JP2004128782A - 鍵交換代理ネットワークシステム - Google Patents

鍵交換代理ネットワークシステム Download PDF

Info

Publication number
JP2004128782A
JP2004128782A JP2002288476A JP2002288476A JP2004128782A JP 2004128782 A JP2004128782 A JP 2004128782A JP 2002288476 A JP2002288476 A JP 2002288476A JP 2002288476 A JP2002288476 A JP 2002288476A JP 2004128782 A JP2004128782 A JP 2004128782A
Authority
JP
Japan
Prior art keywords
message
key exchange
key
terminal device
service control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002288476A
Other languages
English (en)
Other versions
JP3992579B2 (ja
Inventor
Masaaki Takase
高瀬 正明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2002288476A priority Critical patent/JP3992579B2/ja
Priority to US10/674,362 priority patent/US7197643B2/en
Publication of JP2004128782A publication Critical patent/JP2004128782A/ja
Application granted granted Critical
Publication of JP3992579B2 publication Critical patent/JP3992579B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】鍵交換に伴う処理をネットワーク側の装置に代行させて,端末の負荷を軽減する。
【解決手段】加入者端末5は,通信相手端末6との間で行う通信の暗号化に必要な暗号鍵を保持しない場合に,鍵交換代理要求メッセージをサービス制御装置1に送信する。サービス制御装置1は,認証サーバ3から与えられたサービスプロファイルに基づいて,鍵交換代理要求メッセージを鍵交換代理サーバ2に転送する。鍵交換代理サーバ2は,鍵交換メッセージを通信相手端末6との間で送受信して鍵を決定し,決定した鍵を含むメッセージをサービス制御装置1に送信する。サービス制御装置1は,鍵交換代理サーバ2からの鍵を含むメッセージをサービスプロファイルに基づいて加入者端末5に転送する。その後,加入者端末5と通信相手端末6との間で,暗号化通信が行われる。
【選択図】    図1

