【0001】
【発明の属する技術分野】
本発明は通信システム、通信装置及びその動作制御方法に関し、特に通信ネットワークを介して互いに接続された通信装置間に更新期間が定められた論理的なコネクションであるSA(Security Association)を確立して通信装置間でIPsec通信を行う通信システムに関する。
【0002】
【従来の技術】
インターネットのような多くのユーザに利用される広域ネットワークにおいて安全な通信を行うための代表的なプロトコルとして、IPsec(Security Architecture for Internet Protocol)がある。IPsecはIP上のセキュリティを保証するプロトコルである。
【0003】
IPsecでは、暗号情報や認証情報を扱うため、鍵とアルゴリズムが必要である。したがって、IPsecによる通信を行うためには、通信を行う両ノード間にSA(Security Association)と称される論理的なコネクションを構築して両ノードで鍵やアルゴリズム等の情報を共有する必要がある。また、同じ鍵を長時間利用し続けると第三者に鍵を推察されてしまう可能性が高くなるので、鍵を更新する必要がある。
【0004】
両ノードで共有する鍵やアルゴリズム等の情報を自動的に生成、更新、管理するための鍵交換プロトコルとして、IKE(Internet Key Exchange)がある。IKEでは、フェーズ1とフェーズ2という2段階の鍵交換を規定している。フェーズ1は、IKEによる通信を安全にするために、IKE−SAを確立するフェーズであり、フェーズ2は、フェーズ1で確立されたIKE−SAによる保護の下で、IPsecで使うSA(IPsec−SA)を確立するフェーズである。以下、IPsec、特にIPsecにおけるIKEについて図面を参照して説明する。図3はIPsecによる通信を行う従来の通信システムの構成を示す図である。図3に示したように従来の通信システムは、LAN(Local Area Network)70に接続されたホスト端末10と、LAN80に接続されたホスト端末20と、LAN70とインターネット100との間に設けられたルータ50と、LAN80とインターネット100との間に設けられたルータ60とを有している。
【0005】
ルータ50は、IPsecを終端する機能を有するセキュリティ・ゲートウェイであり、ルーティング・テーブルを基にルーティングを行うルーティング手段等の一般的な手段(図示せず)の他に、IKEによる鍵交換を行うIKE部51を有している。ルータ60も、IPsecを終端する機能を有するセキュリティ・ゲートウェイであり、ルーティング手段等の一般的な手段(図示せず)の他に、IKEによる鍵交換を行うIKE部61を有している。
【0006】
図4は図3の通信システムの動作を示すフローチャートである。ルータ50及び60間でIPsec通信を行うためには、ルータ50及び60間にSAを確立する必要がある。そこで、ルータ50がホスト端末10からのユーザトラヒックを受信すると、すなわちホスト端末10からIPsecで処理すべきデータを受信すると、フェーズ1の鍵交換が実行される(ステップA1)。すなわち、IKE部51が、ルータ50及び60間にIKE−SAを確立することをIKE部61に提案し、IKE部51及び61がIKE−SAを確立するためのネゴシエーションを行う。
【0007】
フェーズ1の鍵交換によりIKE−SAが確立されれば(ステップA2)、フェーズ2の鍵交換が実行される(ステップA3)。すなわち、IKE部51が、ルータ50及び60間にIPsec−SAを確立することをIKE部61に提案し、IKE部51及び61がIPsec−SAを確立するためのネゴシエーションを行う。
【0008】
フェーズ2の鍵交換によりIPsec−SAが確立されれば(ステップA4)、IKE通信が終了し、IPsec通信が開始される(ステップA5)。すなわち、ルータ50は、ホスト端末10からの受信データをカプセル化し、IKE通信によりルータ50及び60間で交換された情報(確立されたIPsec−SAの情報(鍵やアルゴリズム等の情報))を基にカプセル化されたデータへの認証情報の付加及び暗号化を行う。ルータ60は、ルータ50からのデータを受信すると、確立されたIPsec−SAの情報を基に元のデータを取り出し、そしてホスト端末20に送出する。
【0009】
図5は図3の通信システムの鍵更新(SA更新)処理を説明するための図である。ルータ50がホスト端末10からのユーザトラヒックを受信すると、ルータ50及び60間にSAが確立されておらず鍵がないので、図4を用いて上述したように、IKE部51がIKE部61とネゴシエーションすることにより、ルータ50及び60間にIPsec−SAを確立しIPsec通信に使用する鍵(図5に示した鍵1)を生成し、IPsec通信が開始される(ステップA1〜A5)。
【0010】
鍵1の生成時、鍵1の有効期間(生存期間)及び鍵1の更新期間も決定される。なお、IPsec通信に使用する鍵を生成するということは、IPsec−SAを確立するということであり、鍵の有効期間はIPsec−SAの有効期間であり、鍵の更新期間はIPsec−SAの更新期間である。
