JP2006050267A - IPsec通信方法及び通信制御装置並びにネットワークカメラ - Google Patents
IPsec通信方法及び通信制御装置並びにネットワークカメラ Download PDFInfo
- Publication number
- JP2006050267A JP2006050267A JP2004228582A JP2004228582A JP2006050267A JP 2006050267 A JP2006050267 A JP 2006050267A JP 2004228582 A JP2004228582 A JP 2004228582A JP 2004228582 A JP2004228582 A JP 2004228582A JP 2006050267 A JP2006050267 A JP 2006050267A
- Authority
- JP
- Japan
- Prior art keywords
- security policy
- entry
- communication
- security
- deleted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 通信相手がそのIPアドレスを使用しなくなった場合は以後そのセキュリティポリシをSPDから自動的に削除すること。
【解決手段】 IPsec通信の相手となる通信端末装置100−1からパケットが届いた場合、そのパケットのIPヘッダから送信元IPアドレスを認識してSPD315にセキュリティポリシを登録すると共にSAD316に当該通信相手と暗号化通信するための暗号化パラメータを登録する。SAD316からエントリSA1が削除された場合、当該エントリSA1に対応するセキュリティポリシSP1を参照している他のエントリが存在しなければ、当該セキュリティポリシSP1をSPD315から削除する。
【選択図】 図6
【解決手段】 IPsec通信の相手となる通信端末装置100−1からパケットが届いた場合、そのパケットのIPヘッダから送信元IPアドレスを認識してSPD315にセキュリティポリシを登録すると共にSAD316に当該通信相手と暗号化通信するための暗号化パラメータを登録する。SAD316からエントリSA1が削除された場合、当該エントリSA1に対応するセキュリティポリシSP1を参照している他のエントリが存在しなければ、当該セキュリティポリシSP1をSPD315から削除する。
【選択図】 図6
Description
本発明は、IP網を介して暗号化通信を行うIPsec通信方法及び通信制御装置並びにネットワークカメラに関する。
近年、IP(Internet Protocol)網に接続可能なネットワークカメラが開発され、このネットワークカメラで撮影した画像データや動画データをコンピュータ等の通信端末装置で閲覧することを可能にするシステムが提案されている。このネットワークカメラシステムでは、通信端末装置は、インストールされたブラウザを用いて、ネットワークカメラにアクセスし、HTTP(HyperText Transfer Protocol)プロトコルを用いて撮影画像データを受信するようにしている。
このようなネットワークカメラシステムに使用されるネットワークカメラとして、例えば、特許文献1に記載されたものがある。このネットワークカメラシステムでは、インターレース出力のネットワークカメラによって供給される画像データから、フレームメモリを介して、ノンインターレースのフレーム画像データとフィールド画像データとを生成することにより、画像データをネットワーク経由でクライアントに配信する際に、高画質出力を可能にしている。
しかし、従来のネットワークカメラシステムでは、不特定多数のユーザがカメラにアクセスすることが可能となり、セキュリティに関する問題が生じる虞がある。具体的には、IP網に接続可能でブラウザをインストールした通信端末装置であれば、ネットワークカメラシステムに容易にアクセスすることができるが、例えばネットワークカメラが設置された場所によっては、撮影画像の配信先を特定のユーザ(例えば、登録ユーザ)に限定する必要が生じることがある。
そこで、撮影画像をネットワークカメラからIP網経由で配信する際のセキュリティを強化する技術として、IPパケットの暗号化と認証を行うIPsec(Security Architecture for IP)という通信プロトコルを利用することが考えられる。IPsecは、IETF(Internet Engineering Task Force)によって策定される技術仕様であるRFC(Request For Comment)に規定されたプロトコルである(非特許文献1参照)。このIPsecを用いることにより、IPパケット内のデータの改ざんを防止するための認証を行い、IPパケット内に含まれるデータを暗号化することができる。
特開2003−259175号公報
IETF RFC2401 "Security Architecture for the Internet Protocol"
ところで、IPsecを用いてデータ通信を行う場合、データの送信元(つまり、ネットワークカメラから通信端末装置に対して画像データを送信する場合は、ネットワークカメラ)において、どの通信相手と暗号化通信するかを示す情報(セキュリティポリシ)を登録したセキュリティポリシデータベース(SPD)と、SPDに登録されたセキュリティポリシ毎に暗号化通信の暗号化内容を示すパラメータ等を登録したセキュリティアソシエーションデータベース(SAD)とを備える必要がある。SPDにIPアドレスが登録されていない通信端末装置(セキュリティポリシで通信許可していない端末)からデータの送信要求があった場合には、データの送信元であるネットワークカメラは、この通信端末装置からの送信要求を無視することが可能となる。
一方、データの送信先である通信端末装置は、DHCP(Dynamic Host Configuration Protocol)により動的にIPアドレスが割り当てられる場合が多く、IPアドレスが一義的に定まっていないことがある。したがって、ネットワークカメラのSPD及びSADにあらかじめIPsec通信を許可する端末のIPアドレスを登録しておくことができず、IPsecを利用したセキュリティの強化を行うことができないという問題がある。
また、通信端末装置側において一時的に取得したIPアドレスをカメラ側のSAD、SPDに登録してエントリを作成すればIPsec通信が可能になるが、その後に当該通信端末装置がそのIPアドレスを使用しなくなった場合には以後使用されることのないエントリがカメラ側のSPDに残されることとなり記憶領域を圧迫する問題が発生する。
