上記候補のSAを登録すると
ともに、上記第1のデータベース1101に上記ネット
ワーク通信装置102より問い合わせに使用されたIP
アドレスと上記候補のSAの位置を表すアドレスポイン
タ1105、IPSECパケットを送信すべき先の通信
端末のIPアドレス1103、IPSEC処理の有無1
104を登録する。さらに、上記推奨するSAを、上記
送受信手段1304を介してIPSECパケットを送信
すべき先の通信端末のIPアドレス1103、IPSE
C処理の有無1104と共に上記ネットワーク接続装置
102に返送する(図10S1002)。
【0118】但し、問い合わせを受けた上記コンピュー
タ104に上記ネットワーク接続装置103のIPアド
レスが登録されていない場合、やIPSEC機能を搭載
した通信端末等が無い場合、或いは上記問い合わせ回答
手段1311を備えない場合、その旨を上記セキュリテ
ィ情報装置901に返答するか若しくは返答を行わな
い。該返答を受けた若しくは返答を受けることが出来な
かった上記セキュリティ情報装置901は、上記旨を上
記ネットワーク接続装置102に通知すると共に、上記
第1のデータベース1101の送信先IPアドレス11
02に上記コンピュータ104のIPアドレスを登録
し、さらにIPSEC処理の有無1104を”無し”と
する。このような場合には、上記ネットワーク接続装置
102の制御手段1305は、上記コンピュータ101
のユーザにセキュリティ通信を行えない旨を通知し、又
は通信を行わないといった対応を行ってもよい。
【0119】尚、前記従来技術で述べたように、IKE
フェーズ2では、双方通信の場合は独立した2つのSA
が設定される。よって、ネットワーク接続装置102の
要請によりIKEフェーズ2によるSAの確立を行う際
に、上記ネットワーク接続装置103の制御手段130
5は、上記セキュリティ情報装置901に対して上記ネ
ットワーク接続装置102の推奨SAの問い合わせを行
ってもよい(図10S1009)。
【0120】上記セキュリティ情報装置901の上記第
1のデータベース1101に上記ネットワーク接続装置
102の推奨SAが登録されていない場合、上記セキュ
リティ情報装置901の推奨SA管理手段1301が、
上記ネットワーク接続装置102にSAの候補を問い合
わせるといった処理が行われる(図10S1010〜S
1011)。つづいて、上記問い合わせに対応する回答
が上記ネットワーク接続装置103に通知される(図1
0S1012)。この手順は上記処理S1001〜S1
002、S1007〜S1008と同様であるため詳細
は省略する。
【0121】この様に、セキュリティ情報装置を設ける
ことにより、ユーザが通信先のセキュリティ通信のレベ
ルを考える必要がなく、適切なSAを設定可能となる。
さらに、例えば上記セキュリティ情報装置を第3者機関
が管理することにより、通信先アドレスによって、通信
先が提供するサービス内容によってセキュリティ通信の
レベルを最適にすることが可能となる。また、セキュリ
ティ情報装置が、自動的に該当する通信端末にSAの候
補を問い合わせて、該問い合わせの内容を収集すること
により推奨SAを一元管理することが可能となり、各I
PSEC機能を搭載した通信端末は、上記セキュリティ
情報装置に問い合わせを行うのみで推奨SAの候補を得
ることが可能となる。この様なシステムは、例えば複数
の会社をIPSEC機能を搭載したルータ等で接続する
場合等、IPSEC通信を適用する規模が大きい場合に
は特に通信端末に対する設定が簡単に行え、管理者及び
ユーザの負担軽減等に有効である。
【0122】尚、上記セキュリティ情報装置が格納する
データベースを2つに分けているが、特に分ける必要は
なく、上記機能が実現できれば1つのデータベースにし
てもよい。さらに、上述した項目に限らず、その他SA
に必要な情報を格納することができる。
【0123】更にセキュリティ情報装置がRADIUS
(Remote Authentication Dial-InUser Service)サー
バを兼ねてもよく、IKEで交換される鍵情報の管理
や、SAと対応するSPI情報の管理を同時に行い、こ
れら情報を提供してもよい。
【0124】また、各コンピュータがIPSEC機能を
搭載する場合も上記ネットワーク接続装置と同様、セキ
ュリティ情報装置に問い合わせを行うことができる。
【0125】又、上記送信先IPアドレスやIPSEC
パケットを送信すべき先の通信端末のIPアドレスは、
IPアドレスを用いているが、特にIPアドレスに限定
するものではなく、送信先通信端末(コンピュータ)を
特定する端末特定情報であれば良く、例えばコンピュー
タ名やMACアドレス(Media Access Control Addres
s)、電話番号等でもよい。
【0126】さらに、実施の形態3は、上記実施の形態
1と組み合わせて使用することが可能であり、この場合
には上記制御手段1305及び記憶手段1309がセキ
ュリティ種選択手段408となり、送受信制御部130
8が、ネットワーク制御部406及び回線制御部407
となる。
【図面の簡単な説明】
【図1】本発明に係るセキュリティ通信方法を用いたシ
ステムの概略を示す図。
【図2】実施の形態1におけるユーザ毎のSPD及びユ
ーザ毎のSADの例。
【図3】実施の形態1におけるネットワーク処理装置の
IPSEC処理のフローチャート。
【図4】実施の形態1におけるネットワーク接続装置の
構成の概略図。
【図5】実施の形態2におけるインターネットアドレス
を用いたSPDの例。
【図6】実施の形態2におけるIPSEC機能を搭載し
たネットワーク接続装置の設定を行うコンピュータ等の
通信端末装置の概略図。
【図7】実施の形態2におけるネットワーク接続装置の
設定確認処理のフローチャート。
【図8】実施の形態2におけるユーザ毎のインターネッ
トアドレスを用いたSPDの例。
【図9】実施の形態3におけるセキュリティ情報装置を
用いたシステムの概略を示す図。
【図10】セキュリティ情報装置を用いたシステムの処
理を説明するための簡易図。
【図11】セキュリティ情報装置における第1のデータ
ベースの例。
【図12】セキュリティ情報装置における第2のデータ
ベースの例。
【図13】実施の形態3における各装置の概略を示すロ
ック図。
【図14】IPSEC機能を搭載したルータを使用して
VPNネットワークを構成したネットワークシステムの
概略図。
【図15】IPSEC機能を搭載したネットワーク接続
装置間でのセキュリティ通信の接続手順を表した図。
【図16】AHフォーマット、ESPヘッダフォーマッ
トの詳細図。
【図17】従来技術におけるIPSECの処理方針を決
めるデータベースであるSPD(Security Policy Data
base)の例。
【図18】従来技術におけるSAデータベースであるS
AD(Security Association Database)の例。
【図19】従来技術における送信側ネットワーク接続装
置のIPSEC処理のフローチャート。
【図20】従来技術における受信側ネットワーク接続装
置のIPSEC処理のフローチャート。
【図21】従来技術におけるネットワーク接続装置の構
成の概略。
【符号の説明】
101、104、105、106 コンピュータ 102、103 ネットワーク接続
装置 109 インターネット 110、111 ユーザ認証装置
───────────────────────────────────────────────────── フロントページの続き (72)発明者 山内 弘貴 大阪府門真市大字門真1006番地 松下電器 産業株式会社内 (72)発明者 太田 雄策 大阪府門真市大字門真1006番地 松下電器 産業株式会社内 Fターム(参考) 5B085 AE04 AE29 5J104 AA07 AA37 DA03 KA01 PA07

