JP2004104542A - ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法 - Google Patents

ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法 Download PDF

Info

Publication number
JP2004104542A
JP2004104542A JP2002264913A JP2002264913A JP2004104542A JP 2004104542 A JP2004104542 A JP 2004104542A JP 2002264913 A JP2002264913 A JP 2002264913A JP 2002264913 A JP2002264913 A JP 2002264913A JP 2004104542 A JP2004104542 A JP 2004104542A
Authority
JP
Japan
Prior art keywords
ipsec
setting
processing device
request
ipsec processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002264913A
Other languages
English (en)
Other versions
JP4159328B2 (ja
Inventor
Masanao Sakai
酒井 征直
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2002264913A priority Critical patent/JP4159328B2/ja
Priority to SG200305653A priority patent/SG115564A1/en
Priority to AU2003244590A priority patent/AU2003244590B2/en
Priority to US10/655,372 priority patent/US8301875B2/en
Priority to CN03157030.5A priority patent/CN1496063B/zh
Publication of JP2004104542A publication Critical patent/JP2004104542A/ja
Application granted granted Critical
Publication of JP4159328B2 publication Critical patent/JP4159328B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】通信する装置間での設定不一致を防止可能なIPsec設定サーバ装置を提供する。
【解決手段】IPsec処理部12はインタフェース部11から受信したデータ通信パケットに対してIPsec処理を実施する。SPD13はIPsec処理部12から参照され、IPsecを適用するためのポリシーを記録している。SAD14はIPsec処理部12から参照され、個々の通信に対してIPsec処理を実施するために必要なSAを記録している。要求処理部15はIPsec処理装置から設定要求メッセージを受信し、配布メッセージを返す。配布ポリシー記憶部16は要求された設定を決定するために必要なIPsecポリシーが記憶されている。管理テーブル17は設定要求を受けた各々のSA通信に関する情報が記憶されている。
【選択図】   図2