本発明は、かかる点に鑑みてなされたものであり、暗号化通信の相手となる通信相手から届いた受信パケットから認識した送信元IPアドレスをどの通信相手と暗号化通信するかを示す情報(セキュリティポリシ)の一つとしてSPDに登録するとともに当該通信相手との暗号化通信のためのパラメータをSADに登録してIPsec通信を実現し、その後当該通信相手がそのIPアドレスを使用しなくなった場合は以後そのセキュリティポリシをSPDから自動的に削除するIPsec通信方法及び通信制御装置並びにネットワークカメラを提供することを目的とする。
本発明は、IPsec通信の相手となる通信相手からパケットが届いた場合、そのパケットのIPヘッダから送信元IPアドレスを認識してSPDに登録すると共にSADに当該通信相手と暗号化通信するための暗号化パラメータを登録し、通信相手がSPDに登録しているIPアドレスを使用しなくなった場合にはSPDから当該通信相に関するセキュリティポリシを削除するものとした。
本発明によれば、暗号化通信の相手となる通信相手から届いた受信パケットから認識した送信元IPアドレスをどの通信相手と暗号化通信するかを示す情報(セキュリティポリシ)の一つとしてSPDに登録するとともに当該通信相手との暗号化通信のためのパラメータをSADに登録してIPsec通信を実現し、その後当該通信相手がそのIPアドレスを使用しなくなった場合は以後そのセキュリティポリシをSPDから自動的に削除するIPsec通信方法及び通信制御装置並びにネットワークカメラを提供できる。
本発明の第1の態様は、暗号化通信を行う通信相手毎にセキュリティポリシを登録したセキュリティポリシデータベースと、通信相手毎に暗号化パラメータを内容とするエントリを登録したセキュリティアソシエーションデータベースと、受信パケットの送信元IPアドレスを用いて前記セキュリティポリシデータベースにセキュリティポリシを登録する登録手段と、前記セキュリティアソシエーションデータベースからエントリを削除した通信相手についてセキュリティポリシの有効性を判断して無効となったセキュリティポリシを削除するポリシ削除手段と、を具備する通信制御装置である。
このように構成された通信制御装置によれば、セキュリティアソシエーションデータベースからエントリを削除した場合、当該通信相手についてセキュリティポリシの有効性が無効であればセキュリティポリシを削除するものとしたので、以後使用される可能性の低いセキュリティポリシがセキュリティポリシデータベースに残って増え続ける問題を解決できる。
本発明の第2の態様は、第1の態様の通信制御装置において、前記ポリシ削除手段は、セキュリティアソシエーションデータベースからエントリが削除された場合、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在しなければ、当該セキュリティポリシをセキュリティポリシデータベースから削除するものとした。
これにより、セキュリティアソシエーションデータベースからエントリが削除された場合であっても、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在すれば、セキュリティポリシは削除されずにそのまま使用可能な状態を維持できる。すなわち、セキュリティアソシエーションデータベースに登録した暗号化パラメータを更新するために旧エントリから新エントリに切り替えるために旧エントリを削除した場合であっても新エントリにて暗号化通信を維持することができる。
本発明の第3の態様は、第1の態様の通信制御装置において、前記ポリシ削除手段は、セキュリティアソシエーションデータベースからエントリが削除された場合、当該エントリに対応するセキュリティポリシ内のライフタイムに有限時間を設定し、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在しなければ、前記有限時間を時間経過と共に減算していきライフタイムが0になったところで当該セキュリティポリシをセキュリティポリシデータベースから削除するものとした。
これにより、セキュリティアソシエーションデータベースからエントリが削除され、かつ当該エントリに対応するセキュリティポリシを参照している他のエントリが存在しない場合であっても、即座にセキュリティポリシを削除するのではなく、設定した有限時間を経過してから削除することがきる。
本発明の第4の態様は、第3の態様の通信制御装置において、前記ポリシ削除手段は、セキュリティアソシエーションデータベースからエントリが削除された場合、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在すれば前記ライフタイムを無限大にセットするものとした。
これにより、セキュリティアソシエーションデータベースからエントリが削除された場合であっても、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在する場合にはセキュリティポリシが自動的に削除されるのを防止することができる。
本発明の第5の態様は、暗号化通信を行う通信相手毎にセキュリティポリシを登録したセキュリティポリシデータベースと、通信相手毎に暗号化パラメータを内容とするエントリを登録したセキュリティアソシエーションデータベースとを使用してIPsec通信を行うIPsec通信方法であって、受信パケットの送信元IPアドレスを用いて前記セキュリティポリシデータベースにセキュリティポリシを登録するステップと、前記セキュリティアソシエーションデータベースからエントリを削除した通信相手についてセキュリティポリシの有効性を判断して無効となったセキュリティポリシを削除するステップと、を具備するIPsec通信方法である。
本発明の第6の態様は、第5の態様のIPsec通信方法において、セキュリティアソシエーションデータベースからエントリが削除された場合、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在しなければ、当該セキュリティポリシをセキュリティポリシデータベースから削除するものとした。
本発明の第7の態様は、第5の態様のIPsec通信方法において、セキュリティアソシエーションデータベースからエントリが削除された場合、当該エントリに対応するセキュリティポリシ内のライフタイムに有限時間を設定し、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在しなければ、前記有限時間を時間経過と共に減算していきライフタイムが0になったところで当該セキュリティポリシをセキュリティポリシデータベースから削除するものとした。
