JP2003115834A - セキュリティアソシエーション切断/継続方法および通信システム - Google Patents

セキュリティアソシエーション切断/継続方法および通信システム

Info

Publication number
JP2003115834A
JP2003115834A JP2001310596A JP2001310596A JP2003115834A JP 2003115834 A JP2003115834 A JP 2003115834A JP 2001310596 A JP2001310596 A JP 2001310596A JP 2001310596 A JP2001310596 A JP 2001310596A JP 2003115834 A JP2003115834 A JP 2003115834A
Authority
JP
Japan
Prior art keywords
terminal
security association
communication
continuation
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Abandoned
Application number
JP2001310596A
Other languages
English (en)
Inventor
Yasuhisa Tokiniwa
康久 時庭
Akiko Miyagawa
明子 宮川
Shinobu Atozawa
忍 後沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2001310596A priority Critical patent/JP2003115834A/ja
Publication of JP2003115834A publication Critical patent/JP2003115834A/ja
Abandoned legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 演算処理を削減可能なセキュリティアソシエ
ーション切断/継続方法を得ること。 【解決手段】 本発明のセキュリティアソシエーション
切断/継続方法にあっては、端末11が通信相手ホスト
3との間に確立したセキュリティアソシエーションを用
いて通信中に、端末11を使用するユーザが使用端末を
端末12に変更した場合、端末12が、端末11から受
け取ったセキュリティアソシエーション関連情報に記載
された「自端末のIPアドレス」を更新し、更新後の関
連情報に従って暗号化処理を行ったセキュリティアソシ
エーション継続通知を通信相手ホスト3に対して送信
し、通信相手ホスト3が、受信した継続通知に対して所
定の復号処理を行い、自身が保持するセキュリティアソ
シエーション関連情報に記載された「通信相手のIPア
ドレス」を更新することによって、上記確立したセキュ
リティアソシエーションを継続する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、通信ネットワーク
に接続された暗号装置および暗号機能を内蔵した端末
が、論理的なセキュリティアソシエーション上で暗号通
信を行う場合に用いられるセキュリティアソシエーショ
ン切断/継続方法に関するものであり、特に、セキュリ
ティアソシエーション確立時の演算処理を削減可能なセ
キュリティアソシエーション切断/継続方法および通信
システムに関するものである。
【0002】
【従来の技術】以下、従来技術について説明する。RF
C2401〜RFC2412(RFC:Request For Co
mments)で規定しているIPSEC(IP secur
ityプロトコル)では、暗号装置および暗号機能を内
蔵した端末が、セキュリティアソシエーションと呼ばれ
る論理的な通信路上で暗号通信を行う。セキュリティア
ソシエーションでは、暗号通信を行う二者間で通信を開
始する前に、暗号用鍵と認証用鍵とを共有する。暗号用
鍵と認証用鍵とを共有し、セキュリティアソシエーショ
ンを確立する手順が、IKE(Internet Key Exchang
e)の通信手順である。IKEは、RFC2408およ
びRFC2409で規定されている。
【0003】図9は、たとえば、特開2000−332
825号公報に示された従来のセキュリティアソシエー
ション切断/継続方法を示す図である。図9において、
101a,101b,101cはサブネットワークであ
り、106はサブネットワーク101a,101b,1
01cを相互接続しているインターネットであり、10
2はサブネットワーク101aに存在する移動端末であ
り、103は通信相手ホストであり、104は移動端末
102の現在位置アドレスおよび移動の有無を管理する
ためのDNS(Domain Name System)サーバであり、1
07はセキュリティアソシエーションとして確立したI
PSECトンネルである。
【0004】つぎに、上記システムの動作について説明
する。ここでは、移動端末102が、サブネットワーク
101aから他のサブネットワーク101bに移動した
状態で、ネットワーク101cにある通信相手ホスト
(固定ノード:CN)103と通信する場合について説
明する。また、移動中の移動端末102と通信相手ホス
ト103との間の通信には、IPSECのトンネルモー
ド(Tunnel Mode)を使用する(IPSECの詳細につ
いてはRFC2401〜RFC2412参照)。
【0005】移動端末102は、一意に識別可能な一つ
のアドレスを持つ。これをホームアドレス(Home Addre
ss:Haddr)と呼ぶ。ホームアドレスは、移動端末
102が所属するサブネットワーク101aにおいて割
り当てられる。また、移動端末102は、訪問先のネッ
トワークで適切なアドレスを少なくとも一つ獲得する。
これをケア・オブ・アドレス(Care-of Address:Co
A)と呼ぶ。
【0006】また、移動端末102では、トンネルモー
ドIPSEC通信の際、付与されたIPアドレス(Co
A)を、IPSECトンネルの一端(終端点)を示すア
ドレス(ゲートウェイアドレス)として使用する。Ha
ddrは、カプセル化された内部パケットにおける送信
元アドレスとして使用される。
【0007】また、移動端末102では、移動した場合
に、自装置内で使用されるCoAを更新する。このと
き、移動端末102では、DNSサーバ104に新たに
獲得したCoAを通知する。
【0008】一方、通信相手ホスト103では、上記C
oAの更新処理の代わりに、移動端末102から受信し
た情報に基づいて自装置内で使用する移動端末102の
CoAを更新する。
【0009】また、通信相手ホスト103では、移動端
末102に発呼する際に、移動端末102のCoAをD
NSサーバ104に問い合わせる。また、通信相手ホス
ト103では、トンネルモードIPSEC通信における
外側パケットおよび内側パケットの2種類のアドレス
に、同じアドレス(CN)を使用する。
【0010】図10は、移動端末102から通信相手ホ
スト103へIPSECトンネル107を用いてパケッ
トを転送する様子を示す図である。図10において、1
08はIPSECトンネルである。
【0011】移動端末102では、サブネットワーク1
01aで現在位置を示すCoAとしてCoA(1)を獲
得する(RFC2002で規定されるCo−locat
edCare−of addressで動作する)。こ
こでは、獲得したCoA(1)を、IPパケット自体の
オリジナルの送信元アドレスとするのではなく、IPS
ECトンネルの一端を示すアドレス(ゲートウェイアド
レス)とし、ホームアドレス(Haddr)を、IPパ
ケット自体のオリジナルの送信元アドレスとして、通信
を行う。すなわち、図10に示すように、カプセル化し
た外側パケットの送信元アドレス(src)を“CoA
(1)”とし、宛先アドレス(dst)を“CN”と
し、内側パケットのオリジナルの送信元アドレス(sr
c)を“Haddr”とし、最終的な宛先アドレス(d
st)を“CN”とするカプセル化パケットが転送され
る。
【0012】つぎに、移動端末102が移動し、現在位
置を示すCoAが“CoA(1)”から“CoA
(2)”に変化した場合のアドレスの切り替えについて
説明する。
【0013】この場合、移動端末102では、CoAが