Claims (40)

    【特許請求の範囲】
  1. 【請求項1】 送信元通信端末からネットワークを介し
    て接続される送信先通信端末へ送信される通信のセキュ
    リティを確保するセキュリティ通信装置において、 上記送信元通信端末を使用するユーザの情報とセキュリ
    ティ種を対応付けた対応情報を記憶する記憶手段と、 上記ユーザの情報に基づいて、上記対応情報からセキュ
    リティ種を決定するセキュリティ種選択手段を備えるこ
    とを特徴とするセキュリティ通信装置。
  2. 【請求項2】 上記セキュリティ種選択手段が、さらに
    上記対応情報の変更時に、上記変更後の情報に基づいた
    通信の確立を直ちに確認する請求項1に記載のセキュリ
    ティ通信装置。
  3. 【請求項3】 上記セキュリティ種選択手段が決定する
    セキュリティ種が、セキュリティプロトコルの種類であ
    る請求項1又は2に記載のセキュリティ通信装置。
  4. 【請求項4】 上記セキュリティプロトコルが、IPS
    ECである請求項3に記載のセキュリティ通信装置。
  5. 【請求項5】 上記セキュリティ種選択手段が決定する
    セキュリティ種が、セキュリティ通信時に使用する定義
    情報群である請求項1又は2に記載のセキュリティ通信
    装置。
  6. 【請求項6】 上記定義情報群が、セキュリティポリシ
    ーである請求項5に記載のセキュリティ通信装置。
  7. 【請求項7】 上記定義情報群が、認証アルゴリズム又
    は暗号化アルゴリズムの少なくとも1つを含む請求項5
    に記載のセキュリティ通信装置。
  8. 【請求項8】 送信元通信端末からネットワークを介し
    て接続される送信先通信端末へ送信される通信のセキュ
    リティを確保するセキュリティ通信システムにおいて、 上記送信元通信端末を使用するユーザの認証を行うユー
    ザ認証手段と、 上記ユーザとセキュリティ種を対応付けた対応情報を記
    憶する記憶手段と、 上記ユーザ認証手段により認証されたユーザの情報に基
    づいて、上記対応情報からセキュリティ種を決定するセ
    キュリティ種選択手段を備えることを特徴とするセキュ
    リティ通信システム。
  9. 【請求項9】 上記セキュリティ種選択手段が、さらに
    上記対応情報の変更時に、上記変更後の情報に基づいた
    通信の確立を直ちに確認する請求項8に記載のセキュリ
    ティ通信システム。
  10. 【請求項10】 ネットワークを介して接続される通信
    端末間の、通信のセキュリティを確保するセキュリティ
    通信方法において、 上記通信端末を使用するユーザの情報に基づいてセキュ
    リティ種を決定することを特徴とするセキュリティ通信
    方法。
  11. 【請求項11】 送信元通信端末からネットワークを介
    して接続される送信先通信端末へ送信される通信のセキ
    ュリティを確保するセキュリティ通信装置において、 上記送信元通信端末にて動作するアプリケーションに入
    力されるインターネットアドレス情報と、セキュリティ
    種とを対応付けた対応情報を記憶する記憶手段と、 上記インターネットアドレス情報に基づいて、上記対応
    情報からセキュリティ種を決定するセキュリティ種選択
    手段を備えることを特徴とするセキュリティ通信装置。
  12. 【請求項12】 上記対応情報が、さらに上記送信元通
    信端末を使用するユーザの情報とセキュリティ種とが対
    応付けられているとともに、 上記ユーザの情報にも基づいて上記セキュリティ種を決
    定する請求項11に記載のセキュリティ通信装置。
  13. 【請求項13】 上記セキュリティ種の決定を、視覚化
    された上記セキュリティ種の一覧に対して同様に視覚化
    された上記インターネットアドレス情報を視覚的に対応
    付けることにより行う請求項11又は12に記載のセキ
    ュリティ通信装置。
  14. 【請求項14】 上記インターネットアドレス情報のI
    Pアドレスへの変換に、ドメインネームシステムサーバ
    を利用する請求項11に記載のセキュリティ通信装置。
  15. 【請求項15】 上記セキュリティ種が、セキュリティ
    プロトコルである請求項11〜14のいずれか1項に記
    載のセキュリティ通信装置。
  16. 【請求項16】 上記セキュリティプロトコルが、IP
    SECである請求項15に記載のセキュリティ通信装
    置。
  17. 【請求項17】 上記セキュリティ種が、セキュリティ
    通信時に使用する定義情報群である請求項11〜14の
    いずれか1項に記載のセキュリティ通信装置。
  18. 【請求項18】 上記定義情報群が、セキュリティポリ
    シーである請求項17に記載のセキュリティ通信装置。
  19. 【請求項19】 上記定義情報群が、認証アルゴリズム
    又は暗号化アルゴリズムの少なくとも1つを含む請求項
    17に記載のセキュリティ通信装置。
  20. 【請求項20】 送信元通信端末からネットワークを介
    して接続される送信先通信端末へ送信される通信のセキ
    ュリティを確保するセキュリティ通信システムにおい
    て、 上記送信元通信端末にて動作するアプリケーションに入
    力されるインターネットアドレス情報と、セキュリティ
    種とを対応付けた対応情報を記憶する記憶手段と、 上記インターネットアドレス情報に基づいて、上記対応
    情報からセキュリティ種を決定するセキュリティ種選択
    手段を備えることを特徴とするセキュリティ通信システ
    ム。
  21. 【請求項21】 さらに上記送信元通信端末を使用する
    ユーザの認証を行うユーザ認証手段を備えるとともに、 上記対応情報が、上記送信元通信端末を使用するユーザ
    の情報とセキュリティ種とが対応付けられ、 上記ユーザの情報にも基づいて上記セキュリティ種を決
    定する請求項20に記載のセキュリティ通信システム。
  22. 【請求項22】 上記セキュリティ種の決定を、視覚化
    された上記セキュリティ種の一覧に対して同様に視覚化
    された上記インターネットアドレス情報を視覚的に対応
    付けることにより行う請求項20又は21に記載のセキ