【0011】
鍵1の更新期間になると、IKE部51及び61間でフェーズ2の鍵交換が実行される。すなわち、IKE部51が、ルータ50及び60間に新しいIPsec−SAを確立することをIKE部61に提案し、IKE部51及び61が新しいIPsec−SAを確立するためのネゴシエーションを行う。これにより、ルータ50及び60間のIPsec−SAが更新される、すなわち鍵1が更新されて図5に示した鍵2が生成される。なお、鍵の更新期間において、フェーズ1の鍵交換を行った後にフェーズ2の鍵交換を行うようにしてもよい。
【0012】
以上説明したように、IPsec通信に使用する鍵を更新しながら、ルータ50及び60はIPsec通信を行っている。何らかの理由で鍵の更新期間中に鍵を更新することに失敗し、鍵が消滅(IPsec−SAが消滅)してしまった場合は、IPsecで処理すべきデータの受信に応答して鍵交換を再び実行することにより、IPsec−SAを確立する。
【0013】
以上説明した動作については例えば非特許文献1及び2に開示されている。
【0014】
【非特許文献1】
RFC2408 Internet Security Association and Key Management Protocol (ISAKMP)、1998年11月
【0015】
【非特許文献2】
RFC2409 The Internet Key Exchange (IKE)、1998年11月
【0016】
【発明が解決しようとする課題】
従来の通信システムでは、鍵の更新期間になれば鍵を更新するための鍵更新動作を自動的に行うようにしている。したがって、ルータ50内負荷が大きい場合であっても鍵の更新期間となれば鍵更新動作が行われるので、負荷をさらに増大させてしまい、ルータ50の安定した動作を保障できないという問題がある。
【0017】
本発明の目的は、鍵更新動作によって装置動作が不安定となることを防止することができる通信システム、通信装置及びその動作制御方法を提供することである。
【0018】
【課題を解決するための手段】
本発明による通信システムは、通信ネットワークを介して互いに接続された通信装置間に更新期間が定められた論理的なコネクションを確立して通信装置間で通信を行う通信システムであって、前記通信装置の各々は、前記更新期間において、自装置内負荷に応じて前記論理的なコネクションの更新を行うかどうか判断する判断手段を含むことを特徴とする。前記通信システムにおいて、前記論理的なコネクションはIPsec(Security Architecture for Internet Protocol)通信を行うためのSA(Security Association)であることを特徴とする。
【0019】
本発明による通信装置は、通信ネットワークを介して互いに接続された通信装置間に更新期間が定められた論理的なコネクションを確立して通信装置間で通信を行う通信システムにおける通信装置であって、前記更新期間において、自装置内負荷に応じて前記論理的なコネクションの更新を行うかどうか判断する判断手段を含むことを特徴とする。前記通信装置において、前記論理的なコネクションはIPsec(Security Architecture for Internet Protocol)通信を行うためのSA(Security Association)であることを特徴とする。
【0020】
本発明による動作制御方法は、通信ネットワークを介して互いに接続された通信装置間に更新期間が定められた論理的なコネクションを確立して通信装置間で通信を行う通信システムにおける通信装置の動作制御方法であって、前記更新期間において、自装置内負荷に応じて前記論理的なコネクションの更新を行うかどうか判断することを特徴とする。前記動作制御方法において、前記論理的なコネクションはIPsec(Security Architecture for Internet Protocol)通信を行うためのSA(Security Association)であることを特徴とする。
【0021】
本発明によれば、通信装置は、確立されている論理的なコネクションの更新を行う更新期間において、自装置内負荷に応じて論理的なコネクションの更新を行うかどうか判断するようにしている。したがって、高負荷時には更新動作を抑制して、低負荷時にのみ更新を行うようにすることができる。
【0022】
【発明の実施の形態】
以下、本発明の実施例について図面を参照して説明する。
【0023】
図1は本発明の実施例によるIPsec通信を行う通信システムの構成を示す図である。図1において、本発明の実施例による通信システムは、LAN70に接続されたホスト端末10と、LAN80に接続されたホスト端末20と、LAN70とインターネット100との間に設けられたルータ30と、LAN80とインターネット100との間に設けられたルータ40とを有している。
【0024】