“CoA(2)”に変わった時点で、IPSECトンネ
ルの外側パケットの送信元アドレスを“CoA(2)”
に変更する。その結果、図10に示すように、外側パケ
ットの送信元アドレスが“CoA(2)”に変更された
カプセル化パケットが転送される。
【0014】移動端末102のCoAの変化を検出した
通信相手ホスト103では、IPSECのセキュリティ
アソシエーション(セキュリティの関連情報)のデータ
ベース:SADを参照し、このセッションの宛先ゲート
ウェイアドレスを“CoA(1)”から、新たに“Co
A(2)”に置き換える。このとき、通信相手ホスト1
03では、ゲートウェイアドレス以外のセキュリティア
ソシエーション情報を変えないので、たとえば、IPS
ECの暗号化,認証鍵などを再度折衝する必要がない。
【0015】また、移動端末102では、CoAが切り
替わった時点で、DNSサーバ104に対して更新メッ
セージを送信する。DNSサーバ104では、通常のフ
ィールド(ドメイン名,アドレスレコード(IPv6で
はAAAA)等)に加え、移動端末のホームアドレス
(Haddr)のための拡張フィールド(Home Address
Resource Record:HAAAA)を持つ。また、アドレ
スレコード(IPv6ではAAAA)には、Haddr
(移動していないとき)またはCoA(移動していると
き)が記述される。
【0016】移動端末102は移動先で新規のCoAを
取得すると、アドレスレコードを動的に更新するため、
通信相手ホスト103では、アドレスレコードと拡張フ
ィールド:HAAAAとが異なる場合に、移動端末10
2が移動先でCoAを取得して接続していることを知る
ことができる。
【0017】なお、DNSサーバ104に対するHAA
AAの問い合わせや、HAAAAフィールドやアドレス
レコードの動的更新は、従来から行われていたIPアド
レスの問い合わせ方式や動的DNS更新処理(例:RF
C2136)を拡張して容易に定義できる。
【0018】また、DNSサーバ104上のHAAAA
情報は、たとえば、通信相手ホスト103が移動端末1
02に対してパケットを送信し、移動端末102がこれ
を着呼できるような場合に使用する。すなわち、通信相
手ホスト103では、DNSサーバ4に対して問い合わ
せを行い、CoAが登録されている移動端末102に対
してパケットを送信する場合、IPSECのトンネルモ
ードを使用してトンネルの宛先アドレス(ゲートウェイ
アドレス)をCoAにしてセキュリティアソシエーショ
ンを構成し、さらに、セキュリティアソシエーションの
データベースを保持し、正しい現在位置にパケットを送
信する。
【0019】つぎに、IPSECにおける処理の概要に
ついて説明する(IPSECの詳細についてはRFC2
401〜RFC2412参照)。
【0020】IPSECの処理は、セキュリティアソシ
エーション(Security Association)に記述された内容
に従って行われる。セキュリティアソシエーションは、
セキュリティ・パラメータ・インデックス(Security P
arameter Index:SPI)とdst(宛先アドレス)の
組から一意に定まる、IPSECに関する情報の集合で
ある。SPIは、セキュリティアソシエーションを定め
るために使用される32bitの整数のインデックスで
あり、AH(Authentication Header),ESP(Encap
sulating Security Payload)のヘッダ内に記述され、
セキュリティアソシエーションの選択に使用される。セ
キュリティアソシエーションに記述される主な内容は、
dst,SPI,プロトコル(ESP(もしくはA
H),モード(tunnel)),AHまたはESPで
使用されるアルゴリズムと鍵などである。
【0021】IPSECを使用するためには、使用前
に、通信相手とセキュリティアソシエーションの内容に
ついて合意するための手続を行う。セキュリティアソシ
エーションの管理は、鍵管理プロトコル:IKEの果た
すべき役割である。鍵管理プロトコル:IKEでは、
「DiffieHellman」と呼ばれる数学的なべ
き乗剰余演算によって共有鍵を共有する。また、相互認
証には、X.509の認証書を用いたRSA(Ron Rive
st, Adi Shamir, Leonard Adleman)演算によりべき乗
剰余演算を行うモードも規定されている。
【0022】パケットを送信する場合は、まず、セキュ
リティ・ポリシー・データベース:SPD(Security P
olicy Database)を検索する。SPDは、対象となるパ
ケットのsrc/dst等の要素から、セキュリティ・
ポリシーを選択する。セキュリティ・ポリシーは、「パ
ケットを破棄する(discard)」,「パケットを
そのまま通過させる(bypass)」,「IPSEC
の処理を行う(apply)」,の行動を定めるもので
ある。たとえば、セキュリティ・ポリシーが「appl
y」の場合には、使用するセキュリティアソシエーショ
ン(あるいはセキュリティアソシエーションが満たすべ
き条件)が記述されている。そして、使用するセキュリ
ティアソシエーションが定まるので、これに記述された
内容に従って対象のパケットに対して暗号などの処理を
行う。なお、セキュリティアソシエーションがない場合
は、適切な鍵共有プロトコル:IKEを使用してセキュ
リティアソシエーションの確立を行う。
【0023】一方、IPSECが使用されているパケッ
トを受信すると、まず、受信した端末は、dst(通常
は受信したノード)とSPIから、セキュリティアソシ
エーションを決定し、記述された内容に従ってIPSE
Cの復号などの処理を行う。この結果、得られたパケッ
トをもとにSPDを検索し、セキュリティ・ポリシーを
得る。そして、セキュリティ・ポリシーから導かれるセ
キュリティアソシエーションが、このパケットを処理す
るために使用してきたセキュリティアソシエーションと
一致するかどうかを確認する。
【0024】図11は、移動端末102および通信相手
ホスト103が接続されたネットワークの動作手順を示
す図である。ここでは、サブネットワーク101aに存
在する移動端末102(CoA=CoA(1))が通信
相手ホスト103と通信を行う場合について説明する。
図12は、この場合の動作シーケンスの一例を示す図で
ある。
【0025】まず、移動端末102では、適切な鍵管理
プロトコル:IKEを使用して通信相手ホスト103と
のセキュリティアソシエーション:SAを確立する(ス
テップS101)。
【0026】図13は、移動端末102および通信相手
ホスト103が持つセキュリティ・ポリシー・データベ
ース:SPDの一例を示す図である。また、図14は、
移動端末102および通信相手ホスト103が持つセキ
ュリティアソシエーション・データベース:SADの一
例を示す図である。なお、使用するIPSECプロトコ
ルはESPを想定する。
【0027】移動端末102が通信相手ホスト103に
対してパケットを送信する場合、移動端末102では、
図13(a)のSPDを検索し、識別名:SPM(1)
を選択する。SPM(1)にはセキュリティアソシエー
ション:SAとしてSAM(1)を参照するように記述
されているので、図14(a)のSAM(1)を参照す
る。SAM(1)には、Destinationアドレ
スとして“CN”が、protocolとして“ES
P”が、modeとして“tunnel”が指定されて
いるので、移動端末102から通信相手ホスト103へ
のパケットをIPSECでカプセル化し、そのパケット
のDestinationアドレスを“CN”、SPI
を“c(1)”として送信する(ステップS102)。
【0028】このパケットを受け取った通信相手ホスト
103では、(dst,SPI)=(CN,c(1))
であるセキュリティアソシエーションを、図14(b)
に示すSADから検索する。その結果、得られたセキュ
リティアソシエーションを使用してESPを検証し、カ
プセル化を外して通信相手ホスト103へのパケットを
生成する。通信相手ホスト103から移動端末102へ
のパケットも上記と同様に送信される(ステップS10
3)
【0029】移動端末102および通信相手ホスト10
3のアプリケーションは、通信がすべて“Haddr”
と“CN”との間で行われていると認識するが、実際に