Description

【0001】
【発明の属する技術分野】
本発明はネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法に関し、特にインタネット上で機密性、完全性、認証等の機能を提供するIPsec(Internet Protocol
security protocol)によるネットワーク構成に関する。
【0002】
【従来の技術】
従来、インタネットの普及に伴って、インタネット上でのセキュリティを確保したいという要望が高まっている。特に、多くの企業においては、高価な専用線を用いてネットワークを構築する代わりに、インタネット上に仮想的な私設網を構築し、遠隔地のオフィス等を結ぶネットワークを安価に構築したいという要望も多い。
【0003】
このような要望に対して、インタネット上で機密性、完全性、認証等の機能を提供するIPsec(Internet Protocol securityprotocol)がIETF(Internet EngineeringTask Force)によって標準化されている(例えば、特許文献1参照)。
【0004】
IPsecを用いることによって、異なる2つの拠点間をインタネットを介して通信する場合には、インタネット経路上でのセキュリティを確保することが可能となる。新しいインタネットプロトコルであるIPv6(Internet Protocol version 6)ではIPsecのサポートが必須となり、今後、ますます多くのネットワーク機器がIPsecに対応し、IPsecを使用した通信もますます増えることが予想される。
【0005】
このIPsecを使用した通信を行うIPsec処理装置の構成を図31に示す。図31において、IPsec処理装置4はインタフェース部(I/F)41,42と、IPsec処理部43と、SPD(Security PolicyDatabase)44と、SAD(Security Association Database)45と、ルーティング部46とを具備している。
【0006】
インタフェース部41はプライベートネットワークに接続され、プライベートネットワークとのデータ通信を行う。インタフェース部42はインタネットに接続され、インタネットを介したデータ通信を行う。
【0007】
IPsec処理部43はインタフェース部41,42から受信したデータ通信パケットに対してIPsec処理を実施する。SPD44はIPsec処理部43から参照され、IPsecを適用するためのポリシーが記録されている。SAD45はIPsec処理部43から参照され、個々の通信に対してIPsec処理を実施するために必要なSAが記録されている。ルーティング部46はIPsec処理部43との間でデータ通信パケットの送受信を行い、各々のデータ通信パケットの転送先を決定する。
【0008】
特開2001−298449号公報(第8−11頁、図1)
【0009】
【発明が解決しようとする課題】
しかしながら、上述した従来のIPsecによるネットワーク構成では、1台のIPsec処理装置が多くの相手とIPsec通信を実施する場合、IPsecによる接続において、IPsec処理を実施する装置に設定する内容が多いという問題がある。
【0010】
IPsecを利用するためには、IPsecを適用する通信に対して使用するサービス[AH(Authentication Header:認証ヘッダ),ESP(Encapsulating Security Payload:カプセル化セキュリティペイロード)によって提供されるサービス]、使用するアルゴリズム等を、IPsec処理を実施する両端の装置にそれぞれ設定する必要がある。
【0011】
自動鍵管理プロトコル(IKE:Internet Key Exchange)を使用する場合には、自動鍵管理プロトコルで利用される暗号化アルゴリズム、ハッシュアルゴリズム、鍵共有アルゴリズム等も両端の装置に設定する必要がある。これらの設定の数はIPsecによって接続する相手毎に必要となるため、IPsecによって接続する相手が多くなるほど、多くの設定が必要となる。
【0012】
また、従来のIPsecによるネットワーク構成では、IPsecを適用する通信の両端で異なる設定をしてしまう可能性があるという問題がある。IPsec処理を実施する両端の装置において、使用するサービスの設定や、使用するアルゴリズムの設定に異なる設定をしてしまった場合、通信することができなくなる。IPsecを適用する通信が多くなると、設定の数も多くなるため、このような間違いが発生する可能性も増える。
【0013】
さらに、従来のIPsecによるネットワーク構成では、自動鍵管理プロトコルを使用した場合に、共有秘密鍵を生成する演算に時間がかかり、結果として通信を開始することができるまでに時間がかかるとという問題がある。通常、IPsec処理装置では、図32に示すように、当該通信が必要になった時点で初めて共有秘密鍵の生成を始めるため、共有秘密鍵の生成に時間がかかれば、通信開始までに時間がかかってしまう。
【0014】
さらにまた、従来のIPsecによるネットワーク構成では、自動鍵管理プロトコルを使用した場合に、IPsec処理を実施する装置に演算負荷が発生するという問題がある。共有秘密鍵を生成するためには多くの演算が必要となり、当該装置の持つ他の機能(IPsecを適用しないパケットの転送機能等)の性能が低下してしまう。同時に扱うIPsec通信が多くなると、共有秘密鍵を生成する機会も多くなり、性能が低下する割合も多くなる。
【0015】
そこで、本発明の目的は上記の問題点を解消し、通信する装置間での設定不一致を防止することができるネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法を提供することにある。
【0016】
また、本発明の他の目的は、ポリシー設定後の暗号化や復号を滞りなく行うことができ、送信元からのパケットを取りこぼしなく受取ることができるネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法を提供することにある。
【0017】
また、本発明の別の目的は、秘密鍵演算を不要とし、個々の装置での通信開始時のIPsec経路の接続時間を短縮することができ、性能の低下を防ぐことができるネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法を提供することにある。
【0018】
【課題を解決するための手段】
本発明によるネットワークは、異なる2つの拠点間をインタネットを介して通信する場合にインタネット経路上でのセキュリティを確保するためのIPsec(Internet Protocol security protocol)を使用するIPsec処理装置と、前記IPsec処理装置のIPsec設定を管理するIPsec設定サーバ装置とを含むネットワークであって、前記IPsec処理装置間に適用する前記IPsecのポリシーを一括管理する機能を前記IPsec設定サーバ装置に備えている。
【0019】
本発明による他のネットワークは、上記の構成のほかに、前記要求メッセージを受信した場合に当該要求メッセージを送信したIPsec処理装置の通信相手のIPsec処理装置に対して当該通信用の要求メッセージを送信させるために要求起動メッセージを送信する機能を前記IPsec設定サーバ装置に具備している。
【0020】
本発明による別のネットワークは、上記の構成のほかに、前記IPsecの暗号化及び認証に使用するための共有秘密鍵を生成する機能と、その生成した前記共有秘密鍵を前記IPsec処理装置に配布する機能とを前記IPsec設定サーバ装置に具備している。
【0021】
本発明によるIPsec設定サーバ装置は、異なる2つの拠点間をインタネットを介して通信する場合にインタネット経路上でのセキュリティを確保するためのIPsec(Internet Protocol security protocol)を使用するIPsec処理装置のIPsec設定を管理するIPsec設定サーバ装置であって、前記IPsec処理装置間に適用する前記IPsecのポリシーを一括管理する機能を備えている。
【0022】
本発明による他のIPsec設定サーバ装置は、上記の構成のほかに、前記要求メッセージを受信した場合に当該要求メッセージを送信したIPsec処理装置の通信相手のIPsec処理装置に対して当該通信用の要求メッセージを送信させるために要求起動メッセージを送信する機能を具備している。
【0023】
本発明による別のIPsec設定サーバ装置は、上記の構成のほかに、前記IPsecの暗号化や認証に使用するための共有秘密鍵を生成する機能と、その生成した前記共有秘密鍵を前記IPsec処理装置に配布する機能とを具備している。
【0024】
本発明によるIPsec処理装置は、インタネットにおいてIPsec(Internet Protocol security protocol)を使用するIPsec処理装置であって、前記IPsecを適用すべきパケットを受信した場合にIPsec設定サーバ装置で一括管理される当該IPsecに関する設定を前記IPsec設定サーバ装置に問い合わせるか否かを判断する機能を備えている。
【0025】
本発明による他のIPsec処理装置は、上記の構成において、前記IPsec設定サーバ装置から前記要求メッセージを送信させるための要求起動メッセージを受信した時に当該要求メッセージの送信を行っている。
【0026】
本発明による別のIPsec処理装置は、上記の構成のほかに、前記IPsecの暗号化や認証に使用するための共有秘密鍵を前記IPsec設定サーバ装置から取得する機能を具備している。
【0027】
本発明によるIPsec設定方法は、異なる2つの拠点間をインタネットを介して通信する場合にインタネット経路上でのセキュリティを確保するためのIPsec(Internet Protocol security protocol)を使用するIPsec処理装置と、前記IPsec処理装置のIPsec設定を管理するIPsec設定サーバ装置とからなるネットワークのIPsec設定方法であって、前記IPsec処理装置間に適用する前記IPsecのポリシーを一括管理するステップを前記IPsec設定サーバ装置に備えている。
【0028】
本発明による他のIPsec設定方法は、上記の動作において、前記要求メッセージを受信した場合に当該要求メッセージを送信したIPsec処理装置の通信相手のIPsec処理装置に対して当該通信用の要求メッセージを送信させるために要求起動メッセージを送信するステップを前記IPsec設定サーバ装置に具備している。
【0029】
本発明による別のIPsec設定方法は、上記のステップのほかに、前記IPsecの暗号化や認証に使用するための共有秘密鍵を生成するステップと、その生成した前記共有秘密鍵を前記IPsec処理装置に配布するステップとを前記IPsec設定サーバ装置に具備している。
【0030】
すなわち、本発明のIPsec設定方法は、インタネットにおいてIPsec(Internet Protocol security protocol)を使用するIPsec処理装置において、個々のIPsec処理装置に設定するポリシーをIPsec設定サーバに一括して登録することによって、個々のIPsec処理装置に設定するポリシーの数を削減するものである。
【0031】
また、本発明のIPsec設定方法では、上記構成において、要求メッセージを受信した場合に当該要求メッセージを送信したIPsec処理装置の通信相手のIPsec処理装置に対して当該通信用の要求メッセージを送信させるために要求起動メッセージを送信することによって、各IPsec処理装置間に適用するIPsecのポリシーの設定がそれらの装置でほぼ同時に行われることとなり、ポリシー設定後の暗号化や復号を滞りなく行うことが可能となる。これによって、送信先のIPsec処理装置において送信元からのパケットを取りこぼしなく受取ることが可能となる。
【0032】
さらに、本発明のIPsec設定方法では、上記構成において、IPsec設定サーバが要求起動メッセージの送信時にそれに応答した要求メッセージを受信しなければ、送信元のIPsec処理装置に応答なしエラーメッセージを送信するので、送信元のIPsec処理装置で対向装置の不存在を認識することが可能となる。
【0033】
さらにまた、本発明のIPsec設定方法は、上記構成において、IPsecの暗号化や認証に使用するための共有秘密鍵を各IPsec処理装置がIPsec設定サーバから取得することによって、複雑な鍵交換演算を省略し、IPsec処理開始までの時間を短縮するものである。
【0034】
より具体的に説明すると、本発明のIPsec設定方法では、IPsec設定サーバが各IPsec処理装置間に適用するIPsecのポリシーを記憶している。送信元のIPsec処理装置が相手先のIPsec処理装置にデータ通信パケットを送信する場合、送信元のIPsec処理装置は必要な設定をIPsec設定サーバに要求する。要求を受信したIPsec設定サーバは相手先のIPsec処理装置に対しても設定を要求するように指示する。
【0035】
相手先のIPsec処理装置からの要求を受信した時点で、IPsec設定サーバは登録済みのポリシーと、送信元及び相手先の両方のIPsec処理装置から通知されたSPI(Security Parameters Index:セキュリティパラメータインデックス)、及びIPsec設定サーバが生成した共有秘密鍵をそれぞれのIPsec処理装置に送信する。この時点で送信元及び相手先の両方のIPsec処理装置にはIPsec処理に必要な情報がすべて揃い、IPsec処理を実行することが可能となる。尚、設定情報の送受信については、従来のIPsecによって保護することによって、第3者による盗聴を防ぐ。
【0036】
このように、本発明では、IPsecポリシーをIPsec設定サーバで一括して管理することによって、全体の設定数を削減すると同時に、2拠点間での設定内容が異なるために発生する通信障害を防止することが可能となる。
【0037】
また、本発明では、要求起動メッセージを送信しているので、要求メッセージの送信元のIPsec処理装置に対向するIPsec処理装置ではその送信元のIPsec処理装置でのIPsecのポリシーの設定とほぼ同時にIPsecのポリシーの設定が行われることとなり、そのポリシーの設定後に、送信元のIPsec処理装置がパケットを暗号化して送信すると、対向するIPsec処理装置では送信元のIPsec処理装置からのパケットを復号して受取ることが可能となる。これによって、送信先のIPsec処理装置において送信元からのパケットを取りこぼしなく受取ることが可能となる。
【0038】
さらに、本発明では、要求起動メッセージの送信時にそれに応答した要求メッセージが対向するIPsec処理装置から送られてこなければ、送信元のIPsec処理装置に対して応答なしエラーメッセージが送信されるので、送信元のIPsec処理装置で対向装置の不存在を即座に認識することが可能となる。
【0039】
さらにまた、本発明では、共有秘密鍵の取得にIKE(Internet Key Exchange:自動鍵管理プロトコル)を用いないため、IKEで使用するDiffie−Hellmanの演算をする必要がない。したがって、Diffie−Hellmanの演算を必要とする従来の手法と比較して、IPsec処理開始までの時間を短縮することが可能となる。
【0040】
従来の手法ではIKEのSA(Security Association)を更新するためにDiffie−Hellmanの演算が定期的に発生し、そのたびに演算負荷が発生する。IPsecによる通信相手が多いほど、IKEのSAを更新する機会も増えるので、演算負荷も増加し、IPsec処理装置全体の処理性能が低下する。
【0041】
これに対し、本発明では、IPsec処理装置とIPsec設定サーバとの間以外の通信については、Diffie−Hellmanの演算を行わないため、従来の手法と比較して、演算負荷も軽減することが可能となる。
【0042】
【発明の実施の形態】
次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるIPsec(Internet Protocol security protocol)によるネットワークの構成を示すブロック図である。図1において、本発明の一実施例によるネットワークは互いにIPsec適用通信を実施しようとする複数台のIPsec処理装置2a〜2fがインタネット100を介して接続され、同じくインタネット100上にIPsec設定サーバ1を接続して構成している。尚、図1に示すように、IPsec処理装置2a〜2fはそれぞれの背後に存在するプライベートネットワーク201〜204をIPsecによる通信によって相互に接続するルータであってもよいし、自分自身の通信にIPsecを適用するパーソナルコンピュータ(以下、パソコンとする)であってもよい。
【0043】
図2に図1のIPsec設定サーバ1の構成を示すブロック図である。図2において、IPsec設定サーバ1はインタフェース(I/F)部11と、IPsec処理部12と、SPD(Security Policy Database)13と、SAD (Security Association Database)14と、要求処理部15と、配布ポリシー記憶部16と、管理テーブル17と、乱数生成器18と、タイマ19と、記録媒体20とから構成されている。ここで、IPsec設定サーバ1は主にコンピュータから構成され、コンピュータが記録媒体20に格納されたプログラムを実行することで上記の各部の動作が実現される。
【0044】
インタフェース部11はインタネット100に接続され、インタネット100を介したデータ通信を行う。IPsec処理部12はインタフェース部11から受信したデータ通信パケットに対してIPsec処理を実施する。
【0045】
SPD13はIPsec処理部12から参照され、IPsecを適用するためのポリシーを記録している。SAD14はIPsec処理部12から参照され、個々の通信に対してIPsec処理を実施するために必要なSA(Security Association)を記録している。
【0046】
要求処理部15はインタフェース部11経由でIPsec処理装置2a〜2fから設定要求メッセージを受信し、配布メッセージを返す。配布ポリシー記憶部16は要求処理部15から参照され、要求された設定を決定するために必要なIPsecポリシーが記憶されている。管理テーブル17は要求処理部15から参照、設定され、設定要求を受けた各々のSA通信に関する情報が記憶されている。
【0047】
乱数生成器18は要求処理部15からの要求によって乱数を生成する。タイマ19は要求処理部15から要求され、時間を計測する。これらの中でIPsec処理部12、SAD14、SPD13はIPsec設定サーバ1がIPsec処理装置2との通信をIPsecによって保護するために必要となるだけであり、従来のIPsecの機構と同一である。
【0048】
インタフェース部11はインタネット100からデータ通信パケットを受信すると、そのデータ通信パケットをIPsec処理部12に転送し、またIPsec処理部12から転送されたデータ通信パケットをインタネット100に送信する。
【0049】
IPsec処理部12はインタネット100から受信したIPsec適用済みのデータ通信パケットに対してSAD14やSPD13の記憶内容を基にIPsecの復号処理を行い、IPsec適用前の状態にして要求処理部15に転送する。また、IPsec処理部12は要求処理部15から受信したデータ通信パケットに対してSPD13及びSAD14の記憶内容にしたがってIPsec処理を適用し、インタフェース部11に転送する。IPsec処理部12はIPsec設定サーバ1とIPsec処理装置2a〜2fとの間の通信を保護するために必要な機構であり、従来のIPsecと全く同じものである。
【0050】
図3は図2の配布ポリシー記憶部16の記憶内容を示す図である。図3において、配布ポリシー記憶部16には配布ポリシーを特定するためのアドレスペア欄と、配布するIPsecポリシーを設定する配布ポリシー欄とがある。配布ポリシー記憶部16の配布ポリシーに設定可能なパラメータはIPsecプロトコル、カプセル化モード、暗号化アルゴリズム、認証アルゴリズム、SAの有効期間である。