Description

【0001】
【発明の属する技術分野】
本発明は,通信端末間での暗号鍵の交換を代理する鍵交換代理ネットワークシステムに関し,特に,IPSecにおいて必要となる鍵の交換を代理する鍵交換代理ネットワークシステムに関する。
【0002】
また,本発明は,鍵交換代理ネットワークシステムにおける端末装置,サービス制御装置,および鍵交換代理装置に関する。
【0003】
【従来の技術】
インターネットの急速な発展によりIPパケットのトラヒックが急増している。また,携帯電話の普及に伴い,IMT−2000(International Mobile Telecommunications 2000)での標準化,実用化の動きもあり,モバイル環境での高速IP通信が普及すると考えられる。
【0004】
モバイル環境でのIP通信では,従来のIPv4ではアドレス枯渇の問題があるので,IPv6が必須となっている。このIPv6環境では,サーバ等の端末にIPSec/IKE(IP Security / Internet Key Exchange)が必須となっているので,IPSecを用いた安全な通信が提供されると考えられる。
【0005】
しかし,IPSec/IKEでは,端末に鍵交換サーバ(IKEサーバ)を搭載する必要がある。この鍵交換サーバは複雑な処理を行うため,端末には,比較的高速な処理装置(CPU等)と大きなメモリが必要となる。
【0006】
したがって,パソコンやサーバ等の端末には,IPSec/IKEの導入が容易である一方,小型軽量化が要求される携帯電話やPDA(Personal Digital Assistant)等の携帯端末にIPSec/IKEを導入するには,難点がある。
【0007】
たとえば,一般的に安全でない通信路で安全に鍵交換を行う方法としてDiffie−Hellmanの鍵交換方法があるが,この方法を実行するには,鍵交換を行う端末においてべき乗計算を行う必要があるため,端末のリソースを消費し,携帯端末には大きな負荷となる。
【0008】
また,IPSec/IKEの処理には電力を多く必要とするので,携帯端末における消費電力という観点からも,IPSec/IKEを携帯端末に搭載するのは現実的ではない。このため,携帯端末自身にはなるべく機能追加を行わずに,IPSec/IKEによるサービスを行うことが求められている。
【0009】
そこで,鍵交換処理を携帯端末が行うのではなく,他の装置に代行させる技術が考えられ,このような技術として,ユーザ端末機器からアクセスされるホームサーバ等の装置が代行するものがある(たとえば,特許文献1参照)。
【0010】
【特許文献1】
特開2002−158650号公報(図1等)
【0011】
【発明が解決しようとする課題】
しかし,この従来の技術によると,ユーザ端末機器がホームサーバ等の代行サーバに直接アクセスするので,ユーザ端末機器は代行サーバのアドレスを知っている必要がある。この場合に,ユーザ端末機器と通信を行う相手端末機器は,必ずしも代行サーバのアドレスを知っているとは限らないので,相手端末機器から通信を開始して鍵交換を行うことはできない。したがって,適用の範囲が,ユーザ端末機器から通信を開始する場合に限定される。
【0012】
本発明は,このような背景に鑑みなされたものであり,その目的は,鍵交換に伴う処理をネットワーク側の装置に代行させて,端末の負荷を軽減することにある。
【0013】
また,本発明の目的は,暗号通信を行う2つの端末のいずから鍵交換処理の要求があっても鍵交換処理の代行が可能な鍵交換方式を提供することにある。
【0014】
【課題を解決するための手段】
前記目的を達成するために,本発明による鍵交換代理ネットワークシステムは,暗号通信を行う第1および第2の端末装置の間で行われる鍵交換処理を代行する鍵交換代理ネットワークシステムであって,前記第1の端末装置にアクセスされる第1のサービス制御装置および前記第1の端末装置の鍵交換処理を代行する第1の鍵交換代理装置を備え,前記第1のサービス制御装置は,前記第1もしくは第2の端末装置または前記第1の鍵交換代理装置からのメッセージを受信する第1のメッセージ受信部と,前記第1のメッセージ受信部により受信されたメッセージが鍵交換メッセージまたは鍵を含むメッセージかどうかを判断するための第1のデータを保持し,該第1のデータに基づいて前記受信メッセージが前記鍵交換メッセージまたは前記鍵を含むメッセージかどうかを判断し,前記受信メッセージが前記第1または第2の端末装置からの鍵交換メッセージの場合には転送先を前記第1の鍵交換代理装置とし,前記受信メッセージが前記第1の鍵交換代理装置からの鍵交換メッセージの場合には転送先を前記第2の端末装置とし,前記受信メッセージが前記鍵を含むメッセージの場合には転送先を前記第1の端末装置として決定する第1のプロトコル制御部と,前記第1のプロトコル制御部により決定された転送先に前記第1のメッセージ受信部により受信されたメッセージを送信する第1のメッセージ送信部と,を備え,前記第1の鍵交換代理装置は,前記第1のサービス制御装置からのメッセージを受信する第2のメッセージ受信部と,前記第2のメッセージ受信部により受信されたメッセージが前記鍵交換メッセージである場合に,前記第2の端末装置との間で前記鍵交換メッセージを交換して鍵を決定する第2のプロトコル制御部と,前記第2のプロトコル制御部により決定された前記鍵を,前記鍵を含むメッセージとして前記第1のサービス制御装置宛てに送信する第2のメッセージ送信部と,を備えている。
【0015】
本発明による鍵交換代理ネットワークシステムは,通信相手端末装置と暗号通信を行う端末装置に代わって前記通信相手端末との間で鍵交換処理を行う鍵交換代理装置であって,前記端末装置にアクセスされ,前記端末装置または前記通信相手端末装置からのメッセージを転送するサービス制御装置からのメッセージを受信するメッセージ受信部と,前記メッセージ受信部により受信されたメッセージが鍵交換メッセージである場合に,前記通信相手端末装置との間で前記鍵交換メッセージを交換して鍵を決定するプロトコル制御部と,前記プロトコル制御部により決定された前記鍵を,前記鍵を含むメッセージとして前記サービス制御装置宛てに送信するメッセージ送信部と,を備えている。
【0016】
本発明による鍵交換代理方法は,暗号通信を行う第1および第2の端末装置の間で行われる鍵交換処理を前記第1の端末装置に代わって行う鍵交換代理装置および前記第1の端末装置にアクセスされるサービス制御装置を有する鍵交換代理ネットワークシステムで実行される鍵交換代理方法であって,前記サービス制御装置において,前記第1または第2の端末装置から送信される鍵交換メッセージを前記鍵交換代理装置に転送し,前記鍵交換代理装置において,前記第1の端末装置と前記第2の端末装置との間で交換される鍵交換メッセージを作成して前記サービス制御装置に送信し,前記サービス制御装置において,前記鍵交換メッセージを前記第2の端末装置に転送し,前記鍵交換代理装置において,前記鍵交換メッセージの交換により決定された鍵を含むメッセージを前記サービス制御装置に送信し,前記サービス制御装置において,前記鍵交換代理装置から送信された前記鍵を含むメッセージを前記第1の端末装置に転送する,ものである。
【0017】
本発明によると,第1または第2の端末装置からサービス制御装置に送信された鍵交換メッセージは,サービス制御装置によって鍵交換代理装置に転送される。その後,鍵交換代理装置と第2の端末装置との間で鍵交換処理が行われ,暗号通信に必要な鍵が決定される。決定された鍵は第1の端末装置に送信される。
【0018】
したがって,本発明によると,第1の端末装置は,鍵交換および鍵決定に必要な処理を行うことなく,暗号通信に必要な鍵を得ることができる。その結果,第1の端末装置の負荷を軽減することができる。
【0019】
また,サービス制御装置は,第1または第2の端末装置からの鍵交換メッセージを鍵交換代理装置に転送する。したがって,第1の端末装置は,第2の端末装置の宛先アドレスを知っているだけでよく,また,第2の端末装置は第1の端末装置の宛先アドレスを知っているだけでよい。このため,第1および第2の端末装置のいずから鍵交換処理の要求があっても鍵交換処理の代行が可能である。
【0020】
本発明によるサービス制御装置は,端末装置によりアクセスされ,該端末装置,該端末装置の鍵交換処理を代行する鍵交換代理装置,または該端末装置と暗号通信を行う通信相手端末からのメッセージを転送するサービス制御装置であって,前記端末装置,前記鍵交換代理装置,または前記通信相手端末装置からのメッセージを受信するメッセージ受信部と,前記メッセージ受信部により受信されたメッセージが鍵交換メッセージまたは鍵を含むメッセージかどうかを判断するためのデータを保持し,該データに基づいて前記受信メッセージが前記鍵交換メッセージまたは前記鍵を含むメッセージかどうかを判断し,前記受信メッセージが前記端末装置または通信相手端末装置からの鍵交換メッセージの場合には転送先を前記鍵交換代理装置とし,前記受信メッセージが前記鍵交換代理装置からの鍵交換メッセージの場合には転送先を前記通信相手端末装置とし,前記受信メッセージが前記鍵を含むメッセージの場合には転送先を前記端末装置として決定するプロトコル制御部と,前記プロトコル制御部により決定された転送先に前記受信メッセージを送信するメッセージ送信部と,を備えている。
【0021】
本発明による鍵交換代理装置は,通信相手端末装置と暗号通信を行う端末装置に代わって前記通信相手端末との間で鍵交換処理を行う鍵交換代理装置であって,前記端末装置にアクセスされ,前記端末装置または前記通信相手端末装置からのメッセージを転送するサービス制御装置からのメッセージを受信するメッセージ受信部と,前記メッセージ受信部により受信されたメッセージが鍵交換メッセージである場合に,前記通信相手端末装置との間で前記鍵交換メッセージを交換して鍵を決定するプロトコル制御部と,前記プロトコル制御部により決定された前記鍵を,前記鍵を含むメッセージとして前記サービス制御装置宛てに送信するメッセージ送信部と,を備えている。
【0022】
本発明による端末装置は,通信ネットワークのサービス制御装置にアクセスして,通信相手端末装置と暗号通信を行う端末装置であって,暗号化が必要な通信の条件を規定した第1のデータおよび暗号化に使用される鍵を含む第2のデータを保持し,前記第1のデータに基づいて通信相手端末装置との通信に暗号化が必要かどうかを判断し,暗号化に必要な鍵が前記第2のデータに存在するかどうかを判断する暗号処理管理部と,前記暗号処理管理部により暗号化が必要であると判断され,かつ,暗号化に必要な鍵が存在しないと判断された場合に,鍵交換メッセージを前記サービス制御装置を介して前記通信相手端末宛てに送信するメッセージ送信部と,前記通信ネットワークの鍵交換代理装置と前記通信相手端末装置との間で決定された鍵を含むメッセージを前記サービス制御装置から受信するメッセージ受信部と,を備えている。
【0023】
【発明の実施の形態】
図1は,本発明の実施の形態による鍵交換代理ネットワークシステムの構成を示すブロック図である。この鍵交換代理ネットワークシステムは,サービス制御装置1,鍵交換代理サーバ2,認証サーバ3,ルータ4,加入者端末5,および通信相手端末6を有する。
【0024】
サービス制御装置1,鍵交換代理サーバ2,認証サーバ3,およびルータ4は,コアネットワーク(たとえばインターネット)7に接続され,相互に通信可能になっている。
【0025】
サービス制御装置1は,たとえばコアネットワーク7のエッジルータ(エッジノード)であり,モバイルIPやモバイルIPv6では,携帯端末(たとえば加入者端末5)と無線通信を行うノードである。
【0026】
サービス制御装置1は,鍵交換代理サーバ2のIPアドレスをあらかじめ知っているとともに,加入者端末5が位置登録を行った際に認証サーバ3から与えられるサービスプロファイル(後述)を保持する。
【0027】
このサービスプロファイルにより,サービス制御装置1は,鍵交換処理に伴い転送すべきパケットと通常のルーティングを行うパケットとを区別し,鍵交換処理に伴い転送すべきパケット(後述する鍵交換メッセージ,鍵を含むメッセージ等)を鍵交換代理サーバ2または加入者端末5に転送する。