    ュリティ通信システム。
  23. 【請求項23】 ネットワークを介して接続される通信
    端末間の、通信のセキュリティを確保するセキュリティ
    通信方法において、 上記通信端末にて動作するアプリケーションに入力され
    るインターネットアドレス情報と、セキュリティ種とを
    対応付け、 上記インターネットアドレス情報に基づいてセキュリテ
    ィ種を決定することを特徴とするセキュリティ通信方
    法。
  24. 【請求項24】 通信端末を特定する端末特定情報と、
    該通信端末との通信において推奨されるセキュリティ種
    とを対応付けた対応情報を記憶する記憶手段と、 上記通信端末とは異なる端末からの、上記通信端末につ
    いて推奨されるセキュリティ種の問い合わせに対し、上
    記端末特定情報に基づいて、上記対応情報から上記推奨
    されるセキュリティ種を選択する推奨セキュリティ種管
    理手段と、 上記選択された推奨されるセキュリティ種を送信する送
    信手段を備えることを特徴とするセキュリティ情報装
    置。
  25. 【請求項25】 さらに、上記端末特定情報が上記対応
    情報に無い場合に、上記通信端末に対して、該通信端末
    との通信において推奨されるセキュリティ種を問い合わ
    せる問い合わせ手段を備える請求項24に記載のセキュ
    リティ情報装置。
  26. 【請求項26】 上記セキュリティ種が、セキュリティ
    プロトコルである請求項24又は25に記載のセキュリ
    ティ情報装置。
  27. 【請求項27】 上記セキュリティプロトコルが、IP
    SECである請求項26に記載のセキュリティ情報装
    置。
  28. 【請求項28】 上記セキュリティ種が、セキュリティ
    通信時に使用する定義情報群である請求項24又は25
    に記載のセキュリティ情報装置。
  29. 【請求項29】 上記定義情報群が、セキュリティポリ
    シーである請求項28に記載のセキュリティ情報装置。
  30. 【請求項30】 上記定義情報群が、認証アルゴリズム
    又は暗号化アルゴリズムの少なくとも1つを含む請求項
    28に記載のセキュリティ情報装置。
  31. 【請求項31】 送信元通信端末からネットワークを介
    して接続される送信先通信端末へ送信される通信のセキ
    ュリティを確保するセキュリティ通信装置において、 上記セキュリティの確保に用いるセキュリティ種を所定
    のセキュリティ情報装置に問い合わせる問い合わせ手段
    と、 上記問い合わせに対応する上記所定のセキュリティ情報
    装置からの回答に基づいて上記セキュリティ種を決定す
    るセキュリティ種選択手段を備えることを特徴とするセ
    キュリティ通信装置。
  32. 【請求項32】 上記回答が、1又は複数の上記セキュ
    リティ種を含む請求項31に記載のセキュリティ通信装
    置。
  33. 【請求項33】 上記セキュリティ種が、セキュリティ
    プロトコルである請求項31又は32に記載のセキュリ
    ティ通信装置。
  34. 【請求項34】 上記セキュリティプロトコルが、IP
    SECである請求項33に記載のセキュリティ通信装
    置。
  35. 【請求項35】 上記セキュリティ種が、セキュリティ
    通信時に使用する定義情報群である請求項31又は32
    に記載のセキュリティ通信装置。
  36. 【請求項36】 上記定義情報群が、セキュリティポリ
    シーである請求項35に記載のセキュリティ通信装置。
  37. 【請求項37】 上記定義情報群が、認証アルゴリズム
    又は暗号化アルゴリズムの少なくとも1つを含む請求項
    35に記載のセキュリティ通信装置。
  38. 【請求項38】 送信元通信端末からネットワークを介
    して接続される送信先通信端末へ送信される通信のセキ
    ュリティを確保する通信装置を備えるセキュリティ通信
    システムにおいて、 上記通信装置が、上記セキュリティの確保に用いるセキ
    ュリティ種を所定のセキュリティ情報装置に問い合わせ
    る問い合わせ手段と、 上記問い合わせに対応する上記所定のセキュリティ情報
    装置からの回答に基づいて上記セキュリティ種を決定す
    るセキュリティ種選択手段を備えるとともに、 上記所定のセキュリティ情報装置が、通信端末を特定す
    る端末特定情報と、該通信端末との通信において推奨さ
    れるセキュリティ種とを対応付けた対応情報を記憶する
    記憶手段と、 上記通信端末とは異なる端末からの、上記通信端末につ
    いて推奨されるセキュリティ種の問い合わせに対し、上
    記端末特定情報に基づいて、上記対応情報から上記推奨
    されるセキュリティ種を選択する推奨セキュリティ種管
    理手段と、 上記選択された推奨されるセキュリティ種を送信する送
    信手段を備えることを特徴とするセキュリティ通信シス
    テム。
  39. 【請求項39】 さらに、上記所定のセキュリティ情報
    装置が、上記端末特定情報が上記対応情報に無い場合
    に、上記送信先通信端末に対して該送信先通信端末との
    通信において推奨されるセキュリティ種を問い合わせる
    問い合わせ手段を備える請求項38に記載のセキュリテ
    ィ通信システム。
  40. 【請求項40】 ネットワークを介して接続される通信
    端末間の、通信のセキュリティを確保する通信装置を備
    えるセキュリティ通信方法において、 上記通信装置が、該通信装置とは異なる通信装置につい
    て推奨されるセキュリティ種を所定のセキュリティ情報
    装置に問い合わせ、 上記所定のセキュリティ情報装置が、上記通信装置から
    の上記問い合わせに対し、上記推奨されるセキュリティ
    種を選択して上記通信装置に送信し、 上記通信装置が上記セキュリティ情報装置から送信され
    た上記推奨されるセキュリティ種に基づいて上記セキュ
    リティ種を決定することを特徴とするセキュリティ通信
    方法。
JP2000110651A 2000-04-12 2000-04-12 セキュリティ通信方法、通信システム及びその装置 Pending JP2001298449A (ja)