ネットワークを流れるパケットは、“CoA(1)”と
“CN”との間のパケットとなる。
【0030】この状態で、移動端末102がサブネット
ワーク101bに移動して“CoA(2)”を取得した
場合、移動端末102では、次の3つの処理を行う。 Dynamic DNS Update 移動端末102に対応するAAAAフィールドに、現在
のCoAである“CoA(2)”を登録する(ステップ
S104)。 SA Gateway Update dstフィールドが“CoA(1)”でないセキュリテ
ィアソシエーションを検索すると、dst=CNがある
ので、“CN”に対して「SA GatewayUpd
ate」を行う(ステップS105)。その結果、図1
4(b)のセキュリティアソシエーション・データベー
ス:SADの内容は、図14(d)のように更新され
る。 SA Local Update 移動端末102では、自身のSADを検索し、dstフ
ィールドが“CoA(1)”であるものについて、すべ
て“CoA(2)”へと変更する。
【0031】移動端末102が現在通信している相手
は、すべてのセキュリティアソシエーションのdest
inationアドレスが現在のCoAである“CoA
(2)”に変化するため、IPSECトンネルのend
pointは、“CoA(1)”から“CoA(2)”
に切り替わる。これにより、移動端末102が移動した
場合でもセッションが保証される(ステップS106、
S107)。その結果、図14(a)のセキュリティア
ソシエーション・データベース:SADの内容は、図1
4(c)のように更新される。
【0032】このように、従来技術では、標準のプロト
コルであるIPSECのトンネルモードを利用して、通
信相手との通信路を確保する。さらに、「SA Gat
eway Update」という概念を追加すること
で、トンネルの終端点の変更を可能にし、移動後のセッ
ションを保証する。また、「Dynamic DNSu
pdate」を利用するとともに、新たに「Home
Address Resource Record(H
AAAA)」をDNSに導入する。これにより、移動端
末のホームアドレスとCoAとの関係を知ることがで
き、その結果、ホームアドレスを移動端末の識別子とし
て使用できる。
【0033】
【発明が解決しようとする課題】しかしながら、上記、
従来のセキュリティアソシエーション切断/継続方法に
おいては、端末自体が移動することについては考慮して
いるが、ユーザが使用する端末を変更した場合には全く
対応していない。すなわち、ユーザがICカードにX.
509の認証書を保持し端末間を移動した場合は、ユー
ザが移動した端末においてもセキュリティアソシエーシ
ョンを再確立し、そのとき、鍵共有プロトコル:IKE
では「DiffieHellman演算」や「RSA演
算」のべき乗剰余演算が発生するため、多大な演算時間
が必要となり、さらに、リソースも消費してしまう、と
いう問題があった。
【0034】特に、クライアントサーバモデルにおける
サーバ側において、何万〜何百万のクライアントユーザ
の鍵共有処理を実施する場合には、これらのべき乗剰余
演算を減らす必要がある。
【0035】また、上記、従来のセキュリティアソシエ
ーション切断/継続方法においては、不必要になったセ
キュリティアソシエーションを寿命が終了するまで維持
し続けることになるため、無駄なリソースを消費する、
という問題もあった。
【0036】本発明は、上記に鑑みてなされたものであ
って、ユーザが移動し通信に使用する端末を変更した場
合の、べき乗剰余演算処理を削減することが可能なセキ
ュリティアソシエーション切断/継続方法および通信シ
ステムを得ることを目的とする。また、端末移動後の不
必要なセキュリティアソシエーションを切断することが
可能なセキュリティアソシエーション切断/継続方法お
よび通信システムを得ることを目的とする。
【0037】
【課題を解決するための手段】上述した課題を解決し、
目的を達成するために、本発明にかかるセキュリティア
ソシエーション切断/継続方法にあっては、ネットワー
クを構成する第1の端末(後述する実施の形態の端末1
1に相当)が通信相手となる第2の端末(通信相手ホス
ト3または中継装置に相当)との間にセキュリティアソ
シエーションを確立し、当該セキュリティアソシエーシ
ョンを用いて暗号通信を行う通信システムにおいて、前
記第2の端末と通信中に、前記第1の端末を使用するユ
ーザが、当該通信に使用する端末を第3の端末(端末1
2に相当)に変更し、その後、前記第3の端末と前記第
2の端末との間で通信を行う場合、前記第3の端末が、
前記第1の端末から受け取ったセキュリティアソシエー
ションに関連する情報に記載された「自端末を識別する
ための情報」を更新し、更新後のセキュリティアソシエ
ーション関連情報に従って暗号化処理を行ったセキュリ
ティアソシエーション継続通知を生成し、当該継続通知
を前記第2の端末に対して送信する継続要求ステップ
と、前記第2の端末が、受信した継続通知に対して所定
の復号処理を行い、自身が保持するセキュリティアソシ
エーション関連情報に記載された「通信相手を識別する
ための情報」を更新することによって、前記確立したセ
キュリティアソシエーションを継続する継続ステップ
と、を含むことを特徴とする。
【0038】つぎの発明にかかるセキュリティアソシエ
ーション切断/継続方法にあっては、ネットワークを構
成する第1の端末が通信相手となる第2の端末との間に
セキュリティアソシエーションを確立し、当該セキュリ
ティアソシエーションを用いて暗号通信を行う通信シス
テムにおいて、前記第2の端末と通信中に、前記第1の
端末を使用するユーザが、当該通信に使用する端末を第
3の端末に変更し、その後、前記第3の端末と前記第2
の端末との間で通信を行う場合、前記第3の端末が、前
記第1の端末から受け取ったセキュリティアソシエーシ
ョンに関連する情報に記載された「自端末を識別するた
めの情報」を更新し、更新後のセキュリティアソシエー
ション関連情報に従って暗号化処理を行ったセキュリテ
ィアソシエーション切断通知を生成し、当該切断通知を
前記第2の端末に対して送信する継続要求ステップと、
前記第2の端末が、受信した切断通知に対して所定の復
号処理を行い、その後、前記第1の端末と前記第2の端
末との間に確立したセキュリティアソシエーションを切
断する切断ステップと、を含むことを特徴とする。
【0039】つぎの発明にかかる通信システムにあって
は、ネットワークを構成する第1の端末が通信相手とな
る第2の端末との間にセキュリティアソシエーションを
確立し、当該セキュリティアソシエーションを用いて暗
号通信を行う構成とし、たとえば、前記第2の端末と通
信中に、前記第1の端末を使用するユーザが、当該通信
に使用する端末を第3の端末に変更し、その後、前記第
3の端末と前記第2の端末との間で通信を行う場合、前
記第3の端末が、前記第1の端末から受け取ったセキュ
リティアソシエーションに関連する情報に記載された
「自端末を識別するための情報」を更新し、更新後のセ
キュリティアソシエーション関連情報に従って暗号化処
理を行ったセキュリティアソシエーション継続通知を生
成し、当該継続通知を前記第2の端末に対して送信し、
前記第2の端末が、受信した継続通知に対して所定の復
号処理を行い、自身が保持するセキュリティアソシエー
ション関連情報に記載された「通信相手を識別するため
の情報」を更新することによって、前記確立したセキュ
リティアソシエーションを継続することを特徴とする。
【0040】つぎの発明にかかる通信システムにあって
は、ネットワークを構成する第1の端末が通信相手とな
る第2の端末との間にセキュリティアソシエーションを
確立し、当該セキュリティアソシエーションを用いて暗
号通信を行う構成とし、たとえば、前記第2の端末と通
信中に、前記第1の端末を使用するユーザが、当該通信
に使用する端末を第3の端末に変更し、その後、前記第
3の端末と前記第2の端末との間で通信を行う場合、前
記第3の端末が、前記第1の端末から受け取ったセキュ
リティアソシエーションに関連する情報に記載された
「自端末を識別するための情報」を更新し、更新後のセ
キュリティアソシエーション関連情報に従って暗号化処
理を行ったセキュリティアソシエーション切断通知を生
成し、当該切断通知を前記第2の端末に対して送信し、