【0028】
加入者端末5は,たとえば携帯端末(携帯電話,PDA等)であり,無線回線を介してサービス制御装置1に接続される。したがって,加入者端末5から送信されるパケットおよび加入端末5宛てに送信されるパケットはサービス制御装置1を経由するようになっている。また,加入者端末5は,本実施の形態では,装置の小型・軽量化や低消費電力化のため,鍵交換サーバ(IKEサーバ,鍵交換プログラム)を搭載していない。
【0029】
通信相手端末6は,ルータ4に接続され,本実施の形態では,コアネットワーク7を介して加入者端末5と通信を行う端末である。この通信相手端末6は,たとえばコンピュータ,サーバ(たとえば電子商取引サーバ)等であり,鍵交換サーバ(IKEサーバ,鍵交換プログラム)を搭載している。
【0030】
鍵交換代理サーバ2は,加入者端末5が鍵交換サーバを搭載していないことから,加入者端末5に代わり,IPSec/IKE(IP Security / Internet KeyExchange)に基づいて通信相手端末6との間で鍵交換処理を実行し,この処理により決定された暗号鍵(共通鍵,秘密鍵等)を加入者端末5に与える。
【0031】
認証サーバ3は,本実施の形態では,サービス管理サーバを兼ねており,加入者端末5等の認証データに加えて,後に詳述するサービスプロファイル(原本)を保持する。そして,認証サーバ3は,加入者端末5のネットワーク接続の際の認証を契機としてサービスプロファイル(コピー)をサービス制御装置1に送信する。
【0032】
なお,サービスプロファイルは,認証サーバ3に連携した図示しないデータベースに格納されてもよい。また,認証サーバ3とサービス管理サーバとは,個別に設けられてもよい。両サーバが個別に設けられる場合には,サービスプロファイルは,サービス管理サーバからサービス制御装置1に転送されることとなる。
【0033】
図1では,理解を容易にするために1つのサービス制御装置1を示しているが,コアネットワーク7には複数のサービス制御装置が存在し,加入者端末5は,その移動に伴って,一般に,最寄りのサービス制御装置と無線接続を確立する。鍵交換代理サーバもコアネットワーク7に複数存在してもよい。サービス制御装置および鍵交換代理サーバが複数存在する場合には,各サービス制御装置は,自己の最寄りの鍵交換代理サーバのIPアドレスを知り,最寄りの鍵交換代理サーバに加入者端末5の鍵交換処理を代理させることとなる。
【0034】
図2は,サービス制御装置1の構成を示すブロック図である。サービス制御装置1は,メッセージ送受信部11,プロトコル制御部12,およびサービス管理部13を有する。
【0035】
メッセージ送受信部11は,コアネットワーク7に接続され,コアネットワーク7を介して加入者端末5,鍵交換代理サーバ2,認証サーバ3,ルータ4等からのパケット(以下「メッセージ」ともいう。)を受信し,これらの端末,サーバ,ルータ等にメッセージを送信する。
【0036】
プロトコル制御部12は,メッセージ送受信部11が受信したメッセージを受け取り,メッセージを解析する。そして,プロトコル制御部12は,メッセージの解析によりメッセージを転送するかどうか,および,転送する場合の転送先を決定するとともに,必要に応じてメッセージのカプセル化等を行う。
【0037】
このメッセージを転送するかどうかを判断するために,プロトコル制御部12は,認証サーバ3から与えられたサービスプロファイルを保持する。図3は,サービスプロファイルの一例を示している。
【0038】
サービスプロファイルは,ネットワーク運用者と加入者との契約に基づいて作成されるファイルであり,加入者端末(加入者)ごとに設けられる。各加入者のサービスプロファイルは,加入者識別情報および1または2以上のIPSec適用条件を有する。
【0039】
加入者識別情報は,加入者(加入者端末)を識別するための情報であり,たとえば電話番号,NAI(Network Access ID),認証データベースのエントリ番号等のデータ項目を有する。
【0040】
IPSec適用条件は,(1)通信相手端末6から加入者端末5宛てに送信されるメッセージのうち,鍵交換代理サーバ2に転送するメッセージの条件,(2)加入者端末5から通信相手端末6宛てに送信されたメッセージのうち,鍵交換代理サーバ2に転送するメッセージの条件,または,(3)サービス制御装置1宛てに送信されたメッセージのうち,加入者端末5もしくは通信相手端末6に転送するメッセージの条件を規定したデータである。
【0041】
このIPSec適用条件は,IPアドレスおよびポート番号を有する。「IPアドレス」は,上記(1)〜(3)の転送すべきメッセージが有する宛先IPアドレスまたは送信元IPアドレスを示す。「ポート番号」は,TCPやUDPにおけるアプリケーションを指定する番号であり,たとえば後述する鍵交換メッセージ(IKEメッセージ)には,ポート番号として500番が使用される
サービス制御装置1は,受信したメッセージの宛先IPアドレスまたは送信元IPアドレスとIPSec適用条件のIPアドレスとが一致するかどうか,および,受信したメッセージのポート番号がIPSec適用条件のポート番号とが一致するかどうかを判断し,一致する場合にはそのメッセージの内容に応じて,そのメッセージを鍵交換代理サーバ2,加入者端末5,または通信相手端末6に転送する。
【0042】
転送されるメッセージは,本実施の形態では,後述するように,(1)加入者端末5から通信相手端末6宛てに送信される鍵交換メッセージ(鍵交換代理要求メッセージ)(転送先:鍵交換代理サーバ2),(2)通信相手端末6から加入者端末5宛てに送信される鍵交換メッセージ(転送先:鍵交換代理サーバ2),(3)鍵交換代理サーバ2からサービス制御装置1宛てに送信された鍵交換メッセージ(転送先:通信相手端末6),(4)鍵交換代理サーバ2からサービス制御装置1宛てに送信された鍵情報(SAデータ)を含むメッセージ(転送先:加入者端末5)である。
【0043】
なお,IPSec適用条件の「IPアドレス」は,たとえば加入者端末5と通信する通信相手端末(通信相手端末6等)の双方のIPアドレスの組を示す場合もある。
【0044】
サービスプロファイルは,加入者端末5が位置登録をし,認証サーバ3によって認証された時に,認証サーバ(すなわちサービス管理サーバ)3からサービス制御装置1に送信され,保持される。したがって,加入者端末5が移動し,アクセスするサービス制御装置1が変化すると,アクセスされるサービス制御装置1に認証サーバ3からサービスプロファイルが送信されることとなる。
【0045】
図2に戻って,サービス管理部13は,プロトコル管理部12のメッセージの解析結果を受け取り,メッセージに対して行った処理等のサービスの管理する。
【0046】
図4は,加入者端末5の構成を示すブロック図である。加入者端末5は,アプリケーション処理部51,メッセージ送受信部52,暗号化/復号化部53,プロトコル制御部54,および暗号処理管理部55を有する。
【0047】
アプリケーション処理部51は,たとえばブラウザ,メーラ等のアプリケーションプログラムを実行し,ユーザとのインタフェース処理を実行する。そして,アプリケーション処理部51は,ユーザの入力に基づいて,メッセージ送受信部52にメッセージ送信要求を与えるとともに,メッセージ送受信部52により受信されたメッセージに含まれるデータを表示装置等に出力,表示等する。
【0048】
メッセージ送受信部52は,コアネットワーク7に接続され,コアネットワーク7を介してサービス制御装置1からのメッセージを受信し,サービス制御装置1にメッセージを送信する。
【0049】
暗号化/復号化部53は,送信メッセージの暗号化および受信メッセージの復号化を行う。プロトコル制御部54は,通信相手端末6との通信に必要な鍵が存在しない場合には,鍵交換メッセージ(鍵交換代理要求メッセージ)を生成し,また,セキュリティアソシエーション(SA:Security Association)データを含むメッセージ(鍵メッセージ)を鍵交換代理サーバ2から受信した場合には,受信メッセージからSAデータを抽出する。
【0050】
暗号処理管理部55は,セキュリティポリシーデータベース(SPD:Security Policy Database)およびセキュリティアソシエーションデータベース(SAD:Security Association Database)を保持し,これらのデータに基づいて通信相手端末6との通信に暗号化が必要かどうかや鍵の有無を判断する。
【0051】
図5(A)は,加入者端末5の暗号処理管理部55に保持されるSPDを示し,同図(B)は加入者端末5の暗号処理管理部55に保持されるSADを示している。
【0052】
SPDは,加入者端末5にIPSecによる暗号化通信を適用するための1または2以上のIPSec適用条件を含んでいる。各IPSec適用条件は,その内容として,前述したサービスプロファイル(図3参照)と同様に,IPアドレスおよびポート番号を有する。「IPアドレス」は,暗号化通信が必要とされる通信相手端末のIPアドレスであり,「ポート番号」は,暗号化通信が必要されるポート番号(TCPやUDPにおけるアプリケーションを指定する番号)である。
【0053】
加入者端末5がこれらIPアドレスおよびポート番号と一致するパケットを送信する場合に,その送信パケットにはIPSec/IKEによる暗号化通信が適用される。
【0054】
SADは,1または2以上のセキュリティアソシエーションデータ(SAデータ)からなる。各SAデータは,適用条件および内容を有する。「適用条件」は,SPDの適用条件と同様のIPアドレスおよびポート番号を有する。「内容」は,暗号化通信に使用される暗号化方法(暗号化プロトコル,たとえばDES等),暗号化に使用される鍵(暗号鍵),およびSPI(Security Parameter Index)のデータ項目を含んでいる。「SPI」は暗号化されたメッセージに付与され,受信側は,このSPIにより暗号プロトコルおよび鍵を特定し,受信したメッセージを復号化する。
【0055】
加入者端末5の暗号処理管理部55は,SPDのIPアドレスおよびポート番号とそれぞれ一致するIPアドレスおよびポート番号を有するSAデータがSADに存在するかどうかを判断し,存在する場合には,その暗号化プロトコルおよび鍵を使用してメッセージを暗号化して送信し,存在しない場合には,存在しない旨をプロトコル制御部54に通知する。
【0056】
図6は,鍵交換代理サーバ2の構成を示すブロック図である。鍵交換代理サーバ2は,メッセージ送受信部21,プロトコル制御部22,および鍵生成部23を有する。
【0057】
メッセージ送受信部21は,コアネットワーク7に接続され,コアネットワーク7を介してサービス制御装置1からのメッセージを受信し,サービス制御装置1にメッセージを送信する。
【0058】
プロトコル制御部22は,メッセージ送受信部21により受信されたメッセージの解析,通信相手端末6と鍵交換処理(鍵交換プロセス)を実行し,決定された鍵をメッセージ送受信部21に与える。
【0059】
鍵生成部23は,プロトコル制御部22により実行される鍵交換プロセスにおいて,プロトコル制御部22の要求に応じて鍵を生成する。この鍵の生成において,たとえばべき乗計算が行われる。
【0060】
次に,この鍵交換代理ネットワークシステムにおける鍵交換代理処理の流れを説明する。
【0061】
図7は,加入者端末5による鍵交換メッセージ(鍵交換代理要求メッセージ)の送信から,加入者端末5と通信相手端末6との間で暗号化通信が行われるまでの全体のメッセージの流れを示している。図8は,加入者端末5の詳細な処理の流れを示すシーケンス図である。図9は,サービス制御装置1の詳細な処理の流れを示すシーケンス図である。図10は,図9のステップS12の詳細な処理の流れを示すフローチャートである。図11は,鍵交換代理サーバ2の詳細な処理の流れを示すシーケンス図である。
【0062】