Priority Applications (8)

Application Number Priority Date Filing Date Title
JP2000110651A JP2001298449A (ja) 2000-04-12 2000-04-12 セキュリティ通信方法、通信システム及びその装置
US09/825,857 US20010042201A1 (en) 2000-04-12 2001-04-03 Security communication method, security communication system, and apparatus thereof
EP03026370A EP1418728B1 (en) 2000-04-12 2001-04-11 Security communication method, system, and apparatus permitting to change the security type
EP01303423A EP1170927B1 (en) 2000-04-12 2001-04-11 Security communication method, security communication system, and apparatus thereof
DE60121483T DE60121483T2 (de) 2000-04-12 2001-04-11 Sicherheitkommunikationsverfahren, System und Vorrichtung welche erlauben den Sicherheitstyp zu wechseln
KR1020010019260A KR20010098513A (ko) 2000-04-12 2001-04-11 시큐리티 통신방법, 통신시스템 및 그 장치
DE60121101T DE60121101T2 (de) 2000-04-12 2001-04-11 Gesichtertes Kommunikationsverfahren, gesichtertes Kommunikationssystem und Gerät
CN01116541A CN1317899A (zh) 2000-04-12 2001-04-12 安全通信方法、通信系统及其装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000110651A JP2001298449A (ja) 2000-04-12 2000-04-12 セキュリティ通信方法、通信システム及びその装置

Publications (1)

Publication Number Publication Date
JP2001298449A true JP2001298449A (ja) 2001-10-26

Family

ID=18623129

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000110651A Pending JP2001298449A (ja) 2000-04-12 2000-04-12 セキュリティ通信方法、通信システム及びその装置

Country Status (6)

Country Link
US (1) US20010042201A1 (ja)
EP (2) EP1418728B1 (ja)
JP (1) JP2001298449A (ja)
KR (1) KR20010098513A (ja)
CN (1) CN1317899A (ja)
DE (2) DE60121101T2 (ja)