ルータ30は、IPsecを終端する機能を有するセキュリティ・ゲートウェイであり、ルーティング・テーブルを基にルーティングを行うルーティング手段等の一般的な手段(図示せず)の他に、装置内負荷を判定する負荷判定部31と、IKEによる鍵交換を行うIKE部32とを有している。ルータ40も、IPsecを終端する機能を有するセキュリティ・ゲートウェイであり、ルーティング手段等の一般的な手段(図示せず)の他に、装置内負荷を判定する負荷判定部41と、IKEによる鍵交換を行うIKE部42とを有している。
【0025】
次に、本発明の実施例による通信システムの動作について説明する。ルータ30及び40間でIPsec通信を行うためには、ルータ30及び40間にSAを確立する必要がある。そこで、ルータ30がホスト端末10からのユーザトラヒックを受信すると、すなわちホスト端末10からIPsecで処理すべきデータを受信すると、ルータ30が鍵交換の始動者(イニシエータ)として、ルータ40が応答者(レスポンダ)として、両者間のネゴシエーションによりSAを確立する。なお、この動作は図4の動作と同様である。
【0026】
すなわち、まず、IKE部32が、ルータ30及び40間にIKE−SAを確立することをIKE部42に提案し、IKE部32及び42がIKE−SAを確立するためのネゴシエーションを行うことにより、フェーズ1の鍵交換が実行される(ステップA1)。
【0027】
フェーズ1の鍵交換によりIKE−SAが確立されれば(ステップA2)、フェーズ2の鍵交換が実行される(ステップA3)。すなわち、IKE部32が、ルータ30及び40間にIPsec−SAを確立することをIKE部42に提案し、IKE部32及び42がIPsec−SAを確立するためのネゴシエーションを行う。
【0028】
フェーズ2の鍵交換によりIPsec−SAが確立されれば(ステップA4)、IKE通信が終了し、IPsec通信が開始される(ステップA5)。すなわち、ルータ30は、ホスト端末10からの受信データをカプセル化し、IKE通信によりルータ30及び40間で交換された情報(確立されたIPsec−SAの情報(鍵やアルゴリズム等の情報))を基にカプセル化されたデータへの認証情報の付加及び暗号化を行う。ルータ40は、ルータ30からのデータを受信すると、確立されたIPsec−SAの情報を基に元のデータを取り出し、そしてホスト端末20に送出する。
【0029】
次に、本発明の実施例による通信システムの鍵更新(SA更新)処理について説明する。従来の通信システムでは、図5を用いて上述したように、IPsec−SAが確立されている状態において、IPsec−SAの更新期間(鍵の更新期間)になると、フェーズ2の鍵交換を実行して新しいIPsec−SAを確立するという、IPsec−SAの更新動作(鍵更新動作)を必ず行っていた。
【0030】
しかしながら、本発明の実施例による通信システムでは、IPsec−SAが確立されている状態において、更新期間になると、ルータ内の負荷を判定し、低負荷時にのみ鍵更新を行うようにする。この動作が図2に示されている。
【0031】
上述したように、ルータ30がホスト端末10からIPsecで処理すべきデータを受信することにより、イニシエータであるルータ30とレスポンダであるルータ40間のネゴシエーションによりIPsec−SAが確立されている状態において、更新期間になると、図2に示すようにルータ30の負荷判定部31は、現在のルータ30のCPU使用率を測定して規定値と比較する(ステップS1,S2)。
【0032】
現在のCPU使用率が規定値以下であれば(ステップS2,YES)、鍵更新を行う(ステップS4)。すなわち、ルータ30のIKE部32が、ルータ30及び40間に新たなIPsec−SAを確立することをルータ40のIKE部42に提案し、IKE部32及び42が新たなIPsec−SAを確立するためのネゴシエーションを行う。これにより、ルータ30及び40間のIPsec−SAを更新することができる。
【0033】
一方、現在のCPU使用率が規定値を超えているならば(ステップS2,NO)、負荷判定部31は所定時間待って、再度ルータ30の負荷状況を判定する(ステップS3,S1,S2)。
【0034】
更新期間中に、IPsec通信に用いる鍵すなわちIPsec−SAを更新することができなかった場合(ステップS5,NO)、ルータ30の運用者により予め指定された時刻(運用者指定時刻)に鍵更新を行うよう設定する(ステップS6)。運用者は装置負荷の低い時間帯(例えば夜間)の時刻を運用者指定時刻として指定する。
【0035】
なお、更新期間中に更新ができず、鍵が消滅(IPsec−SAが消滅)してしまった場合は、その後にルータ30がホスト端末10からIPsecで処理すべきデータを受信したときに、IKE部32がルータ30及び40間にIPsec−SAを確立することをルータ40のIKE部42に提案し、ルータ30及び40間で鍵交換を再び実行することにより、IPsec−SAを確立することになる。
【0036】
また、運用者指定時刻になると、負荷状況に無関係にIKE部32は、ルータ30及び40間にIPsec−SAを確立することをルータ40のIKE部42に提案し、IPsec−SAを積極的に更新することになる。
【0037】
以上では、イニシエータの負荷状況のみが考慮されていたが、レスポンダの負荷状況も考慮するようにしてもよい。すなわち、イニシエータであるルータ30の負荷が低負荷であるため、図2のステップS4でルータ30のIKE部32が、ルータ30及び40間に新たなIPsec−SAを確立することをルータ40のIKE部42に提案した際、レスポンダであるルータ40の負荷判定部41は、ステップS2と同様に現在のルータ40のCPU使用率を測定し規定値と比較する。
【0038】
ルータ40のCPU使用率が規定値以下であれば、通常どおり、ルータ40のIKE部42はルータ30のIKE部32からの提案に対して応答を返して鍵更新を行うが、規定値を超えていれば、IKE部42は当該提案に対して応答を返さないようにする。これにより、ルータ30では低負荷であってもルータ40で高負荷であれば、結局、更新がなされないことになる。
【0039】
なお、上記図2に示したフローに従った処理動作は、予めROM等の記憶媒体に格納されたプログラムを、CPU(制御部)となるコンピュータに読み取らせて実行せしめることにより、実現できることは勿論である。
【0040】
【発明の効果】
本発明による効果は、鍵更新動作によって装置動作が不安定となることを防止できることである。その理由は、通信装置が、確立されている論理的なコネクションであるSA(Security Association)の更新を行う更新期間において、自装置内負荷に応じてSAの更新を行うかどうか判断するようにしているためであり、高負荷時にはSAの更新動作(鍵更新動作)を抑制して、低負荷時にのみ更新を行うようにすることができる。
【図面の簡単な説明】
【図1】本発明の実施例による通信システムの構成を示す図である。
【図2】本発明の実施例による通信システムの鍵更新(SA更新)処理動作を示すフローチャートである。
【図3】従来の通信システムの構成を示す図である。
【図4】図3の通信システムの動作を示すフローチャートである。
【図5】図3の通信システムの鍵更新(SA更新)処理を説明するための図である。
【符号の説明】
10,20 ホスト端末
30,40 ルータ
31,41 負荷判定部
32,42 IKE部
70,80 LAN[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a communication system, a communication device, and an operation control method thereof, and in particular, establishes an SA (Security Association), which is a logical connection with a defined update period, between communication devices connected to each other via a communication network. The present invention relates to a communication system for performing IPsec communication between communication devices.
[0002]
[Prior art]
As a typical protocol for performing secure communication in a wide area network used by many users such as the Internet, there is IPsec (Security Architecture for Internet Protocol). IPsec is a protocol that guarantees security on IP.
[0003]
In IPsec, a key and an algorithm are required to handle encryption information and authentication information. Therefore, in order to perform communication by IPsec, it is necessary to establish a logical connection called Security Association (SA) between both nodes performing communication and to share information such as keys and algorithms between the two nodes. . Further, if the same key is used for a long time, the possibility of a third party guessing the key increases, so the key needs to be updated.
[0004]
IKE (Internet Key Exchange) is a key exchange protocol for automatically generating, updating, and managing information such as keys and algorithms shared by both nodes. The IKE defines a two-step key exchange of phase 1 and phase 2. Phase 1 is a phase in which an IKE-SA is established in order to secure communication by the IKE, and phase 2 is a SA (IPsec-SA) used in IPsec under the protection of the IKE-SA established in the phase 1. SA). Hereinafter, IPsec, particularly IKE in IPsec, will be described with reference to the drawings. FIG. 3 is a diagram illustrating a configuration of a conventional communication system that performs communication based on IPsec. As shown in FIG. 3, the conventional communication system is provided between the host terminal 10 connected to a LAN (Local Area Network) 70, the host terminal 20 connected to a LAN 80, and the LAN 70 and the Internet 100. It has a router 50 and a router 60 provided between the LAN 80 and the Internet 100.
[0005]
The router 50 is a security gateway having a function of terminating IPsec. In addition to general means (not shown) such as routing means for performing routing based on a routing table, IKE for performing key exchange by IKE. A portion 51 is provided. The router 60 is also a security gateway having a function of terminating IPsec, and has an IKE unit 61 for performing key exchange by IKE, in addition to general means (not shown) such as routing means.
[0006]
FIG. 4 is a flowchart showing the operation of the communication system of FIG. In order to perform IPsec communication between the routers 50 and 60, it is necessary to establish an SA between the routers 50 and 60. Therefore, when the router 50 receives the user traffic from the host terminal 10, that is, when data to be processed in IPsec is received from the host terminal 10, the key exchange of the phase 1 is executed (step A1). That is, the IKE unit 51 proposes to the IKE unit 61 that an IKE-SA is established between the routers 50 and 60, and the IKE units 51 and 61 perform negotiation for establishing the IKE-SA.
[0007]
If the IKE-SA is established by the key exchange of the phase 1 (step A2), the key exchange of the phase 2 is executed (step A3). That is, the IKE unit 51 proposes to the IKE unit 61 that an IPsec-SA is established between the routers 50 and 60, and the IKE units 51 and 61 perform negotiation for establishing the IPsec-SA.
[0008]
When the IPsec-SA is established by the key exchange in the phase 2 (step A4), the IKE communication ends and the IPsec communication starts (step A5). That is, the router 50 encapsulates the data received from the host terminal 10 and uses the information exchanged between the routers 50 and 60 by IKE communication (information of the established IPsec-SA (information such as keys and algorithms)). The authentication information is added to the data encapsulated in the file and encrypted. Upon receiving the data from the router 50, the router 60 extracts the original data based on the established information of the IPsec-SA, and sends it to the host terminal 20.
[0009]
FIG. 5 is a diagram for explaining a key update (SA update) process of the communication system of FIG. When the router 50 receives the user traffic from the host terminal 10, the SA is not established between the routers 50 and 60 and there is no key. Therefore, as described above with reference to FIG. By negotiating, an IPsec-SA is established between the routers 50 and 60 to generate a key (key 1 shown in FIG. 5) used for the IPsec communication, and the IPsec communication is started (steps A1 to A5).
[0010]
When key 1 is generated, the validity period (lifetime) of key 1 and the renewal period of key 1 are also determined. Generating a key used for IPsec communication means establishing an IPsec-SA, the validity period of the key is the validity period of the IPsec-SA, and the key renewal period is the renewal time of the IPsec-SA. Period.
[0011]
When the key 1 renewal period comes, a phase 2 key exchange is performed between the IKE units 51 and 61. That is, the IKE unit 51 proposes to the IKE unit 61 that a new IPsec-SA is established between the routers 50 and 60, and the IKE units 51 and 61 perform negotiation for establishing a new IPsec-SA. Thereby, the IPsec-SA between the routers 50 and 60 is updated, that is, the key 1 is updated and the key 2 shown in FIG. 5 is generated. During the key update period, the phase 2 key exchange may be performed after the phase 1 key exchange.
[0012]
As described above, the routers 50 and 60 perform the IPsec communication while updating the key used for the IPsec communication. If the key update fails for some reason during the key update period and the key disappears (IPsec-SA disappears), key exchange is performed in response to reception of data to be processed in IPsec. By executing again, the IPsec-SA is established.
[0013]
The operation described above is disclosed in Non-Patent Documents 1 and 2, for example.
[0014]
[Non-patent document 1]
RFC 2408 Internet Security Association and Key Management Protocol (ISAKMP), November 1998
[Non-patent document 2]
RFC 2409 The Internet Key Exchange (IKE), November 1998
[Problems to be solved by the invention]
In a conventional communication system, a key update operation for updating a key is automatically performed when a key update period comes. Therefore, even when the load in the router 50 is large, the key update operation is performed in the key update period, so that the load is further increased, and there is a problem that stable operation of the router 50 cannot be guaranteed.