前記第2の端末が、受信した切断通知に対して所定の復
号処理を行い、その後、前記第1の端末と前記第2の端
末との間に確立したセキュリティアソシエーションを切
断することを特徴とする。
【0041】
【発明の実施の形態】以下に、本発明にかかるセキュリ
ティアソシエーション切断/継続方法および通信システ
ムの実施の形態を図面に基づいて詳細に説明する。な
お、この実施の形態によりこの発明が限定されるもので
はない。
【0042】実施の形態1.図1は、本発明にかかるセ
キュリティアソシエーション切断/継続方法を実現する
通信システムの構成を示す図である。図1において、1
a,1b,1cはサブネットワークであり、6はサブネ
ットワーク1a,1b,1cを相互接続するインターネ
ットであり、3は通信相手ホスト(CN)であり、11
はサブネットワーク1aに存在する端末であり、12は
サブネットワーク1bに存在する端末であり、13はユ
ーザFであり、14はユーザFの認証書とSPD(Secu
rity Policy Database)とSAD(Security-Associati
on Database)情報を格納するICカードであり、17
は通信相手ホスト3と端末11間でセキュリティアソシ
エーションとして確立されたIPSECトンネルであ
り、18は通信相手ホスト3と端末12間でセキュリテ
ィアソシエーションとして確立されたIPSECトンネ
ルである。
【0043】ここで、上記ネットワークにおける実施の
形態1のセキュリティアソシエーション切断/継続方法
について説明する。ここでは、ユーザFが、サブネット
ワーク1aに属する端末11を用いて通信相手ホスト3
と通信を行い、その後、移動先のサブネットワーク1b
に属する端末12を用いて通信相手ホスト3と通信を行
う場合について説明する。
【0044】なお、移動前の端末11と通信相手ホスト
3との間の通信、および移動後の端末12と通信相手ホ
スト3との間の通信には、IPSECのトンネルモード
(Tunnel Mode)を使用する(IPSECの詳細につい
てはRFC2401〜RFC2412参照)。また、端
末11は、CoA(1)の固定IPアドレスを持ち、端
末12は、CoA(2)の固定IPアドレスを持ち、通
信相手ホスト3は、CNの固定IPアドレスを持つ。ま
た、端末11と端末12と通信相手ホスト3は、トンネ
ルモードIPSEC通信における外側パケットおよび内
側パケットの2種類のアドレスには、同じIPアドレス
を使用する。
【0045】図2は、IPSECを用いた端末間の通信
の様子を示す図である。パケットを送信する場合、各端
末では、セキュリティ・ポリシー・データベース:SP
Dを検索する。SPDは、対象となるパケットのsrc
(sourceアドレス)およびdst(Destin
ationアドレス)等の要素から、セキュリティ・ポ
リシーを選択する。セキュリティ・ポリシーは、「パケ
ットを破棄する(discard)」,「パケットをそ
のまま通過させる(bypass)」,「IPSECの
処理を行う(apply)」,の行動を定めるものであ
る。たとえば、セキュリティ・ポリシーが「appl
y」の場合には、使用するセキュリティアソシエーショ
ン(あるいはセキュリティアソシエーションが満たすべ
き条件)が記述されている。この場合、使用するセキュ
リティアソシエーションが定まるので、これに記述され
た内容に従って対象のパケットに対して暗号などの処理
を行う。
【0046】一方、セキュリティアソシエーションがな
い場合は、適切な鍵共有プロトコル:IKEを使用して
セキュリティアソシエーションの確立を行う。鍵共有プ
ロトコル:IKEでは、なりすまし防止のために相互認
証を行っている。なお、パスワードのような秘密情報を
二者間で共有した事前共有鍵による認証方式以外に、
X.509の認証書を用いたデジタル署名により相互認
証を行う方式、を規定している。デジタル署名では、装
置毎あるいはユーザ毎に認証局が発行した認証書を用い
る。
【0047】IPSECが使用されているパケットを受
信した端末では、dst(通常は受信したノード)とS
PI(Security Parameter Index)から、セキュリティ
アソシエーションを決定し、記述された内容に従ってI
PSECの復号などの処理を行う。そして、得られたパ
ケットをもとにSPDを検索し、セキュリティ・ポリシ
ーを得る。その後、セキュリティ・ポリシーから導かれ
るセキュリティアソシエーションが、このパケットを処
理するために使用してきたセキュリティアソシエーショ
ンと一致するかどうかを確認する。
【0048】図3は、ユーザFが端末11から端末12
へ移動した場合の動作シーケンスの一例を示す図であ
る。なお、使用するIPSECプロトコルはESP(En
capsulating Security Payload)を想定する。まず、端
末11では、適切な鍵管理プロトコル:IKEを使用し
て通信相手ホスト3とのセキュリティアソシエーショ
ン:SAを確立する(図3,ステップS1、(1)参
照)。セキュリティアソシエーション:SAを確立する
ための識別子は、端末11がユーザFのID(詳細には
X.509のユーザFの認証書のsubject名)で
あり、通信相手ホスト3が自局のIPアドレス:CNま
たは通信相手ホスト3の認証書のIDである。
【0049】端末11では、通信相手ホスト3に対して
TCP(Transmission Control Protocol)/UDP(U
ser Datagram Protocol)のport番号80のパケッ
トを送信する場合、SPDを検索する。図4は、ユーザ
FのICカード内のSPD、ユーザGのICカード内の
SPD、通信相手ホスト3内のSPD、を示す図であ
り、特に、図4(a)は、セキュリティアソシエーショ
ン:SAを確立する前にICカード14内に設定されて
いるユーザFのセキュリティ・ポリシー・データベー
ス:SPDの一例を示す図である。図4(a)の検索処
理により、ここでは、SPF(1)を選択する。
【0050】SPF(1)にはセキュリティアソシエー
ションとしてSAF(1)を参照するように記述されて
いるので、端末11では、図5(a)のSAF(1)を
参照する。図5は、ユーザFに関するSADを示す図で
あり、特に、図5(a)は、セキュリティアソシエーシ
ョン:SAを確立した後に生成される端末11のセキュ
リティアソシエーション・データベース:SADの一例
を示す図である。
【0051】SAF(1)には、Destinatio
nアドレスとして“CN”が、protocolとして
“ESP”が、modeとして“tunnel”が、そ
れぞれ指定されているので、端末11では、通信相手ホ
スト3へのパケットをIPSECでカプセル化し、その
パケットのsourceアドレスを“CoA(1)”と
し、Destinationアドレスを“CN”とし、
SPIを“h(2)”とし、ESPにこれらを付与して
送信する(図3,ステップS2、(2)参照)。カプセ
ル化の処理では、暗号鍵:KEYH(2)を用いて内側
のパケットを暗号化する。
【0052】このパケットを受信した通信相手ホスト3
では、(dst,SPI)=(CN,h(2))である
セキュリティアソシエーションを、図6(a)に示すS
ADから検索する。図6は、通信相手ホスト3に関する
SADを示す図であり、特に、図6(a)は、セキュリ
ティアソシエーション:SAを確立した後に生成される
通信相手ホスト3のセキュリティアソシエーション・デ
ータベース:SADの一例を示す図である。検索の結
果、通信相手ホスト3では、得られたセキュリティアソ
シエーションを使用してESPを検証し、カプセル化を
外して端末11からのパケットを得る。カプセル化を外
す処理では、暗号鍵:KEYH(2)を用いて内側のパ
ケットを復号する。
【0053】そして、通信相手ホスト3および端末11
では、通信相手ホスト3から端末11へのパケットにつ
いても上記と同様の手順で処理する(図3,ステップS
3、(3)参照)。
【0054】つぎに、図1において、ユーザFが端末1
1から端末12へ移動し、端末12と通信相手ホスト3
との間で通信を行う場合について説明する。まず、ユー
ザFは、図5(a)に示されているSADをICカード
14へコピーし、移動後に、ICカード14の内容を端
末12へ書き込む。端末12では、図5(a)の受信用
SAF(2)のDistinationアドレスが端末
12の自局アドレスと異なるため、CoA(1)を端末
12のIPアドレスであるCoA(2)へ変更する。そ
の結果、図5(a)のセキュリティアソシエーション・
データベース:SADの内容は、図5(b)のように更
新される。
【0055】さらに、端末12では、ユーザFに関する
セキュリティアソシエーション・データベース:SAD
に従ってセキュリティアソシエーション:SAの継続を
通信相手ホスト3へ通知する(図3,ステップS4、
(4)参照)。ここでは、Sourceアドレスを“C
oA(2)”とし、destinationアドレスを
“CN”とし、SPIを“h(2)”とし、ESPにこ
れらを付与する。そして、内側のパケットのsourc
eアドレスを“CoA(2)”とし、destinat
ionアドレスを“CN”とし、port番号を“10
000”とし、データ部にSAを継続するコードとユー
ザFの認証書のsubject名を設定し、暗号鍵:K
EYH(2)を用いて暗号化後、IPSECでカプセル
化する。
【0056】SAの継続通知を受信した通信相手ホスト
3では、(dst,SPI)=(CN,h(2))であ
るセキュリティアソシエーションを、図6(a)のSA
Dから検索する。ここでは、SADのSAH(2)のK
EYH(2)を用いて復号し、SAの継続通知のカプセ
ル化を解き、内部IPパケットを得る。これにより、ユ
ーザFが移動し、端末を変更した場合であっても、SA
が継続される。
【0057】通信相手ホスト3では、ユーザFのSAを
継続するために、図4(c)のSPDを検索し、ユーザ
Fに関連するすべての情報を検出する。検出したSPD
のなかでユーザFに関するものはSPH(1)とSPH
(2)であるため、通信相手ホスト3では、関連するS
AH(1)とSAH(2)のSADを調べる。ここで
は、SAH(1)のdestinationアドレスが
CoA(1)に設定され、端末12の自局IPアドレス
と異なっているため、通信相手ホスト3では、端末12
の自局IPアドレスをCoA(2)に書き換え、図6
(a)に示すSADを図6(b)のように更新する。
【0058】その結果、ユーザFが現在通信している相
手、すなわち、通信相手ホスト3は、すべてのセキュリ
ティアソシエーションのdestinationアドレ
スが“CoA(2)”に変化するため、IPSECトン
ネルのendpointは、“CoA(1)”から“C
oA(2)”に切り替わる。これにより、ユーザFが移
動し、端末を変更した場合であっても、セキュリティア
ソシエーションが維持保証される(図3,ステップS5
およびS6、(5),(6)参照)。
【0059】つぎに、ユーザGが端末11から通信相手
ホスト3に対してアクセスする場合について説明する。
なお、ユーザGが所有しているICカード内には、図4
(b)に示すSPDが保持されている。また、図示はし
ていないが、端末11は、適切な鍵管理プロトコル:I
KEを使用して通信相手ホスト3とのセキュリティアソ
シエーション:SAを確立する。セキュリティアソシエ
ーション:SAを確立する場合の識別子は、端末11側
がユーザGのID(詳細にはX.509のユーザGの認
証書のsubject名)であり、通信相手ホスト3が
自局IPアドレス:CNまたは通信相手ホスト3の認証
書のIDである。
【0060】図7は、ユーザGに関するSADを示す図
であり、詳細には、セキュリティアソシエーション:S
Aを確立後に生成される端末11のセキュリティアソシ
エーション・データベース:SADの一例を示す図であ
る。なお、使用するIPSECプロトコルはESPを想
定する。
【0061】端末11が通信相手ホスト3に対してTC
P/UDPのport番号23のパケットを送信する場
合、端末11では、図4(b)に示すSPDを検索し、
SPG(1)を選択する。SPG(1)には、セキュリ
ティアソシエーションとしてSAG(1)を参照するよ
うに記述されているので、図7のSAG(1)を参照す
る。SAG(1)には、destinationアドレ
スとして“CN”が、protocolとして“ES
P”が、modeとして“tunnel”が指定されて
いるので、端末11では、通信相手ホスト3へのパケッ
トをIPSECでカプセル化し、そのパケットのsou
rceアドレスを“CoA(1)”とし、destin
ationアドレスを“CN”とし、SPIを“h
(4)”とし、ESPにこれらを付与して送信する。カ
プセル化の処理では、暗号鍵:KEYH(4)を用いて
内側のパケットを暗号化する。
【0062】このパケットを受信した通信相手ホスト3
では、(dst,SPI)=(CN,h(2))である
セキュリティアソシエーションを、図6(a)あるいは
図6(b)のようなSADから検索する。そして、通信
相手ホスト3では、得られたセキュリティアソシエーシ
ョンを使用してESPを検証し、カプセル化を外して移
動端末2からのパケットを得る。カプセル化を外す処理
では、暗号鍵:KEYH(4)を用いて内側のパケット
を復号する。なお、通信相手ホスト3から端末11への
ユーザGに関係するパケットも同様に処理される。
【0063】このように、端末11と通信相手ホスト3
間のIPSEC通信では、ユーザF,ユーザGともに、
端末に設定されているIPアドレスとは独立して通信を
行うことができる。
【0064】以上、本実施の形態においては、端末のサ
ブネットワーク間の移動に加えて、ユーザが使用する端
末を変更した場合についても対応することとした。すな
わち、ICカードに移動前の端末のX.509の認証書
を保持し、その内容を移動後の端末に書き込むことによ
って、セキュリティアソシエーションの再確立に関する
処理をなくし、再確立に伴う鍵共有プロトコル:IKE
による「DiffieHellman演算」や「RSA
演算」のべき乗剰余演算処理を行わない構成とした。こ
れにより、ユーザが通信に使用する端末を変更した場合
であっても、無駄な演算時間を消費することなく、セキ
ュリティアソシエーションを継続することができる。
【0065】なお、図3(4)のSA継続通知では、p
ort番号として10000を使用しているが、100
00固定である必要はなく、他の番号でもよい。
【0066】また、本実施の形態では、暗号鍵を用いた
IPカプセル化の一例を示したが、IPSECの規格に
あるような鍵付きハッシュ関数を用いたデータ認証やデ
ータ圧縮によるIPカプセル化を行った場合であって
も、同様の効果を得ることができる。
【0067】また、本実施の形態では、SPDを記録す
る媒体およびSADを記録する媒体として、ICカード
を用いることとしたが、これに限らず、フロッピィディ
スクや光ディスクなどの別の記録媒体を用いることとし
てもよい。また、すべてのSPDとSADを移動後の端
末に対して直接入力することとしてもよい。
【0068】また、本実施の形態では、移動前の端末1
1と通信相手ホスト3との間の通信、および移動後の端
末12と通信相手ホスト3との間の通信に、IPSEC
のトンネルモードを使用したが、これに限らず、IPS
ECのトランスポートモード(Transport Mode)を使用
することとしてもよい。
【0069】また、本実施の形態では、通信相手ホスト
3を通信における終端端末として説明したが、これに限
らず、ルータなどの中継装置がIPSECのカプセル化
による通信を行っている場合でもよい。
【0070】実施の形態2.つぎに、実施の形態2のセ
キュリティアソシエーション切断/継続方法について説
明する。前述の実施形態1では、ユーザFの移動に伴っ
て使用端末を変更した場合に、移動後の端末においても
ユーザFに関するセキュリティアソシエーション:SA
を継続するようにした。実施の形態2においては、ユー
ザFが使用する端末を変更した後に、何らかの理由によ
り必要が無くなったセキュリティアソシエーション:S
Aを切断する。なお、通信システムのネットワーク構成
については、前述の実施の形態1と同様のため同一の符
号を付してその説明を省略する。
【0071】図8は、実施の形態2のセキュリティアソ
シエーション切断/継続方法を示す図であり、詳細に
は、通信相手ホスト3と端末11との間および通信相手
ホスト3と端末12との間において、セキュリティアソ
シエーションを切断するシーケンスを示す図である。
【0072】ここで、実施の形態2のセキュリティアソ
シエーション切断/継続方法について説明する。なお、
図8(1),(2),(3)の処理については、前述の
実施の形態1と同様である。
【0073】ユーザFは、使用する端末を端末11から
端末12へ変更する場合、ICカード14に記録された
図5(a)に示すSADを、端末12へ書き込む。端末
12では、図5(a)の受信用SAF(2)のdist
inationアドレスが端末12の自局アドレスと異
なるため、CoA(1)を端末12のIPアドレスであ
るCoA(2)へ変更する。これにより、図5(a)の
セキュリティ・アソシエーション・データベース:SA
Dの内容は図5(b)のように更新される。
【0074】さらに、端末12では、通信相手ホスト3
に対して、ユーザFに関するセキュリティ・アソシエー
ション・データベース:SADに従ってセキュリティア
ソシエーション:SAを切断する旨を通知する(図8,
ステップS11、(4)参照)。ここでは、sourc
eアドレスを“CoA2”とし、destinatio
nアドレスを“CN”とし、SPIを“h(2)”とし
て、ESPにこれらを付与する。そして、内側のパケッ
トのsourceアドレスを“CoA(2)”とし、d
estinationアドレスを“CN”とし、por
t番号を“10000”とし、データ部にSAを切断す
るコードとユーザFの認証書のsubject名を設定
し、暗号鍵:KEYH(2)を用いて暗号化し、IPS
ECでカプセル化を行う。
【0075】SA切断通知を受信した通信相手ホスト3
では、(dst,SPI)=(CN,h(2))である
セキュリティアソシエーションを、図6(a)のSAD
から検索する。そして、内側のパケットを、SADのS
AH(2)のKEYH(2)を用いて復号し、さらに、
SA継続通知のIPSECによるカプセル化を解き、内
部IPパケットを得る。その後、通信相手ホスト3で
は、ユーザFのSAを切断する処理を行う。
【0076】通信相手ホスト3では、ユーザFのSAを
切断するために、図4(c)のSPDを検索し、ユーザ
Fに関連するすべての情報を検出する。検出したSPD
でユーザFに関する情報はSPH(1)とSPH(2)
であるので、保持している図6のSAH(1)とSAH
(2)を消去し、セキュリティアソシエーション:SA
を開放する。その後、通信相手ホスト3と端末12との
間に、新たなセキュリティアソシエーションを再確立す
る。
【0077】このように、本実施の形態においては、通
信に使用する端末の変更に伴って不必要になったセキュ
リティアソシエーションを、寿命が終了する前に切断す
ることとした。これにより、無駄なリソースの消費を抑
制することができる。
【0078】なお、図8(4)のSA切断通知では、p
ort番号として“10000”を使用しているが、1
0000固定である必要はなく、他の番号でもよい。
【0079】また、本実施の形態では、暗号鍵を用いた
IPカプセル化の一例を示したが、これに限らず、IP
SECの規格にあるような鍵付きハッシュ関数を用いた
データ認証やデータ圧縮によるIPカプセル化を行った
場合であっても、同様の効果を得ることができる。
【0080】また、本実施の形態では、SPDを記録す
る媒体およびSADを記録する媒体として、ICカード
を用いることとしたが、これに限らず、フロッピィディ
スクや光ディスクなどの別の記録媒体を用いることとし
てもよい。また、すべてのSPDとSADを移動後の端
末に対して直接入力することとしてもよい。
【0081】また、本実施の形態では、移動前の端末1
1と通信相手ホスト3との間の通信、および移動後の端
末12と通信相手ホスト3との間の通信に、IPSEC
のトンネルモードを使用したが、これに限らず、IPS
ECのトランスポートモード(Transport Mode)を使用
することとしてもよい。
【0082】また、本実施の形態では、通信相手ホスト
3を通信における終端端末として説明したが、これに限
らず、ルータなどの中継装置がIPSECのカプセル化
による通信を行っている場合でもよい。
【0083】
【発明の効果】以上、説明したとおり、本発明によれ
ば、ユーザが使用する端末を変更した場合についても対
応することとした。具体的にいうと、ICカードに第1
の端末のX.509の認証書を保持し、その内容を第3
の端末に書き込むことによって、セキュリティアソシエ
ーションの再確立に関する処理をなくし、再確立に伴う
鍵共有プロトコル:IKEによる「DiffieHel
lman演算」や「RSA演算」のべき乗剰余演算処理
を行わないこととした。これにより、ユーザが通信に使
用する端末を変更した場合であっても、無駄な演算時間
を消費することなく、既に確立されているセキュリティ
アソシエーションを継続することができる、という効果
を奏する。
【0084】つぎの発明によれば、通信に使用する端末
の変更に伴って不必要になったセキュリティアソシエー
ションを、寿命が終了する前に切断することとした。こ
れにより、無駄なリソースの消費を抑制することができ
る、という効果を奏する。
【0085】つぎの発明によれば、ICカードに第1の
端末のX.509の認証書を保持し、その内容を第3の
端末に書き込むことによって、セキュリティアソシエー
ションの再確立に関する処理をなくし、再確立に伴う鍵
共有プロトコル:IKEによる「DiffieHell
man演算」や「RSA演算」のべき乗剰余演算処理を
行わない構成とした。これにより、ユーザが通信に使用
する端末を変更した場合であっても、無駄な演算時間を
消費することなく、既に確立されているセキュリティア
ソシエーションを継続することが可能な通信システムを
得ることができる、という効果を奏する。
【0086】つぎの発明によれば、通信に使用する端末
の変更に伴って不必要になったセキュリティアソシエー
ションを、寿命が終了する前に切断することとした。こ
れにより、無駄なリソースの消費を抑制することが可能
な通信システムを得ることができる、という効果を奏す
る。
【図面の簡単な説明】
【図1】 本発明にかかるセキュリティアソシエーショ
ン切断/継続方法を実現する通信システムの構成を示す
図である。
【図2】 IPSECを用いた端末間の通信の様子を示
す図である。
【図3】 ユーザFが端末11から端末12へ移動した
場合の動作シーケンスの一例を示す図である。
【図4】 ユーザFの持つICカード内のSPD、ユー
ザGの持つICカード内のSPD、通信相手ホスト3内
のSPD、を示す図である。
【図5】 ユーザFに関するSADを示す図である。
【図6】 通信相手ホスト3に関するSADを示す図で
ある。
【図7】 ユーザGに関するSADを示す図である。
【図8】 実施の形態2のセキュリティアソシエーショ
ン切断/継続方法を示す図である。
【図9】 従来のセキュリティアソシエーション切断/
継続方法を示す図である。
【図10】 移動端末102から通信相手ホスト103
へIPSECトンネルを用いてパケットを転送する様子
を示す図である。
【図11】 移動端末102および通信相手ホスト10
3が接続されたネットワークの動作手順を示す図であ
る。
【図12】 サブネットワーク101aに存在する移動
端末102が通信相手ホスト103と通信を行う場合の
動作シーケンスの一例を示す図である。
【図13】 移動端末102および通信相手ホスト10
3が持つSPDの一例を示す図である。
【図14】 移動端末102および通信相手ホスト10
3が持つSADの一例を示す図である。
【符号の説明】
1a,1b,1c サブネットワーク、3 通信相手ホ
スト(CN)、6 インターネット、11,12 端
末、13 ユーザF、14 ICカード、17,18
IPSECトンネル、102 移動端末、103 通信
相手ホスト、107,108 IPSECトンネル。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 後沢 忍 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 Fターム(参考) 5B085 AA03 AE02 AE15 AE23 AE29 BC02 BG07 CC03 5B089 GB01 KA12 KA17 KB06 5J104 AA01 AA16 EA02 EA04 EA26 NA02 NA35 PA07 5K030 GA01 GA15 JT09 LD19

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】 ネットワークを構成する第1の端末が通
    信相手となる第2の端末との間にセキュリティアソシエ
    ーションを確立し、当該セキュリティアソシエーション
    を用いて暗号通信を行う通信システムのセキュリティア
    ソシエーション切断/継続方法において、 前記第2の端末と通信中に、前記第1の端末を使用する
    ユーザが、当該通信に使用する端末を第3の端末に変更
    し、その後、前記第3の端末と前記第2の端末との間で
    通信を行う場合、 前記第3の端末が、前記第1の端末から受け取ったセキ
    ュリティアソシエーションに関連する情報に記載された
    「自端末を識別するための情報」を更新し、更新後のセ
    キュリティアソシエーション関連情報に従って暗号化処
    理を行ったセキュリティアソシエーション継続通知を生
    成し、当該継続通知を前記第2の端末に対して送信する
    継続要求ステップと、 前記第2の端末が、受信した継続通知に対して所定の復
    号処理を行い、自身が保持するセキュリティアソシエー
    ション関連情報に記載された「通信相手を識別するため
    の情報」を更新することによって、前記確立したセキュ
    リティアソシエーションを継続する継続ステップと、 を含むことを特徴とするセキュリティアソシエーション
    切断/継続方法。
  2. 【請求項2】 ネットワークを構成する第1の端末が通
    信相手となる第2の端末との間にセキュリティアソシエ
    ーションを確立し、当該セキュリティアソシエーション
    を用いて暗号通信を行う通信システムのセキュリティア
    ソシエーション切断/継続方法において、 前記第2の端末と通信中に、前記第1の端末を使用する
    ユーザが、当該通信に使用する端末を第3の端末に変更
    し、その後、前記第3の端末と前記第2の端末との間で
    通信を行う場合、 前記第3の端末が、前記第1の端末から受け取ったセキ
    ュリティアソシエーションに関連する情報に記載された
    「自端末を識別するための情報」を更新し、更新後のセ
    キュリティアソシエーション関連情報に従って暗号化処
    理を行ったセキュリティアソシエーション切断通知を生
    成し、当該切断通知を前記第2の端末に対して送信する
    継続要求ステップと、 前記第2の端末が、受信した切断通知に対して所定の復
    号処理を行い、その後、前記第1の端末と前記第2の端
    末との間に確立したセキュリティアソシエーションを切
    断する切断ステップと、 を含むことを特徴とするセキュリティアソシエーション
    切断/継続方法。
  3. 【請求項3】 ネットワークを構成する第1の端末が通
    信相手となる第2の端末との間にセキュリティアソシエ
    ーションを確立し、当該セキュリティアソシエーション
    を用いて暗号通信を行う通信システムにおいて、 前記第2の端末と通信中に、前記第1の端末を使用する
    ユーザが、当該通信に使用する端末を第3の端末に変更
    し、その後、前記第3の端末と前記第2の端末との間で
    通信を行う場合、 前記第3の端末が、前記第1の端末から受け取ったセキ
    ュリティアソシエーションに関連する情報に記載された
    「自端末を識別するための情報」を更新し、更新後のセ
    キュリティアソシエーション関連情報に従って暗号化処
    理を行ったセキュリティアソシエーション継続通知を生
    成し、当該継続通知を前記第2の端末に対して送信し、 前記第2の端末が、受信した継続通知に対して所定の復
    号処理を行い、自身が保持するセキュリティアソシエー
    ション関連情報に記載された「通信相手を識別するため
    の情報」を更新することによって、前記確立したセキュ
    リティアソシエーションを継続することを特徴とする通
    信システム。
  4. 【請求項4】 ネットワークを構成する第1の端末が通
    信相手となる第2の端末との間にセキュリティアソシエ
    ーションを確立し、当該セキュリティアソシエーション
    を用いて暗号通信を行う通信システムにおいて、 前記第2の端末と通信中に、前記第1の端末を使用する
    ユーザが、当該通信に使用する端末を第3の端末に変更
    し、その後、前記第3の端末と前記第2の端末との間で
    通信を行う場合、 前記第3の端末が、前記第1の端末から受け取ったセキ
    ュリティアソシエーションに関連する情報に記載された
    「自端末を識別するための情報」を更新し、更新後のセ
    キュリティアソシエーション関連情報に従って暗号化処
    理を行ったセキュリティアソシエーション切断通知を生
    成し、当該切断通知を前記第2の端末に対して送信し、 前記第2の端末が、受信した切断通知に対して所定の復
    号処理を行い、その後、前記第1の端末と前記第2の端
    末との間に確立したセキュリティアソシエーションを切
    断することを特徴とする通信システム。
JP2001310596A 2001-10-05 2001-10-05 セキュリティアソシエーション切断/継続方法および通信システム Abandoned JP2003115834A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001310596A JP2003115834A (ja) 2001-10-05 2001-10-05 セキュリティアソシエーション切断/継続方法および通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001310596A JP2003115834A (ja) 2001-10-05 2001-10-05 セキュリティアソシエーション切断/継続方法および通信システム

Publications (1)

Publication Number Publication Date
JP2003115834A true JP2003115834A (ja) 2003-04-18

Family

ID=19129540

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001310596A Abandoned JP2003115834A (ja) 2001-10-05 2001-10-05 セキュリティアソシエーション切断/継続方法および通信システム

Country Status (1)

Country Link
JP (1) JP2003115834A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6966003B1 (en) * 2001-01-12 2005-11-15 3Com Corporation System and method for switching security associations
JP2007251842A (ja) * 2006-03-17 2007-09-27 Ricoh Co Ltd ネットワーク機器
JP2008512958A (ja) * 2004-09-13 2008-04-24 ユーティースターコム,インコーポレイテッド 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能
JP2009055201A (ja) * 2007-08-24 2009-03-12 Ricoh Co Ltd 通信システム及び通信装置
US7917941B2 (en) 2003-09-22 2011-03-29 International Business Machines Corporation System and method for providing physical web security using IP addresses
JP2011211736A (ja) * 2004-02-06 2011-10-20 Orange Sa 通信
US8737396B2 (en) 2011-03-10 2014-05-27 Fujitsu Limited Communication method and communication system

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6966003B1 (en) * 2001-01-12 2005-11-15 3Com Corporation System and method for switching security associations
US7917941B2 (en) 2003-09-22 2011-03-29 International Business Machines Corporation System and method for providing physical web security using IP addresses
JP2011211736A (ja) * 2004-02-06 2011-10-20 Orange Sa 通信
JP2008512958A (ja) * 2004-09-13 2008-04-24 ユーティースターコム,インコーポレイテッド 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能
JP2007251842A (ja) * 2006-03-17 2007-09-27 Ricoh Co Ltd ネットワーク機器
JP2009055201A (ja) * 2007-08-24 2009-03-12 Ricoh Co Ltd 通信システム及び通信装置
US8737396B2 (en) 2011-03-10 2014-05-27 Fujitsu Limited Communication method and communication system

Similar Documents

Publication Publication Date Title
US9838362B2 (en) Method and system for sending a message through a secure connection
US7389412B2 (en) System and method for secure network roaming
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
US7937581B2 (en) Method and network for ensuring secure forwarding of messages
JP4755203B2 (ja) ホスト・アイデンティティ・プロトコルの方法および装置
EP1463257B1 (en) Communication between a private network and a roaming mobile terminal
USRE46113E1 (en) Technique for maintaining secure network connections
EP1495621B1 (en) Security transmission protocol for a mobility ip network
EP1735963B1 (en) Identification method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes
US20060182083A1 (en) Secured virtual private network with mobile nodes
US7849195B2 (en) Host identity protocol method and apparatus
JP2003051818A (ja) モバイルipネットワークにおけるipセキュリティ実行方法
JP2000332825A (ja) 移動通信方法、移動計算機装置、計算機管理装置及び暗号化通信装置
EP1466458B1 (en) Method and system for ensuring secure forwarding of messages
US8850066B2 (en) Dynamically assigning unique addresses to endpoints
JP2003115834A (ja) セキュリティアソシエーション切断/継続方法および通信システム
KR20030035587A (ko) 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스처리장치 및 방법
Karbasioun et al. Securing mobile IP communications using MOBIKE protocol
Bussooa et al. Performance Evaluation of the Update Messages of Locator Identifier Split Protocols Using an IP Paging Mechanism at the End Networks
Park et al. Secure firewall traversal in mobile IP network
Gayathri et al. Mobile Multilayer IPsec Protocol
Beda et al. A Transport Layer Approach to Handover in IP Networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040917

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061017

A762 Written abandonment of application

Free format text: JAPANESE INTERMEDIATE CODE: A762

Effective date: 20061114