Cited By (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030084613A (ko) * 2002-04-26 2003-11-01 후지쯔 가부시끼가이샤 게이트웨이, 통신 단말 장치 및 통신 제어 프로그램
JP2004054951A (ja) * 2002-07-17 2004-02-19 Matsushita Electric Ind Co Ltd 記録媒体不正使用防止システム
JP2004532543A (ja) * 2001-03-14 2004-10-21 ジェムプリュス ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス
JP2004312130A (ja) * 2003-04-03 2004-11-04 Matsushita Electric Ind Co Ltd Ipテレビ電話機
WO2005117373A1 (ja) * 2004-05-31 2005-12-08 Niigata Seimitsu Co., Ltd. Ip電話機を終端端末とした暗号システム
KR100544214B1 (ko) * 2001-09-19 2006-01-23 인텔 코오퍼레이션 전자 트랜잭션을 위한 보안 레벨을 선택하기 위한 방법 및 시스템
WO2006087819A1 (ja) * 2005-02-21 2006-08-24 Fujitsu Limited 通信装置
JP2007505381A (ja) * 2003-09-11 2007-03-08 ポール・ジェーソン・ロジャーズ セキュリティに用いる方法および装置
JP2007194679A (ja) * 2006-01-17 2007-08-02 Nec Engineering Ltd 構内交換機及び端末装置
JP2007251417A (ja) * 2006-03-14 2007-09-27 Ricoh Co Ltd ネットワーク機器
JP2007251842A (ja) * 2006-03-17 2007-09-27 Ricoh Co Ltd ネットワーク機器
US7296148B2 (en) 2002-01-09 2007-11-13 Nec Corporation Communication system and network control apparatus with encryption processing function, and communication control method
JP2008072242A (ja) * 2006-09-12 2008-03-27 Ricoh Co Ltd ネットワーク機器
JP2008090731A (ja) * 2006-10-04 2008-04-17 Ricoh Co Ltd 情報処理装置、通信方法およびプログラム
JP2008205806A (ja) * 2007-02-20 2008-09-04 Ricoh Co Ltd ネットワーク通信機器
JP2008312016A (ja) * 2007-06-15 2008-12-25 Ricoh Co Ltd 情報処理装置およびプログラム
JP2009200805A (ja) * 2008-02-21 2009-09-03 Ricoh Co Ltd 画像形成装置、情報処理方法及びプログラム
US7631181B2 (en) 2003-09-22 2009-12-08 Canon Kabushiki Kaisha Communication apparatus and method, and program for applying security policy
US7664954B2 (en) 2004-03-31 2010-02-16 Canon Kabushiki Kaisha Providing apparatus, providing method, communication device, communication method, and program
US7716477B2 (en) 2002-09-19 2010-05-11 Sony Corporation Data processing method, program of the same, and device of the same
US7735129B2 (en) 2003-02-05 2010-06-08 Nippon Telegraph And Telephone Corporation Firewall device
JP4892554B2 (ja) * 2005-07-15 2012-03-07 マイクロソフト コーポレーション 接続セキュリティのためのルールの自動生成
US8301875B2 (en) 2002-09-11 2012-10-30 NEC Infrontia Coropration Network, IPsec setting server apparatus, IPsec processing apparatus, and IPsec setting method used therefor
JP2013528330A (ja) * 2010-05-27 2013-07-08 エイ10 ネットワークス インコーポレイテッド ネットワークトラフィックポリシーをアプリケーションセッションに適用するシステム及び方法
US9531846B2 (en) 2013-01-23 2016-12-27 A10 Networks, Inc. Reducing buffer usage for TCP proxy session based on delayed acknowledgement
US9544364B2 (en) 2012-12-06 2017-01-10 A10 Networks, Inc. Forwarding policies on a virtual service network
US9609052B2 (en) 2010-12-02 2017-03-28 A10 Networks, Inc. Distributing application traffic to servers based on dynamic service response time
US9705800B2 (en) 2012-09-25 2017-07-11 A10 Networks, Inc. Load distribution in data networks
US9742879B2 (en) 2012-03-29 2017-08-22 A10 Networks, Inc. Hardware-based packet editor
US9843484B2 (en) 2012-09-25 2017-12-12 A10 Networks, Inc. Graceful scaling in software driven networks
US9900252B2 (en) 2013-03-08 2018-02-20 A10 Networks, Inc. Application delivery controller and global server load balancer
US9906591B2 (en) 2011-10-24 2018-02-27 A10 Networks, Inc. Combining stateless and stateful server load balancing
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US9942152B2 (en) 2014-03-25 2018-04-10 A10 Networks, Inc. Forwarding data packets using a service-based forwarding policy
US9942162B2 (en) 2014-03-31 2018-04-10 A10 Networks, Inc. Active application response delay time
US9954899B2 (en) 2006-10-17 2018-04-24 A10 Networks, Inc. Applying a network traffic policy to an application session
US9961135B2 (en) 2010-09-30 2018-05-01 A10 Networks, Inc. System and method to balance servers based on server load status
US9960967B2 (en) 2009-10-21 2018-05-01 A10 Networks, Inc. Determining an application delivery server based on geo-location information
US9979801B2 (en) 2011-12-23 2018-05-22 A10 Networks, Inc. Methods to manage services over a service gateway
US9986061B2 (en) 2014-06-03 2018-05-29 A10 Networks, Inc. Programming a data network device using user defined scripts
US9992229B2 (en) 2014-06-03 2018-06-05 A10 Networks, Inc. Programming a data network device using user defined scripts with licenses
US9992107B2 (en) 2013-03-15 2018-06-05 A10 Networks, Inc. Processing data packets using a policy based network path
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
US10038693B2 (en) 2013-05-03 2018-07-31 A10 Networks, Inc. Facilitating secure network traffic by an application delivery controller
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US10129122B2 (en) 2014-06-03 2018-11-13 A10 Networks, Inc. User defined objects for network devices
USRE47296E1 (en) 2006-02-21 2019-03-12 A10 Networks, Inc. System and method for an adaptive TCP SYN cookie with time validation
US10230770B2 (en) 2013-12-02 2019-03-12 A10 Networks, Inc. Network proxy layer for policy-based application proxies
US10243791B2 (en) 2015-08-13 2019-03-26 A10 Networks, Inc. Automated adjustment of subscriber policies
US10268467B2 (en) 2014-11-11 2019-04-23 A10 Networks, Inc. Policy-driven management of application traffic for providing services to cloud-based applications
US10581976B2 (en) 2015-08-12 2020-03-03 A10 Networks, Inc. Transmission control of protocol state exchange for dynamic stateful service insertion