本発明の第8の態様は、画像を入力する撮像手段と、前記画像をIPパケットにしてネットワーク上へ送出する送信手段と、第1から第4の態様のいずれかに記載の通信制御装置とを備え、前記通信制御装置による暗号化通信の下で前記画像を通信相手へ送信するネットワークカメラである。
以下、本発明の一実施の形態について、図面を参照して詳細に説明する。
図1は、本発明の一実施の形態に係るネットワークカメラシステムの構成の一例を示す図である。同図において、通信端末装置100−1〜100−3は、インターネット200を介してネットワークカメラ300に接続可能である。これらの通信端末装置100−1〜100−3は、DHCPによって動的にIPアドレスが割り当てられており、通信切断後に再び同一(固定)のIPアドレスが割り当てられない可能性が高い。
通信端末装置100−1〜100−3は、ネットワークカメラ300に対して画像データの送信を要求する旨のHTTPコマンドを送信し、ネットワークカメラ300は、このHTTPコマンドの送信元が正規ユーザとして登録されている場合は、撮影した画像データを暗号化した上で送信する。
なお、ネットワークカメラ300は、画像データの暗号化のための鍵交換(IKE:Internet Key Exchange)方式として、IETF RFC2409 "The Internet Key Exchange (IKE)"に規定されたメインモード/プレシェアード認証方式を採用しているものとする。
図2は、本実施の形態に係るネットワークカメラ300の構成を示すブロック図である。図2に示すネットワークカメラ300は、IPsec通信可能で鍵交換機能を備えたCPU301と、ROM、RAM等で構成されSPD及びSADを格納するメモリ302と、暗号化/復号化の処理を実行する暗号/復号処理部303と、カメラレンズで捕らえた映像を電気的な画像信号に変換する撮像部304と、撮像部304から出力される画像信号を画像処理する画像処理部305と、ネットワークインターフェースとして機能するLANインタフェース306とを主に備える。
CPU301は、メモリ302に記憶した各種プログラムを読み出して実行し、パケット処理部311、HTTP処理部312、IPsecパケット処理部313、鍵交換処理部314等の機能を実現している。パケット処理部311は、受信パケットの種類を判別し、受信パケットが送信元の通信端末装置100−1〜100−3とネットワークカメラ300とで共有する共有鍵によって暗号化されたIPsecパケットである場合は、このパケットをIPsecパケット処理部313へ出力し、受信パケットが鍵交換に用いられる鍵交換パケットおよび認証用パケットである場合は、このパケットを鍵交換処理部314へ出力する。また、パケット処理部311は、復号化後のIPsecパケットから各種の制御命令を含むHTTPコマンドをHTTP処理部312へ出力する。さらに、パケット処理部311は、画像データをパケット化するとともに、暗号化後のIPsecパケットをLANインタフェース306へ出力する。
IPsecパケット処理部313は、暗号化されたIPsecパケットがパケット処理部311から出力された場合は、暗号/復号処理部303を制御して、IPsecパケットを復号化し、暗号化されていないパケットがパケット処理部311から出力された場合は、暗号/復号処理部303を制御して、パケットを暗号化する。
暗号/復号処理部303は、IPsecパケット処理部313の制御に従って、通信相手である通信端末装置100−1〜100−3に応じた共有鍵を、鍵交換処理部314を介してSPD315から読み出し、IPsecパケットの復号化またはパケットの暗号化を行う。
鍵交換処理部314は、暗号化されたIPsecパケットの通信に先立って、通信相手となる通信端末装置100−1〜100−3とネゴシエーションを行って共有鍵の設定を行う。すなわち、鍵交換処理部314は、鍵交換パケットおよび認証用パケットの送信元である通信端末装置100−1〜100−3を正規ユーザとして、通信端末装置100−1〜100−3のセキュリティポリシをSPD315に登録するとともにその通信相手と暗号化通信するための暗号化パラメータ及びIPアドレス等を内容とするエントリをSAD316に登録する。また、鍵交換処理部314は、後述するアルゴリズムにしたがってSAD316から通信相手毎にエントリを削除し、またSPD315から以後同じIPアドレスを使用して暗号化通信することのないセキュリティポリシを削除する。
HTTP処理部312は、復号化されたIPsecパケットに含まれているHTTPコマンドに従って、画像処理部305または画像蓄積部317から画像データを取得する。また、HTTP処理部312は、図示せぬ入力部におけるオペレータの入力に従って、SPD315に対する事前共有キーの登録・更新を行う。ここで、事前共有キーとは、通信端末装置100−1〜100−3とネットワークカメラ300との間であらかじめ設定されている認証用のキーであり、通信端末装置100−1〜100−3それぞれについて異なるキーが設定されている。
メモリ302には、SPD315、SAD316が構築されている。
図3は、SPD315に登録されたセキュリティポリシの1エントリの具体例を示している。同図に示すエントリが通信相手毎に登録される。SPD315に登録されたセキュリティポリシは、ローカルIPアドレス(ネットワークカメラ300のIPアドレス)、リモートIPアドレス(通信相手となる通信端末装置のグローバルIPアドレス)、プロトコル、送信元ポート番号、宛先ポート番号、事前共有キーを含んだ項目で構成される。リモートIPアドレスは、暗号化通信を行う通信相手から到着したIPパケットの送信元IPアドレスから取り出したアドレスである。取得方法については、後で説明する。
図4は、SAD316に登録された暗号化方法のエントリの具体例を示している。SAD316のエントリは、ローカルIPアドレス(ネットワークカメラ300のアドレス)、リモートIPアドレス(通信相手である通信端末装置のアドレス)、暗号アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵、ライフタイムを含んだ項目で構成される。ライフタイムは暗号内容を更新する時間が設定される。ライフタイムを短くするほどセキュリティ強度を上げることができる。
画像処理部305は、HTTP処理部312からのHTTPコマンドに従って、カメラ撮像部304を制御し、撮像部304によって得られた撮影画像をデジタルの画像データに変換する。画像蓄積部317は、画像処理部305によって得られた画像データを蓄積する。
次に、上記のように構成されたネットワークカメラ300による鍵交換(IKE)時の動作について、図5に示すフロー図を参照しながら説明する。