まず,図8を参照して,加入者端末5のメッセージ送受信部52は,アプリケーション処理部51(図8には図示略)から与えられた通信相手端末6宛てのパケット送信要求(メッセージ送信要求)により,パケット送信を検出する(S1)。メッセージ送受信部52は,パケット送信を検出すると,パケットの暗号化の必要の有無および鍵(暗号鍵)の有無を暗号処理管理部55に問い合わせる。
【0063】
暗号処理管理部55は,メッセージ送受信部52の問合せにより,送信パケットのIPアドレス(宛先アドレス)およびポート番号とそれぞれ一致するIPアドレスおよびポート番号を有するIPSec適用条件がSPDに存在するかどうかを判断する。一致するIPSec適用条件が存在する場合には,暗号処理管理部55は,送信パケットの暗号化が必要であると判断し,続いて,IPアドレスおよびポート番号とそれぞれ一致するSAデータがSADに存在するかどうかを判断する。一方,一致するIPSec適用条件が存在しない場合には,暗号処理管理部55は上記処理を実行せず,送信パケットは通常のIPプロトコルに従って宛先アドレスが示す通信相手端末6に送信される。
【0064】
暗号化が必要であると判断された場合において,一致するSAデータがSADに存在しないときは,暗号処理管理部55は,鍵が存在しないことをプロトコル制御部54に通知する。この通知により,プロトコル制御部54は,鍵交換メッセージ(鍵交換代理要求メッセージ)を作成し,メッセージ送受信部52に与える。
【0065】
メッセージ送受信部52は,与えられた鍵交換メッセージをサービス制御装置1(メッセージの宛先は通信相手端末6)に送信する。この鍵交換メッセージの送信は,図7において符号(1)の破線の矢印で示される。
【0066】
なお,暗号化が必要であると判断された場合において,一致するSAデータがSADに存在するときの処理については,後の図15に従って説明する。
【0067】
図12(A)は,加入者端末5からサービス制御装置1に送信される鍵交換メッセージ(鍵交換代理要求メッセージ)の構成を示している。この鍵交換メッセージは,IPヘッダ(ヘッダ部)およびデータ部を有する。
【0068】
IPヘッダには,送信元アドレスSAとして加入者端末5のIPアドレスが,宛先アドレスDAとして通信相手端末6のIPアドレスが,それぞれ含まれる。すなわち,加入者端末5は,あくまで通信相手端末6と通信を行うものと認識している。
【0069】
データ部には,UDPヘッダおよびIKEヘッダが含まれ,UDPヘッダには,IPSec/IKEにおける鍵交換メッセージで通常使用されるUDP(UserDatagram Protocol)の500番のポート番号が設定される。IKEヘッダにはクッキー(Cookie)が含まれ,このクッキーには特殊な値(タイプ値)が設定される。特殊な値として,たとえば上位および下位の8バイトとも100が設定される。通常のメッセージでは,上位8バイトを送信者が決定し,下位8バイトを応答者が決定するために,この特殊な値を鍵交換代理サーバ2に予約しておくことにより,メッセージの識別が可能となる。なお,UDPの値には,500番以外の値を使用することもできる。
【0070】
続いて,図9を参照して,サービス制御装置1のメッセージ送受信部11は,加入者端末5から鍵交換メッセージを受信すると,受信したメッセージをプロトコル制御部12に与える。
【0071】
プロトコル制御部12は,メッセージ送受信部11からメッセージを受け取ると,サービスプロファイル(図3参照)に基づいてメッセージ解析処理を実行する(S12)。
【0072】
このメッセージ解析処理において,プロトコル制御部12は,図10に示すように,まず受信パケット(メッセージ)が加入者端末5から送信された鍵交換メッセージかどうかを判断する(S21)。この判断は,受信パケットの送信元アドレスSA(すなわち加入者端末5のIPアドレス)と鍵交換メッセージに含まれるポート番号(すなわちUDPの500番)とが,サービスプロファイルのIPSec適用条件に存在するかどうかと,受信パケットの内容に基づいて行われる。
【0073】
プロトコル制御部12は,送信元アドレスおよびポート番号がサービスプロファイルのIPSec適用条件に存在する場合には(S21でY),受信パケットの内容に基づいて,その受信メッセージが鍵交換代理要求メッセージ,鍵交換メッセージ(IKEメッセージ),または加入者端末5宛ての鍵情報(SAデータ)を含むメッセージ(鍵転送メッセージ)のいずれであるかを判断する。
【0074】
たとえば,受信パケットにUDPヘッダやIKEヘッダが含まれている場合には,その受信パケットが鍵交換代理要求メッセージまたは鍵交換メッセージであると判断できる。鍵転送メッセージには,SAデータ等が含まれていることから,受信パケットが鍵転送メッセージであると判断できる。
【0075】
そして,受信パケットが鍵交換代理要求メッセージである場合には(S21でY),プロトコル制御部12は,メッセージ送受信部11を介して,受信パケット(すなわち鍵交換代理要求メッセージ)を鍵交換代理サーバ2に転送する(S26,図9のS13)。
【0076】
受信パケットが鍵交換メッセージである場合には(S22でY),プロトコル制御部12は,メッセージ送受信部11を介して,受信パケット(すなわち鍵交換メッセージ)を,その受信パケットの送信元アドレスまたは宛先アドレスに基づいて,鍵交換代理サーバ2または通信相手端末6に転送する(S26,図9のS13)。たとえば,受信パケットの送信元アドレスが通信相手端末6の場合には,受信パケットは鍵交換代理サーバ2に転送される。受信パケットの送信元アドレスが鍵交換代理サーバ2の場合には,受信パケットは通信相手端末6に転送される。
【0077】
受信パケットが加入者宛ての鍵情報(SA)を含むメッセージである場合には(S23でY),プロトコル制御部12は,メッセージ送受信部11を介して,受信パケットを加入者端末5に転送する(S25,図9のS13)。
【0078】
受信パケットが鍵交換代理要求メッセージ,鍵交換メッセージ,および加入者宛ての鍵情報を含むメッセージのいずれでもない場合には(S21〜S23でN),プロトコル制御部12は通常のルーティングにしたがって受信パケットをルータ,端末等に転送する(S24,図9のS13)。
【0079】
このようにして,加入者端末5からサービス制御装置1に送信された鍵交換代理要求メッセージは,サービス制御装置1から鍵交換代理サーバ2に転送される。
【0080】
図12(B)は,サービス制御装置1から鍵交換代理サーバ2に転送される鍵交換代理要求メッセージの構成を示している。サービス制御装置1のプロトコル制御部12またはメッセージ送受信部11は,加入者端末5から送信された鍵交換代理要求メッセージをカプセル化し,新たなIPパケットのデータ部に組み込む。そして,この新たなIPパケットのIPヘッダには,送信元アドレスとしてサービス制御装置1のIPアドレスが書き込まれ,宛先アドレスとして鍵交換代理サーバ2のIPアドレスが書き込まれる。
【0081】
続いて,図11を参照して,鍵交換代理サーバ2のメッセージ送受信部21は,サービス制御装置1から,図12(B)に示す鍵交換代理要求メッセージを受信すると(S31),受信メッセージをプロトコル制御部22に与える。
【0082】
プロトコル制御部22は,受信メッセージを解析し(S32),受信メッセージが鍵交換代理要求メッセージであると判断すると,データ部にカプセル化された鍵交換代理要求メッセージの宛先アドレスDA(図12(B)参照)に基づいて通信相手(ここでは通信相手端末6)を特定する。そして,プロトコル制御部22は,特定した通信相手である通信相手端末6との間でIPSec/IKEに基づく鍵交換プロセスを実行する(S32)。この鍵交換プロセスにおいて,プロトコル制御部22は,必要に応じて鍵生成部23に鍵の生成を依頼し,この依頼に応じて,鍵生成部23は鍵を生成する。
【0083】
プロトコル制御部22は,鍵交換プロセスにおいて,通信相手端末6に送信する鍵交換メッセージ(IKEメッセージ)を作成する(S34)。図13(D)は,鍵交換代理サーバ2のプロトコル制御部22により作成される鍵交換メッセージの構成を示している。
【0084】
鍵交換代理サーバ2は,加入者端末5の鍵交換処理を代理するものであるので,鍵交換代理サーバ2が作成する鍵交換メッセージのデータ部には,加入者端末5と通信相手端末6との間で交換される鍵交換メッセージ(IKEメッセージ)がカプセル化される。すなわち,データ部に含まれる鍵交換メッセージの送信元アドレスSAは加入者端末5のIPアドレスとなり,宛先アドレスDAは通信相手端末6のIPアドレスとなる。また,IPヘッダには,送信元アドレスSAとして鍵交換代理サーバ2のIPアドレスと,宛先アドレスDAとしてサービス制御装置1のIPアドレスが含まれる。なお,図13(D)に示す鍵交換メッセージのデータ部にカプセル化された鍵交換メッセージは,図12(A)に示す鍵交換メッセージ(鍵交換代理要求メッセージ)と同じ構造を有する。
【0085】
図11に戻って,図13(D)に示す鍵交換メッセージは,プロトコル制御部22からメッセージ送受信部21に与えられ,メッセージ送受信部21からサービス制御装置1に送信される(S35)。
【0086】
図9および図10を再び参照して,鍵交換代理サーバ2からサービス制御装置1に送信された鍵交換メッセージ(図13(D)参照)は,サービス制御装置1による前述した図10のステップS22およびS26の処理にしたがって通信相手端末6に転送される。この際,鍵交換代理サーバ2からサービス制御装置1に送信された鍵交換メッセージは,カプセル化が解除され,データ部にカプセル化された鍵交換メッセージが取り出される。図13(A)は,データ部から取り出されたメッセージの構成を示している。
【0087】
この取り出されたメッセージは,その宛先アドレスDA(すなわち通信相手端末6のIPアドレス)に基づいて,サービス制御装置1から通信相手端末6に送信される。
【0088】
通信相手端末6は,図13(A)に示す鍵交換メッセージを受信すると,鍵交換代理サーバ2と同様にIPSec/IKEによる鍵交換プロセスを実行する。ここで,通信相手端末6が受信する鍵交換メッセージは図13(A)に示すものであるので,通信相手端末6は,鍵交換代理サーバ2ではなく,加入者端末5から鍵交換メッセージを受信したものと認識し,加入者端末5と鍵交換を行っていると判断する。
【0089】
したがって,鍵交換プロセスにおいて通信相手端末6が送信する鍵交換メッセージは,図13(B)に示すように,送信元アドレスSAとして通信相手端末6のIPアドレスを有し,宛先アドレスDAとして加入者端末5のIPアドレスを有するメッセージとなる。
【0090】
加入者端末5は,前述したように,サービス制御装置1と無線接続しているので,加入者端末5宛てに送信されるメッセージは,すべてサービス制御装置1を通過する。したがって,通信相手端末6から加入者端末5宛てに送信された鍵交換メッセージ(図13(B)参照)は,サービス制御装置1に受信される。
【0091】
サービス制御装置1は,前述した図10に示すステップS22およびS26の処理により,通信相手端末6から加入者端末5宛てに送信された鍵交換メッセージを鍵交換代理サーバ2に転送する。この際,この鍵交換メッセージは,図13(C)に示すようにカプセル化される。すなわち,通信相手端末6から送信された鍵交換メッセージがデータ部にカプセル化され,IPヘッダの送信元アドレスSAはサービス制御装置1のIPアドレスとされ,宛先アドレスDAは鍵交換代理サーバ2のIPアドレスとされる。
【0092】
図11に戻って,この図13(C)に示す鍵交換メッセージは,鍵交換代理サーバ2に受信され(S31),メッセージ解析された後(S32),鍵交換プロセスに従って処理される(S33)。
【0093】
このような処理が行われ,鍵交換代理サーバ2と通信相手端末6との間で鍵(暗号鍵)が決定される。このような鍵交換代理サーバ2と通信相手端末6との間における鍵交換メッセージの送受信は,図7の符号(2)の矢印で示される。
【0094】