【0051】
図3に示す例では、IPsec処理装置2a−IPsec処理装置2b間の通信に適用するIPsecポリシー、IPsec処理装置2d−IPsec処理装置2e間の通信に適用するIPsecポリシーが設定されている。尚、配布ポリシー記憶部16には予めすべての項目をユーザが設定しておく必要がある。また、一度設定した後は動作中に自動的に書換えられることはない。
【0052】
IPsec処理装置2a−IPsec処理装置2b間の配布ポリシーとしては、IPsecプロトコルに「ESP(Encapsulating Security Payload:カプセル化セキュリティペイロード)」、カプセル化モードに「トンネルモード」、暗号化アルゴリズムに「DES−CBC(Data Encryption Standard−Cipher Block Chaining)」、認証アルゴリズムに「HMAC(Hashing Message Authentication Code)−MD5−96」、SAの有効期間に「3600秒」が設定されている。
【0053】
また、IPsec処理装置2d−IPsec処理装置2e間の配布ポリシーとしては、IPsecプロトコルに「ESP」、カプセル化モードに「トランスポートモード」、暗号化アルゴリズムに「3DES−CBC」、認証アルゴリズムに「HMAC−SHA−1−96」、SAの有効期間に「3600秒」が設定されている。
【0054】
従来の手法では適用するIPsecポリシーの内容についてそれぞれのIPsec処理装置2a〜2fに個別に同一の設定を入力する必要があるが、本発明の手法ではIPsec処理装置2a〜2f間のIPsec通信に対しては配布ポリシー記憶部16のみにIPsecポリシーを設定すればよいため、誤ってそれぞれのIPsec処理装置2a〜2fに異なる設定をしてしまう事故を回避することができると同時に、ユーザが実際に入力する設定の数も減らすことができる。
【0055】
図4は図2の管理テーブル17の記憶内容を示す図である。図4において、管理テーブル17にはIPsec処理装置2a〜2fから送られる要求メッセージに含まれる要求元アドレス、相手先アドレス、ID、SPI(SecurityParameter Index:セキュリティパラメータインデックス)をそれぞれ記録する要求元アドレス欄、相手先アドレス欄、要求ID欄、SPI欄と、当該通信用のIPsec処理に必要となるパラメータ群を記録する設定パラメータ欄とがある。このうち、設定パラメータ欄には当該通信に適用するポリシー及び当該通信用SAの構築に必要なパラメータからなるSAパラメータが設定される。
【0056】
図5は図4のSAパラメータの内容を示す図である。図5において、SAパラメータはIPsecプロトコル、カプセル化モード、暗号化アルゴリズム、認証アルゴリズム、有効期限、暗号鍵、認証鍵、IV(Initialization Vector)と、当該通信の受信側IPsec処理装置2a〜2fで使用するSPI値からなる。
【0057】
1個のIPsec通信に対して、通信を行う両端のIPsec処理装置2a〜2fから要求が発生するため、管理テーブル17の1個のエントリには要求元アドレス、相手先アドレス、要求ID、SPIは2個ずつ存在する。また、同一のIPsec通信であっても、SAの有効期限満了に備えて新しいSAが要求される場合があり、この場合には管理テーブル17には新しいSAのために新しく1個のエントリが登録される。尚、管理テーブル17の内容はすべて要求処理部15によって自動的に設定されるため、管理テーブル17の内容をユーザが直接設定する必要はない。
【0058】
管理テーブル17を参照することで、IPsec処理装置2a〜2fに配布する設定パラメータを得ることができる。設定パラメータ内のSAパラメータはIPsec通信を実施するそれぞれのIPsec処理装置2a〜2fからの要求メッセージを受信することで確定するため、片方のIPsec処理装置2a〜2fからしか要求メッセージを受信していない場合には、相手側の要求ID欄及びSPI欄が空欄となり、設定パラメータ欄のSAパラメータも空欄となる。但し、適用ポリシーについては片方のIPsec処理装置2a〜2fから要求メッセージを受信するだけで確定するため、片方のIPsec処理装置2a〜2fから要求メッセージを受信するだけで、適用するポリシーが設定される。
【0059】
図4に示す例では、1番目のエントリにIPsec処理装置2aとIPsec処理装置2bとの通信に適用されるポリシー及びSAパラメータがそれぞれ登録されている。2番目のエントリには同じくIPsec処理装置2aとIPsec処理装置2bとの通信に適用されるポリシーが登録されているが、IPsec処理装置2bから対応する設定要求メッセージを受信していないためSAパラメータが確定していない。
【0060】
図5に図4内のSAパラメータ(a)の内容を示す。SAパラメータは配布ポリシーの内容、設定要求メッセージで通知されたSPI、及び乱数生成器18から得られる乱数を基に要求処理部15によって生成される。
【0061】
要求処理部15はIPsec処理装置2a〜2fから要求メッセージを受信して、IPsec処理装置2a〜2fに要求起動メッセージや配布メッセージ、エラーメッセージを送信する。
【0062】
図6は本発明の一実施例による要求メッセージの一例を示す図である。図6において、要求メッセージには要求メッセージを他の要求メッセージと区別するためのID「1001」と、要求メッセージを送信したIPsec処理装置2a〜2fのアドレスを示す要求元アドレス「IPsec処理装置2a」と、相手となるIPsec処理装置2a〜2fのアドレスを示す相手先アドレス「IPsec処理装置2b」と、要求元で使用するSPIの値「5100」とが含まれている。
【0063】
尚、本実施例では2台のIPsec処理装置2a〜2f間に存在するIPsec通信を1種類に限定しているため、両方のIPsec処理装置2a〜2fのアドレスが決まれば、適用するIPsecポリシーを一意に特定することができる。したがって、要求メッセージにはIPsec通信の両端のアドレスを設定している。これ以外に、2台のIPsec処理装置2a〜2f間に複数のIPsec通信を設定したい場合が考えられる。そのような場合には、それぞれのIPsec通信を特定するために必要な情報(例えば、プロトコル番号やポート番号等)を要求メッセージに設定する。
【0064】
図7は本発明の一実施例による配布メッセージの一例を示す図であり、図8は本発明の一実施例による要求起動メッセージの一例を示す図であり、図9は本発明の一実施例による該当なしエラーメッセージの一例を示す図であり、図10は本発明の一実施例による内容不一致エラーメッセージの一例を示す図であり、図11は本発明の一実施例による応答なしエラーメッセージの一例を示す図である。
【0065】
図12及び図13は本発明の一実施例によるIPsec設定サーバ1の動作を示すフローチャートである。これら図1〜図13を参照して本発明の一実施例によるIPsec設定サーバ1の動作について説明する。まず、要求処理部15が要求メッセージを受信した場合の動作について説明する。
【0066】
要求処理部15はIPsec処理装置2a〜2fから要求メッセージを受信すると (図12ステップS1)、管理テーブル17の中から要求メッセージに含まれる要求元アドレス、相手先アドレス、IDが一致するエントリを検索する(図12ステップS2)。
【0067】
要求処理部15は一致するエントリが見つかると、一致したエントリのSPIが要求メッセージに含まれるSPIと一致するかどうかを確認する(図12ステップS3)。要求処理部15はSPIが一致しなければ、IPsec処理装置2a〜2fに内容不一致エラーメッセージを送信する(図12ステップS8)。
【0068】
この時、内容不一致エラーメッセージには要求メッセージに含まれるID、要求元アドレス、相手先アドレスと、エントリ一覧とを設定する。エントリ一覧には管理テーブル17に含まれるエントリの中で、要求元アドレスと相手先アドレスとが一致するすべてのエントリを設定する。但し、エントリ一覧に設定する項目は各エントリの要求IDとそのエントリで使用される要求元アドレス用のSPIだけである。
【0069】
IPsec処理装置2a〜2fは内容不一致エラーメッセージを受信することでIPsec設定サーバ1が管理している設定情報と、IPsec処理装置2a〜2fが把握している設定情報との差分を知ることができる。
【0070】
この内容不一致エラーメッセージの一例を図10に示す。図10において、IPsec設定サーバ1上においてIPsec処理装置2aとIPsec処理装置2bとの通信用にすでに「1001」,「1002」という要求IDによって設定情報が生成されており、そこで使用しているSPIの値がそれぞれ「5100」,「5110」であることがわかる。
【0071】
要求処理部15は管理テーブル17の中に要求メッセージに含まれる要求元アドレス、相手先アドレス、IDと一致するエントリが見つかってSPIの内容も一致した場合、管理テーブル17内の当該エントリの相手側の要求ID欄を確認する(図12ステップS4)。
【0072】
要求処理部15は相手側の要求ID欄が設定されている場合、すでに管理テーブル17の設定パラメータ欄が確定しているため、要求メッセージの送信元に配布メッセージを送信する(図12ステップS5)。配布メッセージには要求メッセージに含まれる要求元アドレス、送信元アドレス、IDを設定し、設定パラメータには管理テーブル17内の配布ポリシーとSAパラメータとを設定する。この場合は、すでに返送すべき設定パラメータがすべて確定している場合である。
【0073】
この配布メッセージの一例を図7に示す。図7に示す例では、設定パラメータには配布ポリシー(a)とSAパラメータ(a),SAパラメータ(b)が設定されている。IPsec処理装置2aは配布ポリシー(a)とSAパラメータ(a),SAパラメータ(b)とを使用して双方向のIPsec通信を実施することができる。
【0074】
要求処理部15は管理テーブル17の中に要求メッセージに含まれる要求元アドレス、相手先アドレス、IDと一致するエントリが見つかってSPIの内容も一致した場合で、相手側の要求ID欄が設定されていなかった場合、そのまま処理を終了する(図12ステップS6)。この場合には、すでにIPsec処理装置2a〜2fから同一の要求メッセージを受信しているが、相手側の情報がないため、相手側の情報を待っている状態である。
【0075】
要求処理部15は管理テーブル17の中に要求元アドレス、相手先アドレス、IDが一致するエントリがなかった場合、要求メッセージに含まれる要求元アドレス、相手先アドレス、SPIをキーにして管理テーブル17を検索する(図12ステップS7)。
【0076】
要求処理部15は一致するエントリが見つかると、要求メッセージの送信元に内容不一致エラーメッセージを送信して処理を終了する(図12ステップS8)。これは既にIPsec設定サーバ1に登録済みのSPIを重複して使用してIPsec処理装置2a〜2fが新しい設定パラメータを要求した場合である。IPsec処理装置2a〜2fは内容不一致エラーメッセージを受信することで、SPIの重複を検出し、重複しないSPIを選択することができる。
【0077】
要求処理部15は管理テーブル17の中に要求元アドレス、相手先アドレス、IDが一致するエントリがなく、SPIの重複も検出されなければ、要求メッセージに含まれる要求元アドレスと相手先アドレスとをキーにして管理テーブル17を検索する(図12ステップS9)。この時、要求処理部15は要求ID欄が空欄のエントリを検索する。
【0078】
一致するエントリが存在した場合には、すでに相手側のIPsec処理装置2a〜2fから当該通信に対する要求メッセージが送信されており、設定パラメータの適用ポリシーまで確定している状態である。要求処理部15は空欄になっている要求ID欄及びSPI欄に要求メッセージに設定されているID及びSPIを設定し、設定パラメータ欄の適用ポリシーで示されるポリシーにしたがって、それぞれの方向用にSAパラメータを生成する。
【0079】
具体的に述べると、IPsecプロトコル、カプセル化モード、暗号化アルゴリズム、認証アルゴリズム、有効期限については適用ポリシーと同一の内容を設定し、暗号化鍵、認証鍵、IVについては乱数生成器18から乱数を取得して値を決定し、受信側SPI欄には受信側のIPsec処理装置2a〜2fが使用するSPIの値を設定する。
【0080】
要求処理部15はそれぞれの方向用のSAパラメータが生成できたら、管理テーブル17の設定パラメータ欄に登録する(図12ステップS10)。要求処理部15は管理テーブル17にSAパラメータを登録すると、要求メッセージの送信元であるIPsec処理装置2a〜2fの要求IDと、設定パラメータを設定した配布メッセージをIPsec処理装置2a〜2fに送信すると同時に、相手先となるIPsec処理装置2a〜2fに対しても、相手先の要求IDを含む配布メッセージを送信する(図12ステップS11)。
【0081】
また、要求処理部15はタイマ19を使用してSAパラメータの有効期限と同じ時間を計測し、タイマ19が満了した時点で、管理テーブル17の当該エントリを削除する。
【0082】
要求処理部15は管理テーブル17の中に要求元アドレスと要求IDとが一致するエントリがなく、要求元アドレスと相手先アドレスとをキーとした検索でも一致するエントリがなかった場合、要求メッセージに含まれる要求元アドレスと相手先アドレスとの組をキーにして配布ポリシー記憶部16を検索する(図13ステップS21)。
【0083】
要求処理部15は該当するエントリが見つからなければ、IPsec処理装置2a〜2fに該当なしエラーメッセージを送信する(図13ステップS26)。該当なしエラーメッセージには要求メッセージに含まれていたID、要求元アドレス、相手先アドレスを設定する。この該当なしエラーメッセージの一例を図9に示す。
【0084】
要求処理部15は配布ポリシー記憶部16内に一致するエントリが存在した場合、管理テーブル17の新しいエントリの要求元アドレス、相手先アドレス、要求ID、SPI欄にそれぞれ要求メッセージに含まれる要求元アドレス、相手先アドレス、ID、SPIを設定する。同一エントリのもう一つの要求元アドレスには要求メッセージの相手先アドレスを、相手先アドレスには要求メッセージの要求元アドレスを設定し、要求ID、SPIは空欄とする。
【0085】
また、要求処理部15は配布ポリシー記憶部16の該当エントリに含まれる配布ポリシーを管理テーブル17の設定パラメータ欄に設定する(図13ステップS22)。この時点で、SAパラメータを生成するために必要なパラメータ群のうち、暗号化鍵、認証鍵等の共有秘密鍵、相手先IPsec処理装置2a〜2fで使用するSPI以外のパラメータがすべて確定する。共有秘密鍵は乱数生成器19から得られる乱数を使用するため、相手先のSPIさえ確定すれば、SAパラメータを生成することが可能となる。
【0086】
要求処理部15は配布ポリシー記憶部16内に一致するエントリが存在し、管理テーブル17に要求元のIPsec処理装置2a〜2fからの要求に応じてエントリを登録した後、相手先のIPsec処理装置2a〜2fに対して要求起動メッセージを送信する(図13ステップS23)。要求起動メッセージには要求メッセージの要求元アドレスを設定する。この要求起動メッセージの一例を図8に示す。
【0087】
要求処理部15は要求起動メッセージを送信すると、5秒間隔で要求起動メッセージの送信を繰り返し、要求起動メッセージの送信先のIPsec処理装置2a〜2fから管理テーブル17の該当エントリに対応する要求メッセージを受信するか、要求起動メッセージを6回送信すると、要求起動メッセージの送信を停止する。繰り返し送信することによって、1個の要求起動メッセージが紛失した場合にも他の要求起動メッセージによって処理を継続することができる。
【0088】
要求処理部15は6回の要求起動メッセージ送信によって送信を停止した場合(図13ステップS24)、管理テーブル17から該当エントリを削除し(図13ステップS27)、要求メッセージの送信元のIPsec処理装置2a〜2fには応答なしエラーメッセージを送信する(図13ステップS28)。応答なしエラーメッセージには、IPsec処理装置2a〜2fからの要求メッセージに含まれていたID、要求元アドレス、相手先アドレスを設定する。この応答なしエラーメッセージの一例を図11に示す。
【0089】
要求処理部15は要求起動メッセージに対して、管理テーブル17の該当エントリに対応する要求メッセージを受信した場合(図13ステップS24)、要求起動メッセージの送信を停止し、要求メッセージ受信時の動作を行う(図13ステップS25)。
【0090】
タイマ19は要求処理部15に依頼されて時間を計測し、指定された時間が経過したら要求処理部15に通知する。タイマ19は同時に複数の時間を計測することができる。
【0091】
上記のように、要求起動メッセージを送信しているので、要求メッセージの送信元のIPsec処理装置に対向するIPsec処理装置ではその送信元のIPsec処理装置でのIPsecのポリシーの設定とほぼ同時にIPsecのポリシーの設定が行われることとなり、そのポリシーの設定後に、送信元のIPsec処理装置がパケットを暗号化して送信すると、対向するIPsec処理装置では送信元のIPsec処理装置からのパケットを復号して受取ることができる。よって、ポリシー設定後の暗号化や復号を滞りなく行うことができる。
【0092】
この場合、パケットの復号ができなくてそのパケットを破棄したり、パケットの復号を誤って行ったりすることがないので、送信先のIPsec処理装置において送信元からのパケットを取りこぼしなく受取ることができる。
【0093】
また、要求起動メッセージの送信時にそれに応答した要求メッセージを対向するIPsec処理装置から受信しなければ、送信元のIPsec処理装置に対して応答なしエラーメッセージを送信するので、送信元のIPsec処理装置では対向装置の不存在を即座に認識することができる。
【0094】
図14は図1のIPsec処理装置2a〜2fの構成を示すブロック図である。図14においてはIPsec処理装置2a〜2fをまとめてIPsec処理装置2としており、IPsec処理装置2a〜2fはIPsec処理装置2と同様の構成である。
【0095】
IPsec処理装置2は主にコンピュータから構成され、IPsec設定サーバ1を利用する。つまり、IPsec処理装置2はインタフェース部(I/F)21,22と、IPsec処理部23と、SPD24と、SAD25と、設定管理部26と、ルーティング部27と、記録媒体28とを具備し、上記の各部の動作はコンピュータが記録媒体28のプログラムを実行することで実現される。
【0096】
インタフェース部21はプライベートネットワーク200(図1のプライベートネットワーク201〜204)に接続され、プライベートネットワーク200とのデータ通信を行う。インタフェース部22はインタネット100に接続され、インタネット100を介したデータ通信を行う。
【0097】
IPsec処理部23はインタフェース部21,22から受信したデータ通信パケットに対してIPsec処理を実施する。設定管理部26はIPsec処理部23に依頼され、必要な設定をIPsec設定サーバ1に要求する。
【0098】
SPD24はIPsec処理部23及び設定管理部26から参照され、IPsecを適用するためのポリシーを記録している。SAD25はIPsec処理部23と設定管理部26とから参照され、個々の通信に対してIPsec処理を実施するために必要なSAを記録している。ルーティング部27はIPsec処理部23と設定管理部26との間でデータ通信パケットの送受信を行い、各々のデータ通信パケットの転送先を決定する。
【0099】
IPsec処理装置2の構成は図31に示す従来のIPsec処理装置の構成と比較すると、IPsec処理装置2では設定管理部26が追加されている点が異なる。また、後述するように、SPD24に新しい項目がされた点と、IPsec処理部23に新しい動作が加えられた点とが異なる。
【0100】
インタフェース部21はプライベートネットワーク200からデータ通信パケットを受信してIPsec処理部23に転送し、またIPsec処理部23から転送されたデータ通信パケットをプライベートネットワーク200に送信する。