なお、以下の説明では、通信端末装置100−1とネットワークカメラ300とが鍵交換を行うものとして説明する。
まず、LANインタフェース306が鍵交換パケットを受信する(ST1000)と、鍵交換パケットは、パケット処理部311を介して鍵交換処理部314へ出力される。鍵交換パケットには、暗号アルゴリズム、および認証アルゴリズムなどの暗号化方式が含まれている。
鍵交換処理部314へ鍵交換パケットが出力されると、鍵交換処理部314によってSPD315が参照され、この鍵交換パケットの送信元IPアドレスが既に登録されているか否かが確認される(ST1010)。すなわち、鍵交換処理部314は、通信端末装置100−1のリモートIPアドレスである鍵交換パケットの送信元IPアドレスであるが、既にネットワークカメラ300の正規ユーザとして登録されているか否かを確認する。
確認の結果、通信端末装置100−1が既に正規ユーザとして登録されていれば、鍵交換処理部314は、通信端末装置100−1から送信される事前共有キーを含んだ認証用パケットの受信を待機する。
一方、ST1010における確認の結果、通信端末装置100−1がまだ正規ユーザとして登録されていなければ、SPD315に通信端末装置100−1のリモートIPアドレスを通信相手としたセキュリティポリシを登録するためのメモリ領域を確保することができるか否かを判定する(ST1020)。判定の結果、メモリ領域が不足し、メモリ確保が困難である場合は、通信端末装置100−1へエラーメッセージを返送し、セキュリティポリシの登録が失敗したことを通知する(ST1040)。また、メモリ領域の確保が可能であれば、鍵交換パケットのIPヘッダに記述された送信元IPアドレスを通信相手としたセキュリティポリシをSPD315に登録し、かつ当該通信相手とIPsec通信をする際の暗号化パラメータ、通信相手のIPアドレス等を内容とするエントリをSAD316に登録する(ST1030)。具体的には、図3に示す項目からなるキュリティポリシのエントリをSPD315に追加する。リモートIPアドレスには鍵交換パケットのIPヘッダに記述された送信元IPアドレスをコピーする。また、鍵交換パケットのIPsecヘッダから暗号アルゴリズム、認証アルゴリズム、ライフタイム等の情報が取り出されて、図4に示す項目からなるエントリをSAD316に登録する。
このとき、通信端末装置100−1のリモートIPアドレスもセキュリティポリシとして登録されるため、例えば通信端末装置100−1のIPアドレスがDHCPによって動的に割り当てられるような場合でも、リモートIPアドレスが変更される際に通信端末装置100−1から鍵交換パケットが送信されることにより、容易にセキュリティポリシの登録を行うことができる。
ここで、SPD315に登録されたセキュリティポリシには、それぞれ事前共有キーが対応づけられている。この事前共有キーは、上述したように、図示しない入力部においてオペレータが入力するものであり、HTTP処理部312を介してSPD315に登録される。
通信端末装置100−1のセキュリティポリシがSPD315に登録される(もしくは、既に登録済みである)と、鍵交換処理部314は、認証用パケットの受信を待機する。そして、LANインタフェース306によって通信端末装置100−1からの認証用パケットが受信される(ST1050)と、認証用パケットは、パケット処理部311を介して鍵交換処理部314へ出力される。認証用パケットには、SPD315に登録されている通信端末装置100−1の事前共有キーが含まれている。
鍵交換処理部314へ認証用パケットが出力されると、鍵交換処理部314によってSPD315が参照され(ST1060)、認証用パケットに含まれる事前共有キーとSPD315に登録されている通信端末装置100−1の事前共有キーとが一致するか否かが判定される(ST1070)。
この判定の結果、事前共有キーが一致した場合は、認証用パケットの送信元が、SPD315に登録されている通信端末装置100−1であると認証され、通信端末装置100−1へ認証通知が返送される(ST1080)。このようにして、ネットワークカメラ300によって、通信相手がSPD315に登録された正規ユーザである通信端末装置100−1であることが認証されると、引き続いてIPsecによる通信に必要な情報がやり取りされる。
一方、ST1070の判定の結果、事前共有キーが一致しなかった場合は、認証用パケットの送信元が、SPD315に登録されている通信端末装置100−1ではないと判断され、SPD315から通信端末装置100−1のセキュリティポリシのエントリが削除されるとともにSAD316から対応するエントリが削除され(ST1090)、認証用パケットの送信元へエラーメッセージを返送し、セキュリティポリシが削除されたことを通知する(ST1100)。
これにより、ネットワークカメラ300は、確実に通信端末装置100−1を通信相手として認証することができ、要求されるセキュリティレベルが高いIPsec通信のための情報の交換を行うことができるようになる。
なお、上記の説明においては、事前共有キーが一致しなかった場合、ST1090において通信端末装置100−1のセキュリティポリシを削除するものとしたが、例えばあらかじめ定められた規定回数までは、認証用パケットの送信元に対して事前共有キーの再送を要求し、規定回数に達するまでSPD315に登録された事前共有キーが受信されない場合に、通信端末装置100−1のセキュリティポリシを削除するようにしても良い。
こうすることにより、何らかの偶発的な理由で認証用パケットに含まれる事前共有キーが誤っている場合でも、無駄な処理を行うことなく確実な通信相手の認証を行うことができる。
そして、IPsec通信が可能になると、通信端末装置100−1は、画像データを要求する旨のHTTPコマンドをIPsecパケット化し、共有鍵によって暗号化した上で、ネットワークカメラ300に対して送信する。ネットワークカメラ300のLANインタフェース部306によって、このIPsecパケットが受信されると、暗号/復号処理部303によって、IPsecパケット処理部313による制御の下で復号化される。このとき、暗号/復号処理部303は、鍵交換処理部314を介してSAD316から通信端末装置100−1の暗号アルゴリズムなどのセキュリティポリシを受け取り、通信端末装置100−1が行った暗号化に対応する復号化を行う。
復号化されて得られたHTTPコマンドは、パケット処理部311を介してHTTP処理部312へ出力され、HTTP処理部312によって画像処理部305または画像蓄積部317から画像データが取得される。このとき、HTTPコマンドが例えばリアルタイムの動画像データを要求する旨のコマンドであった場合は、HTTP処理部312によって、画像処理部305から直接動画像データが取得される。また、HTTPコマンドが例えば過去の静止画像データを要求する旨のコマンドであった場合は、HTTP処理部312によって、画像蓄積部317に蓄積されている静止画像データが取得される。