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8078727B2 (en) 1998-10-09 2011-12-13 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US6546425B1 (en) * 1998-10-09 2003-04-08 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7293107B1 (en) 1998-10-09 2007-11-06 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US8060656B2 (en) 1998-10-09 2011-11-15 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7778260B2 (en) 1998-10-09 2010-08-17 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7882247B2 (en) 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
GB0109299D0 (en) * 2001-04-12 2001-05-30 British Telecomm Hybrid network
US7061899B2 (en) * 2001-05-01 2006-06-13 Hewlett-Packard Development Company, L.P. Method and apparatus for providing network security
US7360076B2 (en) * 2001-06-13 2008-04-15 Itt Manufacturing Enterprises, Inc. Security association data cache and structure
US6982984B1 (en) * 2001-08-28 2006-01-03 Redback Networks Inc. Method and apparatus for virtual private networks
US7260650B1 (en) * 2001-11-28 2007-08-21 Cisco Technology, Inc. Method and apparatus for tunneling information
KR100449809B1 (ko) * 2001-12-27 2004-09-22 한국전자통신연구원 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법
JP2005515700A (ja) * 2002-01-14 2005-05-26 ネットモーション ワイヤレス インコーポレイテッド モバイルコンピューティング環境および他の断続的なコンピューティング環境における安全な接続を提供するための方法およびデバイス
KR100888471B1 (ko) * 2002-07-05 2009-03-12 삼성전자주식회사 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US8186026B2 (en) * 2004-03-03 2012-05-29 Rockstar Bidco, LP Technique for maintaining secure network connections
JP4047303B2 (ja) * 2004-06-04 2008-02-13 キヤノン株式会社 提供装置、提供プログラム、及び、提供方法
US20050283441A1 (en) * 2004-06-21 2005-12-22 Ipolicy Networks, Inc., A Delaware Corporation Efficient policy change management in virtual private networks
US8438629B2 (en) 2005-02-21 2013-05-07 Samsung Electronics Co., Ltd. Packet security method and apparatus
US20070011448A1 (en) * 2005-07-06 2007-01-11 Microsoft Corporation Using non 5-tuple information with IPSec
GB2428317A (en) * 2005-07-13 2007-01-24 Hewlett Packard Development Co Data collation system
JP2007323553A (ja) * 2006-06-05 2007-12-13 Hitachi Ltd ネットワーク上の暗号化通信を行うアダプタ装置及びicカード
US20080005558A1 (en) * 2006-06-29 2008-01-03 Battelle Memorial Institute Methods and apparatuses for authentication and validation of computer-processable communications
EP2043296A4 (en) * 2006-07-13 2011-04-20 Keiko Ogawa RELAY DEVICE
US20080072033A1 (en) * 2006-09-19 2008-03-20 Mcalister Donald Re-encrypting policy enforcement point
JP2008140295A (ja) * 2006-12-05 2008-06-19 Hitachi Ltd 計算機システム及び在席管理計算機
KR100850362B1 (ko) * 2007-04-12 2008-08-04 한국전자통신연구원 개인 휴대 임베디드 단말에 대한 보안성 강화 방법 및 그시스템
US8935748B2 (en) * 2007-10-31 2015-01-13 Microsoft Corporation Secure DNS query
DE102008057934C5 (de) * 2008-11-19 2020-09-17 Nordex Energy Gmbh Windenergieanlage mit einer zentralen Steuerungseinrichtung und einer Steuerungseinheit im Rotor sowie Verfahren zum Betreiben einer derartigen Windenergieanlage
US9015798B1 (en) * 2012-02-16 2015-04-21 Google Inc. User authentication using pointing device
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5577209A (en) * 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US6005939A (en) * 1996-12-06 1999-12-21 International Business Machines Corporation Method and apparatus for storing an internet user's identity and access rights to world wide web resources
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6438612B1 (en) * 1998-09-11 2002-08-20 Ssh Communications Security, Ltd. Method and arrangement for secure tunneling of data between virtual routers
US6330562B1 (en) * 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
US6708218B1 (en) * 2000-06-05 2004-03-16 International Business Machines Corporation IpSec performance enhancement using a hardware-based parallel process