鍵が決定されると,鍵交換代理サーバ2のプロトコル制御部22は,決定された鍵を鍵転送メッセージによりサービス制御装置1に送信する(S34,S35)。図14(A)は,鍵交換代理サーバ2からサービス制御装置1に送信される鍵転送メッセージの構成を示している。
【0095】
この鍵転送メッセージのIPヘッダには,送信元アドレスとして鍵交換代理サーバ2のIPアドレスが含まれ,宛先アドレスとしてサービス制御装置1のIPアドレスが含まれている。データ部には,鍵情報(SAデータ)を含む鍵メッセージがカプセル化されている。
【0096】
鍵の交換は,鍵交換代理サーバ2が加入者端末5に代理して行っているものの,加入者端末5と通信相手端末6との間で行われたことになっている。したがって,カプセル化された鍵メッセージのIPヘッダには,送信元アドレスSAとして通信相手端末6のIPアドレスが含まれ,宛先アドレスDAとして加入者端末5のIPアドレスが含まれる。
【0097】
鍵メッセージのデータ部には,鍵情報(すなわち図5(B)に示すSAデータ)が含まれている。
【0098】
鍵転送メッセージが鍵交換代理サーバ2からサービス制御装置1に送信されると,サービス制御装置1は,前述した図10のステップS23およびS25の処理により,鍵転送メッセージを加入者端末5に送信する。図14(B)は,サービス制御装置1から加入者端末5に送信される鍵転送メッセージの構成を示している。
【0099】
この鍵転送メッセージは,前述した図14(A)に示すものとほぼ同じであるが,IPヘッダの送信元アドレスSAおよび宛先アドレスDAが異なる。送信元アドレスSAはサービス制御装置1のIPアドレスとされ,宛先アドレスDAは加入者端末5のIPアドレスとされる。
【0100】
鍵交換代理サーバ2からサービス制御装置1を介して加入者端末5に送信される鍵転送メッセージの流れは,図7の符号(3)の矢印により示される。
【0101】
図8に戻って,加入者端末5のメッセージ送受信部52は,サービス制御装置1から鍵転送メッセージを受信すると(S5),カプセル化を解除して,データ部に含まれる鍵メッセージをプロトコル制御部54に与える。
【0102】
プロトコル制御部54は,鍵メッセージに含まれる鍵情報(SAデータ)を抽出し,SAデータを暗号処理管理部55に与える(S6)。暗号処理管理部55は,プロトコル制御部54から受け取ったSAデータをSADに追加する(S7)。
【0103】
以後,加入者端末5は,このSAデータに含まれる鍵および暗号化プロトコルに従ってデータを暗号化し,暗号化されたデータを通信相手端末6に送信する。図15は,鍵が決定された後の加入者端末5のパケットの送受信処理の流れを示すシーケンス図である。
【0104】
加入者端末5のアプリケーション処理部51が通信相手端末6宛てのパケット送信要求をメッセージ送受信部52に与えると,メッセージ送受信部52は,パケット送信を検出し(S41),パケットの暗号化の必要の有無および鍵の有無を暗号処理管理部55に問い合わせる。暗号処理管理部55は,SPDおよびSAD(図5(A)および(B)参照)により暗号化の必要の有無および鍵の有無を判断する(S42)。これらの処理は,前述した図8のステップS1およびS2の処理と同じである。
【0105】
ここでは,暗号化が必要であり,かつ,鍵が存在するものとする。この場合に,暗号処理管理部55は,SPDのIPアドレスおよびポート番号にそれぞれ一致するIPアドレスおよびポート番号を有するSAデータを選択し(S43),選択したSAデータに基づく暗号化処理を暗号化/復号化部53に指示する。
【0106】
暗号化/復号化部53は,この指示により,選択されたSAデータの鍵および暗号化プロトコルを使用してパケットを暗号化する(S44)。また,暗号化/復号化部53は,選択されたSAデータに含まれるSPIを暗号化されたパケットの所定のフィールドに書き込む。
【0107】
この暗号化されたパケットは,メッセージ送受信部52に与えられ,メッセージ送受信部52からサービス制御装置1に送信される(S45)。サービス制御装置1は,このパケットを図10のステップS24の通常ルーティング処理により転送する。これにより,このパケットは,サービス制御装置1からルータ4を介して通信相手端末6に送信される。このパケットの送信は,図7の符号(4)の矢印により示される。
【0108】
通信相手端末6は,暗号化されたパケットを受信すると,パケットに含まれるSPIおよび保持するSADに基づいて,鍵および暗号化プロトコルを特定し,特定した鍵および暗号化プロトコルに基づいてパケットを復号化する。
【0109】
一方,通信相手端末6から加入者端末5に暗号化パケットが送信されると,この暗号化パケットは,ルータ4およびサービス制御装置1を介して加入者端末5のメッセージ送受信部52に受信される(S46)。このパケットの送信も,図7の符号(4)の矢印により示される。
【0110】
メッセージ送受信部52は,受信したパケットを暗号化/復号化部53に与える。暗号化/復号化部53は,パケットに含まれるSPIを暗号処理管理部55に与える。暗号処理管理部55は,暗号化/復号化部53から与えられたSPIと一致するSAデータをSADから検索および抽出し(S47),抽出したSAデータの鍵および暗号化プロトコル(復号化プロトコル)を暗号化/復号化部53に与える。
【0111】
暗号化/復号化部53は,暗号処理管理部55から与えられた鍵および暗号化プロトコルに従ってパケットを復号化する(S48)。
【0112】
このようにして,加入者端末5と通信相手端末6との間で,暗号化通信が行われる。
【0113】
次に,通信相手端末6から加入者端末5宛てに,IPSec/IKEに基づく鍵交換要求が送信された場合の処理について説明する。
【0114】
図16は,通信相手端末6による鍵交換メッセージの送信から,通信相手端末6と加入者端末5との間で暗号化通信が行われるまでの全体のメッセージの流れを示している。
【0115】
通信相手端末6においても,加入者端末5と同様にして,加入者端末5宛てのパケットの暗号化の必要の有無および鍵の有無がSPDおよびSADに基づいて判断される。そして,暗号化が必要と判断されたが,鍵(および暗号化プロトコル)を規定したSAデータが存在しない場合には,通信相手端末6は,前述した図13(B)に示す鍵交換メッセージを加入者端末5宛てに送信する。
【0116】
この鍵交換メッセージは,その宛先アドレスDAが加入者端末5のIPアドレスであるので,サービス制御装置1に受信される。サービス制御装置1は,図10のステップS22およびS26の処理に従って,鍵交換メッセージを図13(C)に示すようにカプセル化し,カプセル化後の鍵交換メッセージを鍵交換代理サーバ2に転送する。この鍵交換メッセージの流れが図16の符号(1)の矢印で示されている。
【0117】
その後,前述と同様にして,鍵交換代理サーバ2と通信相手端末6との間で,鍵交換プロセスに従って鍵交換メッセージが交換され,鍵が決定される。この鍵交換メッセージの交換は,図16の符号(2)の矢印で示されている。
【0118】
鍵交換代理サーバ2と通信相手端末6との間で鍵が決定されると,決定された鍵は,図14(A)に示す鍵転送メッセージとして鍵交換代理サーバ2からサービス制御装置1に送信され,さらに,図14(B)に示す鍵転送メッセージとしてサービス制御装置1から加入者端末5に送信される。この鍵転送メッセージの流れが図16の符号(3)の矢印で示されている。
【0119】
加入者端末5は,鍵転送メッセージを受信すると,前述したのと同様に,鍵転送メッセージに含まれるSAデータをSADに追加する。その後,加入者端末5は,通信相手端末6から送信されてきた暗号化パケットをSADに基づいて復号化し,また,通信相手端末6宛てに送信するパケットをSADに基づいて暗号化して送信する。この通信相手端末6と加入者端末5との間の暗号化パケットの送受信が図16の符号(4)の矢印で示されている。
【0120】
このように,本発明の実施の形態によると,IPSec/IKEに基づく鍵交換処理を,鍵交換代理サーバ2が加入者端末5に代わって通信相手端末6との間で実行する。したがって,加入者端末5がIPSec/IKEによる鍵交換処理を行う必要はないので,加入者端末5の処理が軽減される。また,加入者端末5は鍵交換処理のプログラム(鍵交換サーバ)を保持する必要はないので,加入者端末5のメモリ容量を小さくすることができ,その結果,装置の小型軽量化および装置コストの低減を図ることができる。さらに,鍵交換サーバの実行に伴う電力消費もないので,加入者端末5の省電力化に貢献する。
【0121】
また,本発明の実施の形態によると,サービス制御装置1が,鍵交換代理サーバ2の位置(IPアドレス)を知り,サービスプロファイルに基づいて鍵交換代理サーバ2へのメッセージ転送の必要の有無を判断する。したがって,加入者端末5および通信相手端末6は,ともに鍵交換代理サーバ2の位置を知る必要はなく,知らなくても鍵交換を行い,その後の暗号化通信を行うことができる。
【0122】
なお,通信相手端末6も,加入者端末5と同様に,鍵交換サーバを有しない携帯端末等の場合もある。この場合には,通信相手端末6がアクセスするルータ4がサービス制御装置となり,また,このサービス制御装置の最寄りの鍵交換代理サーバが通信相手端末6に代わって鍵交換処理を行う。そして,加入者端末5の鍵交換代理サーバ2と通信相手端末6の鍵交換代理サーバとの間で鍵交換処理が実行され,決定された鍵が,それぞれの鍵交換代理サーバから加入者端末5および通信相手端末6にそれぞれ送信される。
【0123】
また,このように,通信相手端末6について,鍵交換代理サーバが鍵交換を代行する場合に,この鍵交換代理サーバは,加入者端末5の鍵交換を代行する鍵交換代理サーバと同一のサーバであってもよい。同様にして,通信相手端末6のメッセージ転送を行うサービス制御装置も,サービス制御装置1と同一であってもよい。
【0124】
コアネットワーク7の運用者には,特定のアクセス手段を所有せず,大規模ネットワークの運用者からネットワーク(の一部)を借りて,利用者にサービスを提供するMNVO(Mobile Virtual Network Operator)も含まれる。
【0125】
(付記1) 暗号通信を行う第1および第2の端末装置の間で行われる鍵交換処理を代行する鍵交換代理ネットワークシステムであって,
前記第1の端末装置にアクセスされる第1のサービス制御装置および前記第1の端末装置の鍵交換処理を代行する第1の鍵交換代理装置を備え,
前記第1のサービス制御装置は,
前記第1もしくは第2の端末装置または前記第1の鍵交換代理装置からのメッセージを受信する第1のメッセージ受信部と,
前記第1のメッセージ受信部により受信されたメッセージが鍵交換メッセージまたは鍵を含むメッセージかどうかを判断するための第1のデータを保持し,該第1のデータに基づいて前記受信メッセージが前記鍵交換メッセージまたは前記鍵を含むメッセージかどうかを判断し,前記受信メッセージが前記第1または第2の端末装置からの鍵交換メッセージの場合には転送先を前記第1の鍵交換代理装置とし,前記受信メッセージが前記第1の鍵交換代理装置からの鍵交換メッセージの場合には転送先を前記第2の端末装置とし,前記受信メッセージが前記鍵を含むメッセージの場合には転送先を前記第1の端末装置として決定する第1のプロトコル制御部と,
前記第1のプロトコル制御部により決定された転送先に前記第1のメッセージ受信部により受信されたメッセージを送信する第1のメッセージ送信部と,
を備え,
前記第1の鍵交換代理装置は,
前記第1のサービス制御装置からのメッセージを受信する第2のメッセージ受信部と,
前記第2のメッセージ受信部により受信されたメッセージが前記鍵交換メッセージである場合に,前記第2の端末装置との間で前記鍵交換メッセージを交換して鍵を決定する第2のプロトコル制御部と,
前記第2のプロトコル制御部により決定された前記鍵を,前記鍵を含むメッセージとして前記第1のサービス制御装置宛てに送信する第2のメッセージ送信部と,
を備えている鍵交換代理ネットワークシステム。
【0126】
(付記2) 付記1において,