取得された画像データは、パケット処理部311によってパケット化され、その後、IPsecパケット処理部313および暗号/復号処理部303によって、通信端末装置100−1に対応する暗号アルゴリズムによって暗号化されることによりIPsecパケット化され、パケット処理部311およびLANインタフェース部306を介して送信される。
このように、画像データおよび画像データを要求するコマンドは、ともにIPsecパケット化されて通信されるため、セキュリティレベルの高い通信を行うことができる。
次いで、鍵交換処理部314によるSPD315のセキュリティポリシ削除の動作について、図6に示すフロー図を参照しながら説明する。
図6は、SPD315からセキュリティポリシを削除するためのフロー図である。IPsec通信では、ある通信相手との間で所定の暗号化方式を使用した暗号化通信を行い、所定期間経過したら、当該通信相手との暗号化通信の暗号化パラメータ(暗号アルゴリズム、暗号鍵等)を変更している。暗号化パラメータを変更する契機は、通信相手毎にSAD316に登録しているエントリSAのライフタイムによって与えられる。また、通信相手から暗号化鍵の変更を要求される場合がある。例えば、通信相手からSAD316に登録されたエントリSAの削除通知を受信した場合は当該エントリSAを削除する契機となる。
図6に示すように、SAD316に登録されているエントリSA内のライフタイムが切れた場合(S2001)、又は削除通知を受けた場合(S2002)、SAD316から該当するエントリ(SA1)を削除する(S2003)。
ここで、SAD316のエントリSA1を削除した場合であっても、IPsec通信を継続している場合は、同一のリモートIPアドレスを持つ新たなエントリ(暗号化パラメータを更新したもの)が作成されてSAD316に登録される。ところが、通信相手との通信を終了してセッションを切断した場合は、SA内のライフタイムが切れたところで当該リモートIPアドレスにて新たなSAが作成されることはない。この結果、当該通信相手に関して、SPD315にはセキュリティポリシが登録されているが、SAD316にはエントリが存在しないといった状況が発生する。以後、SPD315の対応するセキュリティポリシは使用されることはない。
本実施の形態では、SPD315に登録したセキュリティポリシが使用される可能性が無くなったところで、SPD315から削除するものとした。
すなわち、S2003においてSAD316からある通信相手のエントリSA1を削除したら、当該削除したエントリSA1に登録していたリモートIPアドレスと同一のアドレスを有するセキュリティポリシのエントリSPがSPD315に存在するか否か判断する(S2004、S2005)。SAD316に登録されている通信相手は、SPD315に対当するセキュリティポリシが登録されているので、S2005の判断でSA1に対応するSPが存在しなかった場合はエラーを発する。一方、SA1に対応するSP(=SP1)が存在した場合は、SAD316を参照して当該SP1を参照しているSAがあるか否か判断する(S2006、S2007)。例えば、同一のリモートIPアドレスを持つSAが登録されていれば、SP1を参照していると判断する。このような場合は、上記したように暗号化通信を継続していると判断してSP1の削除は行わない。一方、同一のリモートIPアドレスを持つSAがSAD316に登録されていない場合は、SPD315から該当するSP1(同一のリモートIPアドレスを持つセキュリティポリシ)を削除する(S2008)。
このように、SPD315に暗号化通信する予定の通信相手とIPsec通信するためのセキュリティポリシを順次登録すると共に、SAD316から暗号化パラメータ等を内容とするエントリ(SA1)が削除された場合には、SPD315に登録された対応するセキュリティポリシ(SP1)を、他のSAが参照していないことを条件に削除するようにしたので、SPD315にセキュリティポリシが増え続ける不具合を防止できる。
なお、SPD315に登録したセキュリティポリシ(SP)の削除方式は上記した方式に限定されるものではない。例えば、図7に示すようにセキュリティポリシにライフタイムの項目を設け、このライフタイムの値を制御してライフタイムが切れたら当該セキュリティポリシを削除する。
図8はセキュリティポリシにライフタイムの項目を設けてセキュリティポリシを削除する方式のフロー図である。S2001からS2005までは、図6に示すフロー図と同様である。S2005でSPD315の中にSA1に対応するSP1が存在することが判明した場合は、SP1のライフタイムに時間(X秒)をセットする(S2100)。次に、SAD316を参照して(S2101)、SP1を参照している他のSAが存在しているか判断する(S2102)。参照している他のSAが存在した場合はライフタイムをクリアする(無限大にセットする)(S2103)。また、他のSAが存在しない場合は、ライフタイムを減算する(S2104)。SP1のライフタイムが0になるまでS2101からS2104を繰り返す。そして、SP1のライフタイムが0になったところでSPD315から当該SP1を削除する(S2008)。
なお、本実施の形態においては、通信端末装置がネットワークカメラの画像データを取得する場合を例に挙げて説明したが、本発明はこれに限られず、例えばデータベースサーバなど、複数の通信端末装置が共有するデータ資源にIP網経由でアクセスする場合には本発明を適用することが可能である。
本発明は、データ送信先となる通信端末装置のIPアドレスが一義的に定まっていない場合でも、IPsecを用いてパケット通信のセキュリティを向上することができ、さらにSPDに利用されることのないセキュリティポリシが滞留するのを防止でき、IPsec通信方法及び通信制御装置並びにネットワークカメラに適用可能である。
300 ネットワークカメラ
301 CPU
302 メモリ
303 暗号/復号処理部
304 撮像部
305 画像処理部
306 LANインタフェース
311 パケット処理部
312 HTTP処理部
313 IPsecパケット処理部
314 鍵交換処理部
315 セキュリティポリシデータベース
316 セキュリティアソシエーションデータベース
301 CPU
302 メモリ
303 暗号/復号処理部
304 撮像部
305 画像処理部
306 LANインタフェース
311 パケット処理部
312 HTTP処理部
313 IPsecパケット処理部