【0101】
インタフェース部22はインタネット100からデータ通信パケットを受信してIPsec処理部23に転送し、またIPsec処理部23から転送されたデータ通信パケットをインタネット100に送信する。
【0102】
SPD24には個々のSPDエントリを識別し、優先順位を明確にするためのID欄と、トラヒックを選択するためのセレクタ欄、選択されたトラヒックに対する処理欄、IPsec処理を適用する場合のIPsecのパラメータ情報等を記録するIPsec適用ポリシー欄、及びSPD検索時にIPsec設定サーバ1に設定を要求するか否かを判断するための設定要求用相手アドレス欄が存在する。
【0103】
図15は図14のSPD24の内容を示す図である。図15において、SPD24は設定要求用相手アドレス欄が追加されている以外は通常のIPsecで用いられるSPDと同一のものである。尚、SPD24は送信用と受信用とが存在する。
【0104】
SPD24はIPsec処理部23がデータ通信パケットを受信した場合に、そのパケットの扱いを決定するために用いられる。IPsec処理部23はIPsecが適用されていないデータ通信パケットを受信すると、SPD24のセレクタ欄と比較して一致するエントリを探す。一致するエントリが発見されると、処理欄にしたがって当該パケットの扱いを決定する。
【0105】
処理欄には“IPsec適用”,“通過”,“廃棄”のいずれかが格納される。特に、“IPsec適用”の処理となった場合には、IPsecポリシー欄の内容にしたがって引き続きIPsecの処理が行われる。
【0106】
本実施例ではSPD24に存在する設定要求用相手アドレス欄において、処理欄が“IPsec適用”となった場合にそのIPsec適用ポリシー欄をIPsec設定サーバ1に要求するか否かを判断するために使用すると同時に、IPsec設定サーバ1に設定を要求する場合に、要求する設定パラメータを特定するための識別子としても使用する。
【0107】
尚、SPD24の内容は標準のIPsecと同様に、基本的に予めすべて設定しておく必要があるが、設定要求用相手アドレスを設定したエントリについてはIPsec適用ポリシーを省略することが可能である。この場合には設定管理部26がIPsec設定サーバ1から必要なIPsec適用ポリシー情報を入手し、自動的にSPD24のIPsec適用ポリシー欄を設定する。この時、IPsec設定サーバ1との通信を暗号化するための設定だけは適用ポリシーを省略することはできない。
【0108】
図15に示す例では、IPsec処理装置2a自身からIPsec設定サーバ1宛のパケットに対して適用ポリシー(z)にしたがってIPsec処理を実施し、プライベートネットワーク202宛のパケット、及びプライベートネットワーク203宛のパケットに対してIPsec処理を適用するが、そのポリシーはIPsec設定サーバ1から取得し、それ以外のすべてのパケットはIPsec処理を適用せずに通過させる設定となっている。
【0109】
図16は図15に示すSPD24の適用ポリシー(z)の一例を示す図である。図16において、IPsec適用ポリシーにはIPsec通信で使用するプロトコルやカプセル化モード、暗号化アルゴリズム、認証アルゴリズム等、適用するIPsec処理を特定するために必要な情報が設定される。
【0110】
図16に示す例では、暗号化アルゴリズムに「AES−CBC」、認証アルゴリズムに「HMAC−SHA−1−96」を使用してESPの「トランスポートモード」を適用することと、SAの有効期間が「3600秒」であることが示されている。尚、使用するプロトコルや暗号化アルゴリズム等によって必要となるパラメータが異なるため、それぞれの適用ポリシーにおいては図16に示すパラメータ以外のパラメータが現れる場合や、図16の中の一部のパラメータが存在しない場合もある。
【0111】
従来のIPsecでは適用ポリシーをIPsec処理装置に予めすべてユーザが設定しておく必要があるが、前項で述べた通り、本実施例のSPD24では適用ポリシーの設定を省略することが可能である。その場合には設定管理部26によってIPsec設定サーバ1から取得したIPsec適用ポリシーが自動的に設定される。
【0112】
尚、IKEを使用する場合にはIKE自身に必要となるパラメータがSPD24のIPsec適用ポリシーとは独立して存在する。しかしながら、本実施例の観点から見ると、IPsec通信を行うために、本来ユーザが設定しなければならないパラメータであって、本実施例のIPsec設定サーバ1を使用することによって省略可能なパラメータである、という点においてIPsec適用ポリシーと同等である。そこで、説明を容易にするため、SPD24のIPsec適用ポリシーがIKEを使用するポリシーの場合には、そのポリシーの中にIKE用のパラメータもすべて含まれているものとして扱う。そのため、図16に示す例ではIKE用の設定パラメータも含まれている。実際の構成においては依然としてIKE自身の設定はIPsec適用ポリシーとは独立である。
【0113】
図17は図14のSAD25の内容を示す図である。図17において、SAD25には個々のIPsec通信に必要となるSAが登録される。すなわち、SAD25はSAを管理するためのデータベースである。
【0114】
SPD24のIPsec適用ポリシーでは、適用するIPsec処理(どのような種類のIPsec処理を施すか)を示すための情報が示されるが、実際にIPsec処理を行うためには追加の情報が必要となる。
【0115】
例えば、IKEを使用する場合には、IPsec処理で使用する暗号化鍵や認証鍵を相手IPsec処理装置と交換し、それらの値を使用することで初めて一つのIPsec処理が実施することができる。このように、一つのIPsec処理を実施するために必要なパラメータ群をSAと呼ぶ。
【0116】
SAD25には個々のSADエントリを識別するためのIDと、IPsec通信の相手アドレスを示す終点アドレスと、IPsec通信で使用されるIPsecプロトコルと、個々のSAに固有の識別子であるSPI及びその他のSAパラメータとによって構成される。
【0117】
SAD25は設定管理部26あるいはIPsec処理部23によって自動的に設定されるため、SAD25をユーザが直接設定する必要はない。尚、SAD25は標準のIPsecで用いられるSADと同一のものであり、送信用と受信用とが存在する。
【0118】
図17に示す例では、1番目のエントリにIPsec処理装置2aとIPsec処理装置2bとの間のSAが、2番目のエントリにIPsec処理装置2aとIPsec設定サーバ1との間のSAが登録されている。
【0119】
図18は図14のIPsec処理部23の処理動作を示すフローチャートであり、図19及び図20は図14の設定管理部26の処理動作を示すフローチャートである。これら図18〜図20を参照してIPsec処理装置2a〜2fの動作について説明する。
【0120】
IPsec処理部23はプライベートネットワーク200からインタネット100宛のデータ通信パケットを受信すると(図18ステップS31)、データ通信パケットとSPD24のセレクタ欄とを比較して該当するエントリを検索する(図18ステップS32)。該当するエントリの設定要求用相手アドレス欄が空欄の場合には、従来のIPsecと同一の動作である(図18ステップS33)。
【0121】
尚、この従来のIPsecの動作によって、IPsec処理装置2とIPsec設定サーバ1とのメッセージの送受信は保護される。すなわち、予め通常のIPsecの方法に従ってIPsec処理装置2とIPsec設定サーバ1との間の通信についてはSPD24に登録しておく。
【0122】
IPsec処理部23はSPD24の検索で該当するエントリの設定要求用相手アドレス欄が設定されていた場合で、IPsec適用ポリシー欄が設定されている場合、さらにSAD25から当該通信用のSAを検索する(図18ステップS34)。当該通信用のSAが存在する場合には、従来のIPsecと同一の動作となり、SAの内容にしたがってデータ通信パケットにIPsec処理を適用する(図18ステップS33)。
【0123】
IPsec処理部23はSPD24の検索で該当するエントリの設定要求用相手アドレス欄が設定されており、IPsec適用ポリシー欄も設定されている場合で、SAD25に該当エントリがない場合、あるいはそもそもIPsec適用ポリシー欄が設定されていない場合、当該データ通信パケットの処理を一時中断し、設定管理部26に設定サーバから設定を取得するように依頼する(図18ステップS35)。この時、設定管理部26にはSPD24の当該エントリのIDを通知する。
【0124】
IPsec処理部23は設定管理部26に依頼した後、設定管理部26から結果が通知されるまで同一のSPDエントリに対する依頼は行わない。IPsec処理部23は設定管理部26から設定完了の通知を受けると(図18ステップS36)、データ通信パケットのIPsec処理を再開する(図18ステップS33)。この時点では、必要なポリシー及びSAが設定管理部26によって設定されており、従来通りのIPsec処理を実施するのみとなる。
【0125】
IPsec処理部23は設定管理部26から設定失敗の通知を受けると(図18ステップS33)、一時中断していたデータ通信パケット処理を中止する(図18ステップS37)。
【0126】
IPsec処理部23はインタネット100からプライベートネットワーク200宛のIPsec適用済みデータ通信パケットを受信した場合、従来のIPsecと同様に動作する。すなわち、IPsec処理部23はSAD24から該当するエントリを検索し、一致するエントリが存在した場合、その内容にしたがってIPsecの復号処理を実施する。IPsec処理部23は一致するエントリが存在しない場合、そのデータ通信パケットを廃棄する。
【0127】
IPsec処理部23は従来のIPsecと同様に、SAD25内の各SAエントリの有効期限を確認し、有効期限が満了する前に新しいSAの確立を行う。この時、当該SAがIPsec設定サーバ1によって生成されたSAだった場合、IPsec処理部23は設定管理部26にIPsec設定サーバ1から設定を取得するように依頼する。
【0128】
設定の取得を依頼する時、IPsec処理部23は設定管理部26に当該SAに対応するSPD24エントリのIDを通知する。設定管理部26からは依頼に対する結果が通知されるが、IPsec処理部23はその結果の通知を無視する。
【0129】
設定管理部26はIPsec処理部23から設定取得の依頼を受けると(図19ステップS41)、通知されたSPD24のエントリ用の要求メッセージを生成する(図19ステップS42)。要求メッセージにはIDと、要求元アドレスと、相手先アドレスと、要求元で使用するSPIの値とを設定する。IDには他の要求メッセージと重複しない任意の数値を設定し、SPIにはIPsec通信において自己が使用するつもりのSPIを設定する。要求元アドレスにはIPsec処理装置2のアドレスを設定する。相手先アドレスには、当該SPD24のエントリに含まれる設定要求用相手アドレスを設定する。
【0130】
IPsec設定サーバ1からの応答メッセージには設定管理部26が送信したメッセージのIDと要求元アドレス、相手先アドレスが含まれるため、設定管理部26はどのメッセージに対する応答なのかを識別することができる。
【0131】
この要求メッセージの一例を図6に示す。図6に示す例はIPsec処理装置2aがIPsec処理装置2bとのIPsec通信に必要な設定を要求する要求メッセージの例である。
【0132】
設定管理部26は生成した要求メッセージをIPsec設定サーバ1に送信する(図19ステップS43)。設定管理部26はIPsec設定サーバ1に要求メッセージを送信すると、5秒間隔で要求メッセージの送信を繰り返し、IPsec設定サーバ1から要求メッセージに対応する応答を受信するか、要求メッセージを6回送信すると、要求メッセージの送信を停止する。
【0133】
設定管理部26は6回の要求メッセージ送信によって送信を停止した場合や、該当なしエラーメッセージあるいは応答なしエラーメッセージを受信した場合(図19ステップS44,S47)、IPsec処理部23に設定失敗を通知して処理を終了する(図19ステップS49)。
【0134】
尚、設定管理部26は要求メッセージの送信を繰り返す場合、常に同じID、同じSPIを使用して送信する。繰り返し送信することによって、1個の要求メッセージが紛失した場合にも他の要求メッセージによって処理を継続することができる。
【0135】
設定管理部26はIPsec設定サーバ1から内容不一致エラーメッセージを受信した場合(図19ステップS47)、内容不一致エラーメッセージに含まれるエントリ一覧を確認し、エントリ一覧に含まれるID及びSPI以外の値を用いて改めてIDとSPIとを選択し、要求メッセージをIPsec設定サーバ1に送信する(図19ステップS48)。
【0136】
これはIPsec処理装置2が何らかの原因で動作情報を喪失した後、既にIPsec設定サーバ1側に登録済みのIDあるいはSPIを使用して要求メッセージを送信した場合である。
【0137】
設定管理部26は内容不一致エラーメッセージで通知されたIDやSPI以外の値を使用することで、IPsec設定サーバ1の既存の情報と矛盾しない新しい要求メッセージを生成することができる。
【0138】
設定管理部26はIPsec設定サーバ1から配布メッセージを受信した場合(図19ステップS44)、配布メッセージに含まれる適用ポリシーを当該SPD24のIPsec適用ポリシー欄に設定し、配布メッセージに含まれるSAパラメータを使用してSAを生成し、SAD25に登録する(図19ステップS45)。設定管理部26はSAをSAD25に登録したら、IPsec処理部23に設定完了を通知し、処理を終了する(図19ステップS46)。
【0139】
設定管理部26はIPsec設定サーバ1から要求起動メッセージを受信した場合 (図20ステップS51)、SPD24のエントリの中から、設定要求用相手アドレスが要求起動メッセージに含まれる相手先アドレスと一致するエントリを検索する(図20ステップS52)。一致するエントリが見つからない場合、設定管理部26は要求起動メッセージを無視する(図20ステップS53)。
【0140】
この場合、IPsec設定サーバ1からは6回要求起動メッセージが送信されるが、その後、IPsec設定サーバ1は要求起動メッセージの送信を停止し、元々要求メッセージを送信したIPsec処理装置2にはIPsec設定サーバ1からエラーメッセージが送信される。
【0141】
設定管理部26はSPD24の検索によって一致するエントリを見つけた場合、IPsec処理部23からSPD24のエントリに対する設定取得依頼を受信した時と同様に動作する。すなわち、設定管理部26は要求メッセージを生成してIPsec設定サーバ1に最大6回繰り返し送信する(図20ステップS54,S55)。
【0142】
但し、IPsec処理部23の依頼による送信ではないので、IPsec設定サーバ1から配布メッセージやエラーメッセージを受信しても、IPsec処理部23にはその結果を通知しない(図20ステップS56,S58,S60)。
【0143】
また、設定管理部23は要求起動メッセージに対して要求メッセージの送信を開始した場合、繰り返し送信が停止するまで、同一のSPD24のエントリに対する要求起動メッセージを受信しても新たな要求メッセージの送信を行わない。
【0144】
一方、設定管理部26はIPsec設定サーバ1から配布メッセージを受信した場合(図20ステップS56)、配布メッセージに含まれる適用ポリシーを当該SPD24のIPsec適用ポリシー欄に設定し、配布メッセージに含まれるSAパラメータを使用してSAを生成し、SAD25に登録する(図20ステップS57)。
【0145】
ルーティング部27はIPsec処理部23からIPsec復号処理済みのデータ通信パケットを受信して、当該パケットが設定管理部26宛のパケットだった場合、当該パケットを設定管理部26に転送する。当該パケットが設定管理部26宛のパケットではない場合、ルーティング部27は当該パケットを送信すべきインタフェースを決定し、再びIPsec処理部23を介して送信すべきインタフェースに転送する。
【0146】
また、ルーティング部27は設定管理部26からのデータ通信パケットを受信し、当該パケットを送信すべきインタフェースを決定して、IPsec処理部23を介して転送する。
【0147】
図21は図2のSPD13の内容の一例を示す図であり、図22は図21に示すSPD13の適用ポリシー(v)の内容を示す図であり、図23は従来のIPsec処理装置のSPDの内容を示す図であり、図24は図23のSPDの適用ポリシー(j)の内容を示す図である。
【0148】
また、図25は図2の管理テーブル17のIPsec処理装置2aから要求メッセージを受信した後の内容を示す図であり、図26は図14のSPD24の設定メッセージを受信して適用ポリシーを設定した後の内容を示す図であり、図27は図2の管理テーブル17のSAを更新するために新しいエントリが生成される場合の内容を示す図であり、図28は本発明の一実施例によるIPsec処理装置2の動作を示すシーケンスチャートである。
【0149】
これら図1〜図28を参照して本実施例のIPsec設定サーバ1の具体的な動作について説明する。ここでは図1の中のIPsec処理装置2aに注目し、プライベートネットワーク201からプライベートネットワーク202宛のデータ通信に対してIPsec処理装置2aがIPsec処理を実施する場合について説明する。まず、IPsec設定サーバ1、IPsec処理装置2a、IPsec処理装置2bに予め必要な設定項目について説明する。
【0150】
IPsec設定サーバ1にはIPsec処理装置2a及びIPsec処理装置2bとの間にそれぞれ安全なIPsecの経路を確保するために、従来と同様の方法で、SPD13を設定する。図21に示すように、SPD13にはIPsec設定サーバ1自身からIPsec処理装置2a、IPsec処理装置2b宛の通信に対して、それぞれ適用ポリシー(v)、適用ポリシー(w)にしたがってIPsecを適用するように設定している。
【0151】
この適用ポリシー(v)の内容を図22に示す。適用ポリシー(v)にはIPsec処理装置2aとの通信を暗号化するためのポリシーが設定されている。また、IPsec処理装置2aとの間のIPsec通信においてIKEによる鍵交換を実施するために、IKEに関するパラメータも設定しておく。
【0152】
尚、本来、IKEに関する設定はIPsec適用ポリシーとは独立に存在するものであるが、説明を容易にするために、本実施例の説明においては適用ポリシーの一部として扱う。適用ポリシー(w)の内容も適用ポリシー(v)と同様の内容である。
【0153】
これらの設定によって、IPsec設定サーバ1とIPsec処理装置2aとの間に安全なIPsecの経路が設定され、設定情報及び秘密鍵の配布を安全に行うことができる。
【0154】
SPD13にはIPsec設定サーバ1と通信するすべてのIPsec処理装置2に対して1件ずつ設定を行う必要がある。例えば、図21に示す例ではIPsec処理装置2a、IPsec処理装置2b以外にもIPsec処理装置2d、IPsec処理装置2eに対するポリシーも設定されている。
【0155】
続いて、IPsec設定サーバ1にはIPsec処理装置2a、IPsec処理装置2b間に適用するIPsecのポリシーを配布ポリシー記憶部16に設定する。配布ポリシー記憶部16の一例を図3に示す。配布ポリシー記憶部16のアドレスペア欄には、IPsec処理装置2a、IPsec処理装置2bのアドレスを、配布ポリシー欄には当該通信に適用するポリシーを設定する。
【0156】
ポリシーでは使用するIPsecプロトコル、カプセル化モード、暗号化アルゴリズム、認証アルゴリズム、SAの有効期間を設定する。また、IPsec設定サーバ1が共有秘密鍵を各IPsec処理装置2a〜2fに配布するため、IPsec処理装置2a〜2fはIKEを使用しない。したがって、配布ポリシーにはIKEに関するパラメータを設定する必要がない。
【0157】