前記第2のプロトコル制御部は,前記第1の端末装置からの鍵交換メッセージの受信を契機として前記第2の端末装置との間で鍵を決定する,鍵交換ネットワークシステム。
【0127】
(付記3) 付記1において,
前記第2のプロトコル制御部は,前記第2の端末装置からの鍵交換メッセージの受信を契機として前記第2の端末装置との間で鍵を決定する,鍵交換ネットワークシステム。
【0128】
(付記4) 付記1から3のいずれか1つにおいて,
前記第2の端末装置にアクセスされる第2のサービス制御装置および前記第2の端末装置の鍵交換処理を代行する第2の鍵交換代理装置をさらに備え,
前記第2のサービス制御装置は,
前記第1もしくは第2の端末装置または前記第2の鍵交換代理装置からのメッセージを受信する第3のメッセージ受信部と,
前記第3のメッセージ受信部により受信されたメッセージが鍵交換メッセージまたは鍵を含むメッセージかどうかを判断するための第2のデータを保持し,該第2のデータに基づいて前記受信メッセージが前記鍵交換メッセージまたは前記鍵を含むメッセージかどうかを判断し,前記受信メッセージが前記第1または第2の端末装置からの鍵交換メッセージの場合には転送先を前記第2の鍵交換代理装置とし,前記受信メッセージが前記第2の鍵交換代理装置からの鍵交換メッセージの場合には転送先を前記第1の端末装置とし,前記受信メッセージが前記鍵を含むメッセージの場合には転送先を前記第2の端末装置として決定する第3のプロトコル制御部と,
前記第3のプロトコル制御部により決定された転送先に前記第3のメッセージ受信部により受信されたメッセージを送信する第3のメッセージ送信部と,
を備え,
前記第2の鍵交換代理装置は,
前記第2のサービス制御装置からのメッセージを受信する第4のメッセージ受信部と,
前記第4のメッセージ受信部により受信されたメッセージが前記鍵交換メッセージである場合に,前記第1の鍵交換代理装置との間で前記鍵交換メッセージを交換して鍵を決定する第4のプロトコル制御部と,
前記第4のプロトコル制御部により決定された前記鍵を,前記鍵を含むメッセージとして前記第2のサービス制御装置宛てに送信する第4のメッセージ送信部と,
を備えている鍵交換代理ネットワークシステム。
【0129】
(付記5) 付記4において,
前記第1および第2のサービス制御装置が同一の装置により構成される,鍵交換代理ネットワークシステム。
【0130】
(付記6) 付記4または5において,
前記第1および第2の鍵交換代理装置が同一の装置により構成される,鍵交換代理ネットワークシステム。
【0131】
(付記7) 端末装置によりアクセスされ,該端末装置,該端末装置の鍵交換処理を代行する鍵交換代理装置,または該端末装置と暗号通信を行う通信相手端末からのメッセージを転送するサービス制御装置であって,
前記端末装置,前記鍵交換代理装置,または前記通信相手端末装置からのメッセージを受信するメッセージ受信部と,
前記メッセージ受信部により受信されたメッセージが鍵交換メッセージまたは鍵を含むメッセージかどうかを判断するためのデータを保持し,該データに基づいて前記受信メッセージが前記鍵交換メッセージまたは前記鍵を含むメッセージかどうかを判断し,前記受信メッセージが前記端末装置または通信相手端末装置からの鍵交換メッセージの場合には転送先を前記鍵交換代理装置とし,前記受信メッセージが前記鍵交換代理装置からの鍵交換メッセージの場合には転送先を前記通信相手端末装置とし,前記受信メッセージが前記鍵を含むメッセージの場合には転送先を前記端末装置として決定するプロトコル制御部と,
前記プロトコル制御部により決定された転送先に前記受信メッセージを送信するメッセージ送信部と,
を備えているサービス制御装置。
【0132】
(付記8) 付記7において,
前記データは,端末装置ごとに設けられ,アドレスとアプリケーションを指定するポート番号とを含むサービスプロファイルであり,
前記プロトコル制御部は,前記メッセージ受信部により受信されたメッセージの宛先アドレスまたは送信元アドレスと前記サービスプロファイルのアドレス,および,前記受信メッセージに含まれるポート番号と前記サービスプロファイルのポート番号を比較することにより,前記受信メッセージが前記鍵交換メッセージまたは前記鍵を含むメッセージかどうかを判断する,
サービス制御装置。
【0133】
(付記9) 通信相手端末装置と暗号通信を行う端末装置に代わって前記通信相手端末との間で鍵交換処理を行う鍵交換代理装置であって,
前記端末装置にアクセスされ,前記端末装置または前記通信相手端末装置からのメッセージを転送するサービス制御装置からのメッセージを受信するメッセージ受信部と,
前記メッセージ受信部により受信されたメッセージが鍵交換メッセージである場合に,前記通信相手端末装置との間で前記鍵交換メッセージを交換して鍵を決定するプロトコル制御部と,
前記プロトコル制御部により決定された前記鍵を,前記鍵を含むメッセージとして前記サービス制御装置宛てに送信するメッセージ送信部と,
を備えている鍵交換代理装置。
【0134】
(付記10) 付記9において,
前記鍵を生成する鍵生成部をさらに備えている鍵交換代理装置。
【0135】
(付記11) 付記9または10において,
前記プロトコル制御部は,前記端末装置からの鍵交換メッセージの受信を契機として前記通信相手端末装置との間で鍵を決定する,鍵交換代理装置。
【0136】
(付記12) 付記9または10において,
前記プロトコル制御部は,前記通信相手端末装置からの鍵交換メッセージの受信を契機として前記通信相手端末装置との間で鍵を決定する,鍵交換代理装置。
【0137】
(付記13) 通信ネットワークのサービス制御装置にアクセスして,通信相手端末装置と暗号通信を行う端末装置であって,
暗号化が必要な通信の条件を規定した第1のデータおよび暗号化に使用される鍵を含む第2のデータを保持し,前記第1のデータに基づいて通信相手端末装置との通信に暗号化が必要かどうかを判断し,暗号化に必要な鍵が前記第2のデータに存在するかどうかを判断する暗号処理管理部と,
前記暗号処理管理部により暗号化が必要であると判断され,かつ,暗号化に必要な鍵が存在しないと判断された場合に,鍵交換メッセージを前記サービス制御装置を介して前記通信相手端末宛てに送信するメッセージ送信部と,
前記通信ネットワークの鍵交換代理装置と前記通信相手端末装置との間で決定された鍵を含むメッセージを前記サービス制御装置から受信するメッセージ受信部と,
を備えている端末装置。
【0138】
(付記14) 付記13において,
前記第1のデータは,暗号化通信が必要な通信相手端末のアドレスと,アプリケーションを指定するポート番号とを含み,
前記暗号処理管理部は,前記通信相手端末装置に送信するメッセージの宛先アドレスと前記第1のデータのアドレス,および,前記送信メッセージに含まれるポート番号と前記第1のデータのポート番号を比較することにより,前記通信相手端末との通信に暗号化が必要かどうかを判断する,
端末装置。
【0139】
(付記15) 付記13または14において,
前記第2のデータは,アドレスおよびポート番号,ならびに,暗号化プロトコルおよび暗号化に使用される鍵を含み,
前記暗号処理管理部は,前記第1のデータアドレスと前記第2のデータのアドレス,および,前記第1のデータのポート番号と前記第1のデータのポート番号を比較することにより,暗号化に必要な鍵が前記第2のデータに存在するかどうかを判断する
端末装置。
【0140】
(付記16) 暗号通信を行う第1および第2の端末装置の間で行われる鍵交換処理を前記第1の端末装置に代わって行う鍵交換代理装置および前記第1の端末装置にアクセスされるサービス制御装置を有する鍵交換代理ネットワークシステムで実行される鍵交換代理方法であって,
前記サービス制御装置において,前記第1または第2の端末装置から送信される鍵交換メッセージを前記鍵交換代理装置に転送し,
前記鍵交換代理装置において,前記第1の端末装置と前記第2の端末装置との間で交換される鍵交換メッセージを作成して前記サービス制御装置に送信し,
前記サービス制御装置において,前記鍵交換メッセージを前記第2の端末装置に転送し,
前記鍵交換代理装置において,前記鍵交換メッセージの交換により決定された鍵を含むメッセージを前記サービス制御装置に送信し,
前記サービス制御装置において,前記鍵交換代理装置から送信された前記鍵を含むメッセージを前記第1の端末装置に転送する,
鍵交換代理方法。
【0141】
(付記17) 暗号通信を行う第1および第2の端末装置の間で行われる鍵交換処理を代行する鍵交換代理ネットワークシステムであって,
前記第1の端末装置にアクセスされるサービス制御装置および前記第1の端末装置の鍵交換処理を代行する鍵交換代理装置を備え,
前記サービス制御装置は,受信メッセージの転送先を判断するためのサービスプロファイルに基づいて,前記第1の端末装置からの鍵交換代理要求メッセージまたは前記第2の端末装置からの鍵交換メッセージを前記鍵交換代理装置に転送し,前記鍵交換代理装置からの鍵交換メッセージを前記第2の端末装置に転送するとともに,前記鍵交換代理装置からの鍵を含むメッセージを前記第1の端末装置に転送し,
前記鍵交換代理装置は,前記鍵交換メッセージを前記第2の端末装置との間で前記サービス制御装置を介して交換して鍵を決定し,決定した鍵を含むメッセージを前記サービス制御装置を介して前記第1の端末装置に送信する,
鍵交換代理ネットワークシステム。
【0142】
【発明の効果】
本発明によると,端末装置は,鍵交換および鍵決定に必要な処理を行うことなく,暗号通信に必要な鍵を得ることができ,端末装置の負荷が軽減される。また,端末装置およびその通信相手端末装置のいずから鍵交換処理の要求があっても,ネットワークシステムの鍵交換代理装置(鍵交換代理サーバ)による鍵交換処理の代行が可能である。
【図面の簡単な説明】
【図1】本発明の実施の形態による鍵交換代理ネットワークシステムの構成を示すブロック図である。
【図2】サービス制御装置の構成を示すブロック図である。
【図3】サービスプロファイルの一例を示す。
【図4】加入者端末の構成を示すブロック図である。
【図5】(A)は,加入者端末の暗号処理管理部に保持されるSPDを示し,(B)は加入者端末の暗号処理管理部に保持されるSADを示している。
【図6】鍵交換代理サーバの構成を示すブロック図である。
【図7】加入者端末による鍵交換代理要求メッセージの送信から,加入者端末と通信相手端末との間で暗号化通信が行われるまでの全体のメッセージの流れを示す。
【図8】加入者端末の詳細な処理の流れを示すシーケンス図である。
【図9】サービス制御装置に詳細な処理の流れを示すシーケンス図である。
【図10】図9のステップS12の詳細な処理の流れを示すフローチャートである。
【図11】鍵交換代理サーバの詳細な処理の流れを示すシーケンス図である。
【図12】(A)は,加入者端末からサービス制御装置に送信される鍵交換代理要求メッセージの構成を示し,
【図13】(A)はサービス制御装置から通信相手端末に送信される鍵交換メッセージを,(B)は通信相手端末からサービス制御装置に送信される鍵交換メッセージを,(C)はサービス制御装置から鍵交換代理サーバに送信される鍵交換メッセージを,(D)は鍵交換代理サーバからサービス制御装置に送信される鍵交換メッセージを,それぞれ示す。
【図14】(A)は,鍵交換代理サーバからサービス制御装置に送信される鍵転送メッセージの構成を示し,(B)は,サービス制御装置から加入者端末に送信される鍵転送メッセージを示す。
【図15】鍵が決定された後の加入者端末5のパケットの送受信処理の流れを示すシーケンス図である。
【図16】通信相手端末による鍵交換メッセージの送信から,通信相手端末と加入者端末との間で暗号化通信が行われるまでの全体のメッセージの流れを示す。
【符号の説明】
1 サービス制御装置
2 鍵交換代理サーバ
3 認証サーバ
5 加入者端末
6 通信相手端末
7 コアネットワーク
11,21,52 メッセージ送受信部
12,22,54 プロトコル制御部
23 鍵生成部
53 暗号化/復号化部
55 暗号処理管理部