Cited By (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004532543A (ja) * 2001-03-14 2004-10-21 ジェムプリュス ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス
US8250624B2 (en) 2001-03-14 2012-08-21 Gemalto Sa Portable device for securing packet traffic in a host platform
KR100544214B1 (ko) * 2001-09-19 2006-01-23 인텔 코오퍼레이션 전자 트랜잭션을 위한 보안 레벨을 선택하기 위한 방법 및 시스템
US7627752B2 (en) 2002-01-09 2009-12-01 Nec Corporation Communication system and network control apparatus with encryption processing function, and communication control method
US7716471B2 (en) 2002-01-09 2010-05-11 Nec Corporation Communication system and network control apparatus with encryption processing function, and communication control method
US7296148B2 (en) 2002-01-09 2007-11-13 Nec Corporation Communication system and network control apparatus with encryption processing function, and communication control method
KR20030084613A (ko) * 2002-04-26 2003-11-01 후지쯔 가부시끼가이샤 게이트웨이, 통신 단말 장치 및 통신 제어 프로그램
JP2004054951A (ja) * 2002-07-17 2004-02-19 Matsushita Electric Ind Co Ltd 記録媒体不正使用防止システム
JP4563662B2 (ja) * 2002-07-17 2010-10-13 パナソニック株式会社 記録媒体不正使用防止システム
US8301875B2 (en) 2002-09-11 2012-10-30 NEC Infrontia Coropration Network, IPsec setting server apparatus, IPsec processing apparatus, and IPsec setting method used therefor
US7716477B2 (en) 2002-09-19 2010-05-11 Sony Corporation Data processing method, program of the same, and device of the same
US7735129B2 (en) 2003-02-05 2010-06-08 Nippon Telegraph And Telephone Corporation Firewall device
JP4524996B2 (ja) * 2003-04-03 2010-08-18 パナソニック株式会社 テレビ電話機
JP2004312130A (ja) * 2003-04-03 2004-11-04 Matsushita Electric Ind Co Ltd Ipテレビ電話機
JP2007505381A (ja) * 2003-09-11 2007-03-08 ポール・ジェーソン・ロジャーズ セキュリティに用いる方法および装置
US7631181B2 (en) 2003-09-22 2009-12-08 Canon Kabushiki Kaisha Communication apparatus and method, and program for applying security policy
US7664954B2 (en) 2004-03-31 2010-02-16 Canon Kabushiki Kaisha Providing apparatus, providing method, communication device, communication method, and program
WO2005117373A1 (ja) * 2004-05-31 2005-12-08 Niigata Seimitsu Co., Ltd. Ip電話機を終端端末とした暗号システム
WO2006087819A1 (ja) * 2005-02-21 2006-08-24 Fujitsu Limited 通信装置
JP4892554B2 (ja) * 2005-07-15 2012-03-07 マイクロソフト コーポレーション 接続セキュリティのためのルールの自動生成
JP2007194679A (ja) * 2006-01-17 2007-08-02 Nec Engineering Ltd 構内交換機及び端末装置
USRE47296E1 (en) 2006-02-21 2019-03-12 A10 Networks, Inc. System and method for an adaptive TCP SYN cookie with time validation
JP4690918B2 (ja) * 2006-03-14 2011-06-01 株式会社リコー ネットワーク機器
JP2007251417A (ja) * 2006-03-14 2007-09-27 Ricoh Co Ltd ネットワーク機器
JP2007251842A (ja) * 2006-03-17 2007-09-27 Ricoh Co Ltd ネットワーク機器
JP2008072242A (ja) * 2006-09-12 2008-03-27 Ricoh Co Ltd ネットワーク機器
JP2008090731A (ja) * 2006-10-04 2008-04-17 Ricoh Co Ltd 情報処理装置、通信方法およびプログラム
US10305859B2 (en) 2006-10-17 2019-05-28 A10 Networks, Inc. Applying security policy to an application session
US9497201B2 (en) 2006-10-17 2016-11-15 A10 Networks, Inc. Applying security policy to an application session
US9661026B2 (en) 2006-10-17 2017-05-23 A10 Networks, Inc. Applying security policy to an application session
US9954899B2 (en) 2006-10-17 2018-04-24 A10 Networks, Inc. Applying a network traffic policy to an application session
JP2008205806A (ja) * 2007-02-20 2008-09-04 Ricoh Co Ltd ネットワーク通信機器
US8065723B2 (en) 2007-02-20 2011-11-22 Ricoh Company, Ltd. Network communication device
JP2008312016A (ja) * 2007-06-15 2008-12-25 Ricoh Co Ltd 情報処理装置およびプログラム
JP2009200805A (ja) * 2008-02-21 2009-09-03 Ricoh Co Ltd 画像形成装置、情報処理方法及びプログラム
US10735267B2 (en) 2009-10-21 2020-08-04 A10 Networks, Inc. Determining an application delivery server based on geo-location information
US9960967B2 (en) 2009-10-21 2018-05-01 A10 Networks, Inc. Determining an application delivery server based on geo-location information
JP2013528330A (ja) * 2010-05-27 2013-07-08 エイ10 ネットワークス インコーポレイテッド ネットワークトラフィックポリシーをアプリケーションセッションに適用するシステム及び方法
US10447775B2 (en) 2010-09-30 2019-10-15 A10 Networks, Inc. System and method to balance servers based on server load status
US9961135B2 (en) 2010-09-30 2018-05-01 A10 Networks, Inc. System and method to balance servers based on server load status
US10178165B2 (en) 2010-12-02 2019-01-08 A10 Networks, Inc. Distributing application traffic to servers based on dynamic service response time
US9609052B2 (en) 2010-12-02 2017-03-28 A10 Networks, Inc. Distributing application traffic to servers based on dynamic service response time
US9961136B2 (en) 2010-12-02 2018-05-01 A10 Networks, Inc. Distributing application traffic to servers based on dynamic service response time
US10484465B2 (en) 2011-10-24 2019-11-19 A10 Networks, Inc. Combining stateless and stateful server load balancing
US9906591B2 (en) 2011-10-24 2018-02-27 A10 Networks, Inc. Combining stateless and stateful server load balancing
US9979801B2 (en) 2011-12-23 2018-05-22 A10 Networks, Inc. Methods to manage services over a service gateway
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US9742879B2 (en) 2012-03-29 2017-08-22 A10 Networks, Inc. Hardware-based packet editor
US10069946B2 (en) 2012-03-29 2018-09-04 A10 Networks, Inc. Hardware-based packet editor
US10516577B2 (en) 2012-09-25 2019-12-24 A10 Networks, Inc. Graceful scaling in software driven networks
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
US9843484B2 (en) 2012-09-25 2017-12-12 A10 Networks, Inc. Graceful scaling in software driven networks
US9705800B2 (en) 2012-09-25 2017-07-11 A10 Networks, Inc. Load distribution in data networks
US10491523B2 (en) 2012-09-25 2019-11-26 A10 Networks, Inc. Load distribution in data networks
US10862955B2 (en) 2012-09-25 2020-12-08 A10 Networks, Inc. Distributing service sessions
US10341427B2 (en) 2012-12-06 2019-07-02 A10 Networks, Inc. Forwarding policies on a virtual service network
US9544364B2 (en) 2012-12-06 2017-01-10 A10 Networks, Inc. Forwarding policies on a virtual service network
US9531846B2 (en) 2013-01-23 2016-12-27 A10 Networks, Inc. Reducing buffer usage for TCP proxy session based on delayed acknowledgement
US11005762B2 (en) 2013-03-08 2021-05-11 A10 Networks, Inc. Application delivery controller and global server load balancer
US9900252B2 (en) 2013-03-08 2018-02-20 A10 Networks, Inc. Application delivery controller and global server load balancer
US9992107B2 (en) 2013-03-15 2018-06-05 A10 Networks, Inc. Processing data packets using a policy based network path
US10659354B2 (en) 2013-03-15 2020-05-19 A10 Networks, Inc. Processing data packets using a policy based network path
US10038693B2 (en) 2013-05-03 2018-07-31 A10 Networks, Inc. Facilitating secure network traffic by an application delivery controller
US10305904B2 (en) 2013-05-03 2019-05-28 A10 Networks, Inc. Facilitating secure network traffic by an application delivery controller
US10230770B2 (en) 2013-12-02 2019-03-12 A10 Networks, Inc. Network proxy layer for policy-based application proxies
US9942152B2 (en) 2014-03-25 2018-04-10 A10 Networks, Inc. Forwarding data packets using a service-based forwarding policy
US10257101B2 (en) 2014-03-31 2019-04-09 A10 Networks, Inc. Active application response delay time
US9942162B2 (en) 2014-03-31 2018-04-10 A10 Networks, Inc. Active application response delay time
US10686683B2 (en) 2014-05-16 2020-06-16 A10 Networks, Inc. Distributed system to determine a server's health
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US9992229B2 (en) 2014-06-03 2018-06-05 A10 Networks, Inc. Programming a data network device using user defined scripts with licenses
US9986061B2 (en) 2014-06-03 2018-05-29 A10 Networks, Inc. Programming a data network device using user defined scripts
US10749904B2 (en) 2014-06-03 2020-08-18 A10 Networks, Inc. Programming a data network device using user defined scripts with licenses
US10129122B2 (en) 2014-06-03 2018-11-13 A10 Networks, Inc. User defined objects for network devices
US10880400B2 (en) 2014-06-03 2020-12-29 A10 Networks, Inc. Programming a data network device using user defined scripts
US10268467B2 (en) 2014-11-11 2019-04-23 A10 Networks, Inc. Policy-driven management of application traffic for providing services to cloud-based applications
US10581976B2 (en) 2015-08-12 2020-03-03 A10 Networks, Inc. Transmission control of protocol state exchange for dynamic stateful service insertion
US10243791B2 (en) 2015-08-13 2019-03-26 A10 Networks, Inc. Automated adjustment of subscriber policies