配布ポリシー記憶部16にはIPsec設定サーバ1が管理する他の通信に対するポリシーをすべて設定しておく。図3に示す例では、IPsec処理装置2a、IPsec処理装置2b間の通信以外にも、IPsec処理装置2d、IPsec処理装置2e間の通信に対するポリシーが設定されている。
【0158】
各IPsec処理装置2a〜2fにはSPD24を設定する。SPD24にはIPsec設定サーバ1との通信をIPsecで暗号化するために通常のIPsecの設定を行い、実際にIPsecを適用したい通信に関しては、セレクタ欄と設定要求用相手アドレス欄とを設定する。
【0159】
IPsec処理装置2aのSPD24の一例を図15に示す。ID=1のエントリが、IPsec設定サーバ1との通信を暗号化するための設定である。この設定はIPsec設定サーバ1のSPD13に設定したものに対応している。適用ポリシー(z)の内容を図16に示す。相手先アドレス以外はIPsec設定サーバ1に設定したポリシーと同じであり、IKEに関する設定も含まれる。
【0160】
ID=2のエントリがプライベートネットワーク202宛の通信を暗号化するための設定である。セレクタ欄には対象となる通信としてプライベートネットワーク202宛の通信を設定し、処理欄にはIPsecを設定する。ここで、IPsec適用ポリシー欄は省略し、設定要求用相手アドレス欄にIPsec処理装置2bのアドレスを設定する。
【0161】
SPD24にはIPsec処理装置2aがIPsecを適用したい通信をすべて設定する。図15に示す例では、IPsec処理装置2bとの通信以外にプライベートネットワーク203宛の通信に対してIPsec処理装置2cとIPsec通信を実施する設定となっている。
【0162】
IPsec処理装置2bにも上記と同様の設定を行う。すわなち、SPD24にIPsec設定サーバ1用の設定を適用ポリシーとともに設定し、他のIPsec通信に対してはセレクタと設定要求用相手アドレスとを設定しておく。
【0163】
以上が予め必要な設定となる。従来のIPsec処理装置のSPDに、上記と同様の設定を設定した例を図23に示す。従来のIPsec処理装置ではIPsec設定サーバ1用の設定が不要となるが、IPsecを適用するすべての通信についてIKEに関する設定を含む適用ポリシーを設定しなければならない。図23に示す例では、プライベートネットワーク202、プライベートネットワーク203宛の通信に対してそれぞれ適用ポリシー(j)、適用ポリシー(k)を設定している。適用ポリシー(j)の内容を図24に示す。適用ポリシー(j)にはIPsecプロトコル、カプセル化モード等のIPsec適用ポリシーに加えて、IKEのポリシーも設定する。
【0164】
ここで、n台のIPsec処理装置がすべての組み合わせで、互いにIPsecの通信を実施する場合において、本実施例によるIPsec設定サーバ1を用いた場合の設定量と従来のIPsec処理装置に必要な設定量とを比較する。IPsecのポリシーに関する設定とIKEのポリシーに関する設定とをそれぞれ「1」と数えると、従来のIPsec処理装置では、1台のIPsec処理装置に(n−1)件分のIPsecポリシーとIKEポリシーとを設定する必要があるため、1台当たりの設定量は2(n−1)となり、n台で2n(n−1)となる。
【0165】
これに対し、本実施例によるIPsec処理装置2ではIPsec設定サーバ1との通信用にIPsecポリシーとIKEポリシーとを1件ずつ設定するのみで、1台当たりの設定量は2となり、n台で2nとなる。
【0166】
IPsec設定サーバ1には、それぞれのIPsec処理装置2との通信のためにIPsecポリシーとIKEポリシーとを1件ずつ設定することによって2nの設定量と、個々のIPsec処理装置2同士の通信の組合せに対してIPsecポリシーを1件設定するためにn(n−1)/2の設定量とが必要となり、IPsec設定サーバ1全体に必要な設定量は2n+n(n−1)/2となる。
【0167】
したがって、本実施例によるIPsec設定サーバ1を用いた場合の設定量は4n+n(n−1)/2=n(n+7)/2となる。例えば、n=10の場合には従来の手法の設定量180に対して、本発明の設定量が85となり、約半分の設定で済むことになる。
【0168】
2 の係数に注目すれば、nが大きくなると、本実施例における設定量が従来の手法の1/4に近づくことがわかり、組合せが多くなるほど効果が大きくなることがわかる。
【0169】
続いて、IPsec処理装置2aがプライベートネットワーク202宛のパケットを受信した後の動作について説明する。IPsec処理装置2aがプライベートネットワーク202宛のパケットをインタフェース部21から受信すると、パケットはIPsec処理部23に渡される。
【0170】
IPsec処理部23はSPD24のセレクタと受信したパケットを比較して該当するエントリを探す。図15に示す内容とプライベートネットワーク202宛のパケットを比較すると、ID=2のエントリと一致する。IPsec処理部23は該当エントリの処理欄にしたがってIPsecの適用を試みるが、IPsec適用ポリシーが設定されておらず、代わりに設定要求用相手アドレスが設定されているため、IPsec適用処理を一時中断し、設定管理部26に設定の取得を依頼する。
【0171】
設定管理部26はIPsec処理部23から設定取得の依頼を受けると、当該SPDエントリ用の要求メッセージを生成する。要求メッセージの例を図6に示す。IDとSPIとは設定管理部26が任意の数値を設定し、要求元アドレスにはIPsec処理装置2a自身のアドレスを、相手先アドレスにはSPDエントリの設定要求用相手アドレスであるIPsec処理装置2bのアドレスを設定する。
【0172】
設定管理部26は生成した要求メッセージをIPsec設定サーバ1に送信する。設定管理部26はIPsec設定サーバ1に要求メッセージを送信すると、5秒間隔で要求メッセージの送信を繰り返し、IPsec設定サーバ1から要求メッセージに対応する応答を受信するか要求メッセージを6回送信すると要求メッセージの送信を停止する。繰り返し送信することによって、1個の要求メッセージが紛失した場合にも他の要求メッセージによって処理を継続することができる。
【0173】
設定管理部26からIPsec設定サーバ1に要求メッセージが送信される時、要求メッセージは図15に示すSPD24の1番目のエントリにしたがって、IPsec処理部23によってIPsecを適用されてからIPsec設定サーバ1に送信される。そのため、IPsec設定サーバ1に送信されるメッセージはインタネット100上の第3者に盗聴されることなく、安全に送信することができる。尚、各IPsec処理装置2からIPsec設定サーバ1に送信されるメッセージはすべて同様の手順でIPsecを適用されてから送信されるため、以下の説明ではIPsec設定サーバ1に送信するメッセージに対してIPsecを適用する手順についてはその説明を省略する。
【0174】
IPsec設定サーバ1に送信された要求メッセージはIPsec設定サーバ1のインタフェース部11に到着する。インタフェース部11で受信された要求メッセージはIPsec処理部12に送られる。IPsec処理部12ではIPsecによって暗号化された要求メッセージを元の状態に復号し、復号後のパケットを要求処理部15に送る。
【0175】
尚、各IPsec処理装置2からIPsec設定サーバ1に送られるメッセージはすべて同様の手順で要求処理部15に届くため、以下の説明ではインタフェース部11でメッセージが受信されてから要求処理部15に届けられるまでの手順についてはその説明を省略する。同様に、IPsec設定サーバ1からIPsec処理装置2に送信されるメッセージにIPsecが適用される手順についてもその説明を省略する。
【0176】
要求処理部15は要求メッセージを受信すると(図12ステップS1)、管理テーブル17からアドレス及びIDが一致するエントリを検索するが、最初は管理テーブル17には何も設定されていないため、一致するエントリが見つからない(図12ステップS2,S7,S9)。
【0177】
要求処理部15は新規登録のため、要求メッセージに含まれる要求元アドレスと相手先アドレスをキーにして配布ポリシー記憶部16の中から該当するエントリを検索する(図13ステップS21)。要求メッセージに含まれる要求元/相手先アドレスはそれぞれIPsec処理装置2a及びIPsec処理装置2bなので、図3に示す配布ポリシー記憶部16の先頭のエントリが一致する。
【0178】
配布ポリシー記憶部16に一致するエントリが見つかったので、要求処理部15は管理テーブル17の新しいエントリを選び、要求元アドレス、相手先アドレス、要求ID、SPI欄にそれぞれ要求メッセージに含まれるIPsec処理装置2aのアドレス、IPsec処理装置2bのアドレス、要求IDの「1001」、SPIの「5100」を設定する。同一エントリのもう一つの要求元アドレス、相手先アドレスにはそれぞれIPsec処理装置2bのアドレス、IPsec処理装置2aのアドレスを設定する。
【0179】
さらに、配布ポリシー記憶部16の該当エントリに設定されている配布ポリシー(a)を管理テーブル17の設定パラメータ欄に設定する(図13ステップS22)。ここまでの設定を終えた管理テーブル17を図25に示す。
【0180】
要求処理部15は相手先アドレスであるIPsec処理装置2bに対して要求起動メッセージを送信する(図13ステップS23)。要求起動メッセージには、相手先アドレスとして要求メッセージの送信元アドレスであるIPsec処理装置2aのアドレスを設定する。要求起動メッセージの一例を図8に示す。
【0181】
要求処理部15はIPsec処理装置2bから要求メッセージを受信するまで、5秒間隔で最大6回要求起動メッセージを送信する。繰り返し送信することによって、1個の要求起動メッセージが紛失した場合にも他の要求起動メッセージによって処理を継続することができる。
【0182】
IPsec処理装置2bに送信された要求起動メッセージはIPsec処理装置2bのインタフェース部22に到着する。IPsec処理装置2bでは、インタフェース部22で受信された要求起動メッセージがIPsec処理部23に送られる。
【0183】
IPsec処理部23ではIPsecによって暗号化された要求起動メッセージを元の状態に復号し、復号後のパケットをルーティング部27に送る。ルーティング部27ではメッセージの宛先がIPsec処理装置2b自身であることを判断して、要求起動メッセージを設定管理部26に渡す。尚、IPsec設定サーバ1から各IPsec処理装置2に送信されるメッセージはすべて同様の手順で設定管理部26に届くため、以下の説明ではインタフェース部22でメッセージが受信されてから設定管理部26に届けられるまでの手順についてはその説明を省略する。
【0184】
設定管理部26はIPsec設定サーバ1から要求起動メッセージを受信すると、SPD24のエントリの中から、設定要求用相手アドレスがIPsec処理装置2aのアドレスと一致するエントリを検索する。IPsec処理装置2bのSPD24には予めIPsec処理装置2a用のエントリを設定済みであるため、そのエントリと一致する。
【0185】
設定管理部26は当該エントリのポリシーを取得するために要求メッセージを生成する。要求メッセージでは要求元アドレス、相手先アドレスにそれぞれIPsec処理装置2b、IPsec処理装置2aのアドレスを設定し、ID及びSPIにはそれぞれ設定管理部26が任意に選択した要求ID「2001」、SPI「6100」を設定する。
【0186】
設定管理部26は生成した要求メッセージをIPsec設定サーバ1に送信する。設定管理部26はIPsec設定サーバ1に要求メッセージを送信すると、5秒間隔で要求メッセージの送信を繰り返し、IPsec設定サーバ1から要求メッセージに対応する応答を受信するか、要求メッセージを6回送信すると、要求メッセージの送信を停止する。
【0187】
IPsec処理装置2bから送信された要求メッセージはIPsec設定サーバ1のインタフェース部11に到着し、要求処理部15に転送される。要求処理部15はIPsec処理装置2bから要求メッセージを受信すると、要求起動メッセージの送信を停止し、要求メッセージの受信処理(図12ステップS1)を開始する。
【0188】
要求処理部15は図25に示す管理テーブル17から要求メッセージに含まれるアドレス及びIDが一致するエントリを検索するが、IDが一致するエントリは存在しない(図12ステップS2)。また、アドレス及びSPIが一致するエントリも存在しない(図12ステップS7)。
【0189】
続いて、要求処理部15は管理テーブル17においてアドレスが一致してIDが空欄のエントリを検索する(図12ステップS9)。図25に示す最初のエントリが該当するので、要求処理部15は要求メッセージに含まれる値を使用して、空欄になっているID欄及びSPI欄に要求ID「2001」、SPI「6100」をそれぞれ設定する。
【0190】
さらに、IPsec処理装置2aからIPsec処理装置2bへの順方向用のSAパラメータと、逆方向用のSAパラメータとを生成する(図12ステップS10)。具体的には、IPsecプロトコル、カプセル化モード、暗号化アルゴリズム、認証アルゴリズム、有効期限について配布ポリシー(a)と同一の内容を設定し、暗号化鍵、認証鍵、IVについては乱数生成器18から乱数を取得して値を設定する。
【0191】
また、受信側SPI欄には受信側となるIPsec処理装置2が使用するSPIを設定する。設定後の管理テーブル17の内容を図4に示す。1番目のエントリについて、要求IDの欄に「2001」が設定され、SPIの欄に「6100」が設定され、それぞれの方向用のSAパラメータにはSAパラメータ(a)とSAパラメータ(b)とが設定されている。SAパラメータ(a)の内容を図5に示す。逆方向のSAパラメータ(b)では暗号化鍵、認証鍵、IVとして異なる乱数値が使用されることと、受信側SPIの値がIPsec処理装置2a用の「5100」となること以外は同じ内容となる。
【0192】
要求処理部15は管理テーブル17の設定パラメータ欄の内容を使用して配布メッセージを作成し、IPsec処理装置2aとIPsec処理装置2bに対してそれぞれ送信する(図12ステップS11)。
【0193】
この時、送信する配布メッセージに設定する要求元アドレス、相手先アドレス、IDは管理テーブル17の当該エントリで示される値を使用する。したがって、IPsec処理装置2a宛の配布メッセージでは要求元アドレス、相手先アドレス、IDの値はそれぞれIPsec処理装置2aのアドレス、IPsec処理装置2bのアドレス、要求ID「1001」となり、IPsec処理装置2b宛の配布メッセージではそれぞれIPsec処理装置2bのアドレス、IPsec処理装置2aのアドレス、要求ID「2001」となる。IPsec処理装置2a宛の配布メッセージの内容を図7に示す。
【0194】
要求処理部15は配布メッセージを送信後、タイマ19を使用してSAパラメータの有効期限と同じ時間を計測し、タイマ19が満了した時点で管理テーブル17の当該エントリを削除する。
【0195】
IPsec設定サーバ1からIPsec処理装置2aに送信された配布メッセージはIPsec処理装置2aのインタフェース部22に到着し、設定管理部26に転送される。
【0196】
IPsec処理装置2aの設定管理部26はIPsec設定サーバ1から配布メッセージを受信すると、要求メッセージの送信を停止し、配布メッセージに含まれる適用ポリシーをSPD24のIPsec適用ポリシー欄に設定する。ポリシーを設定した後のSPD24の内容を図26に示す。
【0197】
さらに、設定管理部26は配布メッセージに含まれるSAパラメータを使用して、双方向の通信用にそれぞれSAを生成し、SAD25に設定する。IPsec処理装置2aからIPsec処理装置2b方向のSAを設定したSAD25の内容を図17に示す。
【0198】
SAD25の1番目のエントリが該当エントリである。配布メッセージで通知されたSAパラメータ(a)はシーケンス番号が加えられてSAD25に設定されている。受信用のSAD25も配布メッセージによって通知されたSAパラメータ(b)の内容にしたがって同様に設定する。この時点でIPsec処理装置2aのIPsec処理部23がIPsec処理装置2b宛の通信に対するIPsecの処理を実施できるようになる。
【0199】
設定管理部26はSPD24及びSAD25の設定を終えると、IPsec処理部23に設定完了を通知する。IPsec処理部23は設定管理部26から設定完了通知を受信すると、一時中断していたデータ通信パケットの処理を再開する。この時点では、SPD24のエントリの適用ポリシー及び対応するSAD25のエントリが存在するため、IPsec処理部23は従来通りのIPsec処理を実施することができる。
【0200】
IPsecを適用されたパケットはIPsec処理装置2b宛に送信される。IPsec処理装置2b側もIPsec設定サーバ1から配布メッセージを受信した時点でSPD24及びSAD25にエントリを設定しているため、IPsec処理装置2aからIPsec適用済みパケットを受信した時点で従来の手順でIPsecの復号処理を実施することができる。
【0201】
IPsec処理装置2bのIPsec処理部23によって復号処理されたパケットは、インタフェース部21からプライベートネットワーク202に送出される。このようにして、プライベートネットワーク201から送出されたパケットはプライベートネットワーク202に到達する。
【0202】
この時、さらにプライベートネットワーク201からプライベートネットワーク202宛のパケットが引き続き発生した場合について説明する。IPsec処理装置2aのIPsec処理部23は図26に示すSPD24を検索し、2番目のエントリにすでにポリシーが存在することを確認し、さらに図17に示すSAD25を検索して1番目のエントリに当該SAが存在することも確認し、当該SAを使用してIPsecの処理を実施する。すなわち、IPsec設定サーバ1から設定パラメータを取得した後は、従来のIPsecと同様に動作する。
【0203】
続いて、SA更新時の動作について説明する。IPsec処理装置2aのIPsec処理部23はSAD25を監視し、有効期限が満了するエントリについてSAの更新を実施する。
【0204】
SAを更新する場合、IPsec処理部23は設定管理部26に設定取得を依頼する。この時、IPsec処理部23は当該SAに対応するSPD24のエントリを設定管理部26に通知する。
【0205】
設定管理部26はIPsec処理部23から設定取得の依頼を受けると、当該SPDエントリ用の要求メッセージを生成する。要求メッセージではID及びSPI以外は最初に送信した要求メッセージと同一の内容を設定する。ID及びSPIは新しい値を設定する。ここでは設定管理部26がID及びSPIの値としてそれぞれ「1002」,「5110」を選択したものとする。
【0206】
設定管理部26は生成した要求メッセージをIPsec設定サーバ1に送信する。設定管理部26はIPsec設定サーバ1に要求メッセージを送信すると、5秒間隔で要求メッセージの送信を繰り返し、IPsec設定サーバ1から要求メッセージに対応する応答を受信するか、要求メッセージを6回送信すると、要求メッセージの送信を停止する。
【0207】
IPsec設定サーバ1に送信された要求メッセージはIPsec設定サーバ1のインタフェース部11に到着し、要求処理部15に届けられる。要求処理部15は要求メッセージを受信すると(図12ステップS1)、管理テーブル17からアドレス及びIDが一致するエントリを検索するが、ID及びSPIがともに新しい値のため、一致するエントリが見つからない(図12ステップS2,S7)。また、この時点ではIDが空欄のエントリも存在しない(図12ステップS9)。
【0208】
これ以降は初めて要求メッセージを受信した時の動作と同じ手順となる。すなわち、要求処理部15は配布ポリシー記憶部16を検索し(図13ステップS21)、管理テーブル17に新しくエントリを登録する(図13ステップS22)。この時点での管理テーブル17の内容を図4に示す。ID及びSPI欄がそれぞれ「1002」,「5110」であるエントリが2番目に追加されていることがわかる。
【0209】
要求処理部15は相手先となるIPsec処理装置2bに要求起動メッセージを送信する(図13ステップS23)。IPsec処理装置2bでは要求起動メッセージを受信すると、やはり新しいIDとSPIとを設定して要求メッセージを送信する。ここでは、IPsec処理装置2bが新しいID、SPIとしてそれぞれ「2002」,「6110」を選択したものとする。
【0210】
IPsec設定サーバ1の要求処理部15はIPsec処理装置2bから要求メッセージを受信すると(図12ステップS1)、アドレスは一致するが、IDが空欄のエントリを発見し(図12ステップS9)、要求メッセージで通知されたID及びSPIと、生成したSAパラメータとを管理テーブル17に設定する(図12ステップS10)。この時点での管理テーブル17の内容を図27に示す。
【0211】
図27に示す内容を図4に示す内容と比較すると、空欄だったID,SPI欄に「2002」,「6110」が設定され、SAパラメータも設定されていることがわかる。さらに、要求処理部15は管理テーブル17の内容にしたがって配布メッセージを生成し、IPsec処理装置2a及びIPsec処理装置2bに対してそれぞれ送信する (図12ステップS11)。
【0212】
各IPsec処理装置2の設定管理部26は配布メッセージを受信すると、配布メッセージで通知されたポリシーをSPD24に設定し、通知されたSAパラメータからSAを生成してSAD25を設定する。この時点で、新しいSAが利用可能となり、SAの更新が完了する。
【0213】
ここで、IPsec処理装置2がインタフェース部21からIPsecを適用する最初のパケットを受信した後、実際にIPsec処理を実施してパケットをインタフェース部22に送信するまでの処理について、従来のIPsecによる手順と本実施例による手順とを比較する。
【0214】
従来の手法では、図32に示すように、インタフェース部41からパケットを受信すると、IPsec処理部43がIKEによる公開鍵の演算を実施し、通信相手となるIPsec処理装置と公開鍵を交換する。IPsec処理部43はさらに秘密鍵の演算を実施し、得られた秘密鍵を用いてIPsecを適用し、パケットをインタフェース部42に送る。
【0215】
これに対し、本実施例の手順では、図28に示すように、IPsec処理部23がインタフェース部21からパケットを受信すると、IPsec処理部23は設定管理部26に設定取得を依頼し、設定管理部26はIPsec設定サーバ1に要求メッセージを送信する。
【0216】
設定管理部26はIPsec設定サーバ1から配布メッセージを受信すると、IPsec処理部23に設定完了を通知し、IPsec処理部23はパケットにIPsecを適用してインタフェース部22に送る。
【0217】
インタフェース部21がパケットを受信してからIPsec処理を実施してパケットをインタフェース部22に送信するまでの時間を、従来の手順、本実施例の手順についてそれぞれTb,Taとする。この時、従来の手順では公開鍵及び秘密鍵の演算に時間がかかるため、Tb>Taとなり、本実施例の手順の方が早くパケットを転送できることがわかる。
【0218】
例えば、IKEのDiffie−Hellman鍵共有アルゴリズムで使用するグループを1536ビットMODP(Modular Exponentiation Group)として50MHzのRISC(Reduced Instruction Set Computer)プロセッサを使用した場合、Tbは約18秒(実測値)となるが、Taは1秒未満となる。
【0219】
厳密には、本実施例の手順の要求メッセージは従来のIPsecの手順で送信されるため、この時、IKEの鍵交換が実施される場合にはTb<Taとなるが、それ以降のIPsec通信については相手先となるIPsec処理装置2の組合せに関係なく、IPsec設定サーバ1用のIKEのSAが有効な間はTb>Taとなる。
【0220】
また、従来の手法においてIKEの公開鍵あるいは秘密鍵の演算を実施する場合には、IPsec処理装置がIKEの演算処理に集中してしまうため、IPsecを適用する必要のないパケットの転送速度が低下してしまう。IKEの鍵交換処理は通信している相手毎に定期的に発生するため、IPsec通信をする相手が多いほど処理能力が低下する割合が大きくなる。
【0221】
それに対して本実施例の手順では、IPsec処理装置2とIPsec設定サーバ1との間で定期的に鍵交換処理が発生するが、通信相手となる各IPsec処理装置2に対しては鍵交換処理を行わないため、IPsec通信をする相手が増えたとしても処理能力が低下する割合は一定である。
【0222】
例えば、IKEのDiffie−Hellman鍵共有アルゴリズムで使用するグループを1536ビットMODP、IKEのSAの有効期限を1時間として50MHzのRISCプロセッサを使用した場合、IPsec処理装置が他の10台のIPsec処理装置との間でIPsec通信を実施すると、従来の手順では1時間の間にIKEの鍵交換が10回ずつ実施されることになり、1時間当たり約180秒間性能が低下することになる。
【0223】
それに対して、本実施例の手法では、IPsec設定サーバ1との間でIKEの鍵交換が実施されるのみなので、1時間当たり約18秒間の性能低下のみとなる。
【0224】
IKEの演算処理速度に起因する問題を解決する既存の手段として、演算専用回路をIPsec処理装置に搭載し、IKEの演算処理自体を高速化する方法がある。演算専用回路を搭載したIPsec処理装置の例を図33に示す。演算専用回路51がIPsec処理部43に接続されている点が、図31に示す従来のIPsec処理装置4と異なる。
【0225】
IPsec処理部43はIKEの演算が必要になると、演算専用回路51に演算を依頼する。演算専用回路51によって高速に演算が実施されるため、図32に示す従来手法の演算処理に要する時間が短くなり、全体の速度も向上する。この手段を用いれば、IKEの演算速度に起因する問題を解決することが可能である。但し、演算専用回路51を持たないIPsec処理装置をすでに導入してしまっている場合には、IPsec処理装置そのものを演算専用回路付きのIPsec処理装置に置き換える必要がある。
【0226】
それに対して、本実施例の方法では必要となる機能をすべてソフトウェアで実現することができるため、すでに導入済みのIPsec処理装置に対してもソフトウェアのバージョンアップで機能を追加することが可能であり、既存の設備を有効活用することができる。
【0227】
このように、本実施例では使用するサービスやアルゴリズム等の情報をIPsec設定サーバ1に一括して設定することによって、IPsec処理装置2,2a〜2fがほとんどの設定をIPsec設定サーバ1から取得することが可能となるため、IPsec処理装置2,2a〜2fへの設定を少なくすることができる。
【0228】
また、本実施例では、IPsec処理装置2,2a〜2fにおいてIKEを使用せずに、秘密鍵を更新することによって、IKEに関する設定が不要となるので、IPsec処理装置2,2a〜2fへの設定を少なくすることができる。
【0229】
さらに、本実施例では、IPsec設定サーバ1を用いることによって、従来、IPsecを実施する両端の装置にそれぞれ同一の設定を行う必要があるが、IPsec設定サーバ1がそれぞれの装置に設定していた内容を自装置のみに設定すればよいため、IPsec処理に関する設定の総数を少なくすることができる。
【0230】
上記のほかに、本実施例では、要求起動メッセージを送信しているので、要求メッセージの送信元のIPsec処理装置に対向するIPsec処理装置ではその送信元のIPsec処理装置でのIPsecのポリシーの設定とほぼ同時にIPsecのポリシーの設定が行われることとなり、そのポリシーの設定後に、送信元のIPsec処理装置がパケットを暗号化して送信すると、対向するIPsec処理装置では送信元のIPsec処理装置からのパケットを復号して受取ることができる。
【0231】
これによって、本実施例では、ポリシー設定後の暗号化や復号を滞りなく行うことができ、送信先のIPsec処理装置において送信元からのパケットを取りこぼしなく受取ることができ、対向するIPsec処理装置で送信元からのパケットを復号するまでの時間を大幅に短縮することができる。
【0232】
また、本実施例では、要求起動メッセージの送信時にそれに応答した要求メッセージが対向するIPsec処理装置から送られてこなければ、送信元のIPsec処理装置に対して応答なしエラーメッセージが送信されるので、送信元のIPsec処理装置で対向装置の不存在を即座に認識することができる。
【0233】
上記と同様に、本実施例では、IPsec設定サーバ1を用いることによって、従来、IPsecを実施する両端の装置に同一の設定をそれぞれ個別に設定する必要があるので、設定内容の不一致が発生する可能性があるが、IPsec設定サーバ1が両端の装置に同一の設定を配信し、設定内容の不一致が発生しなくなるため、IPsecの設定不一致による接続障害がなくなる。
【0234】
また、本実施例では、従来、定期的に共有秘密鍵を更新するためにIKEを使用した複雑な演算が必要であるが、IKEの代わりにIPsec設定サーバ1から共有秘密鍵を取得することで、両端の装置が共有秘密鍵の演算を行う必要がなくなるため、IKEを使用した場合と比較して通信を開始できるまでの時間が短くなる。
【0235】
これと同様に、本実施例では、従来、定期的に共有秘密鍵を更新するためにIKEを使用した複雑な演算が必要であるが、IKEの代わりにIPsec設定サーバ1から共有秘密鍵を取得することで、両端の装置が共有秘密鍵の演算を行う必要がなくなるため、IKEを使用した場合と比較してIPsec処理を実施する装置の演算負荷を軽減することができる。
【0236】
図29は本発明の他の実施例によるIPsec処理装置の構成を示すブロック図である。図29においては、IPsec処理装置3がルータではなく、パーソナルコンピュータの場合の適用例を示している。
【0237】
本発明の他の実施例によるIPsec処理装置3はインタフェース部21を省き、上位アプリケーション部31を設けた以外は図14に示す本発明の一実施例によるIPsec処理装置2と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は本発明の一実施例と同様である。
【0238】
上位アプリケーション部31はデータ通信パケットを送受信する実体であり、ルーティング部27に接続されている。ルーティング部27は送受信されるパケットが上位アプリケーション部31宛なのか、設定管理部26宛なのか、あるいはインタネット100宛なのかを判断してパケットをそれぞれの宛先に転送する。
【0239】
ここで、図1におけるIPsec処理装置2dとIPsec処理装置2eとがパーソナルコンピュータであるものとし、IPsec処理装置2dからIPsec処理装置2eに対してパケットを送信する場合について考える。
【0240】
ルータの場合と同様に、IPsec設定サーバ1にはIPsec処理装置2d、IPsec処理装置2eとの間にそれぞれ安全なIPsecの経路を確保するためにSPD13を設定し、IPsec処理装置2d、IPsec処理装置2e間に適用するIPsecのポリシーを配布ポリシー記憶部16に設定する。
【0241】
これらIPsec処理装置2d,2eにはSPD24を設定する。IPsec設定サーバ1との通信を暗号化するために通常のIPsecの設定を行い、実際にIPsecを適用したい通信に関しては、セレクタと設定要求用相手アドレスとを設定する。
【0242】
IPsec処理装置2dからパケットが送信される場合、パケットを送受信する実体である上位アプリケーション部31からデータ通信パケットがルーティング部27に渡される。ルーティング部27ではパケットの宛先がインタネット側であることを認識して、パケットをIPsec処理部23に転送する。
【0243】
これ以降は、ルータの場合の実施例と同じである。すなわち、IPsec処理部23はSPD24のセレクタとパケットとを比較して該当するエントリを検索し、該当するエントリに示された処理がIPsecであれば、IPsecの適用を実施する。
【0244】
この時、該当するエントリにIPsec適用のポリシーが存在しない場合、IPsec処理部23はパケットの処理を一時中断し、設定管理部26に設定要求を依頼する。設定管理部26はIPsec設定サーバ1に要求メッセージを送信し、配布メッセージを受信することでSPD24とSAD25とを設定し、IPsec処理部23に設定完了を通知する。IPsec処理部23は中断していたパケットの処理を再開し、設定されたSAを使用してIPsecを適用したうえで、パケットをインタフェース部22経由でインタネット100に転送する。
【0245】
受信時もルータの場合とほぼ同様である。IPsec処理装置2d,2eではすでに設定管理部26によってSPD24、SAD25が設定されている。インタフェース部22経由で受信したIPsec適用済みパケットはIPsec処理部23に転送される。IPsec処理部23はSAD25から該当するSAを検索し、パケットの復号処理を行う。
【0246】
復号処理によって元の状態に戻ったパケットはルーティング部27に転送される。ルーティング部27ではパケットが上位アプリケーション部31宛であるか、設定管理部26宛であるかを判断し、上位アプリケーション部31宛であれば上位アプリケーション部31に転送する。
【0247】
このようにすることで、パケットの受信処理が完了する。したがって、本実施例ではIPsec処理装置2d,2eがルータの場合でもパーソナルコンピュータの場合でも適用することができる。
【0248】
図30は本発明の別の実施例による配布ポリシー記憶部の記憶内容を示す図である。本発明の一実施例ではIPsec設定サーバ1の配布ポリシー記憶部10に、実際にIPsec通信を行うIPsec処理装置2間に適用するポリシーを個々の通信毎に設定する必要があるが、本発明の別の実施例ではいくつかの組合せについて共通のポリシーを利用することで、配布ポリシー記憶部16に設定するポリシーの数を減らしている。尚、本発明の別の実施例によるIPsec設定サーバの構成は図2に示す本発明の一実施例によるIPsec設定サーバ1の構成と同様になっている。
【0249】
本実施例において、配布ポリシー記憶部16は特定のアドレスの組合せに対してポリシーを設定すると同時に、任意の組合せにおけるポリシーを設定することが可能となっている。図30に示す例では、IPsec処理装置2d、IPsec処理装置2e間の通信に適用するポリシーと、それ以外のすべての組合せに適用するポリシーとが設定されている。本実施例の場合、多くのIPsec処理装置2が共通のポリシーを利用することで、配布ポリシー記憶部16に設定するポリシーの数を減らすことができる。
【0250】
ここで、n台のIPsec処理装置がすべての組合せで、互いにIPsecの通信を実施する場合において、本実施例に必要な設定量と従来のIPsec処理装置に必要な設定量とを比較する。この時、すべてのIPsec通信の組合せにおいて同一のポリシーを適用することとする。
【0251】
従来のIPsec処理装置に必要な設定量の合計は先に計算した通り、2n(n−1)である。それに対し、本実施例においては、IPsec処理装置同士の通信の組合せの数に関わらず、IPsecポリシーの設定量は1件だけでよい。したがって、本実施例において必要となる設定量は4n+1となる。
【0252】
これからわかる通り、従来の手法では設定量がnの2乗に比例して多くなるが、本実施例では設定量がnに比例して大きくなるため、組合せが多くなるほど効果が大きくなることがわかる。例えば、n=10の場合には、従来の手法の設定量が180に対して、本実施例の設定量が41となり、約1/4の設定で済むことがわかる。
【0253】
【発明の効果】
以上説明したように本発明の装置及び方法は、IPsec処理装置間に適用するIPsecのポリシーを一括管理することによって、通信する装置間での設定不一致を防止することができるという効果が得られる。
【0254】
また、本発明の他の装置及び方法は、要求メッセージを受信した場合に当該要求メッセージを送信したIPsec処理装置の通信相手であるIPsec処理装置に対して当該通信用の要求メッセージを送信させるために要求起動メッセージを送信することによって、ポリシー設定後の暗号化や復号を滞りなく行うことができ、送信元からのパケットを取りこぼしなく受取ることができるという効果が得られる。
【0255】
さらに、本発明の別の装置及び方法は、IPsecの暗号化や認証に使用するための共有秘密鍵を生成し、その生成した共有秘密鍵をIPsec処理装置に配布することによって、共有秘密鍵演算を不要とし、個々の装置での通信開始時のIPsec経路の接続時間を短縮することができ、性能の低下を防ぐことができるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の一実施例によるIPsecによるネットワークの構成を示すブロック図である。
【図2】図1のIPsec設定サーバの構成を示すブロック図である。
【図3】図2の配布ポリシー記憶部の記憶内容を示す図である。
【図4】図2の管理テーブルの記憶内容を示す図である。
【図5】図4のSAパラメータの内容を示す図である。
【図6】本発明の一実施例による要求メッセージの一例を示す図である。
【図7】本発明の一実施例による配布メッセージの一例を示す図である。
【図8】本発明の一実施例による要求起動メッセージの一例を示す図である。
【図9】本発明の一実施例による該当なしエラーメッセージの一例を示す図である。
【図10】本発明の一実施例による内容不一致エラーメッセージの一例を示す図である。
【図11】本発明の一実施例による応答なしエラーメッセージの一例を示す図である。
【図12】本発明の一実施例によるIPsec設定サーバの動作を示すフローチャートである。
【図13】本発明の一実施例によるIPsec設定サーバの動作を示すフローチャートである。
【図14】図1のIPsec処理装置の構成を示すブロック図である。
【図15】図14のSPDの内容を示す図である。
【図16】図15に示すSPDの適用ポリシー(z)の一例を示す図である。
【図17】図14のSADの内容を示す図である。
【図18】図14のIPsec処理部の処理動作を示すフローチャートである。
【図19】図14の設定管理部の処理動作を示すフローチャートである。
【図20】図14の設定管理部の処理動作を示すフローチャートである。
【図21】図2のSPDの内容の一例を示す図である。
【図22】図21に示すSPDの適用ポリシー(v)の内容を示す図である。
【図23】従来のIPsec処理装置のSPDの内容を示す図である。
【図24】図23のSPDの適用ポリシー(j)の内容を示す図である。
【図25】図2の管理テーブルのIPsec処理装置から要求メッセージを受信した後の内容を示す図である。
【図26】図14のSPDの配布メッセージを受信して適用ポリシーを設定した後の内容を示す図である。
【図27】図2の管理テーブルのSAを更新するために新しいエントリが生成される場合の内容を示す図である。
【図28】本発明の一実施例によるIPsec処理装置の動作を示すシーケンスチャートである。
【図29】本発明の他の実施例によるIPsec処理装置の構成を示すブロック図である。
【図30】本発明の別の実施例による配布ポリシー記憶部の記憶内容を示す図である。
【図31】従来のIPsec処理装置の構成を示すブロック図である。
【図32】従来のIPsec処理装置の動作を示すシーケンスチャートである。
【図33】従来のIPsec処理装置の他の構成を示すブロック図である。
【符号の説明】
1 IPsec設定サーバ
2,2a〜2f,3 IPsec処理装置
11,21,22 インタフェース部
12,23 IPsec処理部
13,24 SPD
14,25 SAD
15 要求処理部
16 配布ポリシー記憶部
17 管理テーブル
18 乱数生成器
19 タイマ
20,28 記録媒体
26 設定管理部
27 ルーティング部
31 上位アプリケーション部
100 インタネット
201〜204 プライベートネットワーク