Claims (10)

  1. 暗号通信を行う第1および第2の端末装置の間で行われる鍵交換処理を代行する鍵交換代理ネットワークシステムであって,
    前記第1の端末装置にアクセスされる第1のサービス制御装置および前記第1の端末装置の鍵交換処理を代行する第1の鍵交換代理装置を備え,
    前記第1のサービス制御装置は,
    前記第1もしくは第2の端末装置または前記第1の鍵交換代理装置からのメッセージを受信する第1のメッセージ受信部と,
    前記第1のメッセージ受信部により受信されたメッセージが鍵交換メッセージまたは鍵を含むメッセージかどうかを判断するための第1のデータを保持し,該第1のデータに基づいて前記受信メッセージが前記鍵交換メッセージまたは前記鍵を含むメッセージかどうかを判断し,前記受信メッセージが前記第1または第2の端末装置からの鍵交換メッセージの場合には転送先を前記第1の鍵交換代理装置とし,前記受信メッセージが前記第1の鍵交換代理装置からの鍵交換メッセージの場合には転送先を前記第2の端末装置とし,前記受信メッセージが前記鍵を含むメッセージの場合には転送先を前記第1の端末装置として決定する第1のプロトコル制御部と,
    前記第1のプロトコル制御部により決定された転送先に前記第1のメッセージ受信部により受信されたメッセージを送信する第1のメッセージ送信部と,
    を備え,
    前記第1の鍵交換代理装置は,
    前記第1のサービス制御装置からのメッセージを受信する第2のメッセージ受信部と,
    前記第2のメッセージ受信部により受信されたメッセージが前記鍵交換メッセージである場合に,前記第2の端末装置との間で前記鍵交換メッセージを交換して鍵を決定する第2のプロトコル制御部と,
    前記第2のプロトコル制御部により決定された前記鍵を,前記鍵を含むメッセージとして前記第1のサービス制御装置宛てに送信する第2のメッセージ送信部と,
    を備えている鍵交換代理ネットワークシステム。
  2. 請求項1において,
    前記第2のプロトコル制御部は,前記第1の端末装置からの鍵交換メッセージの受信を契機として前記第2の端末装置との間で鍵を決定する,鍵交換ネットワークシステム。
  3. 請求項1において,
    前記第2のプロトコル制御部は,前記第2の端末装置からの鍵交換メッセージの受信を契機として前記第2の端末装置との間で鍵を決定する,鍵交換ネットワークシステム。
  4. 請求項1から3のいずれか1項において,
    前記第2の端末装置にアクセスされる第2のサービス制御装置および前記第2の端末装置の鍵交換処理を代行する第2の鍵交換代理装置をさらに備え,
    前記第2のサービス制御装置は,
    前記第1もしくは第2の端末装置または前記第2の鍵交換代理装置からのメッセージを受信する第3のメッセージ受信部と,
    前記第3のメッセージ受信部により受信されたメッセージが鍵交換メッセージまたは鍵を含むメッセージかどうかを判断するための第2のデータを保持し,該第2のデータに基づいて前記受信メッセージが前記鍵交換メッセージまたは前記鍵を含むメッセージかどうかを判断し,前記受信メッセージが前記第1または第2の端末装置からの鍵交換メッセージの場合には転送先を前記第2の鍵交換代理装置とし,前記受信メッセージが前記第2の鍵交換代理装置からの鍵交換メッセージの場合には転送先を前記第1の端末装置とし,前記受信メッセージが前記鍵を含むメッセージの場合には転送先を前記第2の端末装置として決定する第3のプロトコル制御部と,
    前記第3のプロトコル制御部により決定された転送先に前記第3のメッセージ受信部により受信されたメッセージを送信する第3のメッセージ送信部と,
    を備え,
    前記第2の鍵交換代理装置は,
    前記第2のサービス制御装置からのメッセージを受信する第4のメッセージ受信部と,
    前記第4のメッセージ受信部により受信されたメッセージが前記鍵交換メッセージである場合に,前記第1の鍵交換代理装置との間で前記鍵交換メッセージを交換して鍵を決定する第4のプロトコル制御部と,
    前記第4のプロトコル制御部により決定された前記鍵を,前記鍵を含むメッセージとして前記第2のサービス制御装置宛てに送信する第4のメッセージ送信部と,
    を備えている鍵交換代理ネットワークシステム。
  5. 請求項4において,
    前記第1および第2のサービス制御装置が同一の装置により構成される,鍵交換代理ネットワークシステム。
  6. 暗号通信を行う第1および第2の端末装置の間で行われる鍵交換処理を代行する鍵交換代理ネットワークシステムであって,
    前記第1の端末装置にアクセスされるサービス制御装置および前記第1の端末装置の鍵交換処理を代行する鍵交換代理装置を備え,
    前記サービス制御装置は,受信メッセージの転送先を判断するためのサービスプロファイルに基づいて,前記第1の端末装置からの鍵交換代理要求メッセージまたは前記第2の端末装置からの鍵交換メッセージを前記鍵交換代理装置に転送し,前記鍵交換代理装置からの鍵交換メッセージを前記第2の端末装置に転送するとともに,前記鍵交換代理装置からの鍵を含むメッセージを前記第1の端末装置に転送し,
    前記鍵交換代理装置は,前記鍵交換メッセージを前記第2の端末装置との間で前記サービス制御装置を介して交換して鍵を決定し,決定した鍵を含むメッセージを前記サービス制御装置を介して前記第1の端末装置に送信する,
    鍵交換代理ネットワークシステム。
  7. 端末装置によりアクセスされ,該端末装置,該端末装置の鍵交換処理を代行する鍵交換代理装置,または該端末装置と暗号通信を行う通信相手端末からのメッセージを転送するサービス制御装置であって,
    前記端末装置,前記鍵交換代理装置,または前記通信相手端末装置からのメッセージを受信するメッセージ受信部と,
    前記メッセージ受信部により受信されたメッセージが鍵交換メッセージまたは鍵を含むメッセージかどうかを判断するためのデータを保持し,該データに基づいて前記受信メッセージが前記鍵交換メッセージまたは前記鍵を含むメッセージかどうかを判断し,前記受信メッセージが前記端末装置または通信相手端末装置からの鍵交換メッセージの場合には転送先を前記鍵交換代理装置とし,前記受信メッセージが前記鍵交換代理装置からの鍵交換メッセージの場合には転送先を前記通信相手端末装置とし,前記受信メッセージが前記鍵を含むメッセージの場合には転送先を前記端末装置として決定するプロトコル制御部と,
    前記プロトコル制御部により決定された転送先に前記受信メッセージを送信するメッセージ送信部と,
    を備えているサービス制御装置。
  8. 通信相手端末装置と暗号通信を行う端末装置に代わって前記通信相手端末との間で鍵交換処理を行う鍵交換代理装置であって,
    前記端末装置にアクセスされ,前記端末装置または前記通信相手端末装置からのメッセージを転送するサービス制御装置からのメッセージを受信するメッセージ受信部と,
    前記メッセージ受信部により受信されたメッセージが鍵交換メッセージである場合に,前記通信相手端末装置との間で前記鍵交換メッセージを交換して鍵を決定するプロトコル制御部と,
    前記プロトコル制御部により決定された前記鍵を,前記鍵を含むメッセージとして前記サービス制御装置宛てに送信するメッセージ送信部と,
    を備えている鍵交換代理装置。
  9. 通信ネットワークのサービス制御装置にアクセスして,通信相手端末装置と暗号通信を行う端末装置であって,
    暗号化が必要な通信の条件を規定した第1のデータおよび暗号化に使用される鍵を含む第2のデータを保持し,前記第1のデータに基づいて通信相手端末装置との通信に暗号化が必要かどうかを判断し,暗号化に必要な鍵が前記第2のデータに存在するかどうかを判断する暗号処理管理部と,
    前記暗号処理管理部により暗号化が必要であると判断され,かつ,暗号化に必要な鍵が存在しないと判断された場合に,鍵交換メッセージを前記サービス制御装置を介して前記通信相手端末宛てに送信するメッセージ送信部と,
    前記通信ネットワークの鍵交換代理装置と前記通信相手端末装置との間で決定された鍵を含むメッセージを前記サービス制御装置から受信するメッセージ受信部と,
    を備えている端末装置。
  10. 暗号通信を行う第1および第2の端末装置の間で行われる鍵交換処理を前記第1の端末装置に代わって行う鍵交換代理装置および前記第1の端末装置にアクセスされるサービス制御装置を有する鍵交換代理ネットワークシステムで実行される鍵交換代理方法であって,
    前記サービス制御装置において,前記第1または第2の端末装置から送信される鍵交換メッセージを前記鍵交換代理装置に転送し,
    前記鍵交換代理装置において,前記第1の端末装置と前記第2の端末装置との間で交換される鍵交換メッセージを作成して前記サービス制御装置に送信し,
    前記サービス制御装置において,前記鍵交換メッセージを前記第2の端末装置に転送し,
    前記鍵交換代理装置において,前記鍵交換メッセージの交換により決定された鍵を含むメッセージを前記サービス制御装置に送信し,
    前記サービス制御装置において,前記鍵交換代理装置から送信された前記鍵を含むメッセージを前記第1の端末装置に転送する,
    鍵交換代理方法。
JP2002288476A 2002-10-01 2002-10-01 鍵交換代理ネットワークシステム Expired - Fee Related JP3992579B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2002288476A JP3992579B2 (ja) 2002-10-01 2002-10-01 鍵交換代理ネットワークシステム
US10/674,362 US7197643B2 (en) 2002-10-01 2003-09-30 Key exchange proxy network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002288476A JP3992579B2 (ja) 2002-10-01 2002-10-01 鍵交換代理ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2004128782A true JP2004128782A (ja) 2004-04-22
JP3992579B2 JP3992579B2 (ja) 2007-10-17