Also Published As

Publication number Publication date
EP1170927B1 (en) 2006-06-28
DE60121101D1 (de) 2006-08-10
EP1418728A1 (en) 2004-05-12
US20010042201A1 (en) 2001-11-15
DE60121483T2 (de) 2007-07-19
EP1170927A3 (en) 2002-12-18
DE60121483D1 (de) 2006-08-24
EP1170927A2 (en) 2002-01-09
EP1418728B1 (en) 2006-07-12
DE60121101T2 (de) 2006-12-07
KR20010098513A (ko) 2001-11-08
CN1317899A (zh) 2001-10-17

Similar Documents

Publication Publication Date Title
JP2001298449A (ja) セキュリティ通信方法、通信システム及びその装置
US11659385B2 (en) Method and system for peer-to-peer enforcement
JP3992579B2 (ja) 鍵交換代理ネットワークシステム
JP4707992B2 (ja) 暗号化通信システム
EP3432523B1 (en) Method and system for connecting a terminal to a virtual private network
JP4648148B2 (ja) 接続支援装置
JP4634349B2 (ja) IPSec処理装置、ネットワークシステム、及びIPSec処理プログラム
US20050081066A1 (en) Providing credentials
JPH11205388A (ja) パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
JP4253569B2 (ja) 接続制御システム、接続制御装置、及び接続管理装置
WO2020248368A1 (zh) 一种内网访问方法、系统及相关装置
CN201252570Y (zh) 一种安全网关客户端装置
US20040156374A1 (en) Router and routing method for providing linkage with mobile nodes
JPWO2006064552A1 (ja) ネットワーク接続サービス提供装置
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
JP4933286B2 (ja) 暗号化パケット通信システム
WO2000028428A1 (en) Agent method and computer system
JP4009273B2 (ja) 通信方法
JP2008199420A (ja) ゲートウェイ装置および認証処理方法
JP4878043B2 (ja) アクセス制御システム、接続制御装置および接続制御方法
CN114268499B (zh) 数据传输方法、装置、系统、设备和存储介质
EP4064745A1 (en) Network device management method and apparatus, network management device, and medium
CN115549900A (zh) 一种量子安全数据发送、接收方法及通信系统
CN116668181A (zh) 一种内网访问方法、电子设备及存储介质