[0017]
An object of the present invention is to provide a communication system, a communication device, and an operation control method for the communication device, which can prevent device operation from becoming unstable due to a key update operation.
[0018]
[Means for Solving the Problems]
A communication system according to the present invention is a communication system for establishing communication between communication devices by establishing a logical connection having an update period between communication devices connected to each other via a communication network, wherein the communication device Are characterized by including determination means for determining whether or not to update the logical connection in accordance with the load in the own device during the update period. In the communication system, the logical connection is an SA (Security Association) for performing IPsec (Security Architecture for Internet Protocol) communication.
[0019]
A communication device according to the present invention is a communication device in a communication system for establishing communication between communication devices by establishing a logical connection in which an update period is defined between communication devices connected to each other via a communication network, In the update period, a determination unit is included for determining whether to update the logical connection according to a load in the own device. In the communication device, the logical connection is a security association (SA) for performing IPsec (Security Architecture for Internet Protocol) communication.
[0020]
An operation control method according to the present invention provides an operation control method for a communication device in a communication system in which communication is established between communication devices by establishing a logical connection with an updated period between communication devices connected to each other via a communication network. The method is characterized in that, in the update period, it is determined whether or not to update the logical connection according to a load in the own device. In the operation control method, the logical connection is a security association (SA) for performing IPsec (Security Architecture for Internet Protocol) communication.
[0021]
According to the present invention, the communication device determines whether to update the logical connection according to the load in the own device during the update period for updating the established logical connection. Therefore, it is possible to suppress the update operation when the load is high and to perform the update only when the load is low.
[0022]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0023]
FIG. 1 is a diagram showing a configuration of a communication system for performing IPsec communication according to an embodiment of the present invention. 1, a communication system according to an embodiment of the present invention includes a host terminal 10 connected to a LAN 70, a host terminal 20 connected to a LAN 80, a router 30 provided between the LAN 70 and the Internet 100, And a router 40 provided between the Internet and the Internet 100.
[0024]
The router 30 is a security gateway having a function of terminating IPsec. In addition to a general means (not shown) such as a routing means for performing routing based on a routing table, a load for determining an internal load of the apparatus is provided. It has a determination unit 31 and an IKE unit 32 for performing key exchange by IKE. The router 40 is also a security gateway having a function of terminating IPsec. In addition to general means (not shown) such as routing means, a load determination unit 41 for determining an internal load, and key exchange by IKE And an IKE unit 42 for performing
[0025]
Next, the operation of the communication system according to the embodiment of the present invention will be described. In order to perform IPsec communication between the routers 30 and 40, it is necessary to establish an SA between the routers 30 and 40. Therefore, when the router 30 receives the user traffic from the host terminal 10, that is, when it receives data to be processed in IPsec from the host terminal 10, the router 30 is set as a key exchange initiator (initiator), and the router 40 is set as a responder (initiator). As a responder, an SA is established by negotiation between the two. This operation is the same as the operation in FIG.
[0026]
That is, first, the IKE unit 32 proposes to the IKE unit 42 to establish an IKE-SA between the routers 30 and 40, and the IKE units 32 and 42 perform negotiation for establishing the IKE-SA. The phase 1 key exchange is performed (step A1).
[0027]
If the IKE-SA is established by the key exchange of the phase 1 (step A2), the key exchange of the phase 2 is executed (step A3). That is, the IKE unit 32 proposes that the IPsec-SA is established between the routers 30 and 40 to the IKE unit 42, and the IKE units 32 and 42 perform negotiation for establishing the IPsec-SA.
[0028]
When the IPsec-SA is established by the key exchange in the phase 2 (step A4), the IKE communication ends and the IPsec communication starts (step A5). That is, the router 30 encapsulates the data received from the host terminal 10 and bases on the information exchanged between the routers 30 and 40 by IKE communication (established IPsec-SA information (information such as keys and algorithms)). The authentication information is added to the data encapsulated in the file and encrypted. Upon receiving the data from the router 30, the router 40 extracts the original data based on the information of the established IPsec-SA, and sends it to the host terminal 20.
[0029]
Next, a key update (SA update) process of the communication system according to the embodiment of the present invention will be described. In the conventional communication system, as described above with reference to FIG. 5, in the state where the IPsec-SA is established, when the IPsec-SA renewal period (key renewal period) comes, the key exchange of the phase 2 is executed. Thus, an IPsec-SA update operation (key update operation) of establishing a new IPsec-SA is always performed.
[0030]
However, in the communication system according to the embodiment of the present invention, when the IPsec-SA is established, when the update period comes, the load in the router is determined, and the key is updated only when the load is low. This operation is shown in FIG.
[0031]
As described above, when the router 30 receives the data to be processed in IPsec from the host terminal 10 and the IPsec-SA is established by the negotiation between the router 30 as the initiator and the router 40 as the responder, In the update period, as shown in FIG. 2, the load determining unit 31 of the router 30 measures the current CPU usage rate of the router 30 and compares it with a specified value (steps S1 and S2).
[0032]
If the current CPU usage rate is equal to or less than the specified value (step S2, YES), the key is updated (step S4). That is, the IKE unit 32 of the router 30 proposes to the IKE unit 42 of the router 40 to establish a new IPsec-SA between the routers 30 and 40, and the IKE units 32 and 42 establish a new IPsec-SA. Negotiations for Thereby, the IPsec-SA between the routers 30 and 40 can be updated.
[0033]
On the other hand, if the current CPU usage rate exceeds the specified value (step S2, NO), the load determination unit 31 waits for a predetermined time and determines the load status of the router 30 again (steps S3, S1, S2). .
[0034]
If the key used for the IPsec communication, that is, the IPsec-SA cannot be updated during the update period (step S5, NO), the key update is performed at a time specified in advance by the operator of the router 30 (operator specified time). (Step S6). The operator specifies a time in a time zone during which the device load is low (for example, at night) as the operator-specified time.
[0035]
If the key cannot be updated during the update period and the key has disappeared (IPsec-SA has disappeared), then when the router 30 receives data to be processed in IPsec from the host terminal 10, the IKE The unit 32 proposes to the IKE unit 42 of the router 40 that an IPsec-SA is established between the routers 30 and 40, and performs the key exchange between the routers 30 and 40 again to establish the IPsec-SA. Become.
[0036]
Also, at the time specified by the operator, the IKE unit 32 proposes to the IKE unit 42 of the router 40 to establish the IPsec-SA between the routers 30 and 40 regardless of the load condition, and actively activates the IPsec-SA. Will be updated.
[0037]
In the above description, only the load status of the initiator is considered, but the load status of the responder may be considered. That is, since the load on the router 30 as the initiator is low, the IKE unit 32 of the router 30 in step S4 in FIG. 2 informs the router 40 of the establishment of a new IPsec-SA between the routers 30 and 40. When the proposal is made to the unit 42, the load determining unit 41 of the router 40, which is the responder, measures the current CPU usage rate of the router 40 and compares it with the specified value as in step S2.
[0038]
If the CPU usage rate of the router 40 is equal to or less than the specified value, the IKE unit 42 of the router 40 returns a response to the proposal from the IKE unit 32 of the router 30 and updates the key as usual. If so, the IKE unit 42 does not return a response to the proposal. As a result, even if the load on the router 30 is low, if the load on the router 40 is high, the update is not performed after all.
[0039]
Note that the processing operation according to the flow shown in FIG. 2 can be realized by causing a computer serving as a CPU (control unit) to read and execute a program stored in a storage medium such as a ROM in advance. It is.
[0040]
【The invention's effect】
An advantage of the present invention is that it is possible to prevent device operation from becoming unstable due to a key update operation. The reason is that the communication device determines whether to update the SA according to the load in the own device during the update period for updating the SA (Security Association) which is the established logical connection. Therefore, it is possible to suppress the SA update operation (key update operation) when the load is high and to perform the update only when the load is low.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of a communication system according to an embodiment of the present invention.
FIG. 2 is a flowchart illustrating a key update (SA update) processing operation of the communication system according to the embodiment of the present invention.
FIG. 3 is a diagram illustrating a configuration of a conventional communication system.
FIG. 4 is a flowchart showing an operation of the communication system of FIG. 3;
FIG. 5 is a diagram for explaining a key update (SA update) process of the communication system of FIG. 3;
[Explanation of symbols]
10, 20 Host terminal 30, 40 Router 31, 41 Load determining unit 32, 42 IKE unit 70, 80 LAN