Claims (32)

  1. 異なる2つの拠点間をインタネットを介して通信する場合にインタネット経路上でのセキュリティを確保するためのIPsec(Internet Protocol security protocol)を使用するIPsec処理装置と、前記IPsec処理装置のIPsec設定を管理するIPsec設定サーバ装置とを含むネットワークであって、第1及び第2のIPsec処理装置間に適用する前記IPsecのポリシーを一括管理する機能を前記IPsec設定サーバ装置に有することを特徴とするネットワーク。
  2. 前記第1のIPsec処理装置から受信した前記第2のIPsec処理装置との間の通信に対する要求メッセージの内容を基に前記第2のIPsec処理装置との間に適用する前記IPsecのポリシーを特定する機能を前記IPsec設定サーバ装置に含むことを特徴とする請求項1記載のネットワーク。
  3. 前記要求メッセージを受信した場合に当該要求メッセージを送信した前記第1のIPsec処理装置の通信相手である前記第2のIPsec処理装置に対して当該通信用の要求メッセージを送信させるために要求起動メッセージを送信する機能を前記IPsec設定サーバ装置に含むことを特徴とする請求項2記載のネットワーク。
  4. 前記要求起動メッセージに対する応答がない時に前記第1のIPsec処理装置に対して前記第2のIPsec処理装置からの応答なしを通知する機能を前記IPsec設定サーバ装置に含むことを特徴とする請求項3記載のネットワーク。
  5. 前記要求メッセージの内容とそれに適用する前記IPsecのポリシーの内容とから当該IPsec通信に必要となるSA(Security Association)パラメータを生成する機能を前記IPsec設定サーバ装置に含むことを特徴とする請求項2から請求項4のいずれか記載のネットワーク。
  6. 前記要求メッセージに対して前記IPsecのポリシーと前記SAパラメータとを少なくとも含む配布メッセージを送信する機能を前記IPsec設定サーバ装置に含むことを特徴とする請求項2から請求項5のいずれか記載のネットワーク。
  7. 前記IPsecの暗号化及び認証に使用するための共有秘密鍵を生成する機能と、その生成した前記共有秘密鍵を前記IPsec処理装置に配布する機能とを前記IPsec設定サーバ装置に含むことを特徴とする請求項1から請求項6のいずれか記載のネットワーク。
  8. 異なる2つの拠点間をインタネットを介して通信する場合にインタネット経路上でのセキュリティを確保するためのIPsec(Internet Protocol security protocol)を使用するIPsec処理装置のIPsec設定を管理するIPsec設定サーバ装置であって、前記IPsec処理装置間に適用する前記IPsecのポリシーを一括管理する機能を有することを特徴とするIPsec設定サーバ装置。
  9. 前記IPsec処理装置から受信した他のIPsec処理装置との間の通信に対する要求メッセージの内容を基に前記他のIPsec処理装置との間に適用する前記IPsecのポリシーを特定する機能を含むことを特徴とする請求項8記載のIPsec設定サーバ装置。
  10. 前記要求メッセージを受信した場合に当該要求メッセージを送信したIPsec処理装置の通信相手のIPsec処理装置に対して当該通信用の要求メッセージを送信させるために要求起動メッセージを送信する機能を含むことを特徴とする請求項9記載のIPsec設定サーバ装置。
  11. 前記要求起動メッセージに対する応答がない時に前記要求メッセージを送信したIPsec処理装置に対して前記通信相手のIPsec処理装置からの応答なしを通知する機能を含むことを特徴とする請求項10記載の前記IPsec設定サーバ装置。
  12. 前記要求メッセージの内容とそれに適用する前記IPsecのポリシーの内容とから当該IPsec通信に必要となるSA(Security Association)パラメータを生成する機能を含むことを特徴とする請求項9から請求項11のいずれか記載のIPsec設定サーバ装置。
  13. 前記要求メッセージに対して前記IPsecのポリシーと前記SAパラメータとを少なくとも含む配布メッセージを送信する機能を含むことを特徴とする請求項9から請求項12のいずれか記載のIPsec設定サーバ装置。
  14. 前記IPsecの暗号化や認証に使用するための共有秘密鍵を生成する機能と、その生成した前記共有秘密鍵を前記IPsec処理装置に配布する機能とを含むことを特徴とする請求項8から請求項13のいずれか記載のIPsec設定サーバ装置。
  15. インタネットにおいてIPsec(Internet Protocol security protocol)を使用するIPsec処理装置であって、前記IPsecを適用すべきパケットを受信した場合にIPsec設定サーバ装置で一括管理される当該IPsecに関する設定を前記IPsec設定サーバ装置に問い合わせるか否かを判断する機能を有することを特徴とするIPsec処理装置。
  16. 前記IPsecに関する設定を取得するために前記IPsec設定サーバ装置に他のIPsec処理装置との間の通信に対する要求メッセージを送信する機能を含むことを特徴とする請求項15記載のIPsec処理装置。
  17. 前記IPsec設定サーバ装置から前記要求メッセージを送信させるための要求起動メッセージを受信した時に当該要求メッセージの送信を行うことを特徴とする請求項16記載のIPsec処理装置。
  18. 前記IPsec設定サーバ装置から受信した配布メッセージを基に前記IPsecを適用するためのポリシーを記録するSPD及び個々の通信に対して前記IPsecの処理を実施するために必要なSA(Security Association)を記録するSADを設定する機能を含むことを特徴とする請求項15から請求項17のいずれか記載のIPsec処理装置。
  19. 前記IPsecの暗号化や認証に使用するための共有秘密鍵を前記IPsec設定サーバ装置から取得する機能を含むことを特徴とする請求項15から請求項18のいずれか記載のIPsec処理装置。
  20. 前記SAの有効期限が満了する前に前記IPsec設定サーバ装置に前記要求メッセージを再送信して新しい設定情報を取得する機能を含むことを特徴とする請求項15から請求項19のいずれか記載のIPsec処理装置。
  21. 異なる2つの拠点間をインタネットを介して通信する場合にインタネット経路上でのセキュリティを確保するためのIPsec(Internet Protocol security protocol)を使用するIPsec処理装置と、前記IPsec処理装置のIPsec設定を管理するIPsec設定サーバ装置とからなるネットワークのIPsec設定方法であって、前記IPsec処理装置間に適用する前記IPsecのポリシーを一括管理するステップを前記IPsec設定サーバ装置に有することを特徴とするIPsec設定方法。
  22. 前記IPsec処理装置から受信した他のIPsec処理装置との間の通信に対する要求メッセージの内容を基に前記他のIPsec処理装置との間に適用する前記IPsecのポリシーを特定するステップを前記IPsec設定サーバ装置に含むことを特徴とする請求項21記載のIPsec設定方法。
  23. 前記要求メッセージを受信した場合に当該要求メッセージを送信したIPsec処理装置の通信相手のIPsec処理装置に対して当該通信用の要求メッセージを送信させるために要求起動メッセージを送信するステップを前記IPsec設定サーバ装置に含むことを特徴とする請求項22記載のIPsec設定方法。
  24. 前記要求起動メッセージに対する応答がない時に前記要求メッセージを送信したIPsec処理装置に対して前記通信相手のIPsec処理装置からの応答なしを通知する機能を前記IPsec設定サーバ装置に含むことを特徴とする請求項23記載のIPsec設定方法。
  25. 前記要求メッセージの内容とそれに適用する前記IPsecのポリシーの内容とから当該IPsec通信に必要となるSA(Security Association)パラメータを生成するステップを前記IPsec設定サーバ装置に含むことを特徴とする請求項22または請求項24記載のIPsec設定方法。
  26. 前記要求メッセージに対して前記IPsecのポリシーと前記SAパラメータとを少なくとも含む配布メッセージを送信するステップを前記IPsec設定サーバ装置に含むことを特徴とする請求項22から請求項25のいずれか記載のIPsec設定方法。
  27. 前記IPsecの暗号化や認証に使用するための共有秘密鍵を生成するステップと、その生成した前記共有秘密鍵を前記IPsec処理装置に配布するステップとを前記IPsec設定サーバ装置に含むことを特徴とする請求項21から請求項26のいずれか記載のIPsec設定方法。
  28. 前記IPsec処理装置が、前記IPsecを適用すべきパケットを受信した場合にIPsec設定サーバ装置で一括管理される当該IPsecに関する設定を前記IPsec設定サーバ装置に問い合わせるか否かを判断することを特徴とする請求項21から請求項27のいずれか記載のIPsec設定方法。
  29. 前記IPsec処理装置が、前記IPsecに関する設定を取得するために前記IPsec設定サーバ装置に他のIPsec処理装置との間の通信に対する要求メッセージを送信することを特徴とする請求項21から請求項28のいずれか記載のIPsec設定方法。
  30. 前記IPsec処理装置が、前記IPsec設定サーバ装置から受信した配布メッセージを基に前記IPsecを適用するためのポリシーを記録するSPD及び個々の通信に対して前記IPsecの処理を実施するために必要なSA(Security Association)を記録するSADを設定することを特徴とする請求項21から請求項29のいずれか記載のIPsec設定方法。
  31. 前記IPsec処理装置が、前記IPsecの暗号化や認証に使用するための共有秘密鍵を前記IPsec設定サーバ装置から取得することを特徴とする請求項21から請求項30のいずれか記載のIPsec設定方法。
  32. 前記IPsec処理装置が、前記SAの有効期限が満了する前に前記IPsec設定サーバ装置に前記要求メッセージを再送信して新しい設定情報を取得することを特徴とする請求項21から請求項31のいずれか記載のIPsec設定方法。
JP2002264913A 2002-09-11 2002-09-11 ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法 Expired - Fee Related JP4159328B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2002264913A JP4159328B2 (ja) 2002-09-11 2002-09-11 ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法
SG200305653A SG115564A1 (en) 2002-09-11 2003-09-04 Network, ipsec setting server apparatus, ipsec processing apparatus, and ipsec setting method used therefor
AU2003244590A AU2003244590B2 (en) 2002-09-11 2003-09-05 Network, IPsec Setting Server Apparatus, IPsec Processing Apparatus, and IPsec Setting Method Used Therefor
US10/655,372 US8301875B2 (en) 2002-09-11 2003-09-05 Network, IPsec setting server apparatus, IPsec processing apparatus, and IPsec setting method used therefor
CN03157030.5A CN1496063B (zh) 2002-09-11 2003-09-11 网络、IPsec设置服务器设备、IPsec处理设备和相关方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002264913A JP4159328B2 (ja) 2002-09-11 2002-09-11 ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法

Publications (2)

Publication Number Publication Date
JP2004104542A true JP2004104542A (ja) 2004-04-02
JP4159328B2 JP4159328B2 (ja) 2008-10-01

Family

ID=32211500

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002264913A Expired - Fee Related JP4159328B2 (ja) 2002-09-11 2002-09-11 ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法

Country Status (5)

Country Link
US (1) US8301875B2 (ja)
JP (1) JP4159328B2 (ja)
CN (1) CN1496063B (ja)
AU (1) AU2003244590B2 (ja)
SG (1) SG115564A1 (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006313975A (ja) * 2005-05-06 2006-11-16 Sumitomo Electric Ind Ltd Ip電話装置
JP2007135083A (ja) * 2005-11-11 2007-05-31 Ricoh Co Ltd データ通信機能を有する機器
JP2007251842A (ja) * 2006-03-17 2007-09-27 Ricoh Co Ltd ネットワーク機器
JP2008276686A (ja) * 2007-05-07 2008-11-13 Ricoh Co Ltd サーバ装置、情報処理装置、プログラムおよび記録媒体
US7684395B2 (en) 2005-06-22 2010-03-23 Yamaha Corporation Communication device and communication method therefor
JP2010217595A (ja) * 2009-03-17 2010-09-30 Ricoh Co Ltd 情報処理装置、情報処理方法およびプログラム
WO2011010736A1 (ja) * 2009-07-24 2011-01-27 ヤマハ株式会社 中継装置
JP2011166509A (ja) * 2010-02-10 2011-08-25 Yamaha Corp 中継装置
JP2013138477A (ja) * 2013-02-14 2013-07-11 Canon Inc 情報処理装置、情報処理方法、記憶媒体及びプログラム
US10033742B2 (en) 2008-03-27 2018-07-24 Canon Kabushiki Kaisha Information processing apparatus, control method of the information processing apparatus, storage medium, and program
US20220021687A1 (en) * 2020-07-16 2022-01-20 Vmware, Inc. Dynamic rekeying of ipsec security associations

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI225999B (en) * 2003-08-22 2005-01-01 Ind Tech Res Inst A method for searching Peer-based security policy database
US7512787B1 (en) 2004-02-03 2009-03-31 Advanced Micro Devices, Inc. Receive IPSEC in-line processing of mutable fields for AH algorithm
JP3976324B2 (ja) * 2004-02-27 2007-09-19 株式会社日立製作所 セキュリティレベルに応じて記憶領域を計算機に割り当てるシステム
US7895648B1 (en) * 2004-03-01 2011-02-22 Cisco Technology, Inc. Reliably continuing a secure connection when the address of a machine at one end of the connection changes
US7685434B2 (en) 2004-03-02 2010-03-23 Advanced Micro Devices, Inc. Two parallel engines for high speed transmit IPsec processing
JP4898168B2 (ja) * 2005-03-18 2012-03-14 キヤノン株式会社 通信システム、通信装置、通信方法、及びプログラム
JP4602894B2 (ja) * 2005-11-16 2010-12-22 株式会社日立製作所 計算機システム及び計算機
JP4690918B2 (ja) * 2006-03-14 2011-06-01 株式会社リコー ネットワーク機器
US7774837B2 (en) * 2006-06-14 2010-08-10 Cipheroptics, Inc. Securing network traffic by distributing policies in a hierarchy over secure tunnels
US8752131B2 (en) * 2008-04-30 2014-06-10 Fujitsu Limited Facilitating protection of a maintenance entity group
CA2754516A1 (en) * 2009-03-05 2010-09-10 Epals, Inc. System and method for managing and monitoring electronic communications
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US9912555B2 (en) 2013-03-15 2018-03-06 A10 Networks, Inc. System and method of updating modules for application or content identification
US9722918B2 (en) 2013-03-15 2017-08-01 A10 Networks, Inc. System and method for customizing the identification of application or content type
US9838425B2 (en) 2013-04-25 2017-12-05 A10 Networks, Inc. Systems and methods for network access control
US9294503B2 (en) 2013-08-26 2016-03-22 A10 Networks, Inc. Health monitor based distributed denial of service attack mitigation
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US9756071B1 (en) 2014-09-16 2017-09-05 A10 Networks, Inc. DNS denial of service attack protection
US9473466B2 (en) 2014-10-10 2016-10-18 Freescale Semiconductor, Inc. System and method for internet protocol security processing
US9537886B1 (en) 2014-10-23 2017-01-03 A10 Networks, Inc. Flagging security threats in web service requests
US9621575B1 (en) 2014-12-29 2017-04-11 A10 Networks, Inc. Context aware threat protection
US9584318B1 (en) 2014-12-30 2017-02-28 A10 Networks, Inc. Perfect forward secrecy distributed denial of service attack defense
US9900343B1 (en) 2015-01-05 2018-02-20 A10 Networks, Inc. Distributed denial of service cellular signaling
US9848013B1 (en) 2015-02-05 2017-12-19 A10 Networks, Inc. Perfect forward secrecy distributed denial of service attack detection
US10063591B1 (en) 2015-02-14 2018-08-28 A10 Networks, Inc. Implementing and optimizing secure socket layer intercept
US9787581B2 (en) 2015-09-21 2017-10-10 A10 Networks, Inc. Secure data flow open information analytics
US10469594B2 (en) 2015-12-08 2019-11-05 A10 Networks, Inc. Implementation of secure socket layer intercept
US10812348B2 (en) 2016-07-15 2020-10-20 A10 Networks, Inc. Automatic capture of network data for a detected anomaly
US10341118B2 (en) 2016-08-01 2019-07-02 A10 Networks, Inc. SSL gateway with integrated hardware security module
US10382562B2 (en) 2016-11-04 2019-08-13 A10 Networks, Inc. Verification of server certificates using hash codes
US10250475B2 (en) 2016-12-08 2019-04-02 A10 Networks, Inc. Measurement of application response delay time
US10397270B2 (en) 2017-01-04 2019-08-27 A10 Networks, Inc. Dynamic session rate limiter
US10187377B2 (en) 2017-02-08 2019-01-22 A10 Networks, Inc. Caching network generated security certificates
US10659440B2 (en) * 2017-11-30 2020-05-19 Nicira, Inc. Optimizing utilization of security parameter index (SPI) space
US10887095B2 (en) * 2017-12-16 2021-01-05 Nicira, Inc. Allocating security parameter index values using time-based one-time passwords
CN113923033A (zh) * 2021-10-13 2022-01-11 中能融合智慧科技有限公司 工控网络的透明加密方法、装置、设备及存储介质

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6175917B1 (en) * 1998-04-23 2001-01-16 Vpnet Technologies, Inc. Method and apparatus for swapping a computer operating system
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6751729B1 (en) * 1998-07-24 2004-06-15 Spatial Adventures, Inc. Automated operation and security system for virtual private networks
US7188180B2 (en) * 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US7171000B1 (en) * 1999-06-10 2007-01-30 Message Secure Corp. Simplified addressing for private communications
US6678827B1 (en) * 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
JP2001127759A (ja) 1999-10-29 2001-05-11 Toshiba Corp 情報配布システム及び記憶媒体
JP2001298449A (ja) * 2000-04-12 2001-10-26 Matsushita Electric Ind Co Ltd セキュリティ通信方法、通信システム及びその装置
US20010042204A1 (en) * 2000-05-11 2001-11-15 David Blaker Hash-ordered databases and methods, systems and computer program products for use of a hash-ordered database
CN100490436C (zh) * 2000-06-26 2009-05-20 英特尔公司 使用网际协议安全性策略建立网络安全
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
US6986061B1 (en) * 2000-11-20 2006-01-10 International Business Machines Corporation Integrated system for network layer security and fine-grained identity-based access control
JP3616570B2 (ja) * 2001-01-04 2005-02-02 日本電気株式会社 インターネット中継接続方式
US6931529B2 (en) * 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
JP2002217896A (ja) 2001-01-23 2002-08-02 Matsushita Electric Ind Co Ltd 暗号通信方法およびゲートウエイ装置
US7391782B2 (en) * 2001-03-06 2008-06-24 Fujitsu Limited Packet relaying apparatus and relaying method with next relaying address collation
US20020157024A1 (en) * 2001-04-06 2002-10-24 Aki Yokote Intelligent security association management server for mobile IP networks
US7020645B2 (en) * 2001-04-19 2006-03-28 Eoriginal, Inc. Systems and methods for state-less authentication
KR100470915B1 (ko) * 2001-12-28 2005-03-08 한국전자통신연구원 Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법
US7146009B2 (en) * 2002-02-05 2006-12-05 Surety, Llc Secure electronic messaging system requiring key retrieval for deriving decryption keys
US7477748B2 (en) * 2002-03-18 2009-01-13 Colin Martin Schmidt Session key distribution methods using a hierarchy of key servers
US7188365B2 (en) * 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US20050193103A1 (en) * 2002-06-18 2005-09-01 John Drabik Method and apparatus for automatic configuration and management of a virtual private network
US7447901B1 (en) * 2002-06-25 2008-11-04 Cisco Technology, Inc. Method and apparatus for establishing a dynamic multipoint encrypted virtual private network

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006313975A (ja) * 2005-05-06 2006-11-16 Sumitomo Electric Ind Ltd Ip電話装置
US7684395B2 (en) 2005-06-22 2010-03-23 Yamaha Corporation Communication device and communication method therefor
JP2007135083A (ja) * 2005-11-11 2007-05-31 Ricoh Co Ltd データ通信機能を有する機器
JP4682021B2 (ja) * 2005-11-11 2011-05-11 株式会社リコー データ通信機能を有する機器
JP2007251842A (ja) * 2006-03-17 2007-09-27 Ricoh Co Ltd ネットワーク機器
JP2008276686A (ja) * 2007-05-07 2008-11-13 Ricoh Co Ltd サーバ装置、情報処理装置、プログラムおよび記録媒体
US10033742B2 (en) 2008-03-27 2018-07-24 Canon Kabushiki Kaisha Information processing apparatus, control method of the information processing apparatus, storage medium, and program
US11089025B2 (en) 2008-03-27 2021-08-10 Canon Kabushiki Kaisha Selecting encryption key using policies
JP2010217595A (ja) * 2009-03-17 2010-09-30 Ricoh Co Ltd 情報処理装置、情報処理方法およびプログラム
WO2011010736A1 (ja) * 2009-07-24 2011-01-27 ヤマハ株式会社 中継装置
JP2011166509A (ja) * 2010-02-10 2011-08-25 Yamaha Corp 中継装置
JP2013138477A (ja) * 2013-02-14 2013-07-11 Canon Inc 情報処理装置、情報処理方法、記憶媒体及びプログラム
US20220021687A1 (en) * 2020-07-16 2022-01-20 Vmware, Inc. Dynamic rekeying of ipsec security associations
US11770389B2 (en) * 2020-07-16 2023-09-26 Vmware, Inc. Dynamic rekeying of IPSec security associations

Also Published As

Publication number Publication date
US20040093524A1 (en) 2004-05-13
AU2003244590B2 (en) 2006-09-21
SG115564A1 (en) 2005-10-28
CN1496063A (zh) 2004-05-12
CN1496063B (zh) 2010-05-12
JP4159328B2 (ja) 2008-10-01
AU2003244590A1 (en) 2004-04-01
US8301875B2 (en) 2012-10-30

Similar Documents

Publication Publication Date Title
JP4159328B2 (ja) ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法
US11038854B2 (en) Terminating SSL connections without locally-accessible private keys
US10270601B2 (en) Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange
US9571458B1 (en) Anti-replay mechanism for group virtual private networks
US9461975B2 (en) Method and system for traffic engineering in secured networks
US9210163B1 (en) Method and system for providing persistence in a secure network access
JP3263878B2 (ja) 暗号通信システム
EP1635502B1 (en) Session control server and communication system
US20080307110A1 (en) Conditional BGP advertising for dynamic group VPN (DGVPN) clients
CN115567205A (zh) 采用量子密钥分发实现网络会话数据流加解密方法及系统
CN115766002A (zh) 采用量子密钥分发及软件定义实现以太数据加解密的方法
CN114143050B (zh) 一种视频数据加密系统
EP3216163B1 (en) Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange
US7526560B1 (en) Method and apparatus for sharing a secure connection between a client and multiple server nodes
CN100499649C (zh) 一种实现安全联盟备份和切换的方法
US7350233B1 (en) Fast re-establishment of communications for virtual private network devices
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
RU2390959C2 (ru) Способ и устройство протокола идентификации хост-узла
CN114268499A (zh) 数据传输方法、装置、系统、设备和存储介质
CN117354032A (zh) 一种基于代码服务器的多重认证方法
Schneider et al. Network Working Group D. Maughan Request for Comments: 2408 National Security Agency Category: Standards Track M. Schertler Securify, Inc.
JP2001103096A (ja) ネットワークの構築方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050822

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20070308

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070703

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070903

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071023

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080304

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080414

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080708

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080715

R150 Certificate of patent or registration of utility model

Ref document number: 4159328

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110725

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110725

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120725

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120725

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130725

Year of fee payment: 5

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees