JP2002344443A - 通信システムおよびセキュリティアソシエーション切断/継続方法 - Google Patents

通信システムおよびセキュリティアソシエーション切断/継続方法

Info

Publication number
JP2002344443A
JP2002344443A JP2001145016A JP2001145016A JP2002344443A JP 2002344443 A JP2002344443 A JP 2002344443A JP 2001145016 A JP2001145016 A JP 2001145016A JP 2001145016 A JP2001145016 A JP 2001145016A JP 2002344443 A JP2002344443 A JP 2002344443A
Authority
JP
Japan
Prior art keywords
isakmp
esp
continuation
notification
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001145016A
Other languages
English (en)
Inventor
Yasuhisa Tokiniwa
康久 時庭
Shinobu Atozawa
忍 後沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2001145016A priority Critical patent/JP2002344443A/ja
Publication of JP2002344443A publication Critical patent/JP2002344443A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 旧セキュリティアソシエーションによる通信
不通が発生しない通信システムを得ること。 【解決手段】 本発明の通信システムは、暗号装置6
が、自装置を識別するための識別子(IPアドレス)を
変更後、「変更前の識別子」と暗号用鍵および認証用鍵
を用いて暗号化した「セキュリティアソシエーション開
放(ISAKMP開放)」とを含むセキュリティアソシ
エーション切断通知(ISAKMP切断通知)を、通信
相手である暗号装置5に対して送信し、暗号装置5が、
上記暗号用鍵および上記認証用鍵を用いて当該セキュリ
ティアソシエーション切断通知を復号し、相互認証を行
い、旧セキュリティアソシエーションを切断する構成と
する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、論理的なセキュリ
ティアソシエーション上で暗号通信を行う通信システム
およびそのセキュリティアソシエーション切断/継続方
法に関するものである。
【0002】
【従来の技術】以下、従来の通信システムの動作につい
て説明する。RFC2401〜RFC2412(RF
C:Request For Comments)で規定
しているIPSECにおいて、暗号装置および暗号機能
を内蔵した端末は、セキュリティアソシエーションと呼
ぶ論理的な通信路上で暗号通信を行う。セキュリティア
ソシエーションでは、暗号を通信する二者間で通信を開
始する前に、暗号用の暗号用鍵と認証用の認証用鍵を共
有する。暗号用鍵と認証用鍵を共有しセキュリティアソ
シエーションを確立する手順がIKE(Interne
t Key Exchange)の通信手順である。IK
Eは、RFC2408およびRFC2409で規定され
ている。
【0003】図19は、暗号通信システムのネットワー
ク構成を示す図である。図19において、1は通信ネッ
トワークであり、5,6は暗号装置であり、11,1
2,13は暗号装置5に接続された端末であり、21,
22,23は暗号装置6に接続された端末である。
【0004】図20は、図19のネットワーク構成にお
いて、セキュリティアソシエーションを確立した図であ
る。図20において、31は暗号装置5と暗号装置6と
の間で確立したISAKMP_SA(ISAKMP:In
ternet Security Association and Key Management Pro
tocol)であり、41は端末12と端末22との間の通
信データを暗号通信するためのESP_SA(ESP:
Encapsulating Security Payload)であり、42は端末
13と端末23との間の通信データを暗号通信するため
のESP_SAである。
【0005】また、図21は、図20のネットワーク構
成において、セキュリティアソシエーションを再確立し
た図である。図21において、33は暗号装置5と暗号
装置6との間で再確立したISAKMP_SAであり、
47は端末12と端末22との間の通信データを暗号通
信するためのESP_SAであり、48は端末13と端
末23との間の通信データを暗号通信するためのESP
_SAである。
【0006】ここで、暗号装置間の暗号通信の動作を、
図19と図20と図21を用いて説明する。たとえば、
暗号装置5と暗号装置6は、端末12と端末22との間
の通信データの中継に先立ち、セキュリティアソシエー
ションを確立する。具体的にいうと、暗号装置5と暗号
装置6では、相互認証と動作パラメータのネゴシエーシ
ョンを行い、ISAKMP_SA31を確立する。
【0007】暗号装置5と暗号装置6の相互認証には、
事前に設定した秘密鍵(パスワード)を用いる方法やP
KI(Public Key Infrastructer)のX.509の認証
書を用いる方法のいずれかが採用される。暗号装置間の
相互認証において、X.509の認証書を用いる方法で
は、公開鍵暗号方式であるRSA(RSA:Rivest Sha
mir Adleman)を用いて暗号化を行っている。
【0008】また、ISAKMP_SA31を確立する
際には、動作パラメータのネゴシエーションを行う。動
作パラメータとしては、たとえば、暗号アルゴリズム
(DES(DES:Data Encryption Standard))、認
証アルゴリズム(SHA1(SHA:Secure Hash Stan
dard))、セキュリティアソシエーションの寿命時間
(86400秒)等がある。
【0009】また、ISAKMP_SA31を確立する
際には、Diffie−Hellmanのアルゴリズム
を用いて、SA31暗号用鍵とSA31認証用鍵を共有
する。暗号装置5と暗号装置6は、共有したSA31暗
号用鍵とSA31認証用鍵をISAKMP_SA31上
の通信データで使用し、暗号通信を行う。
【0010】つぎに、暗号装置5と暗号装置6との間に
おいてISAKMP_SA31を確立後、端末12と端
末22との間では、通信データを暗号通信するためのセ
キュリティアソシエーションESP_SA41を確立す
る。ESP_SA41を確立する際には、まず、動作パ
ラメータのネゴシエーションを行う。動作パラメータと
しては、たとえば、暗号アルゴリズム(3DES(3D
ES:Triple Data Encryption Standard))、認証ア
ルゴリズム(MD5(MD5:Message Digest5))、
セキュリティアソシエーションの寿命時間(3600
秒)等がある。
【0011】また、ESP_SA41を確立する際、端
末12と端末22では、SA41暗号用鍵とSA41認
証用鍵を暗号装置5と暗号装置6の二者間で共有する。
なお、上記ESP_SA41の確立は、ISAKMP_
SA31の暗号通信路上で行われる。暗号装置5と暗号
装置6との間では、共有したSA41暗号用鍵とSA4
1認証用鍵をESP_SA41上の端末12と端末22
間の通信データで使用し、暗号通信を行う。
【0012】たとえば、端末12から端末22への通信
を行う場合、端末12では、平文データを暗号装置5へ
送信し、平文データを受信した暗号装置5では、SA4
1暗号用鍵とSA41認証用鍵を用いて暗号化を行い、
認証子を付加し、RFC2406で規定しているESP
の形式により通信ネットワーク経由で、暗号装置6に対
して暗号文データを送信する。一方、暗号文データを受
信した暗号装置6では、SA41暗号用鍵とSA41認
証用鍵を用いて復号し、データ改ざんの確認のために認
証子を確認し、平文データを端末22に対して送信す
る。端末22では、暗号装置6からの平文データを受信
する。
【0013】また、端末22から端末12への通信を行
う場合は、端末12から端末22への通信と逆の手順
で、暗号装置6で平文に対して暗号化/認証子付加を行
い、暗号装置5で暗号文の復号/認証子確認を行い、端
末22から端末12へのデータを暗号通信によって中継
する。
【0014】同様に、端末13と端末23との間では、
通信データを暗号装置5と暗号装置6との間で暗号通信
するために、ISAKMP_SA31の暗号通信路上で
セキュリティアソシエーションESP_SA42を確立
する。ESP_SA42を確立する際は、動作パラメー
タのネゴシエーションを行う。動作パラメータとして
は、たとえば、暗号アルゴリズム(MISTY)、認証
アルゴリズム(SHA1)、セキュリティアソシエーシ
ョンの寿命バイト数(100Mbyte)等がある。
【0015】また、端末13と端末23との間では、S
A42暗号用鍵とSA42認証用鍵を暗号装置5と暗号
装置6の二者間で共有する。端末13と端末23との間
の通信では、端末12と端末22間の暗号通信と同様
に、暗号装置5と暗号装置6の二者間で共有したSA4
2暗号用鍵とSA42認証用鍵を用いて、ESPの形式
による暗号通信を行う。
【0016】また、図21においては、端末12と端末
22間の通信中または端末13と端末23間の通信中
に、暗号装置6の電源オフ/電源再投入を行った場合
や、暗号装置6のIPアドレスを変更した場合、の動作
を示している。たとえば、端末12と端末22間の通信
中または端末13と端末23間の通信中に、暗号装置6
の電源オフ/電源再投入を行った場合は、IKEの手順
を実行し、セキュリティアソシエーションISAKMP
_SA33を確立する。さらに、セキュリティアソシエ
ーションESP_SA47とESP_SA48を確立
し、端末12と端末22との間の暗号通信または端末1
3と端末23との間の暗号通信を再開する。
【0017】一方、図22は、暗号装置と端末間におけ
る暗号通信システムのネットワーク構成を示す図であ
り、図23は、図22のネットワーク構成において、セ
キュリティアソシエーションを確立した図である。図2
3において、51は暗号装置5と端末23との間で確立
したISAKMP_SAであり、61は端末12と端末
23との間の通信データを暗号通信するためのESP_
SAであり、62は端末13と端末23との間の通信デ
ータを暗号通信するためのESP_SAである。
【0018】また、図24は、図23のネットワーク構
成において、セキュリティアソシエーションを再確立し
た図である。図24において、53は暗号装置5と端末
23との間で確立したISAKMP_SAであり、67
は端末12と端末23との間の通信データを暗号通信す
るためのESP_SAであり、68は端末13と端末2
3との間の通信データを暗号通信するためのESP_S
Aである。
【0019】ここで、暗号装置と端末との間の暗号通信
の動作を、図22と図23と図24を用いて説明する。
たとえば、暗号装置5と端末23は、端末12と端末2
3との間の通信データの中継に先立ち、セキュリティア
ソシエーションを確立する。具体的にいうと、暗号装置
5と端末23では、相互認証と動作パラメータのネゴシ
エーションを行い、ISAKMP_SA51を確立す
る。
【0020】暗号装置5と端末23の相互認証には、事
前に設定した秘密鍵(パスワード)を用いる方法や、P
KIのX.509の認証書を用いる方法、のいずれかが
採用される。ISAKMP_SA51を確立する際に
は、動作パラメータのネゴシエーションを行う。動作パ
ラメータとしては、たとえば、暗号アルゴリズム(DE
S)、認証アルゴリズム(SHA1)、セキュリティア
ソシエーションの寿命時間(86400秒)等がある。
【0021】また、ISAKMP_SA51を確立する
際には、Diffie−Hellmanのアルゴリズム
を用いて、SA51暗号用鍵とSA51認証用鍵を共有
する。暗号装置5と端末23は、共有したSA51暗号
用鍵とSA51認証用鍵をISAKMP_SA51上の
通信データで使用し、暗号通信を行う。
【0022】つぎに、暗号装置5と端末23との間にお
いてISAKMP_SA51を確立後、端末12と端末
23との間では、通信データを暗号通信するためのセキ
ュリティアソシエーションESP_SA61を確立す
る。ESP_SA61を確立する際には、まず、動作パ
ラメータのネゴシエーションを行う。動作パラメータと
しては、たとえば、暗号アルゴリズム(3DES)、認
証アルゴリズム(MD5)、セキュリティアソシエーシ
ョンの寿命時間(3600秒)等がある。
【0023】また、ESP_SA61を確立する際、端
末12と端末23との間では、SA61暗号用鍵とSA
61認証用鍵を暗号装置5と端末23の二者間で共有す
る。なお、上記ESP_SA61の確立は、ISAKM
P_SA51の暗号通信路上で行われる。暗号装置5と
端末23との間では、共有したSA61暗号用鍵とSA
61認証用鍵をESP_SA61上の端末12と端末2
3間の通信データで使用し、暗号通信を行う。
【0024】たとえば、端末12から端末23への通信
を行う場合、端末12では、平文データを暗号装置5へ
送信し、平文データを受信した暗号装置5では、SA6
1暗号用鍵とSA61認証用鍵を用いて暗号化を行い、
認証子を付加し、ESPの形式により通信ネットワーク
経由で、端末23へ暗号文データを送信する。一方、暗
号文データを受信した端末23では、SA61暗号用鍵
とSA61認証用鍵を用いて復号し、データ改ざんの確
認のために認証子を確認し、平文データを得る。
【0025】また、端末23から端末12への通信を行
う場合には、端末12から端末23への通信と逆の手順
で、端末23が、平文を暗号化し、認証子を付加する。
そして、暗号装置5が、暗号文を復号し、認証子を確認
し、端末23から端末12へのデータを暗号通信によっ
て中継する。
【0026】同様に、端末13と端末23との間では、
通信データを暗号装置5と端末23との間で暗号通信す
るために、ISAKMP_SA51の暗号通信路上でセ
キュリティアソシエーションESP_SA62を確立す
る。ESP_SA62を確立する際は、動作パラメータ
のネゴシエーションを行う。動作パラメータとしては、
たとえば、暗号アルゴリズム(MISTY)、認証アル
ゴリズム(SHA1)、セキュリティアソシエーション
の寿命バイト数(100Mbyte)等がある。
【0027】また、端末13と端末23との間では、S
A62暗号用鍵とSA62認証用鍵を暗号装置5と端末
23の二者間で共有する。端末13と端末23との間の
通信では、端末12と端末23間の暗号通信と同様に、
暗号装置5と端末23の二者間で共有したSA62暗号
用鍵とSA62認証用鍵を用いて、ESPの形式による
暗号通信を行う。
【0028】また、図24においては、端末12と端末
23間の通信中または端末13と端末23間の通信中
に、端末23の電源オフ/電源再投入を行った場合や、
端末23のIPアドレスを変更した場合、の動作を示し
ている。たとえば、端末12と端末23間の通信中また
は端末13と端末23間の通信中に、端末23の電源オ
フ/電源再投入を行った場合は、IKEの手順を実行
し、セキュリティアソシエーションISAKMP_SA
53を確立する。さらに、セキュリティアソシエーショ
ンESP_SA67とESP_SA68を確立し、端末
12と端末23間の暗号通信または端末13と端末23
間の暗号通信を再開する。
【0029】
【発明が解決しようとする課題】しかしながら、上記、
従来の通信システムにおけるセキュリティアソシエーシ
ョン切断/継続方法にあっては、暗号装置や端末の電源
を再投入した場合やIPアドレスを変更した場合に、以
前のセキュリティアソシエーションを開放し、新しいセ
キュリティアソシエーションを再確立するため、Dif
fie−Hellmanの演算やRSA演算に時間がか
かってしまう、という問題があった。
【0030】また、上記、従来の通信システムにおける
セキュリティアソシエーション切断/継続方法にあって
は、Diffie−Hellmanの演算やRSA演算
が、暗号装置や暗号機能内蔵の端末のCPUやH/W
の、処理負荷を増大させている、という問題があった。
【0031】また、上記、従来の通信システムにおける
セキュリティアソシエーション切断/継続方法にあって
は、電源を再投入しないもう一方の暗号装置や端末にお
いて、暗号通信が行われないにもかかわらず、以前に確
立した古いセキュリティアソシエーションを寿命が終わ
るまで維持し続けるため、古いセキュリティアソシエー
ションのためにリソースを消費してしまう、という問題
があった。さらに、古いセキュリティアソシエーション
を維持し続けている端末から送信された暗号データは、
電源を再投入やIPアドレスを変更した端末で廃棄され
てしまう、という問題があった。
【0032】本発明は、上記に鑑みてなされたものであ
って、旧セキュリティアソシエーションによる通信不通
が発生することなく、かつセキュリティアソシエーショ
ン確立時の演算負荷と演算処理時間を大幅に削減可能な
通信システム、およびセキュリティアソシエーション切
断/継続方法を得ることを目的とする。
【0033】
【課題を解決するための手段】上述した課題を解決し、
目的を達成するために、本発明にかかる通信システムに
あっては、端末間における通信データの中継に先立ち、
ネットワークを介して接続された中継装置間にてセキュ
リティアソシエーションISAKMPを確立し、さら
に、当該ISAKMP上で、各中継装置に接続された端
末間の通信データに対するセキュリティアソシエーショ
ンESPを確立し、暗号用鍵および認証用鍵を共有する
ことで端末間相互の通信を行う構成とし、たとえば、一
方の中継装置が、自装置を識別する識別子を変更後、I
SAKMPの継続が困難な場合に、「変更前の識別子」
と暗号用鍵または認証用鍵を用いて暗号化した「ISA
KMP開放」を含むISAKMP切断通知を、他方の中
継装置に対して送信し、前記ISAKMP切断通知を受
信した中継装置が、共有する暗号用鍵および認証用鍵を
用いて当該切断通知を復号/認証し、さらに、前記IS
AKMPおよびISAKMP上で確立したESPを切断
し、その後、中継装置間では、新たにISAKMPおよ
びESPを確立することを特徴とする。
【0034】つぎの発明にかかる通信システムにあって
は、前記一方の中継装置が、自装置を識別する識別子を
変更後、ISAKMPの継続が可能な場合に、「変更前
の識別子」と暗号用鍵または認証用鍵を用いて暗号化し
た「ISAKMP継続」を含むISAKMP継続通知
を、他方の中継装置に対して送信し、前記ISAKMP
継続通知を受信した中継装置が、共有する暗号用鍵およ
び認証用鍵を用いて当該継続通知を復号/認証し、前記
ISAKMPを継続して使用し、さらに、端末間のES
Pの暗号通信に関する情報を設定変更した場合、前記一
方の中継装置が、暗号用鍵または認証用鍵を用いて暗号
化した「ESP開放」を含むESP切断通知を、他方の
中継装置に対して送信し、前記ESP切断通知を受信し
た中継装置が、共有する暗号用鍵および認証用鍵を用い
て当該切断通知を復号/認証し、さらに、前記ISAK
MP上で確立したESPを切断し、その後、中継装置間
では、ISAKMP上に新たにESPを確立することを
特徴とする。
【0035】つぎの発明にかかる通信システムにあって
は、前記一方の中継装置が、自装置を識別する識別子を
変更後、ISAKMPの継続が可能な場合に、「変更前
の識別子」と暗号用鍵または認証用鍵を用いて暗号化し
た「ISAKMP継続」を含むISAKMP継続通知
を、他方の中継装置に対して送信し、前記ISAKMP
継続通知を受信した中継装置が、共有する暗号用鍵およ
び認証用鍵を用いて当該継続通知を復号/認証し、前記
ISAKMPを継続して使用し、さらに、端末間のES
Pの暗号通信に関する情報を継続する場合、前記一方の
中継装置が、暗号用鍵または認証用鍵を用いて暗号化し
た「ESP継続」を含むESP継続通知を、他方の中継
装置に対して送信し、前記ESP継続通知を受信した中
継装置が、共有する暗号用鍵および認証用鍵を用いて当
該継続通知を復号/認証し、前記ESPを継続して使用
することを特徴とする。
【0036】つぎの発明にかかる通信システムにあって
は、端末間における通信データの中継に先立ち、ネット
ワークを介して接続された中継装置と第1の端末との間
でセキュリティアソシエーションISAKMPを確立
し、さらに、当該ISAKMP上で、前記第1の端末と
各中継装置に接続された第2の端末間の通信データに対
するセキュリティアソシエーションESPを確立し、暗
号用鍵および認証用鍵を共有することで端末間相互の通
信を行う構成とし、たとえば、前記第1の端末が、自端
末を識別する識別子を変更後、ISAKMPの継続が困
難な場合に、「変更前の識別子」と暗号用鍵または認証
用鍵を用いて暗号化した「ISAKMP開放」を含むI
SAKMP切断通知を、前記中継装置に対して送信し、
前記ISAKMP切断通知を受信した中継装置が、共有
する暗号用鍵および認証用鍵を用いて当該切断通知を復
号/認証し、さらに、前記ISAKMPおよびISAK
MP上で確立したESPを切断し、その後、新たにIS
AKMPおよびESPを確立することを特徴とする。
【0037】つぎの発明にかかる通信システムにあって
は、前記第1の端末が、自端末を識別する識別子を変更
後、ISAKMPの継続が可能な場合に、「変更前の識
別子」と暗号用鍵または認証用鍵を用いて暗号化した
「ISAKMP継続」を含むISAKMP継続通知を、
前記中継装置に対して送信し、前記ISAKMP継続通
知を受信した中継装置が、共有する暗号用鍵および認証
用鍵を用いて当該継続通知を復号/認証し、前記ISA
KMPを継続して使用し、さらに、前記ESPの暗号通
信に関する情報を設定変更した場合、前記第1の端末
が、暗号用鍵または認証用鍵を用いて暗号化した「ES
P開放」を含むESP切断通知を、前記中継装置に対し
て送信し、前記ESP切断通知を受信した中継装置が、
共有する暗号用鍵および認証用鍵を用いて当該切断通知
を復号/認証し、さらに、前記ISAKMP上で確立し
たESPを切断し、その後、ISAKMP上に新たにE
SPを確立することを特徴とする。
【0038】つぎの発明にかかる通信システムにあって
は、前記第1の端末が、自端末を識別する識別子を変更
後、ISAKMPの継続が可能な場合に、「変更前の識
別子」と暗号用鍵または認証用鍵を用いて暗号化した
「ISAKMP継続」を含むISAKMP継続通知を、
前記中継装置に対して送信し、前記ISAKMP継続通
知を受信した中継装置が、共有する暗号用鍵および認証
用鍵を用いて当該継続通知を復号/認証し、前記ISA
KMPを継続して使用し、さらに、前記ESPの暗号通
信に関する情報を継続する場合、前記第1の端末が、暗
号用鍵または認証用鍵を用いて暗号化した「ESP継
続」を含むESP継続通知を、前記中継装置に対して送
信し、前記ESP継続通知を受信した中継装置が、共有
する暗号用鍵および認証用鍵を用いて当該継続通知を復
号/認証し、前記ESPを継続して使用することを特徴
とする。
【0039】つぎの発明にかかるセキュリティアソシエ
ーション切断/継続方法にあっては、一方の中継装置
が、自装置を識別する識別子を変更後、ISAKMPの
継続が困難な場合に、「変更前の識別子」と暗号用鍵ま
たは認証用鍵を用いて暗号化した「ISAKMP開放」
を含むISAKMP切断通知を、他方の中継装置に対し
て送信するISAKMP切断通知ステップと、前記IS
AKMP切断通知を受信した中継装置が、共有する暗号
用鍵および認証用鍵を用いて当該切断通知を復号/認証
し、さらに、前記ISAKMPおよびISAKMP上で
確立したESPを切断するISAKMP切断ステップ
と、を含むことを特徴とする。
【0040】つぎの発明にかかるセキュリティアソシエ
ーション切断/継続方法にあっては、前記一方の中継装
置が、自装置を識別する識別子を変更後、ISAKMP
の継続が可能な場合に、「変更前の識別子」と暗号用鍵
または認証用鍵を用いて暗号化した「ISAKMP継
続」を含むISAKMP継続通知を、他方の中継装置に
対して送信するISAKMP継続通知ステップと、前記
ISAKMP継続通知を受信した中継装置が、共有する
暗号用鍵および認証用鍵を用いて当該継続通知を復号/
認証し、前記ISAKMPを継続して使用するISAK
MP継続ステップと、さらに、端末間のESPの暗号通
信に関する情報を設定変更した場合、前記一方の中継装
置が、暗号用鍵または認証用鍵を用いて暗号化した「E
SP開放」を含むESP切断通知を、他方の中継装置に
対して送信するESP切断通知ステップと、前記ESP
切断通知を受信した中継装置が、共有する暗号用鍵およ
び認証用鍵を用いて当該切断通知を復号/認証し、さら
に、前記ISAKMP上で確立したESPを切断するE
SP切断ステップと、を含むことを特徴とする。
【0041】つぎの発明にかかるセキュリティアソシエ
ーション切断/継続方法にあっては、前記一方の中継装
置が、自装置を識別する識別子を変更後、ISAKMP
の継続が可能な場合に、「変更前の識別子」と暗号用鍵
または認証用鍵を用いて暗号化した「ISAKMP継
続」を含むISAKMP継続通知を、他方の中継装置に
対して送信するISAKMP継続通知ステップと、前記
ISAKMP継続通知を受信した中継装置が、共有する
暗号用鍵および認証用鍵を用いて当該継続通知を復号/
認証し、前記ISAKMPを継続して使用するISAK
MP継続ステップと、さらに、端末間のESPの暗号通
信に関する情報を継続する場合、前記一方の中継装置
が、暗号用鍵または認証用鍵を用いて暗号化した「ES
P継続」を含むESP継続通知を、他方の中継装置に対
して送信するESP継続通知ステップと、前記ESP継
続通知を受信した中継装置が、共有する暗号用鍵および
認証用鍵を用いて当該継続通知を復号/認証し、前記E
SPを継続して使用するESP継続ステップと、を含む
ことを特徴とする。
【0042】つぎの発明にかかるセキュリティアソシエ
ーション切断/継続方法にあっては、第1の端末が、自
端末を識別する識別子を変更後、ISAKMPの継続が
困難な場合に、「変更前の識別子」と暗号用鍵または認
証用鍵を用いて暗号化した「ISAKMP開放」を含む
ISAKMP切断通知を、前記中継装置に対して送信す
るISAKMP切断通知ステップと、前記ISAKMP
切断通知を受信した中継装置が、共有する暗号用鍵およ
び認証用鍵を用いて当該切断通知を復号/認証し、さら
に、前記ISAKMPおよびISAKMP上で確立した
ESPを切断するISAKMP切断ステップと、を含む
ことを特徴とする。
【0043】つぎの発明にかかるセキュリティアソシエ
ーション切断/継続方法にあっては、前記第1の端末
が、自端末を識別する識別子を変更後、ISAKMPの
継続が可能な場合に、「変更前の識別子」と暗号用鍵ま
たは認証用鍵を用いて暗号化した「ISAKMP継続」
を含むISAKMP継続通知を、前記中継装置に対して
送信するISAKMP継続通知ステップと、前記ISA
KMP継続通知を受信した中継装置が、共有する暗号用
鍵および認証用鍵を用いて当該継続通知を復号/認証
し、前記ISAKMPを継続して使用するISAKMP
継続ステップと、さらに、前記ESPの暗号通信に関す
る情報を設定変更した場合、前記第1の端末が、暗号用
鍵または認証用鍵を用いて暗号化した「ESP開放」を
含むESP切断通知を、前記中継装置に対して送信する
ESP切断通知ステップと、前記ESP切断通知を受信
した中継装置が、共有する暗号用鍵および認証用鍵を用
いて当該切断通知を復号/認証し、さらに、前記ISA
KMP上で確立したESPを切断するESP切断ステッ
プと、を含むことを特徴とする。
【0044】つぎの発明にかかるセキュリティアソシエ
ーション切断/継続方法にあっては、前記第1の端末
が、自端末を識別する識別子を変更後、ISAKMPの
継続が可能な場合に、「変更前の識別子」と暗号用鍵ま
たは認証用鍵を用いて暗号化した「ISAKMP継続」
を含むISAKMP継続通知を、前記中継装置に対して
送信するISAKMP継続通知ステップと、前記ISA
KMP継続通知を受信した中継装置が、共有する暗号用
鍵および認証用鍵を用いて当該継続通知を復号/認証
し、前記ISAKMPを継続して使用するISAKMP
継続ステップと、さらに、前記ESPの暗号通信に関す
る情報を継続する場合、前記第1の端末が、暗号用鍵ま
たは認証用鍵を用いて暗号化した「ESP継続」を含む
ESP継続通知を、前記中継装置に対して送信するES
P継続通知ステップと、前記ESP継続通知を受信した
中継装置が、共有する暗号用鍵および認証用鍵を用いて
当該継続通知を復号/認証し、前記ESPを継続して使
用するESP継続ステップと、を含むことを特徴とす
る。
【0045】
【発明の実施の形態】以下に、本発明にかかる通信シス
テムおよびセキュリティアソシエーション切断/継続方
法の実施の形態を図面に基づいて詳細に説明する。な
お、この実施の形態によりこの発明が限定されるもので
はない。
【0046】実施の形態1.図1は、本発明にかかる通
信システムの構成と、実施の形態1のセキュリティアソ
シエーションの再確立動作を示す図である。なお、前述
の図19および図20と同様の構成については、同一の
符号を付してその説明を省略する。図1において、32
は暗号装置5と暗号装置6との間で再確立したISAK
MP_SAであり、43は端末12と端末22との間の
通信データを暗号通信するためのESP_SAであり、
44は端末13と端末23との間の通信データを暗号通
信するためのESP_SAであり、81はISAKMP
切断通知である。
【0047】ここで、実施の形態1における暗号装置間
の暗号通信の動作を、図20と図1を用いて説明する。
たとえば、暗号装置5と暗号装置6は、端末12と端末
22との間の通信データの中継に先立ち、セキュリティ
アソシエーションISAKMP_SA31とESP_S
A41を確立する(図20参照)。同様に、暗号装置5
と暗号装置6は、端末13と端末23との間の通信デー
タの中継に先立ち、セキュリティアソシエーションIS
AKMP_SA31上でESP_SA42を確立する
(図20参照)。
【0048】そして、端末12と端末22との間では、
従来技術と同様の手順で、ESP_SA41を用いた暗
号通信を行う。なお、暗号装置6では、ISAKMP_
SA31を確立後、以下に示す暗号装置6のISAKM
P旧SA保持テーブルを、不揮発性メモリに保持する。
図2は、暗号装置6のISAKMP旧SA保持テーブル
を示す図である。図2において、121は送信元IPア
ドレスであり、122は宛先IPアドレスであり、12
3はinitiator_cookieであり、124
はresponder_cookieであり、125は
暗号用鍵や暗号アルゴリズム情報などで構成される暗号
情報であり、126は認証用鍵や認証アルゴリズム情報
などで構成される認証情報であり、127はSA開放時
刻であり、128は転送バイト計数である。
【0049】さらに、暗号装置6では、ESP_SA4
1を確立後、以下に示す暗号装置6のESP/AH旧S
A保持テーブルに端末12と端末22間のESPの暗号
通信に関するエントリを追加し、不揮発性メモリに保持
する。図3は、暗号装置6のESP/AH旧SA保持テ
ーブルを示す図である。図3において、131は送信元
IPアドレスであり、132は宛先IPアドレスであ
り、133は送信元ネットワークアドレスであり、13
4は宛先ネットワークアドレスであり、135は送信元
TCP/UDP情報であり、136は宛先TCP/UD
P情報であり、137は暗号用鍵や暗号アルゴリズム情
報などで構成される暗号情報であり、138は認証用鍵
や認証アルゴリズム情報などで構成される認証情報であ
り、139はSA開放時刻であり、140は転送バイト
計数である。
【0050】また、端末13と端末23との間では、従
来技術と同様の手順で、ESP_SA42を用いた暗号
通信を行い、さらに、暗号装置6では、ESP_SA4
2を確立後、上記図3に示す暗号装置6のESP/AH
旧SA保持テーブルに、端末13と端末23間のESP
の暗号通信に関するエントリを追加し、不揮発性メモリ
に保持する。
【0051】つぎに、端末12と端末22間において通
信中または端末13と端末23間において通信中に、暗
号装置6のIPアドレスを変更した場合について説明す
る。暗号装置6では、電源の再投入によりIPアドレス
を変更する。IPアドレスの変更については、たとえ
ば、IPアドレスをクライアントに動的に割り当ててい
るDHCP(Dynamic Host Configuration Protocol)
を運用しているシステムであれば、通常の運用で起こり
うる。
【0052】暗号装置6では、不揮発性メモリに保持し
ていた図2に示すISAKMP旧SA保持テーブルを読
み出し、ISAKMP_SA31の継続が困難である場
合、具体的にいうと、暗号アルゴリズムがDESから3
DESに設定変更した場合、以下に示すISAKMP切
断通知81を作成する。図4は、ISAKMP切断通知
81を示す図である。図4において、101はIPヘッ
ダ内でプロトコル種別を指定するプロトコル指定フィー
ルドであり、102はIPヘッダ内の送信元IPアドレ
スであり、103はIPヘッダ内の宛先IPアドレスで
あり、104は旧IPヘッダ内の旧送信元IPアドレス
であり、105は旧IPヘッダ内の旧宛先IPアドレス
であり、106はUDPヘッダであり、107はISA
KMPデータ内のinitiator_cookieで
あり、108はISAKMPデータ内のrespond
er_cookieであり、109はISAKMPデー
タ内の暗号ビットであり、110はISAKMPデータ
内の認証ビットであり、111は暗号/認証データ内の
notificationペイロードである。
【0053】具体的にいうと、ISAKMP切断通知8
1のプロトコル指定フィールド101には旧IPヘッダ
であるトンネルを設定し、送信元IPアドレス102に
は暗号装置6の新しいIPアドレスを設定し、宛先IP
アドレス103には暗号装置5のIPアドレスを設定
し、旧送信元IPアドレス104には暗号装置6の以前
のIPアドレスを設定し、旧宛先IPアドレス105に
は暗号装置5のIPアドレスを設定し、UDPヘッダ1
06にはUDPの情報を指定し、initiator_
cookie107にはISAKMP_SA31のi−
cookieを設定し、responder_cook
ie108にはISAKMP_SA31のr−cook
ieを設定し、暗号ビット109には暗号を示すビット
を設定し、認証ビット110には認証を示すビットを設
定し、notificationペイロード111には
ISAKMPのSAを開放する旨を伝える「ISAKM
P開放」を設定する。
【0054】暗号装置6では、上記のように生成したI
SAKMP切断通知81を暗号装置5宛に送信する。I
SAKMP切断通知81を受信した暗号装置5では、セ
キュリティアソシエーションISAKMP_SA31を
開放し、ISAKMP_SA31上の暗号通信路上で確
立したESP_SA41とESP_SA42も開放す
る。なお、ISAKMP切断通知81のnotific
ationペイロード111の部分については、ISA
KMP_SA31の確立時に共有したSA31暗号用鍵
とSA31認証用鍵を用いて暗号化され、認証機能によ
り、悪意を持った第三者がなりすますことやデータを改
ざんすることが不可能となっている。
【0055】その後、暗号装置5と暗号装置6との間で
は、図1に示すように、IKEの手順を実行し、セキュ
リティアソシエーションISAKMP_SA32を確立
する。そして、セキュリティアソシエーションESP_
SA43とESP_SA44を確立し、端末12と端末
22間の暗号通信または端末13と端末23間の暗号通
信を再開する。
【0056】このように、本実施の形態においては、暗
号装置6が、自装置を識別するための識別子(IPアド
レス)を変更後、「変更前の識別子」と暗号用鍵および
認証用鍵を用いて暗号化した「セキュリティアソシエー
ション開放(ISAKMP開放)」とを含むセキュリテ
ィアソシエーション切断通知(ISAKMP切断通知)
を、通信相手である暗号装置5に対して送信する。そし
て、セキュリティアソシエーション切断通知を受信した
暗号装置5では、上記暗号用鍵および上記認証用鍵を用
いて当該セキュリティアソシエーション切断通知を復号
し、相互認証を行い、旧セキュリティアソシエーション
を切断する。これにより、旧セキュリティアソシエーシ
ョンのリソースを無駄に消費することがなく、さらに、
旧セキュリティアソシエーションによる通信不通も発生
しない。
【0057】なお、本実施の形態では、説明の便宜上、
暗号装置6の通信相手を暗号装置51台としたが、これ
に限らず、複数の暗号装置に対しても適用可能である。
【0058】実施の形態2.図5は、本発明にかかる通
信システムの構成と、実施の形態2のセキュリティアソ
シエーションの再確立動作を示す図である。なお、前述
の図19および図20と同様の構成については、同一の
符号を付してその説明を省略する。図5において、45
は端末12と端末22との間の通信データを暗号通信す
るためのESP_SAであり、46は端末13と端末2
3との間の通信データを暗号通信するためのESP_S
Aであり、82はISAKMP継続通知であり、83は
ESP_SA41切断通知であり、84はESP_SA
42切断通知である。
【0059】ここで、実施の形態2における暗号装置間
の暗号通信の動作を、図5を用いて説明する。なお、本
実施の形態では、前述の実施の形態1と異なる動作につ
いてのみ説明する。
【0060】たとえば、前述の実施の形態1のように
(図20参照)セキュリティアソシエーションISAK
MP_SA31とESP_SA41とESP_SA42
を確立後、端末12と端末22間において通信中または
端末13と端末23間において通信中に、暗号装置6の
IPアドレスを変更した場合、暗号装置6では、前述同
様、電源の再投入によりIPアドレスを変更する。そし
て、不揮発性メモリに保持していた図2に示すISAK
MP旧SA保持テーブルを読み出し、ISAKMP_S
A31の継続が可能である場合、以下に示すISAKM
P継続通知82を作成する。
【0061】図6は、ISAKMP継続通知82を示す
図である。ここでは、前述のISAKMP切断通知81
と異なる設定についてのみ説明する。具体的にいうと、
ISAKMP継続通知82のnotification
ペイロード111にはISAKMPのSAを継続する旨
を伝える「ISAKMP継続」を設定する。
【0062】暗号装置6では、上記のように生成したI
SAKMP継続通知82を暗号装置5宛に送信する。I
SAKMP継続通知82を受信した暗号装置5では、セ
キュリティアソシエーションISAKMP_SA31を
継続して使用する。なお、ISAKMP切断通知82の
notificationペイロード111の部分につ
いては、ISAKMP_SA31の確立時に共有したS
A31暗号用鍵とSA31認証用鍵を用いて暗号化さ
れ、認証機能により、悪意を持った第三者がなりすます
ことやデータ改ざんすることが不可能となっている。
【0063】その後、セキュリティアソシエーションI
SAKMP_SA31を継続した暗号装置5と暗号装置
6は、暗号装置6の新しいIPアドレスを用いてSA3
1の通信を行う。
【0064】さらに、端末12と端末22間のESPの
暗号通信に関する情報を設定変更した場合、すなわち、
認証アルゴリズムが、たとえば、MD5からSHA1に
設定変更された場合、暗号装置6では、不揮発性メモリ
に保持していた前述の暗号装置6のESP/AH旧SA
保持テーブルを読み出し、以下に示すESP_SA41
切断通知83を作成する。
【0065】図7は、ESP_SA41切断通知83を
示す図である。ここでは、前述のISAKMP継続通知
82と異なる設定についてのみ説明する。具体的にいう
と、ESP_SA41切断通知83のnotifica
tionペイロード111にはESP_SA41を開放
する旨を伝える「ESP_SA41開放」を設定する。
【0066】暗号装置6では、上記のように生成したE
SP_SA41切断通知83を暗号装置5宛に送信す
る。ESP_SA41切断通知83を受信した暗号装置
5では、ISAKMP_SA31上の暗号通信路上で確
立したESP_SA41を開放する。また、端末13と
端末23間のESPの暗号通信に関する情報を設定変更
した場合、暗号装置6では、上記と同様の手順で、ES
P_SA42切断通知84(ESP_SA41切断通知
83と同様のフォーマット)を暗号装置5宛に送信す
る。ESP_SA42切断通知84を受信した暗号装置
5では、ISAKMP_SA31上の暗号通信路上で確
立したESP_SA42を開放する。
【0067】その後、暗号装置5と暗号装置6との間で
は、図5に示すように、IKEの手順を実行し、セキュ
リティアソシエーションISAKMP_SA31の通信
路上で、セキュリティアソシエーションESP_SA4
5とESP_SA46を確立し、端末12と端末22間
の暗号通信または端末13と端末23間の暗号通信を再
開する。
【0068】このように、本実施の形態においては、暗
号装置6が、自装置を識別するための識別子(IPアド
レス)を変更後、現在のセキュリティアソシエーション
ISAKMPの継続が可能である場合、ISAKMP継
続通知を通信相手である暗号装置5に対して送信する。
そして、現在のセキュリティアソシエーションISAK
MPを継続使用する。さらに、暗号装置6では、端末間
のESPの暗号通信に関する情報を設定変更した場合、
ESP切断通知を暗号装置5に対して送信する。そし
て、ESP切断通知を受信した暗号装置5では、旧セキ
ュリティアソシエーションESPを切断する。これによ
り、旧セキュリティアソシエーションのリソースを無駄
に消費することがなく、さらに、旧セキュリティアソシ
エーションによる通信不通も発生しない。
【0069】また、本実施の形態においては、現在のセ
キュリティアソシエーションISAKMPを継続使用す
るので、セキュリティアソシエーションの確立時演算負
荷と演算処理時間を大幅に削減できる。
【0070】実施の形態3.図8は、本発明にかかる通
信システムの構成と、実施の形態3のセキュリティアソ
シエーションの再確立動作を示す図である。なお、前述
の図19および図20と同様の構成については、同一の
符号を付してその説明を省略する。図8において、85
はESP_SA41継続通知であり、86はESP_S
A42継続通知である。
【0071】ここで、実施の形態3における暗号装置間
の暗号通信の動作を、図8を用いて説明する。なお、本
実施の形態では、前述の実施の形態1または2と異なる
動作についてのみ説明する。
【0072】たとえば、前述の実施の形態1または2の
ように(図20参照)セキュリティアソシエーションI
SAKMP_SA31とESP_SA41とESP_S
A42を確立後、端末12と端末22間において通信中
または端末13と端末23間において通信中に、暗号装
置6のIPアドレスを変更した場合、暗号装置6では、
前述同様、電源の再投入によりIPアドレスを変更す
る。そして、不揮発性メモリに保持していた図2に示す
ISAKMP旧SA保持テーブルを読み出し、ISAK
MP_SA31の継続が可能である場合、前述の図6に
示すISAKMP継続通知82を作成する。
【0073】暗号装置6では、上記のように生成したI
SAKMP継続通知82を暗号装置5宛に送信する。I
SAKMP継続通知82を受信した暗号装置5では、前
述の実施の形態2同様、セキュリティアソシエーション
ISAKMP_SA31を継続して使用する。
【0074】その後、セキュリティアソシエーションI
SAKMP_SA31を継続した暗号装置5と暗号装置
6は、暗号装置6の新しいIPアドレスを用いてISA
KMP_SA31の通信を行う。
【0075】さらに、端末12と端末22間のESPの
暗号通信に関する情報を継続する場合、暗号装置6で
は、不揮発性メモリに保持していた図3の暗号装置6の
ESP/AH旧SA保持テーブルを読み出し、以下に示
すESP_SA41継続通知85を作成する。
【0076】図9は、ESP_SA41継続通知85を
示す図である。ここでは、図4のISAKMP切断通知
81と異なる設定についてのみ説明する。具体的にいう
と、ESP_SA41継続通知85のnotifica
tionペイロード111にはESP_SA41を継続
する旨を伝える「ESP_SA41継続」を設定する。
【0077】暗号装置6では、上記のように生成したE
SP_SA41継続通知85を暗号装置5宛に送信す
る。ESP_SA41継続通知85を受信した暗号装置
5では、ESP_SA41を、継続して端末12と端末
22間のESPの暗号通信に使用する。また、端末13
と端末23間のESPの暗号通信に関する情報を継続す
る場合、暗号装置6では、上記と同様の手順で、ESP
_SA42継続通知86(ESP_SA41継続通知8
5と同様のフォーマット)を暗号装置5宛に送信する。
ESP_SA42継続通知86を受信した暗号装置5で
は、ESP_SA42を、継続して端末13と端末23
間のESPの暗号通信に使用する。
【0078】その後、暗号装置5と暗号装置6との間で
は、図8に示すように、セキュリティアソシエーション
ESP_SA41とESP_SA42を継続して使用
し、端末12と端末22間の暗号通信または端末13と
端末23間の暗号通信を行う。
【0079】このように、本実施の形態においては、暗
号装置6が、自装置を識別するための識別子(IPアド
レス)を変更後、現在のセキュリティアソシエーション
ISAKMPの継続が可能である場合、ISAKMP継
続通知を通信相手である暗号装置5に対して送信する。
そして、現在のセキュリティアソシエーションISAK
MPを継続使用する。さらに、暗号装置6では、端末間
のESPの暗号通信に関する情報を継続場合、ESP継
続通知を暗号装置5に対して送信する。そして、ESP
継続通知を受信した暗号装置5では、現在のセキュリテ
ィアソシエーションESPを継続使用する。これによ
り、旧セキュリティアソシエーションのリソースを無駄
に消費することがなく、さらに、旧セキュリティアソシ
エーションによる通信不通も発生しない。
【0080】また、本実施の形態においては、現在のセ
キュリティアソシエーションISAKMPおよびESP
を継続使用するので、セキュリティアソシエーション確
立時の演算負荷と演算処理時間をさらに大幅に削減でき
る。
【0081】実施の形態4.図10は、本発明にかかる
通信システムの構成と、実施の形態4のセキュリティア
ソシエーションの再確立動作を示す図である。なお、前
述の図22および図23と同様の構成については、同一
の符号を付してその説明を省略する。図10において、
52は暗号装置5と端末23との間で再確立したISA
KMP_SAであり、63は端末12と端末23との間
の通信データを暗号通信するためのESP_SAであ
り、64は端末13と端末23との間の通信データを暗
号通信するためのESP_SAであり、91はISAK
MP切断通知である。
【0082】ここで、実施の形態4における暗号装置間
の暗号通信の動作を、図23と図10を用いて説明す
る。たとえば、暗号装置5と端末23は、端末12と端
末23との間の通信データの中継に先立ち、セキュリテ
ィアソシエーションISAKMP_SA51とESP_
SA61を確立する(図23参照)。同様に、暗号装置
5と端末23は、端末13と端末23との間の通信デー
タの中継に先立ち、セキュリティアソシエーションIS
AKMP_SA51上でESP_SA62を確立する
(図23参照)。
【0083】そして、端末12と端末23との間では、
従来技術と同様の手順で、ESP_SA61を用いた暗
号通信を行う。なお、端末23では、ISAKMP_S
A51を確立後、以下に示す端末23のISAKMP旧
SA保持テーブルを、不揮発性メモリに保持する。図1
1は、端末23のISAKMP旧SA保持テーブルを示
す図である。
【0084】さらに、端末23では、ESP_SA61
を確立後、以下に示す端末23のESP/AH旧SA保
持テーブルに端末12と端末23間のESPの暗号通信
に関するエントリを追加し、不揮発性メモリに保持す
る。図12は、端末23のESP/AH 旧SA保持テ
ーブルを示す図である。
【0085】また、端末13と端末23との間では、従
来技術と同様の手順で、ESP_SA62を用いた暗号
通信を行い、さらに、端末23では、ESP_SA62
を確立後、上記図12に示す端末23のESP/AH旧
SA保持テーブルに、端末13と端末23間のESPの
暗号通信に関するエントリを追加し、不揮発性メモリに
保持する。
【0086】つぎに、端末12と端末23間において通
信中または端末13と端末23間において通信中に、端
末23のIPアドレスを変更した場合について説明す
る。端末23では、電源の再投入によりIPアドレスを
変更する。IPアドレスの変更については、たとえば、
DHCPを運用しているシステムであれば、通常の運用
で起こりうる。
【0087】端末23では、不揮発性メモリに保持して
いた図11に示すISAKMP旧SA保持テーブルを読
み出し、ISAKMP_SA51の継続が困難である場
合、具体的にいうと、暗号アルゴリズムがDESから3
DESに設定変更した場合、以下に示すISAKMP切
断通知91を作成する。図13は、ISAKMP切断通
知91を示す図である。
【0088】具体的にいうと、ISAKMP切断通知9
1のプロトコル指定フィールド101には旧IPヘッダ
であるトンネルを設定し、送信元IPアドレス102に
は端末23の新しいIPアドレスを設定し、宛先IPア
ドレス103には暗号装置5のIPアドレスを設定し、
旧送信元IPアドレス104には端末23の以前のIP
アドレスを設定し、旧宛先IPアドレス105には暗号
装置5のIPアドレスを設定し、UDPヘッダ106に
はUDPの情報を指定し、initiator_coo
kie107にはSA51のi−cookieを設定
し、responder_cookie108にはSA
51のr−cookieを設定し、暗号ビット109に
は暗号を示すビットを設定し、認証ビット110には認
証を示すビットを設定し、notificationペ
イロード111にはISAKMPのSAを開放する旨を
伝える「ISAKMP開放」を設定する。
【0089】端末23では、上記のように生成したIS
AKMP切断通知91を暗号装置5宛に送信する。IS
AKMP切断通知91を受信した暗号装置5では、セキ
ュリティアソシエーションISAKMP_SA51を開
放し、ISAKMP_SA51上の暗号通信路上で確立
したESP_SA61とESP_SA62も開放する。
なお、ISAKMP切断通知91のnotificat
ionペイロード111の部分については、ISAKM
P_SA51の確立時に共有したSA51暗号用鍵とS
A51認証用鍵を用いて暗号化され、認証機能により、
悪意を持った第三者がなりすますことやデータを改ざん
することが不可能となっている。
【0090】その後、暗号装置5と端末23との間で
は、図10に示すように、IKEの手順を実行し、セキ
ュリティアソシエーションISAKMP_SA52を確
立する。そして、セキュリティアソシエーションESP
_SA63とESP_SA64を確立し、端末12と端
末23間の暗号通信または端末13と端末23間の暗号
通信を再開する。
【0091】このように、本実施の形態においては、端
末23が、自装置を識別するための識別子(IPアドレ
ス)を変更後、「変更前の識別子」と、暗号用鍵および
認証用鍵を用いて暗号化した「セキュリティアソシエー
ション開放(ISAKMP開放)」とを含むセキュリテ
ィアソシエーション切断通知(ISAKMP切断通知)
を、通信相手である暗号装置5に対して送信する。そし
て、セキュリティアソシエーション切断通知を受信した
暗号装置5では、上記暗号用鍵および上記認証用鍵を用
いて当該セキュリティアソシエーション切断通知を復号
し、相互認証を行い、旧セキュリティアソシエーション
を切断する。これにより、旧セキュリティアソシエーシ
ョンのリソースを無駄に消費することがなく、さらに、
旧セキュリティアソシエーションによる通信不通も発生
しない。
【0092】なお、本実施の形態では、説明の便宜上、
暗号装置6の通信相手を暗号装置51台としたが、これ
に限らず、複数の暗号装置に対しても適用可能である。
【0093】実施の形態5.図14は、本発明にかかる
通信システムの構成と、実施の形態5のセキュリティア
ソシエーションの再確立動作を示す図である。なお、前
述の図22および図23と同様の構成については、同一
の符号を付してその説明を省略する。図14において、
65は端末12と端末23との間の通信データを暗号通
信するためのESP_SAであり、66は端末13と端
末23との間の通信データを暗号通信するためのESP
_SAであり、92はISAKMP継続通知であり、9
3はESP_SA61切断通知であり、94はESP_
SA62切断通知である。
【0094】ここで、実施の形態5における暗号装置間
の暗号通信の動作を、図14を用いて説明する。なお、
本実施の形態では、前述の実施の形態4と異なる動作に
ついてのみ説明する。
【0095】たとえば、前述の実施の形態4のように
(図23参照)セキュリティアソシエーションISAK
MP_SA51とESP_SA61とESP_SA62
を確立後、端末12と端末23間において通信中または
端末13と端末23間において通信中に、端末23のI
Pアドレスを変更した場合、端末23では、前述同様、
電源の再投入によりIPアドレスを変更する。そして、
不揮発性メモリに保持していた図11に示すISAKM
P旧SA保持テーブルを読み出し、ISAKMP_SA
51の継続が可能である場合、以下に示すISAKMP
継続通知92を作成する。
【0096】図15は、ISAKMP継続通知92を示
す図である。ここでは、前述のISAKMP切断通知9
1と異なる設定についてのみ説明する。具体的にいう
と、ISAKMP継続通知92のnotificati
onペイロード111にはISAKMPのSAを継続す
る旨を伝える「ISAKMP継続」を設定する。
【0097】端末23では、上記のように生成したIS
AKMP継続通知92を暗号装置5宛に送信する。IS
AKMP継続通知92を受信した暗号装置5では、セキ
ュリティアソシエーションISAKMP_SA51を継
続して使用する。なお、ISAKMP継続通知92のn
otificationペイロード111の部分につい
ては、ISAKMP_SA51の確立時に共有したSA
51暗号用鍵とSA51認証用鍵を用いて暗号化され、
認証機能により、悪意を持った第三者がなりすますこと
やデータ改ざんすることが不可能となっている。
【0098】その後、セキュリティアソシエーションI
SAKMP_SA51を継続した暗号装置5と端末23
は、端末23の新しいIPアドレスを用いてISAKM
P_SA51の通信を行う。
【0099】さらに、端末12と端末23間のESPの
暗号通信に関する情報を設定変更した場合、すなわち、
認証アルゴリズムが、たとえば、MD5からSHA1に
設定変更された場合、端末23では、不揮発性メモリに
保持していた図12の暗号装置6のESP/AH旧SA
保持テーブルを読み出し、以下に示すESP_SA61
切断通知93を作成する。
【0100】図16は、ESP_SA61切断通知93
を示す図である。ここでは、前述のISAKMP継続通
知92と異なる設定についてのみ説明する。具体的にい
うと、ESP_SA61切断通知93のnotific
ationペイロード111にはESP_SA61を開
放する旨を伝える「ESP_SA61開放」を設定す
る。
【0101】端末23では、上記のように生成したES
P_SA61切断通知93を暗号装置5宛に送信する。
ESP_SA61切断通知93を受信した暗号装置5で
は、ISAKMP_SA51上の暗号通信路上で確立し
たESP_SA61を開放する。また、端末13と端末
23間のESPの暗号通信に関する情報を設定変更した
場合、端末23では、上記と同様の手順で、ESP_S
A62切断通知94(ESP_SA61切断通知93と
同様のフォーマット)を暗号装置5宛に送信する。ES
P_SA62切断通知94を受信した暗号装置5では、
ISAKMP_SA51上の暗号通信路上で確立したE
SP_SA62を開放する。
【0102】その後、暗号装置5と暗号装置6との間で
は、図14に示すように、IKEの手順を実行し、セキ
ュリティアソシエーションISAKMP_SA51の通
信路上で、セキュリティアソシエーションESP_SA
65とESP_SA66を確立し、端末12と端末23
間の暗号通信または端末13と端末23間の暗号通信を
再開する。
【0103】このように、本実施の形態においては、端
末23が、自装置を識別するための識別子(IPアドレ
ス)を変更後、現在のセキュリティアソシエーションI
SAKMPの継続が可能である場合、ISAKMP継続
通知を通信相手である暗号装置5に対して送信する。そ
して、現在のセキュリティアソシエーションISAKM
Pを継続使用する。さらに、端末23では、端末間のE
SPの暗号通信に関する情報を設定変更した場合、ES
P切断通知を暗号装置5に対して送信する。そして、E
SP切断通知を受信した暗号装置5では、旧セキュリテ
ィアソシエーションESPを切断する。これにより、旧
セキュリティアソシエーションのリソースを無駄に消費
することがなく、さらに、旧セキュリティアソシエーシ
ョンによる通信不通も発生しない。
【0104】また、本実施の形態においては、現在のセ
キュリティアソシエーションISAKMPを継続使用す
るので、セキュリティアソシエーションの確立時演算負
荷と演算処理時間を大幅に削減できる。
【0105】実施の形態6.図17は、本発明にかかる
通信システムの構成と、実施の形態6のセキュリティア
ソシエーションの再確立動作を示す図である。なお、前
述の図22および図23と同様の構成については、同一
の符号を付してその説明を省略する。図17において、
95はESP_SA61継続通知であり、96はESP
_SA62継続通知である。
【0106】ここで、実施の形態6における暗号装置間
の暗号通信の動作を、図17を用いて説明する。なお、
本実施の形態では、前述の実施の形態4または5と異な
る動作についてのみ説明する。
【0107】たとえば、前述の実施の形態4または5の
ように(図23参照)セキュリティアソシエーションI
SAKMP_SA51とESP_SA61とESP_S
A62を確立後、端末12と端末23間において通信中
または端末13と端末23間において通信中に、端末2
3のIPアドレスを変更した場合、端末23では、前述
同様、電源の再投入によりIPアドレスを変更する。そ
して、不揮発性メモリに保持していた図11に示すIS
AKMP旧SA保持テーブルを読み出し、ISAKMP
_SA51の継続が可能である場合、前述の図15に示
すISAKMP継続通知92を作成する。
【0108】端末23では、上記のように生成したIS
AKMP継続通知92を暗号装置5宛に送信する。IS
AKMP継続通知92を受信した暗号装置5では、前述
の実施の形態5同様、セキュリティアソシエーションI
SAKMP_SA51を継続して使用する。
【0109】その後、セキュリティアソシエーションI
SAKMP_SA51を継続した暗号装置5と端末23
は、端末23の新しいIPアドレスを用いてSA51の
通信を行う。
【0110】さらに、端末12と端末23間のESPの
暗号通信に関する情報を継続する場合、端末23では、
不揮発性メモリに保持していた図12の端末23のES
P/AH旧SA保持テーブルを読み出し、以下に示すE
SP_SA61継続通知95を作成する。
【0111】図18は、ESP_SA61継続通知95
を示す図である。ここでは、図13のISAKMP切断
通知91と異なる設定についてのみ説明する。具体的に
いうと、ESP_SA61継続通知95のnotifi
cationペイロード111にはESP_SA61を
継続する旨を伝える「ESP_SA61継続」を設定す
る。
【0112】端末23では、上記のように生成したES
P_SA61継続通知95を暗号装置5宛に送信する。
ESP_SA61継続通知95を受信した暗号装置5で
は、ESP_SA61を、継続して端末12と端末23
間のESPの暗号通信に使用する。また、端末13と端
末23間のESPの暗号通信に関する情報を継続する場
合、端末23では、上記と同様の手順で、ESP_SA
62継続通知96(ESP_SA61継続通知95と同
様のフォーマット)を暗号装置5宛に送信する。ESP
_SA62継続通知96を受信した暗号装置5では、E
SP_SA62を、継続して端末13と端末23間のE
SPの暗号通信に使用する。
【0113】その後、暗号装置5と端末23との間で
は、図17に示すように、セキュリティアソシエーショ
ンESP_SA61とESP_SA62を継続して使用
し、端末12と端末23間の暗号通信または端末13と
端末23間の暗号通信を行う。
【0114】このように、本実施の形態においては、端
末23が、自装置を識別するための識別子(IPアドレ
ス)を変更後、現在のセキュリティアソシエーションI
SAKMPの継続が可能である場合、ISAKMP継続
通知を通信相手である暗号装置5に対して送信する。そ
して、現在のセキュリティアソシエーションISAKM
Pを継続使用する。さらに、端末23では、端末間のE
SPの暗号通信に関する情報を継続場合、ESP継続通
知を暗号装置5に対して送信する。そして、ESP継続
通知を受信した暗号装置5では、現在のセキュリティア
ソシエーションESPを継続使用する。これにより、旧
セキュリティアソシエーションのリソースを無駄に消費
することがなく、さらに、旧セキュリティアソシエーシ
ョンによる通信不通も発生しない。
【0115】また、本実施の形態においては、現在のセ
キュリティアソシエーションISAKMPおよびESP
を継続使用するので、セキュリティアソシエーション確
立時の演算負荷と演算処理時間をさらに大幅に削減でき
る。
【0116】
【発明の効果】以上、説明したとおり、本発明によれ
ば、一方の中継装置が、自装置を識別するための識別子
(IPアドレス)を変更後、暗号用鍵および認証用鍵を
用いて暗号化した「セキュリティアソシエーション開放
(ISAKMP開放)」とを含むセキュリティアソシエ
ーション切断通知(ISAKMP切断通知)を、他方の
中継装置に対して送信する。そして、セキュリティアソ
シエーション切断通知を受信した中継装置では、上記暗
号用鍵および上記認証用鍵を用いて当該セキュリティア
ソシエーション切断通知を復号し、認証を行い、旧セキ
ュリティアソシエーションを切断する。これにより、旧
セキュリティアソシエーションのリソースを無駄に消費
することがなく、さらに、旧セキュリティアソシエーシ
ョンによる通信不通も発生しない、という効果を奏す
る。
【0117】つぎの発明によれば、一方の中継装置が、
自装置を識別するための識別子(IPアドレス)を変更
後、現在のセキュリティアソシエーションISAKMP
の継続が可能である場合、ISAKMP継続通知を他方
の中継装置に対して送信する。そして、現在のセキュリ
ティアソシエーションISAKMPを継続使用する。さ
らに、端末間のESPの暗号通信に関する情報を設定変
更した場合、ESP切断通知を他方の中継装置に対して
送信する。そして、ESP切断通知を受信した中継装置
では、旧セキュリティアソシエーションESPを切断す
る。これにより、さらに、現在のセキュリティアソシエ
ーションISAKMPを継続使用するので、セキュリテ
ィアソシエーションの確立時演算負荷と演算処理時間を
大幅に削減できる、という効果を奏する。
【0118】つぎの発明によれば、一方の中継装置が、
自装置を識別するための識別子(IPアドレス)を変更
後、現在のセキュリティアソシエーションISAKMP
の継続が可能である場合、ISAKMP継続通知を他方
の中継装置に対して送信する。そして、現在のセキュリ
ティアソシエーションISAKMPを継続使用する。さ
らに、端末間のESPの暗号通信に関する情報を継続場
合、ESP継続通知を中継装置に対して送信する。そし
て、ESP継続通知を受信した中継装置では、現在のセ
キュリティアソシエーションESPを継続使用する。こ
れにより、現在のセキュリティアソシエーションISA
KMPおよびESPを継続使用するので、セキュリティ
アソシエーション確立時の演算負荷と演算処理時間をさ
らに大幅に削減できる、という効果を奏する。
【0119】つぎの発明によれば、第1の端末が、自装
置を識別するための識別子(IPアドレス)を変更後、
暗号用鍵および認証用鍵を用いて暗号化した「セキュリ
ティアソシエーション開放(ISAKMP開放)」とを
含むセキュリティアソシエーション切断通知(ISAK
MP切断通知)を、中継装置に対して送信する。そし
て、セキュリティアソシエーション切断通知を受信した
中継装置では、上記暗号用鍵および上記認証用鍵を用い
て当該セキュリティアソシエーション切断通知を復号
し、認証を行い、旧セキュリティアソシエーションを切
断する。これにより、旧セキュリティアソシエーション
のリソースを無駄に消費することがなく、さらに、旧セ
キュリティアソシエーションによる通信不通も発生しな
い、という効果を奏する。
【0120】つぎの発明によれば、第1の端末が、自装
置を識別するための識別子(IPアドレス)を変更後、
現在のセキュリティアソシエーションISAKMPの継
続が可能である場合、ISAKMP継続通知を中継装置
に対して送信する。そして、現在のセキュリティアソシ
エーションISAKMPを継続使用する。さらに、端末
間のESPの暗号通信に関する情報を設定変更した場
合、ESP切断通知を中継装置に対して送信する。そし
て、ESP切断通知を受信した中継装置では、旧セキュ
リティアソシエーションESPを切断する。これによ
り、さらに、現在のセキュリティアソシエーションIS
AKMPを継続使用するので、セキュリティアソシエー
ションの確立時演算負荷と演算処理時間を大幅に削減で
きる、という効果を奏する。
【0121】つぎの発明によれば、第1の端末が、自装
置を識別するための識別子(IPアドレス)を変更後、
現在のセキュリティアソシエーションISAKMPの継
続が可能である場合、ISAKMP継続通知を中継装置
に対して送信する。そして、現在のセキュリティアソシ
エーションISAKMPを継続使用する。さらに、端末
間のESPの暗号通信に関する情報を継続場合、ESP
継続通知を中継装置に対して送信する。そして、ESP
継続通知を受信した中継装置では、現在のセキュリティ
アソシエーションESPを継続使用する。これにより、
現在のセキュリティアソシエーションISAKMPおよ
びESPを継続使用するので、セキュリティアソシエー
ション確立時の演算負荷と演算処理時間をさらに大幅に
削減できる、という効果を奏する。
【0122】つぎの発明によれば、一方の中継装置が、
自装置を識別するための識別子(IPアドレス)を変更
後、暗号用鍵および認証用鍵を用いて暗号化した「セキ
ュリティアソシエーション開放(ISAKMP開放)」
とを含むセキュリティアソシエーション切断通知(IS
AKMP切断通知)を、他方の中継装置に対して送信す
る。そして、セキュリティアソシエーション切断通知を
受信した中継装置では、上記暗号用鍵および上記認証用
鍵を用いて当該セキュリティアソシエーション切断通知
を復号し、認証を行い、旧セキュリティアソシエーショ
ンを切断する。これにより、旧セキュリティアソシエー
ションのリソースを無駄に消費することがなく、さら
に、旧セキュリティアソシエーションによる通信不通も
発生しない、という効果を奏する。
【0123】つぎの発明によれば、一方の中継装置が、
自装置を識別するための識別子(IPアドレス)を変更
後、現在のセキュリティアソシエーションISAKMP
の継続が可能である場合、ISAKMP継続通知を他方
の中継装置に対して送信する。そして、現在のセキュリ
ティアソシエーションISAKMPを継続使用する。さ
らに、端末間のESPの暗号通信に関する情報を設定変
更した場合、ESP切断通知を他方の中継装置に対して
送信する。そして、ESP切断通知を受信した中継装置
では、旧セキュリティアソシエーションESPを切断す
る。これにより、さらに、現在のセキュリティアソシエ
ーションISAKMPを継続使用するので、セキュリテ
ィアソシエーションの確立時演算負荷と演算処理時間を
大幅に削減できる、という効果を奏する。
【0124】つぎの発明によれば、一方の中継装置が、
自装置を識別するための識別子(IPアドレス)を変更
後、現在のセキュリティアソシエーションISAKMP
の継続が可能である場合、ISAKMP継続通知を他方
の中継装置に対して送信する。そして、現在のセキュリ
ティアソシエーションISAKMPを継続使用する。さ
らに、端末間のESPの暗号通信に関する情報を継続場
合、ESP継続通知を中継装置に対して送信する。そし
て、ESP継続通知を受信した中継装置では、現在のセ
キュリティアソシエーションESPを継続使用する。こ
れにより、現在のセキュリティアソシエーションISA
KMPおよびESPを継続使用するので、セキュリティ
アソシエーション確立時の演算負荷と演算処理時間をさ
らに大幅に削減できる、という効果を奏する。
【0125】つぎの発明によれば、第1の端末が、自装
置を識別するための識別子(IPアドレス)を変更後、
暗号用鍵および認証用鍵を用いて暗号化した「セキュリ
ティアソシエーション開放(ISAKMP開放)」とを
含むセキュリティアソシエーション切断通知(ISAK
MP切断通知)を、中継装置に対して送信する。そし
て、セキュリティアソシエーション切断通知を受信した
中継装置では、上記暗号用鍵および上記認証用鍵を用い
て当該セキュリティアソシエーション切断通知を復号
し、認証を行い、旧セキュリティアソシエーションを切
断する。これにより、旧セキュリティアソシエーション
のリソースを無駄に消費することがなく、さらに、旧セ
キュリティアソシエーションによる通信不通も発生しな
い、という効果を奏する。
【0126】つぎの発明によれば、第1の端末が、自装
置を識別するための識別子(IPアドレス)を変更後、
現在のセキュリティアソシエーションISAKMPの継
続が可能である場合、ISAKMP継続通知を中継装置
に対して送信する。そして、現在のセキュリティアソシ
エーションISAKMPを継続使用する。さらに、端末
間のESPの暗号通信に関する情報を設定変更した場
合、ESP切断通知を中継装置に対して送信する。そし
て、ESP切断通知を受信した中継装置では、旧セキュ
リティアソシエーションESPを切断する。これによ
り、さらに、現在のセキュリティアソシエーションIS
AKMPを継続使用するので、セキュリティアソシエー
ションの確立時演算負荷と演算処理時間を大幅に削減で
きる、という効果を奏する。
【0127】つぎの発明によれば、第1の端末が、自装
置を識別するための識別子(IPアドレス)を変更後、
現在のセキュリティアソシエーションISAKMPの継
続が可能である場合、ISAKMP継続通知を中継装置
に対して送信する。そして、現在のセキュリティアソシ
エーションISAKMPを継続使用する。さらに、端末
間のESPの暗号通信に関する情報を継続場合、ESP
継続通知を中継装置に対して送信する。そして、ESP
継続通知を受信した中継装置では、現在のセキュリティ
アソシエーションESPを継続使用する。これにより、
現在のセキュリティアソシエーションISAKMPおよ
びESPを継続使用するので、セキュリティアソシエー
ション確立時の演算負荷と演算処理時間をさらに大幅に
削減できる、という効果を奏する。
【図面の簡単な説明】
【図1】 本発明にかかる通信システムの構成と、実施
の形態1のセキュリティアソシエーションの再確立動作
を示す図である。
【図2】 暗号装置6のISAKMP旧SA保持テーブ
ルを示す図である。
【図3】 暗号装置6のESP/AH 旧SA保持テー
ブルを示す図である。
【図4】 ISAKMP切断通知81を示す図である。
【図5】 本発明にかかる通信システムの構成と、実施
の形態2のセキュリティアソシエーションの再確立動作
を示す図である。
【図6】 ISAKMP継続通知82を示す図である。
【図7】 ESP_SA41切断通知83を示す図であ
る。
【図8】 本発明にかかる通信システムの構成と、実施
の形態3のセキュリティアソシエーションの再確立動作
を示す図である。
【図9】 ESP_SA41継続通知85を示す図であ
る。
【図10】 本発明にかかる通信システムの構成と、実
施の形態4のセキュリティアソシエーションの再確立動
作を示す図である。
【図11】 端末23のISAKMP旧SA保持テーブ
ルを示す図である。
【図12】 端末23のESP/AH 旧SA保持テー
ブルを示す図である。
【図13】 ISAKMP切断通知91を示す図であ
る。
【図14】 本発明にかかる通信システムの構成と、実
施の形態5のセキュリティアソシエーションの再確立動
作を示す図である。
【図15】 ISAKMP継続通知92を示す図であ
る。
【図16】 ESP_SA61切断通知93を示す図で
ある。
【図17】 本発明にかかる通信システムの構成と、実
施の形態6のセキュリティアソシエーションの再確立動
作を示す図である。
【図18】 ESP_SA61継続通知95を示す図で
ある。
【図19】 暗号通信システムのネットワーク構成を示
す図である。
【図20】 図19のネットワーク構成において、セキ
ュリティアソシエーションを確立した図である。
【図21】 図20のネットワーク構成において、セキ
ュリティアソシエーションを再確立した図である。
【図22】 暗号装置と端末間における暗号通信システ
ムのネットワーク構成を示す図である。
【図23】 図22のネットワーク構成において、セキ
ュリティアソシエーションを確立した図である。
【図24】 図23のネットワーク構成において、セキ
ュリティアソシエーションを再確立した図である。
【符号の説明】
1 通信ネットワーク、5,6 暗号装置、11,1
2,13,21,22,23 端末、31,32,5
1,52 ISAKMP_SA、41,42,43,4
4,45,46,61,62,63,64,65,66
ESP_SA、81 ISAKMP切断通知、82
ISAKMP継続通知、83 ESP_SA41切断通
知、84 ESP_SA42、85 ESP_SA41
継続通知、86 ESP_SA42継続通知、91 I
SAKMP切断通知、92 ISAKMP継続通知、9
3 ESP_SA61切断通知、94 ESP_SA6
2切断通知、95 ESP_SA61継続通知、96
ESP_SA62継続通知。
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B017 AA03 BA07 5J104 AA07 KA02 NA05 PA07 5K030 GA15 HC01 LD19

Claims (12)

    【特許請求の範囲】
  1. 【請求項1】 端末間における通信データの中継に先立
    ち、ネットワークを介して接続された中継装置間にてセ
    キュリティアソシエーションISAKMPを確立し、さ
    らに、当該ISAKMP上で、各中継装置に接続された
    端末間の通信データに対するセキュリティアソシエーシ
    ョンESPを確立し、暗号用鍵および認証用鍵を共有す
    ることで端末間相互の通信を成立させる通信システムに
    おいて、 一方の中継装置が、自装置を識別する識別子を変更後、
    ISAKMPの継続が困難な場合に、「変更前の識別
    子」と暗号用鍵または認証用鍵を用いて暗号化した「I
    SAKMP開放」を含むISAKMP切断通知を、他方
    の中継装置に対して送信し、 前記ISAKMP切断通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該切断通知を復
    号/認証し、さらに、前記ISAKMPおよびISAK
    MP上で確立したESPを切断し、 その後、中継装置間では、新たにISAKMPおよびE
    SPを確立することを特徴とする通信システム。
  2. 【請求項2】 前記一方の中継装置が、自装置を識別す
    る識別子を変更後、ISAKMPの継続が可能な場合
    に、「変更前の識別子」と暗号用鍵または認証用鍵を用
    いて暗号化した「ISAKMP継続」を含むISAKM
    P継続通知を、他方の中継装置に対して送信し、 前記ISAKMP継続通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該継続通知を復
    号/認証し、前記ISAKMPを継続して使用し、 さらに、端末間のESPの暗号通信に関する情報を設定
    変更した場合、前記一方の中継装置が、暗号用鍵または
    認証用鍵を用いて暗号化した「ESP開放」を含むES
    P切断通知を、他方の中継装置に対して送信し、 前記ESP切断通知を受信した中継装置が、共有する暗
    号用鍵および認証用鍵を用いて当該切断通知を復号/認
    証し、さらに、前記ISAKMP上で確立したESPを
    切断し、 その後、中継装置間では、ISAKMP上に新たにES
    Pを確立することを特徴とする請求項1に記載の通信シ
    ステム。
  3. 【請求項3】 前記一方の中継装置が、自装置を識別す
    る識別子を変更後、ISAKMPの継続が可能な場合
    に、「変更前の識別子」と暗号用鍵または認証用鍵を用
    いて暗号化した「ISAKMP継続」を含むISAKM
    P継続通知を、他方の中継装置に対して送信し、 前記ISAKMP継続通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該継続通知を復
    号/認証し、前記ISAKMPを継続して使用し、 さらに、端末間のESPの暗号通信に関する情報を継続
    する場合、前記一方の中継装置が、暗号用鍵または認証
    用鍵を用いて暗号化した「ESP継続」を含むESP継
    続通知を、他方の中継装置に対して送信し、 前記ESP継続通知を受信した中継装置が、共有する暗
    号用鍵および認証用鍵を用いて当該継続通知を復号/認
    証し、前記ESPを継続して使用することを特徴とする
    請求項1に記載の通信システム。
  4. 【請求項4】 端末間における通信データの中継に先立
    ち、ネットワークを介して接続された中継装置と第1の
    端末との間でセキュリティアソシエーションISAKM
    Pを確立し、さらに、当該ISAKMP上で、前記第1
    の端末と各中継装置に接続された第2の端末間の通信デ
    ータに対するセキュリティアソシエーションESPを確
    立し、暗号用鍵および認証用鍵を共有することで端末間
    相互の通信を成立させる通信システムにおいて、 前記第1の端末が、自端末を識別する識別子を変更後、
    ISAKMPの継続が困難な場合に、「変更前の識別
    子」と暗号用鍵または認証用鍵を用いて暗号化した「I
    SAKMP開放」を含むISAKMP切断通知を、前記
    中継装置に対して送信し、 前記ISAKMP切断通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該切断通知を復
    号/認証し、さらに、前記ISAKMPおよびISAK
    MP上で確立したESPを切断し、 その後、新たにISAKMPおよびESPを確立するこ
    とを特徴とする通信システム。
  5. 【請求項5】 前記第1の端末が、自端末を識別する識
    別子を変更後、ISAKMPの継続が可能な場合に、
    「変更前の識別子」と暗号用鍵または認証用鍵を用いて
    暗号化した「ISAKMP継続」を含むISAKMP継
    続通知を、前記中継装置に対して送信し、 前記ISAKMP継続通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該継続通知を復
    号/認証し、前記ISAKMPを継続して使用し、 さらに、前記ESPの暗号通信に関する情報を設定変更
    した場合、前記第1の端末が、暗号用鍵または認証用鍵
    を用いて暗号化した「ESP開放」を含むESP切断通
    知を、前記中継装置に対して送信し、 前記ESP切断通知を受信した中継装置が、共有する暗
    号用鍵および認証用鍵を用いて当該切断通知を復号/認
    証し、さらに、前記ISAKMP上で確立したESPを
    切断し、 その後、ISAKMP上に新たにESPを確立すること
    を特徴とする請求項4に記載の通信システム。
  6. 【請求項6】 前記第1の端末が、自端末を識別する識
    別子を変更後、ISAKMPの継続が可能な場合に、
    「変更前の識別子」と暗号用鍵または認証用鍵を用いて
    暗号化した「ISAKMP継続」を含むISAKMP継
    続通知を、前記中継装置に対して送信し、 前記ISAKMP継続通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該継続通知を復
    号/認証し、前記ISAKMPを継続して使用し、 さらに、前記ESPの暗号通信に関する情報を継続する
    場合、前記第1の端末が、暗号用鍵または認証用鍵を用
    いて暗号化した「ESP継続」を含むESP継続通知
    を、前記中継装置に対して送信し、 前記ESP継続通知を受信した中継装置が、共有する暗
    号用鍵および認証用鍵を用いて当該継続通知を復号/認
    証し、前記ESPを継続して使用することを特徴とする
    請求項4に記載の通信システム。
  7. 【請求項7】 端末間における通信データの中継に先立
    ち、ネットワークを介して接続された中継装置間にてセ
    キュリティアソシエーションISAKMPを確立し、さ
    らに、当該ISAKMP上で、各中継装置に接続された
    端末間の通信データに対するセキュリティアソシエーシ
    ョンESPを確立するセキュリティアソシエーション切
    断/継続方法において、 一方の中継装置が、自装置を識別する識別子を変更後、
    ISAKMPの継続が困難な場合に、「変更前の識別
    子」と暗号用鍵または認証用鍵を用いて暗号化した「I
    SAKMP開放」を含むISAKMP切断通知を、他方
    の中継装置に対して送信するISAKMP切断通知ステ
    ップと、 前記ISAKMP切断通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該切断通知を復
    号/認証し、さらに、前記ISAKMPおよびISAK
    MP上で確立したESPを切断するISAKMP切断ス
    テップと、 を含むことを特徴とするセキュリティアソシエーション
    切断/継続方法。
  8. 【請求項8】 前記一方の中継装置が、自装置を識別す
    る識別子を変更後、ISAKMPの継続が可能な場合
    に、「変更前の識別子」と暗号用鍵または認証用鍵を用
    いて暗号化した「ISAKMP継続」を含むISAKM
    P継続通知を、他方の中継装置に対して送信するISA
    KMP継続通知ステップと、 前記ISAKMP継続通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該継続通知を復
    号/認証し、前記ISAKMPを継続して使用するIS
    AKMP継続ステップと、 さらに、端末間のESPの暗号通信に関する情報を設定
    変更した場合、前記一方の中継装置が、暗号用鍵または
    認証用鍵を用いて暗号化した「ESP開放」を含むES
    P切断通知を、他方の中継装置に対して送信するESP
    切断通知ステップと、 前記ESP切断通知を受信した中継装置が、共有する暗
    号用鍵および認証用鍵を用いて当該切断通知を復号/認
    証し、さらに、前記ISAKMP上で確立したESPを
    切断するESP切断ステップと、 を含むことを特徴とする請求項7に記載のセキュリティ
    アソシエーション切断/継続方法。
  9. 【請求項9】 前記一方の中継装置が、自装置を識別す
    る識別子を変更後、ISAKMPの継続が可能な場合
    に、「変更前の識別子」と暗号用鍵または認証用鍵を用
    いて暗号化した「ISAKMP継続」を含むISAKM
    P継続通知を、他方の中継装置に対して送信するISA
    KMP継続通知ステップと、 前記ISAKMP継続通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該継続通知を復
    号/認証し、前記ISAKMPを継続して使用するIS
    AKMP継続ステップと、 さらに、端末間のESPの暗号通信に関する情報を継続
    する場合、前記一方の中継装置が、暗号用鍵または認証
    用鍵を用いて暗号化した「ESP継続」を含むESP継
    続通知を、他方の中継装置に対して送信するESP継続
    通知ステップと、 前記ESP継続通知を受信した中継装置が、共有する暗
    号用鍵および認証用鍵を用いて当該継続通知を復号/認
    証し、前記ESPを継続して使用するESP継続ステッ
    プと、 を含むことを特徴とする請求項7に記載のセキュリティ
    アソシエーション切断/継続方法。
  10. 【請求項10】 端末間における通信データの中継に先
    立ち、ネットワークを介して接続された中継装置と第1
    の端末との間でセキュリティアソシエーションISAK
    MPを確立し、さらに、当該ISAKMP上で、前記第
    1の端末と各中継装置に接続された第2の端末間の通信
    データに対するセキュリティアソシエーションESPを
    確立するセキュリティアソシエーション切断/継続方法
    において、 前記第1の端末が、自端末を識別する識別子を変更後、
    ISAKMPの継続が困難な場合に、「変更前の識別
    子」と暗号用鍵または認証用鍵を用いて暗号化した「I
    SAKMP開放」を含むISAKMP切断通知を、前記
    中継装置に対して送信するISAKMP切断通知ステッ
    プと、 前記ISAKMP切断通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該切断通知を復
    号/認証し、さらに、前記ISAKMPおよびISAK
    MP上で確立したESPを切断するISAKMP切断ス
    テップと、 を含むことを特徴とするセキュリティアソシエーション
    切断/継続方法。
  11. 【請求項11】 前記第1の端末が、自端末を識別する
    識別子を変更後、ISAKMPの継続が可能な場合に、
    「変更前の識別子」と暗号用鍵または認証用鍵を用いて
    暗号化した「ISAKMP継続」を含むISAKMP継
    続通知を、前記中継装置に対して送信するISAKMP
    継続通知ステップと、 前記ISAKMP継続通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該継続通知を復
    号/認証し、前記ISAKMPを継続して使用するIS
    AKMP継続ステップと、 さらに、前記ESPの暗号通信に関する情報を設定変更
    した場合、前記第1の端末が、暗号用鍵または認証用鍵
    を用いて暗号化した「ESP開放」を含むESP切断通
    知を、前記中継装置に対して送信するESP切断通知ス
    テップと、 前記ESP切断通知を受信した中継装置が、共有する暗
    号用鍵および認証用鍵を用いて当該切断通知を復号/認
    証し、さらに、前記ISAKMP上で確立したESPを
    切断するESP切断ステップと、 を含むことを特徴とする請求項10に記載のセキュリテ
    ィアソシエーション切断/継続方法。
  12. 【請求項12】 前記第1の端末が、自端末を識別する
    識別子を変更後、ISAKMPの継続が可能な場合に、
    「変更前の識別子」と暗号用鍵または認証用鍵を用いて
    暗号化した「ISAKMP継続」を含むISAKMP継
    続通知を、前記中継装置に対して送信するISAKMP
    継続通知ステップと、 前記ISAKMP継続通知を受信した中継装置が、共有
    する暗号用鍵および認証用鍵を用いて当該継続通知を復
    号/認証し、前記ISAKMPを継続して使用するIS
    AKMP継続ステップと、 さらに、前記ESPの暗号通信に関する情報を継続する
    場合、前記第1の端末が、暗号用鍵または認証用鍵を用
    いて暗号化した「ESP継続」を含むESP継続通知
    を、前記中継装置に対して送信するESP継続通知ステ
    ップと、 前記ESP継続通知を受信した中継装置が、共有する暗
    号用鍵および認証用鍵を用いて当該継続通知を復号/認
    証し、前記ESPを継続して使用するESP継続ステッ
    プと、 を含むことを特徴とする請求項10に記載のセキュリテ
    ィアソシエーション切断/継続方法。
JP2001145016A 2001-05-15 2001-05-15 通信システムおよびセキュリティアソシエーション切断/継続方法 Pending JP2002344443A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001145016A JP2002344443A (ja) 2001-05-15 2001-05-15 通信システムおよびセキュリティアソシエーション切断/継続方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001145016A JP2002344443A (ja) 2001-05-15 2001-05-15 通信システムおよびセキュリティアソシエーション切断/継続方法

Publications (1)

Publication Number Publication Date
JP2002344443A true JP2002344443A (ja) 2002-11-29

Family

ID=18990889

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001145016A Pending JP2002344443A (ja) 2001-05-15 2001-05-15 通信システムおよびセキュリティアソシエーション切断/継続方法

Country Status (1)

Country Link
JP (1) JP2002344443A (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1562346A1 (en) * 2004-02-06 2005-08-10 Matsushita Electric Industrial Co., Ltd. Method and system for reliably disconnecting IPSec security associations
JP2005253061A (ja) * 2004-02-06 2005-09-15 Matsushita Electric Ind Co Ltd 通信装置及び通信プログラム
JP2008011176A (ja) * 2006-06-29 2008-01-17 Kyocera Corp 無線通信方法および無線通信システム
JP2008301072A (ja) * 2007-05-30 2008-12-11 Ricoh Co Ltd 暗号通信路復帰方法、暗号通信装置及び暗号通信システム
KR101017972B1 (ko) 2008-06-26 2011-03-02 삼성전자주식회사 이동통신 단말기에서 보안 연계 상태 동기화 장치 및 방법
JP2012175121A (ja) * 2011-02-17 2012-09-10 Seiko Epson Corp 印刷装置及び印刷装置のsa確立方法
US8266428B2 (en) 2006-01-12 2012-09-11 Samsung Electronics Co., Ltd. Secure communication system and method of IPv4/IPv6 integrated network system
JP2012177942A (ja) * 2012-06-07 2012-09-13 Ricoh Co Ltd 暗号通信路復帰方法、暗号通信装置及び暗号通信システム
CN107784223A (zh) * 2016-08-26 2018-03-09 西门子瑞士有限公司 用于将证书传输到设备中的仪器的计算机装置

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1562346A1 (en) * 2004-02-06 2005-08-10 Matsushita Electric Industrial Co., Ltd. Method and system for reliably disconnecting IPSec security associations
JP2005253061A (ja) * 2004-02-06 2005-09-15 Matsushita Electric Ind Co Ltd 通信装置及び通信プログラム
US7558956B2 (en) 2004-02-06 2009-07-07 Panasonic Corporation Communications device and communications program
CN1652502B (zh) * 2004-02-06 2011-04-06 松下电器产业株式会社 通信装置和通信程序
US8266428B2 (en) 2006-01-12 2012-09-11 Samsung Electronics Co., Ltd. Secure communication system and method of IPv4/IPv6 integrated network system
JP2008011176A (ja) * 2006-06-29 2008-01-17 Kyocera Corp 無線通信方法および無線通信システム
JP2008301072A (ja) * 2007-05-30 2008-12-11 Ricoh Co Ltd 暗号通信路復帰方法、暗号通信装置及び暗号通信システム
KR101017972B1 (ko) 2008-06-26 2011-03-02 삼성전자주식회사 이동통신 단말기에서 보안 연계 상태 동기화 장치 및 방법
US8607327B2 (en) 2008-06-26 2013-12-10 Samsung Electronics Co., Ltd. Apparatus and method for synchronizing security association state in mobile communication terminal
JP2012175121A (ja) * 2011-02-17 2012-09-10 Seiko Epson Corp 印刷装置及び印刷装置のsa確立方法
JP2012177942A (ja) * 2012-06-07 2012-09-13 Ricoh Co Ltd 暗号通信路復帰方法、暗号通信装置及び暗号通信システム
CN107784223A (zh) * 2016-08-26 2018-03-09 西门子瑞士有限公司 用于将证书传输到设备中的仪器的计算机装置

Similar Documents

Publication Publication Date Title
US6965992B1 (en) Method and system for network security capable of doing stronger encryption with authorized devices
US8559640B2 (en) Method of integrating quantum key distribution with internet key exchange protocol
US9055047B2 (en) Method and device for negotiating encryption information
EP2105819B1 (en) Efficient and secure authentication of computing systems
US20070271606A1 (en) Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
US8583809B2 (en) Destroying a secure session maintained by a server on behalf of a connection owner
US20100119069A1 (en) Network relay device, communication terminal, and encrypted communication method
EP2506491B1 (en) Encryption information transmission terminal
WO2009076811A1 (zh) 密钥协商方法、用于密钥协商的系统、客户端及服务器
US20100235500A1 (en) Information processing apparatus, network interface apparatus, method of controlling both, and storage medium
US20220263811A1 (en) Methods and Systems for Internet Key Exchange Re-Authentication Optimization
JP2006279938A (ja) 暗号通信復号装置
US7370111B2 (en) System, protocol and related methods for providing secure manageability
CN115314214B (zh) 一种基于支持硬件加速国密算法的tls协议实现方法
JP2005210193A (ja) 共通秘密鍵生成装置
KR100948604B1 (ko) 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
EP3462666B1 (en) Service processing method and device
JP2002344443A (ja) 通信システムおよびセキュリティアソシエーション切断/継続方法
CN113950802A (zh) 用于执行站点到站点通信的网关设备和方法
WO2016134631A1 (zh) 一种OpenFlow报文的处理方法及网元
JP2007533278A (ja) 移動体ノードの高速かつ安全な接続性
Kuo et al. Comparison studies between pre-shared and public key exchange mechanisms for transport layer security
JP2005244379A (ja) Vpnシステム、vpn装置及びそれらに用いる暗号化鍵配布方法
US20190036892A1 (en) System and Process For TLS Exceptionally Verified Eavesdropping
KR100599199B1 (ko) 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템