JP2003032286A - Vpnシステムおよびvpn装置およびプログラム - Google Patents
Vpnシステムおよびvpn装置およびプログラムInfo
- Publication number
- JP2003032286A JP2003032286A JP2001210615A JP2001210615A JP2003032286A JP 2003032286 A JP2003032286 A JP 2003032286A JP 2001210615 A JP2001210615 A JP 2001210615A JP 2001210615 A JP2001210615 A JP 2001210615A JP 2003032286 A JP2003032286 A JP 2003032286A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- vpn device
- deleted
- sad
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
くす。VPN装置の無駄な処理負荷の発生を防ぐ。 【解決手段】 VPN装置内で管理されるSAD上に存
在するSAを削除したVPN装置は、削除された当該S
Aを用いたIPSec通信の相手となるVPN装置に対
し当該SAが削除されたことを通知する。
Description
して複数のLAN間でIPSec通信を行なう場合のS
A(Security Association)の管理技術に関する。特に、
IKE(InternetKey Exchange)プロトコルによりSAが
動的に割当てられる場合に利用する。
でIPSec通信を行なう場合には、これら複数のLA
NのVPN(Virtual Private Network)装置にそれぞれ
共通のSAを保持しておき、この共通のSAによって暗
号化または復号化が行なわれる。
SAは、ライフタイム、残バイト数、シーケンス番号の
状態により周期的に削除および更新される。すなわち、
SAが各VPN装置に割当てられるときには、ほぼ同時
に各VPN装置に割当てが行なわれるが、割当てられた
後の各VPN装置におけるSA使用状況が異なるために
SAが削除および更新されるタイミングは各VPN装置
で異なる。
ような状況下ではSAは各VPN装置内で独自に削除さ
れ、IPSec通信の相手となるVPN装置に対し、対
になるSAが削除されたことを通知していない。
るSAが削除された場合には、もう片方のVPN装置は
SAが削除されたことを知らず、次々と連続的にIPS
ecパケットを送信してしまい、インターネット上に無
駄なトラフィックを発生させてしまう。また、受信側で
SAが存在しないために、結果的に破棄されてしまうパ
ケットに対し、無駄に暗号化処理をしてしまうために、
無駄なVPN装置の処理負荷が発生してしまう。
2000−278258号公報、特開2001−007
803号公報、特開平11−289326号公報、特開
平11−331145号公報、特表2000−5113
82号公報には、IKEプロトコルにおけるその鍵交換
手法による発明は数件掲載されているが、SAが作成さ
れた後の管理手法に関しては掲載されていない。
のであって、SAが削除されたVPN装置がIPSec
通信の相手となるVPN装置に対してSA削除完了通知
を送信することにより、通知を受けたVPN装置は直ち
にIPSecパケットの送信を停止することができ、S
A削除後のIPSec通信の相手となるVPN装置が連
続的に受信側で破棄されるとわかっているデータを送信
する状態が無くなり、インターネット上の無駄なトラフ
ィックをなくすことができ、また、今から送信するIP
Secパケットが受信側で破棄されるということを送信
側VPN装置が知っていれば、無駄に送信IPパケット
をIPSec化する必要が無くなり、VPN装置の無駄
な処理負荷の発生を防ぐことができるVPNシステムお
よびVPN装置およびプログラムを提供することを目的
とする。
VPN構築時におけるIPSec通信、つまり、インタ
ーネットを介して重要なデータをやりとりする際にデー
タを暗号化することにより、悪意を持った第三者の「盗
聴」、「改竄」、「なりすまし」といった脅威から重要
なデータを守ることが可能となる方法で通信した際に、
VPN装置内で管理されるSAD(Security Associatio
n Data-base)上に存在する、あるSAを削除したVPN
装置が削除された当該SAを用いたIPSec通信の相
手となるVPN装置に対し当該SAが削除されたことを
通知することにある。
除された当該SAを用いたIPSec通信の相手となる
VPN装置に送信することにより、通知を受けたVPN
装置は、これから送信するIPSecパケットとマッチ
するSAが受信側のVPN装置にはもうすでに存在しな
いことが事前にわかる。したがって、SA削除後、削除
された当該SAを用いたIPSec通信の相手となるV
PN装置からの連続送信状態を防ぐことができる。
ーネットを介してIPSec通信を行なう複数のLAN
にそれぞれVPN装置が備えられ、前記複数のVPN装
置には、それぞれ共通のSAを保持するSADがそれぞ
れ備えられ、当該SAはIKEプロトコルにより動的に
割当てられるVPNシステムである。
ずれかの前記VPN装置の前記SADから前記SAが削
除されたときには、当該VPN装置は、その旨を削除さ
れた当該SAを用いたIPSec通信を行なう相手とな
る前記VPN装置に通知する手段を備えたところにあ
る。
介してIPSec通信を行なう複数のLANにそれぞれ
備えられ、それぞれ共通のSAを保持するSADがそれ
ぞれ備えられ、当該SAはIKEプロトコルにより動的
に割当てられるVPN装置である。
VPN装置が備える前記SADから前記SAが削除され
たときには、自VPN装置は、その旨を削除された当該
SAを用いたIPSec通信を行なう相手となる他のV
PN装置に通知する手段を備えたところにある。
て、本発明の特徴とするところは、情報処理装置にイン
ストールすることにより、その情報処理装置に、インタ
ーネットを介してIPSec通信を行なう複数のLAN
にそれぞれ備えられたVPN装置に相応する機能とし
て、各VPN装置にIKEプロトコルにより動的に割当
てられる共通のSAを保持するSADに相応する機能
と、自VPN装置が備える前記SADから前記SAが削
除されたときには、自VPN装置は、その旨を削除され
た当該SAを用いたIPSec通信を行なう相手となる
他のVPN装置に通知する機能とを実現させるところに
ある。
が、削除された当該SAを用いたIPSec通信の相手
となるVPN装置に対してSA削除完了通知を送信する
ことにより、通知を受けたVPN装置は直ちにIPSe
cパケットの送信を停止することができ、SA削除後の
削除された当該SAを用いたIPSec通信の相手とな
るVPN装置が連続的に受信側で破棄されるとわかって
いるデータを送信する状態が無くなり、インターネット
上の無駄なトラフィックをなくすことができ、また、今
から送信するIPSecパケットが受信側で削除される
ということを送信側VPN装置が知っていれば、無駄に
送信IPパケットをIPSec化する必要が無くなり、
VPN装置の無駄な処理負荷の発生を防ぐことができ
る。
よびVPN装置およびプログラムを図1および図2を参
照して説明する。図1は本発明実施例のVPNシステム
の全体構成図である。図2はSADおよびSPDを示す
図である。
に、インターネット30を介してIPSec通信を行な
う企業内LAN10および20にそれぞれVPN装置4
0および50が備えられ、VPN装置40および50に
は、図2に示すように、それぞれ共通のSAを保持する
SAD180がそれぞれ備えられ、当該SAはIKEプ
ロトコルにより動的に割当てられるVPNシステムであ
る。
ずれかのVPN装置40または50のSAD180から
前記SAが削除されたときには、VPN装置40または
50は、その旨を削除された当該SAを用いたIPSe
c通信を行なう相手となるVPN装置50または40に
通知するところにある。
に、インターネット30を介してIPSec通信を行な
う企業内LAN10および20にそれぞれ備えられ、図
2に示すように、それぞれ共通のSAを保持するSAD
180がそれぞれ備えられ、当該SAはIKEプロトコ
ルにより動的に割当てられるVPN装置40および50
である。
VPN装置40または50が備えるSAD180から前
記SAが削除されたときには、自VPN装置40または
50は、その旨を削除された当該SAを用いたIPSe
c通信を行なう相手となる他のVPN装置50または4
0に通知するところにある。
に、情報処理装置であるコンピュータ装置にインストー
ルすることにより、そのコンピュータ装置に、インター
ネット30を介してIPSec通信を行なう企業内LA
N10および20にそれぞれ備えられたVPN装置40
および50に相応する機能として、各VPN装置40お
よび50にIKEプロトコルにより動的に割当てられる
共通のSAを保持するSAD180に相応する機能と、
自VPN装置40または50が備えるSAD180から
前記SAが削除されたときには、自VPN装置40また
は50は、その旨を削除された当該SAを用いたIPS
ec通信を行なう相手となる他のVPN装置50または
40に通知する機能とを実現させることを特徴とするプ
ログラムである。
読み取り可能な記録媒体に記録され、コンピュータ装置
はこの記録媒体を用いて本発明のプログラムをインスト
ールすることができる。あるいは、コンピュータ装置
は、本発明のプログラムを保持するサーバからネットワ
ークを介して本発明のプログラムをダウンロードするこ
とにより、本発明のプログラムをインストールすること
ができる。
明する。
除完了通知送信で、SA削除後にIPSec通信の相手
となるVPN装置からの連続送信状態を防ぐための実施
例の構成を図1に示す。企業内LAN10のホストコン
ピュータ60から企業内LAN20のホストコンピュー
タ70宛にIPSecパケット化してほしいデータを送
信する。企業内LAN10のホストコンピュータ60か
ら送信されたデータは、VPN装置40によって暗号化
およびIPSecパケット化され、トンネルモードによ
り、インターネット30を介してVPN装置50に送信
される。VPN装置50で受信したIPSecパケット
は、復号化されIPパケットとして企業内LAN20内
のホストコンピュータ70宛に送信される。
を説明する。VPN装置40は、図1に示す企業内LA
N10のホストコンピュータ60から送信されたデータ
を暗号化し、IPSecパケットとしてインターネット
30上にVPN装置50宛のトンネルモードで送信す
る。
VPN装置50間で成立するためには、図2に示す、各
VPN装置間のSPD80管轄下のSAD180で管理
されるSAが一致する必要がある。SAの作成には、コ
ンフィギュレーション上で固定的にポリシを割り当てる
固定鍵方式と、IKEプロトコルを起動させて、動的に
inbound90、outbound100用にSA
を作成する自動鍵交換方式がある。
いった作業が不要なため、上記で述べたSA削除後のI
PSec通信の相手となるVPN装置の連続送信状態に
陥る心配はないが、IKEによる自動鍵交換方式の場合
には、SAのライフタイム、残バイト数、シーケンス番
号の状態によりSAが削除および更新される場合があ
る。
送信されたIPSecパケットは、VPN装置50で受
信される。VPN装置50は受信したAH(Authenticat
ionHeader)およびESP(Encapsulation Security Payl
oad)ヘッダ内に明記されているSPI(Security Parame
ter Index)番号をもとにVPN装置50内のSAD18
0上に管理されるSAを検索する。該当するSAが存在
すれば、そのポリシに沿って復号化されるが、SAが存
在しない場合には、受信したIPSecパケットは破棄
となる。
2(110)が削除されたことを知らないVPN装置4
0は、VPN装置50のSAD90上で管理されるSA
#2(110)と対になるSA#2(120)が消滅し
ない限り、VPN装置50宛にIPSecパケットを連
続的に送信し続けてしまうという悪循環に陥ってしま
う。ここで、図2で明記されているように受信側VPN
装置50がSA#2(110)が削除された後(S
1)、削除された当該SA#2(110)を用いたIP
Sec通信の相手となるVPN装置40宛にSA#2
(110)の削除完了通知を送信することにより(S
2)、VPN装置50のSAD180で管理されるSA
#2(110)が完全にSAD180上から削除された
ことをVPN装置40は知る。これにより、VPN装置
40は、直ちにVPN装置50宛に対してIPSecパ
ケットを送信することを停止する。以上の一連の動作に
より、VPN装置50のSA#2(110)が削除され
た後のVPN装置40からの連続送信状態を防ぐことが
できる。
SAが削除されたVPN装置が削除された当該SAを用
いたIPSec通信の相手となるVPN装置に対してS
A削除完了通知を送信することにより、通知を受けたV
PN装置は直ちにIPSecパケットの送信を停止する
ことができる。これにより、SA削除後の削除された当
該SAを用いたIPSec通信の相手となるVPN装置
が連続的に受信側で破棄されるとわかっているデータを
送信する状態が無くなり、インターネット上の無駄なト
ラフィックをなくすことができる。また、今から送信す
るIPSecパケットが受信側で削除されると言うこと
を送信側VPN装置が知っていれば、無駄に送信IPパ
ケットをIPSec化する必要が無くなり、VPN装置
の無駄な処理負荷の発生を防ぐことができる。
Claims (3)
- 【請求項1】 インターネットを介してIPSec通信
を行なう複数のLANにそれぞれVPN(Virtual Priva
te Network)装置が備えられ、 前記複数のVPN装置には、それぞれ共通のSA(Secur
ity Association)を保持するSAD(Security Associat
ion Data-base)がそれぞれ備えられ、 当該SAはIKE(Internet Key Exchange)プロトコル
により動的に割当てられるVPNシステムにおいて、 いずれかの前記VPN装置の前記SADから前記SAが
削除されたときには、当該VPN装置は、その旨を削除
された当該SAを用いたIPSec通信を行なう相手と
なる前記VPN装置に通知する手段を備えたことを特徴
とするVPNシステム。 - 【請求項2】 インターネットを介してIPSec通信
を行なう複数のLANにそれぞれ備えられ、 それぞれ共通のSAを保持するSADがそれぞれ備えら
れ、 当該SAはIKEプロトコルにより動的に割当てられる
VPN装置において、 自VPN装置が備える前記SADから前記SAが削除さ
れたときには、自VPN装置は、その旨を削除された当
該SAを用いたIPSec通信を行なう相手となる他の
VPN装置に通知する手段を備えたことを特徴とするV
PN装置。 - 【請求項3】 情報処理装置にインストールすることに
より、その情報処理装置に、インターネットを介してI
PSec通信を行なう複数のLANにそれぞれ備えられ
たVPN装置に相応する機能として、 各VPN装置にIKEプロトコルにより動的に割当てら
れる共通のSAを保持するSADに相応する機能と、 自VPN装置が備える前記SADから前記SAが削除さ
れたときには、自VPN装置は、その旨を削除された当
該SAを用いたIPSec通信を行なう相手となる他の
VPN装置に通知する機能とを実現させることを特徴と
するプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001210615A JP3596489B2 (ja) | 2001-07-11 | 2001-07-11 | Vpnシステムおよびvpn装置およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001210615A JP3596489B2 (ja) | 2001-07-11 | 2001-07-11 | Vpnシステムおよびvpn装置およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003032286A true JP2003032286A (ja) | 2003-01-31 |
JP3596489B2 JP3596489B2 (ja) | 2004-12-02 |
Family
ID=19046055
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001210615A Expired - Lifetime JP3596489B2 (ja) | 2001-07-11 | 2001-07-11 | Vpnシステムおよびvpn装置およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3596489B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005253061A (ja) * | 2004-02-06 | 2005-09-15 | Matsushita Electric Ind Co Ltd | 通信装置及び通信プログラム |
JP2008199498A (ja) * | 2007-02-15 | 2008-08-28 | Nippon Telegr & Teleph Corp <Ntt> | ゲートウェイ装置およびセッション管理方法 |
-
2001
- 2001-07-11 JP JP2001210615A patent/JP3596489B2/ja not_active Expired - Lifetime
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005253061A (ja) * | 2004-02-06 | 2005-09-15 | Matsushita Electric Ind Co Ltd | 通信装置及び通信プログラム |
JP2008199498A (ja) * | 2007-02-15 | 2008-08-28 | Nippon Telegr & Teleph Corp <Ntt> | ゲートウェイ装置およびセッション管理方法 |
Also Published As
Publication number | Publication date |
---|---|
JP3596489B2 (ja) | 2004-12-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2728893C1 (ru) | Способ реализации безопасности, устройство и система | |
CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
JP4515411B2 (ja) | ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用 | |
JP4707992B2 (ja) | 暗号化通信システム | |
US10897509B2 (en) | Dynamic detection of inactive virtual private network clients | |
US20080126796A1 (en) | Node device and communication control method for improving security of packet communications | |
EP2528265A1 (en) | Technique for maintaining secure network connections | |
CN101510889A (zh) | 一种获取动态路由的方法和设备 | |
US7797741B2 (en) | System and method for coping with encrypted harmful traffic in hybrid IPv4/IPv6 networks | |
CN101572644B (zh) | 一种数据封装方法和设备 | |
US11509639B2 (en) | IPsec anti-replay window with quality of service | |
CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
US20040158706A1 (en) | System, method, and device for facilitating multi-path cryptographic communication | |
CN115567205A (zh) | 采用量子密钥分发实现网络会话数据流加解密方法及系统 | |
JP2011176395A (ja) | IPsec通信方法およびIPsec通信システム | |
US7756061B2 (en) | Mobile router device and home agent device | |
JP4305087B2 (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
JP3596489B2 (ja) | Vpnシステムおよびvpn装置およびプログラム | |
US20030237003A1 (en) | Method and apparatus for recovering from the failure or reset of an IKE node | |
JP4043997B2 (ja) | 暗号装置及びプログラム | |
JP2004135134A (ja) | 無線通信用アダプタ | |
US20080059788A1 (en) | Secure electronic communications pathway | |
JP4013920B2 (ja) | 通信システム、通信装置及びその動作制御方法並びにプログラム | |
CN113965462A (zh) | 业务传输方法、装置、网络设备和存储介质 | |
JP2005065004A (ja) | 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040730 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040817 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040830 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3596489 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080917 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080917 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090917 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090917 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100917 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110917 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120917 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130917 Year of fee payment: 9 |
|
EXPY | Cancellation because of completion of term |