314 鍵交換処理部
315 セキュリティポリシデータベース
316 セキュリティアソシエーションデータベース
Claims (8)
- 暗号化通信を行う通信相手毎にセキュリティポリシを登録したセキュリティポリシデータベースと、通信相手毎に暗号化パラメータを内容とするエントリを登録したセキュリティアソシエーションデータベースと、受信パケットの送信元IPアドレスを用いて前記セキュリティポリシデータベースにセキュリティポリシを登録する登録手段と、前記セキュリティアソシエーションデータベースからエントリを削除した通信相手についてセキュリティポリシの有効性を判断して無効となったセキュリティポリシを削除するポリシ削除手段と、を具備する通信制御装置。
- 前記ポリシ削除手段は、セキュリティアソシエーションデータベースからエントリが削除された場合、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在しなければ、当該セキュリティポリシをセキュリティポリシデータベースから削除する請求項1記載の通信制御装置。
- 前記ポリシ削除手段は、セキュリティアソシエーションデータベースからエントリが削除された場合、当該エントリに対応するセキュリティポリシ内のライフタイムに有限時間を設定し、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在しなければ、前記有限時間を時間経過と共に減算していきライフタイムが0になったところで当該セキュリティポリシをセキュリティポリシデータベースから削除する請求項1記載の通信制御装置。
- 前記ポリシ削除手段は、セキュリティアソシエーションデータベースからエントリが削除された場合、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在すれば前記ライフタイムを無限大にセットする請求項3記載の通信制御装置。
- 暗号化通信を行う通信相手毎にセキュリティポリシを登録したセキュリティポリシデータベースと、通信相手毎に暗号化パラメータを内容とするエントリを登録したセキュリティアソシエーションデータベースとを使用してIPsec通信を行うIPsec通信方法であって、
受信パケットの送信元IPアドレスを用いて前記セキュリティポリシデータベースにセキュリティポリシを登録するステップと、前記セキュリティアソシエーションデータベースからエントリを削除した通信相手についてセキュリティポリシの有効性を判断して無効となったセキュリティポリシを削除するステップと、を具備するIPsec通信方法。 - セキュリティアソシエーションデータベースからエントリが削除された場合、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在しなければ、当該セキュリティポリシをセキュリティポリシデータベースから削除する請求項5記載のIPsec通信方法。
- セキュリティアソシエーションデータベースからエントリが削除された場合、当該エントリに対応するセキュリティポリシ内のライフタイムに有限時間を設定し、当該エントリに対応するセキュリティポリシを参照している他のエントリが存在しなければ、前記有限時間を時間経過と共に減算していきライフタイムが0になったところで当該セキュリティポリシをセキュリティポリシデータベースから削除する請求項5記載のIPsec通信方法。
- 画像を入力する撮像手段と、前記画像をIPパケットにしてネットワーク上へ送出する送信手段と、請求項1から請求項4のいずれかに記載の通信制御装置とを備え、前記通信制御装置による暗号化通信の下で前記画像を通信相手へ送信するネットワークカメラ。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004228582A JP2006050267A (ja) | 2004-08-04 | 2004-08-04 | IPsec通信方法及び通信制御装置並びにネットワークカメラ |
US11/074,714 US7526641B2 (en) | 2004-08-04 | 2005-03-09 | IPsec communication method, communication control apparatus, and network camera |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004228582A JP2006050267A (ja) | 2004-08-04 | 2004-08-04 | IPsec通信方法及び通信制御装置並びにネットワークカメラ |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006050267A true JP2006050267A (ja) | 2006-02-16 |
Family
ID=35759048
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004228582A Pending JP2006050267A (ja) | 2004-08-04 | 2004-08-04 | IPsec通信方法及び通信制御装置並びにネットワークカメラ |
Country Status (2)
Country | Link |
---|---|
US (1) | US7526641B2 (ja) |
JP (1) | JP2006050267A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010241014A (ja) * | 2009-04-07 | 2010-10-28 | Sharp Corp | 印刷装置、印刷システム、及び印刷データ削除方法 |
JP2010268087A (ja) * | 2009-05-13 | 2010-11-25 | Nec Infrontia Corp | ネットワーク装置、ネットワーク及びそれらに用いる自動暗号化通信方法 |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7292198B2 (en) | 2004-08-18 | 2007-11-06 | Ruckus Wireless, Inc. | System and method for an omnidirectional planar antenna apparatus with selectable elements |
US7193562B2 (en) | 2004-11-22 | 2007-03-20 | Ruckus Wireless, Inc. | Circuit board having a peripheral antenna apparatus with selectable antenna elements |
US7358912B1 (en) | 2005-06-24 | 2008-04-15 | Ruckus Wireless, Inc. | Coverage antenna apparatus with selectable horizontal and vertical polarization elements |
US7893882B2 (en) | 2007-01-08 | 2011-02-22 | Ruckus Wireless, Inc. | Pattern shaping of RF emission patterns |
EP2763443B1 (en) | 2005-12-01 | 2019-05-22 | Ruckus Wireless, Inc. | On-demand services by wireless base station virtualization |
US9071583B2 (en) | 2006-04-24 | 2015-06-30 | Ruckus Wireless, Inc. | Provisioned configuration for automatic wireless connection |
US9769655B2 (en) | 2006-04-24 | 2017-09-19 | Ruckus Wireless, Inc. | Sharing security keys with headless devices |
CN103441984B (zh) | 2006-04-24 | 2017-09-05 | 鲁库斯无线公司 | 安全无线网络中的动态认证 |
JP4940820B2 (ja) * | 2006-08-09 | 2012-05-30 | パナソニック株式会社 | ネットワークカメラ |
CN101155183B (zh) * | 2006-09-29 | 2012-02-08 | 松下电器产业株式会社 | 处理巢状网际网络安全协议信道的方法及网络装置 |
JP4345796B2 (ja) * | 2006-09-29 | 2009-10-14 | ブラザー工業株式会社 | 通信方法、通信システムならびに通信システムを構成するサーバ、クライアントおよびコンピュータプログラム |
JP5171245B2 (ja) * | 2007-12-28 | 2013-03-27 | パナソニック株式会社 | プロトコル遅延測定装置及びプロトコル遅延測定方法 |
US8217843B2 (en) | 2009-03-13 | 2012-07-10 | Ruckus Wireless, Inc. | Adjustment of radiation patterns utilizing a position sensor |
DE102010033230A1 (de) * | 2010-08-03 | 2012-02-09 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Einbinden eines Gerätes in ein Netzwerk |
CN103858106B (zh) | 2011-05-01 | 2017-04-26 | 鲁库斯无线公司 | 远程电缆接入点复位 |
US8756668B2 (en) | 2012-02-09 | 2014-06-17 | Ruckus Wireless, Inc. | Dynamic PSK for hotspots |
US10186750B2 (en) | 2012-02-14 | 2019-01-22 | Arris Enterprises Llc | Radio frequency antenna array with spacing element |
US9634403B2 (en) | 2012-02-14 | 2017-04-25 | Ruckus Wireless, Inc. | Radio frequency emission pattern shaping |
US9092610B2 (en) | 2012-04-04 | 2015-07-28 | Ruckus Wireless, Inc. | Key assignment for a brand |
US9027114B2 (en) * | 2013-03-12 | 2015-05-05 | Cisco Technology, Inc. | Changing group member reachability information |
US9615258B2 (en) * | 2015-05-21 | 2017-04-04 | Nokia Solutions And Networks Oy | Method and apparatus for securing timing packets over untrusted packet transport network |
CN106790221B (zh) * | 2017-01-11 | 2020-11-03 | 京信通信系统(中国)有限公司 | 一种英特网协议安全IPSec协议加密方法和网络设备 |
EP3595255A1 (en) * | 2018-07-12 | 2020-01-15 | Nokia Solutions and Networks Oy | Increasing network security by establishing a plurality of active security associations for a security policy identifier |
US20230344812A1 (en) * | 2022-04-20 | 2023-10-26 | Bank Of America Corporation | System and method for establishing a secure session to authenticate dns requests via dynamically configurable trusted network interface controllers |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI105739B (fi) * | 1998-06-10 | 2000-09-29 | Ssh Comm Security Oy | Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten |
US6728713B1 (en) * | 1999-03-30 | 2004-04-27 | Tivo, Inc. | Distributed database management system |
JP2001051917A (ja) | 1999-08-06 | 2001-02-23 | Matsushita Graphic Communication Systems Inc | 通信装置および受信通知方法 |
US20020188871A1 (en) * | 2001-06-12 | 2002-12-12 | Corrent Corporation | System and method for managing security packet processing |
JP3861717B2 (ja) | 2002-03-01 | 2006-12-20 | ソニー株式会社 | ネットワークカメラ及び画像配信処理装置 |
-
2004
- 2004-08-04 JP JP2004228582A patent/JP2006050267A/ja active Pending
-
2005
- 2005-03-09 US US11/074,714 patent/US7526641B2/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010241014A (ja) * | 2009-04-07 | 2010-10-28 | Sharp Corp | 印刷装置、印刷システム、及び印刷データ削除方法 |
JP2010268087A (ja) * | 2009-05-13 | 2010-11-25 | Nec Infrontia Corp | ネットワーク装置、ネットワーク及びそれらに用いる自動暗号化通信方法 |
Also Published As
Publication number | Publication date |
---|---|
US7526641B2 (en) | 2009-04-28 |
US20060031922A1 (en) | 2006-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2006050267A (ja) | IPsec通信方法及び通信制御装置並びにネットワークカメラ | |
JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
US8510549B2 (en) | Transmission of packet data over a network with security protocol | |
JP4101839B2 (ja) | セッション制御サーバ及び通信システム | |
JP4722478B2 (ja) | 関連するストリーミングプロトコル群に対するセキュリティパラメータの統合 | |
US20050111660A1 (en) | Transmitting apparatus and method, receiving apparatus and method, and transmitting and receiving system and method | |
WO2017181894A1 (zh) | 终端连接虚拟专用网的方法、系统及相关设备 | |
EP1724964A1 (en) | Encryption method for SIP message and encrypted SIP communication system | |
JP2005510184A (ja) | 機密保護インターネット・プロトコル権利管理アーキテクチャ用の鍵管理プロトコルおよび認証システム | |
WO2016061819A1 (zh) | 一种访问资源的方法及装置 | |
JP2009526322A (ja) | 変化識別子を使用するセキュアなデジタル・コンテンツ管理 | |
WO2007109999A1 (fr) | Procédé, système, matériel d'abonné et serveur multimédia pour la protection numérique des droits d'auteur | |
CA2321407C (en) | Security mechanisms and architecture for collaborative systems using tuple space | |
CN105429962A (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
CN114422194A (zh) | 一种单包认证方法、装置、服务端及存储介质 | |
US20180248969A1 (en) | Method and apparatus for secure content caching and delivery | |
JP2007142504A (ja) | 情報処理システム | |
US11265298B2 (en) | Method for end-to-end transmission of a piece of encrypted digital information, application of this method and object implementing this method | |
JP3714850B2 (ja) | ゲートウェイ装置、接続サーバ装置、インターネット端末、ネットワークシステム | |
JP5770369B2 (ja) | コンテンツ公開制御システム | |
JP4694240B2 (ja) | 暗号キー配信装置及びそのプログラム | |
JP2010278556A (ja) | パケット送受信装置およびパケット送受信方法 | |
JP2006216014A (ja) | メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体 | |
JP2008182649A (ja) | 暗号化パケット通信システム | |
JP2005184368A (ja) | 通信制御装置、通信制御方法、およびネットワークカメラシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070530 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090527 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090609 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091104 |