Family

ID=32025426

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002288476A Expired - Fee Related JP3992579B2 (ja) 2002-10-01 2002-10-01 鍵交換代理ネットワークシステム

Country Status (2)

Country Link
US (1) US7197643B2 (ja)
JP (1) JP3992579B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007093693A (ja) * 2005-09-27 2007-04-12 Yokogawa Electric Corp 暗号化通信方法および通信装置
WO2008146395A1 (ja) 2007-05-31 2008-12-04 Panasonic Corporation ネットワーク中継装置、通信端末及び暗号化通信方法
JP2013543310A (ja) * 2010-09-21 2013-11-28 アクティブアイデンティティ,インク. 共有秘密の確立および配布
KR101594897B1 (ko) * 2014-09-17 2016-02-29 덕성여자대학교 산학협력단 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템
JP2016129301A (ja) * 2015-01-09 2016-07-14 日本電信電話株式会社 鍵装置、鍵交換システム、およびプログラム
JP2018504645A (ja) * 2015-02-05 2018-02-15 華為技術有限公司Huawei Technologies Co.,Ltd. IPSecアクセラレーション方法、装置およびシステム

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7930412B2 (en) * 2003-09-30 2011-04-19 Bce Inc. System and method for secure access
US20050182937A1 (en) * 2004-02-12 2005-08-18 Harmeet Singh Bedi Method and system for sending secure messages over an unsecured network
JP4047303B2 (ja) * 2004-06-04 2008-02-13 キヤノン株式会社 提供装置、提供プログラム、及び、提供方法
US20090094671A1 (en) * 2004-08-13 2009-04-09 Sipera Systems, Inc. System, Method and Apparatus for Providing Security in an IP-Based End User Device
EP1836792A1 (en) * 2004-12-30 2007-09-26 BCE Inc. System and method for secure access
US8320880B2 (en) * 2005-07-20 2012-11-27 Qualcomm Incorporated Apparatus and methods for secure architectures in wireless networks
US20130339232A1 (en) 2005-10-06 2013-12-19 C-Sam, Inc. Widget framework for securing account information for a plurality of accounts in a wallet
EP2667344A3 (en) 2005-10-06 2014-08-27 C-Sam, Inc. Transactional services
US20070136587A1 (en) * 2005-12-08 2007-06-14 Freescale Semiconductor, Inc. Method for device authentication
US20070214502A1 (en) * 2006-03-08 2007-09-13 Mcalister Donald K Technique for processing data packets in a communication network
US7774837B2 (en) * 2006-06-14 2010-08-10 Cipheroptics, Inc. Securing network traffic by distributing policies in a hierarchy over secure tunnels
WO2008008863A2 (en) 2006-07-12 2008-01-17 Sipera Systems, Inc. System, method and apparatus for troubleshooting an ip network
WO2008008856A2 (en) * 2006-07-12 2008-01-17 Sipera Systems, Inc. System, method and apparatus for securely exchanging security keys and monitoring links in an ip communications network
US20080222693A1 (en) * 2006-08-08 2008-09-11 Cipheroptics, Inc. Multiple security groups with common keys on distributed networks
US8082574B2 (en) * 2006-08-11 2011-12-20 Certes Networks, Inc. Enforcing security groups in network of data processors
US7734052B2 (en) * 2006-09-07 2010-06-08 Motorola, Inc. Method and system for secure processing of authentication key material in an ad hoc wireless network
US7707415B2 (en) * 2006-09-07 2010-04-27 Motorola, Inc. Tunneling security association messages through a mesh network
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US20080072281A1 (en) * 2006-09-14 2008-03-20 Willis Ronald B Enterprise data protection management for providing secure communication in a network
US20080072033A1 (en) * 2006-09-19 2008-03-20 Mcalister Donald Re-encrypting policy enforcement point
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
US8607301B2 (en) * 2006-09-27 2013-12-10 Certes Networks, Inc. Deploying group VPNS and security groups over an end-to-end enterprise network
US8284943B2 (en) * 2006-09-27 2012-10-09 Certes Networks, Inc. IP encryption over resilient BGP/MPLS IP VPN
US8046820B2 (en) * 2006-09-29 2011-10-25 Certes Networks, Inc. Transporting keys between security protocols
US8104082B2 (en) * 2006-09-29 2012-01-24 Certes Networks, Inc. Virtual security interface
US20080137863A1 (en) * 2006-12-06 2008-06-12 Motorola, Inc. Method and system for using a key management facility to negotiate a security association via an internet key exchange on behalf of another device
US20080162922A1 (en) * 2006-12-27 2008-07-03 Swartz Troy A Fragmenting security encapsulated ethernet frames
US7864762B2 (en) * 2007-02-14 2011-01-04 Cipheroptics, Inc. Ethernet encryption over resilient virtual private LAN services
US20110150266A1 (en) * 2009-12-22 2011-06-23 Dirk Hohndel Automated security control using encoded security information
US8929543B2 (en) * 2010-03-17 2015-01-06 Telefonaktiebolaget L M Ericsson (Publ) Enhanced key management for SRNS relocation
US9350708B2 (en) * 2010-06-01 2016-05-24 Good Technology Corporation System and method for providing secured access to services
JP5494603B2 (ja) 2011-09-29 2014-05-21 沖電気工業株式会社 セキュリティ処理代行システム
JP5447544B2 (ja) 2012-01-27 2014-03-19 沖電気工業株式会社 委託パラメータ情報生成装置、共有鍵合成装置、署名情報合成装置、通信装置、鍵共有被計算委託装置、署名情報生成被計算委託装置、被計算委託装置、鍵共有システム、署名情報検証システム及び通信システム
FR2990817B1 (fr) * 2012-05-15 2014-06-06 Cassidian Sas Procede de distribution d’une clef numerique de chiffrement vers des terminaux de telecommunication
US9124563B2 (en) * 2013-08-19 2015-09-01 Gemalto Sa Method for asynchronously provisioning keys from one secure device to another
EP3127300B1 (en) * 2014-05-12 2019-09-04 Google LLC Managing nic-encrypted flows for migrating guests or tasks
US11641376B2 (en) * 2017-11-20 2023-05-02 Telefonaktiebolaget Lm Ericsson (Publ) Protection of traffic between network functions
US20220200910A1 (en) * 2020-12-22 2022-06-23 Pensando Systems Inc. Methods and systems for autonomous rule-based task coordination amongst edge devices

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001169341A (ja) 1999-09-29 2001-06-22 Fujitsu Ltd 移動通信サービス提供システム、移動通信サービス提供方法、認証装置、およびホームエージェント装置
JP2002158650A (ja) 2000-11-21 2002-05-31 Fujitsu Ltd 認証・暗号化処理代行用のサーバ、アクセスカード、プログラム記録媒体及び携帯端末

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007093693A (ja) * 2005-09-27 2007-04-12 Yokogawa Electric Corp 暗号化通信方法および通信装置
WO2008146395A1 (ja) 2007-05-31 2008-12-04 Panasonic Corporation ネットワーク中継装置、通信端末及び暗号化通信方法
JP2013543310A (ja) * 2010-09-21 2013-11-28 アクティブアイデンティティ,インク. 共有秘密の確立および配布
CN103444123A (zh) * 2010-09-21 2013-12-11 艾提威登公司 共享密钥建立和分布
KR101594897B1 (ko) * 2014-09-17 2016-02-29 덕성여자대학교 산학협력단 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템
JP2016129301A (ja) * 2015-01-09 2016-07-14 日本電信電話株式会社 鍵装置、鍵交換システム、およびプログラム
JP2018504645A (ja) * 2015-02-05 2018-02-15 華為技術有限公司Huawei Technologies Co.,Ltd. IPSecアクセラレーション方法、装置およびシステム
US11063812B2 (en) 2015-02-05 2021-07-13 Huawei Technologies Co., Ltd. Ipsec acceleration method, apparatus, and system
US11729042B2 (en) 2015-02-05 2023-08-15 Huawei Technologies Co., Ltd. IPSec acceleration method, apparatus, and system

Also Published As

Publication number Publication date
US20040062399A1 (en) 2004-04-01
JP3992579B2 (ja) 2007-10-17
US7197643B2 (en) 2007-03-27

Similar Documents

Publication Publication Date Title
JP3992579B2 (ja) 鍵交換代理ネットワークシステム
US7631181B2 (en) Communication apparatus and method, and program for applying security policy
JP4707992B2 (ja) 暗号化通信システム
JP3668047B2 (ja) 移動通信方法、移動計算機装置及び暗号化通信装置
EP1170927B1 (en) Security communication method, security communication system, and apparatus thereof
US6944181B2 (en) Mobile IP communication scheme for supporting mobile computer move over different address spaces
US7565533B2 (en) Systems and methods for providing object integrity and dynamic permission grants
JP3651721B2 (ja) 移動計算機装置、パケット処理装置及び通信制御方法
US9100370B2 (en) Strong SSL proxy authentication with forced SSL renegotiation against a target server
US7925693B2 (en) NAT access control with IPSec
US20040037260A1 (en) Virtual private network system
WO2005069535A1 (ja) 暗号化通信システム
CN110191052B (zh) 一种跨协议网络传输方法及系统
CN109040059B (zh) 受保护的tcp通信方法、通信装置及存储介质
KR100522600B1 (ko) 모바일 노드와의 접속을 제공하는 라우터 및 그 라우팅 방법
US7895648B1 (en) Reliably continuing a secure connection when the address of a machine at one end of the connection changes
CN110971701B (zh) 物联网通信方法及装置
WO2023116165A1 (zh) 网络负载均衡方法、装置、电子设备、介质和程序产品
Ventura Diameter: Next generations AAA protocol
JP3929969B2 (ja) 通信システム、サーバ、端末装置、通信方法、プログラムおよび記憶媒体
CN112470438A (zh) 用于发现中间功能和选择两个通信装置之间的路径的方法
Yoon et al. Robust mutual trust architecture for safety critical service in heterogeneous mobile network environment
RU2390959C2 (ru) Способ и устройство протокола идентификации хост-узла
Jørstad Personalised ubiquitous file access with XML Web Services
JP2003152805A (ja) 公衆アクセスシステムおよび装置、サーバ

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060808

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061010

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20061107

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070105

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070724

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070724

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100803

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110803

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120803

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120803

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130803

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees