JP2006086618A - Communication control method, communication control unit, control program, and recording medium - Google Patents
Communication control method, communication control unit, control program, and recording medium Download PDFInfo
- Publication number
- JP2006086618A JP2006086618A JP2004267192A JP2004267192A JP2006086618A JP 2006086618 A JP2006086618 A JP 2006086618A JP 2004267192 A JP2004267192 A JP 2004267192A JP 2004267192 A JP2004267192 A JP 2004267192A JP 2006086618 A JP2006086618 A JP 2006086618A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- responder
- initiator
- inquiry
- communication control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、IPsec(Internet Protocol security architecture)通信における認証時のトラフィック軽減を行う通信制御方法、通信制御装置、制御プログラム、記録媒体に関するものである。 The present invention relates to a communication control method, a communication control device, a control program, and a recording medium that reduce traffic during authentication in IPsec (Internet Protocol security architecture) communication.
近年、インターネットに代表されるネットワークの普及とともに、電子メールやファイルの送受信がさかんに行われるようになってきた。それに伴い、セキュリティに対する不安も多くなっている。 In recent years, with the spread of networks such as the Internet, electronic mails and files have been sent and received. Along with this, security concerns are increasing.
従来、インターネット等のネットワークにおいて利用されるセキュリティ機構としては、特許文献1、2が開示するように、RFC(Request For Comment)2401に規定されているIP(Internet Protocol)層でのセキュリティ機構であるIPsec、WEBで利用されるSSL(Secure Socket Layer)等がある。
Conventionally, as a security mechanism used in a network such as the Internet, as disclosed in
これらのプロトコルでは、安全な通信を行う前に、通信者間で暗号通信に利用されるセッション鍵を共有する必要がある。その方法としては、RFC2409で規定されているIKE(Internet Key Exchange)、または、SSLに含まれるHandshake Protocol等がある。 In these protocols, it is necessary to share a session key used for encrypted communication between communicators before performing secure communication. As the method, there are IKE (Internet Key Exchange) defined in RFC2409, Handshake Protocol included in SSL, or the like.
IKEは、IPsecに必要な鍵を動的に確立する独立した機構であり、具体的にはRFC2407及びRFC2408に規定されている。鍵交換の枠組みを提供するISAKMP(Internet Security Association and Key Management Protocol)と、ISAKMP上で実際の鍵管理機構を定義しているOakleyとからなる。 IKE is an independent mechanism that dynamically establishes a key required for IPsec, and is specifically defined in RFC2407 and RFC2408. It consists of ISAKMP (Internet Security Association and Key Management Protocol), which provides a key exchange framework, and Oakley, which defines the actual key management mechanism on ISAKMP.
IKEは、ISAKMPのためのISAKMP SA(ISAKMP Security Association)を確立するPhase1と、IPsecのSAを確立するPhase2とにより構成される。これらの2つのPhaseを総称してネゴシエーションという。ネゴシエーションは、例えば、スイッチやルータ等のGatewayとパソコン等の通信端末とがつながった際に、お互いがどの通信モードを利用できるかを確認することである。なお、SAとは、通信を保護するするために用いられる方針や鍵の集合のことである。Phase1には通信者のIDの保護が可能なメインモードと、IDの保護が不可能なアグレッシブモードの2つが存在し、Phase2にはクイックモードのみが存在する。
IKE includes
図1は、メインモードの認証方法を説明するための図である。
図1に示すように、メインモードは、initiator(以下、始動者という)とresponder(以下、応答者という)とを有する。また、tは経過時刻を表している。メインモードは、始動者と応答者との間で6回(3往復)の通信を行ってISAKMPを確立する。始めの2回(1往復)の通信において両者で使用するアルゴリズム等の取り決めが行われる。次の2回(1往復)の通信において鍵交換に必要なDiffie-Hellman鍵交換アルゴリズムの公開値や乱数等の補助的なデータの交換が行われる。そして、最後の2回(1往復)の通信で生成された鍵の認証が行われる。
FIG. 1 is a diagram for explaining a main mode authentication method.
As shown in FIG. 1, the main mode includes an initiator (hereinafter referred to as a starter) and a responder (hereinafter referred to as a responder). T represents the elapsed time. In the main mode, ISAKMP is established by performing communication (three reciprocations) six times between the initiator and the responder. In the first two rounds (one round-trip) communication, an agreement such as an algorithm used by both parties is made. In the next two (one round-trip) communication, auxiliary data such as public values and random numbers of Diffie-Hellman key exchange algorithms necessary for key exchange are exchanged. Then, authentication of the key generated in the last two (one round-trip) communication is performed.
図2は、アグレッシブモードの認証方法を説明するための図である。
図2に示すように、アグレッシブモードは、始動者と応答者とを有する。また、tは経過時刻を表している。アグレッシブモードは、始動者と応答者との間で、3回(1.5往復)の通信を行い、ISAKMP SAを確立する。始めの2回(1往復)の通信において両者で使用するアルゴリズム等の取り決めと、鍵交換に必要なDiffie-Hellman鍵交換アルゴリズムの公開値や乱数等の補助的なデータの交換が行われる。そして、3回目の通信において、始動者の認証と生成された鍵の認証が行われる。この3回目の通信は、生成されるISAKMP SAによって暗号化されない。したがって、IDの保護が不可能となる。
FIG. 2 is a diagram for explaining an authentication method in the aggressive mode.
As shown in FIG. 2, the aggressive mode has a starter and a responder. T represents the elapsed time. In the aggressive mode, the ISAKMP SA is established by communicating three times (1.5 round trips) between the initiator and the responder. In the first two rounds (one round-trip) communication, an agreement is made on the algorithm used by both parties, and exchange of auxiliary data such as the public value of the Diffie-Hellman key exchange algorithm and random numbers required for key exchange is performed. In the third communication, authentication of the starter and authentication of the generated key are performed. This third communication is not encrypted by the generated ISAKMP SA. Accordingly, it is impossible to protect the ID.
メインモード、アグレッシブモードは、電子署名、公開鍵暗号、予め保持している共通鍵を用いる方法の3種類の認証方法が利用可能である。 In the main mode and the aggressive mode, three types of authentication methods can be used: electronic signature, public key cryptography, and a method using a pre-stored common key.
Phase2のクイックモードは、始動者と応答者の間で、3回(1.5回)の通信を行い、IPsecのSAを確立する。クイックモードにおける通信内容は、ISAKMP SAによって保護される。始めの2回(1往復)の通信において、両者で使用するアルゴリズム等の取り決めが行われ、3回目の通信で生成された鍵の認証が行われる。
The
上述のようにして、IPsecで安全な通信を行う前に通信者間で暗号通信に利用されるセッション鍵を共有することができる。 As described above, a session key used for encrypted communication can be shared between communicators before performing secure communication with IPsec.
続いて、認証サーバを利用し、IPsecトンネリングを行う通信システムを考える。IPsecトンネリングとは、暗号によって実現される安全な通信経路のことを指し、仮想的な専用回線とみなすことができる。 Next, consider a communication system that performs IPsec tunneling using an authentication server. IPsec tunneling refers to a secure communication path realized by encryption, and can be regarded as a virtual dedicated line.
図3は、認証サーバを利用してCPE(Customer Premises Equipment)装置の認証を行うネットワークを模式的に示す図である。CPE装置は、企業や家庭などに設置される通信端末のことであり、パソコン等が該当する。図3に示すように、CPE装置の認証を行うネットワークは、ISP(Internet Service Provider)1、Radius(Remoto Authentication Dial In User Service)サーバ2、Gateway3、ESP(Encapsulating Security Payload)トンネル4、CPE装置5−1から5−3を有している。Gateway3は、ルータやスイッチ等がある。なお、ここではCPE装置が3台設置されて図示されているが、CPE装置は1台以上あればよい。
FIG. 3 is a diagram schematically illustrating a network that authenticates a CPE (Customer Premises Equipment) device using an authentication server. The CPE device is a communication terminal installed in a company or home, and corresponds to a personal computer or the like. As shown in FIG. 3, the network for authenticating the CPE device includes an ISP (Internet Service Provider) 1, a Radius (Remoto Authentication Dial In User Service)
まず、CPE装置5−2は、Gateway3を中継して、Radiusサーバ2と認証を行う。CPE装置5−2がRadiusサーバ2と認証が成功した場合、ISP1に通信が可能となる。なお、Radiusサーバ2を利用せずに、Gateway3自身に認証手段があれば、Gateway3で認証処理を行い、認証が成功した場合、ISP1に通信が可能となる。
First, the CPE device 5-2 performs authentication with the Radius
上述した認証処理について、図4を参照しながら詳細に説明する。 The authentication process described above will be described in detail with reference to FIG.
図4は、上述した図3に示すCPE装置の認証を行うネットワークの認証方法を説明するための図である。図4は始動者、応答者、認証サーバから構成されている。なお、始動者、応答者、認証サーバは、それぞれ図3に示すCPE装置、Gateway、Radiusサーバを表している。また、tは経過時刻を表している。 FIG. 4 is a diagram for explaining a network authentication method for authenticating the CPE device shown in FIG. 3 described above. FIG. 4 includes a starter, a responder, and an authentication server. The initiator, responder, and authentication server represent the CPE device, Gateway, and Radius server shown in FIG. 3, respectively. T represents the elapsed time.
図4に示すように、始動者であるCPE装置は、応答者であるGatewayに対し、Phase1、即ち、ISAKMP SAを確立する。Phase1が確立された後、始動者であるCPE装置と応答者であるGatewayとでxauth認証及びRadius-xauth認証をを行う。
As shown in FIG. 4, the CPE device that is the initiator establishes Phase1, that is, ISAKMP SA, to the Gateway that is the responder. After
xauth認証は、始動者であるCPE装置と応答者であるGatewayとで認証用パケットが1往復する。まず、応答者であるGatewayは、始動者であるCPE装置 にREQUESTパケットを送信する。REQUESTパケットは、応答者が始動者に対してユーザネームとパスワードを要求するパケットである。始動者であるCPE装置がREQUESTパケットを受信すると、始動者であるCPE装置は応答者であるGatewayに対して、REPLYパケットを送信する。REPLYパケットは、応答者から受信したREQUESTパケットに対し、ユーザネーム、IPアドレスをセットし、始動者が応答者に応答するパケットである。なお、xauth認証がPAP(Password Authentication Protocol)認証である場合、REPLYパケットはユーザネームとパスワードを入れて、応答者であるGatewayに送信される。 In xauth authentication, the authentication packet makes one round trip between the CPE device that is the initiator and the gateway that is the responder. First, the responding Gateway sends a REQUEST packet to the CPE device that is the initiator. The REQUEST packet is a packet in which the responder requests a user name and a password from the initiator. When the CPE device that is the initiator receives the REQUEST packet, the CPE device that is the initiator sends a REPLY packet to the Gateway that is the responder. The REPLY packet is a packet in which the user name and IP address are set for the REQUEST packet received from the responder, and the initiator responds to the responder. When the xauth authentication is PAP (Password Authentication Protocol) authentication, the REPLY packet is sent to the responding Gateway with the user name and password.
応答者であるGatewayが、REPLYパケットを受信すると、Radiusサーバに対して、Access-Requestパケットを送信する。Access-Requestパケットは、応答者からRadiusサーバに対して、接続要求を行うパケットであり、REPLYパケットにセットされているユーザネームとIPアドレスがセットされている。なお、xauth認証が、PAP認証である場合には、Access-RequestパケットにREPLYパケットのユーザネーム、IPアドレス、パスワードをセットしてRadiusサーバに送信する。 When the responding Gateway receives the REPLY packet, it transmits an Access-Request packet to the Radius server. The Access-Request packet is a packet for making a connection request from the responder to the Radius server, and the user name and IP address set in the REPLY packet are set. When the xauth authentication is PAP authentication, the user name, IP address, and password of the REPLY packet are set in the Access-Request packet and transmitted to the Radius server.
RadiusサーバがAccess-Requestパケットを受信すると、Radiusサーバ自身が有するユーザネーム、IPアドレスと、Access-Requestパケットにセットされたユーザネーム、IPアドレスを比較する。比較した結果、一致した場合、Radiusサーバは、認証成功と判断し、応答者であるGatewayに対して、Access-Acceptパケットを送信する。なお、PAP認証である場合には、比較項目にパスワードが追加される。Access-Acceptパケットは、接続許可を行うパケットであり、Radiusサーバが認証成功と判断した場合に応答者に対して送信するパケットである。 When the Radius server receives the Access-Request packet, it compares the user name and IP address of the Radius server itself with the user name and IP address set in the Access-Request packet. If they match as a result of the comparison, the Radius server determines that the authentication is successful, and transmits an Access-Accept packet to the responding Gateway. In the case of PAP authentication, a password is added to the comparison item. The Access-Accept packet is a packet for permitting connection, and is a packet transmitted to the responder when the Radius server determines that the authentication is successful.
応答者であるGatewayは、Access-Acceptパケットを受信すると、始動者であるCPE装置にSETパケットを送信する。SETパケットは、応答者が始動者に対して認証成功であることを伝えるパケットである。始動者であるCPE装置は、SETパケットを受信すると、応答者であるGatewayに対して、ACKパケットを送信し、認証処理が完了する。ACKパケットは、始動者が応答者から受信したSETパケットに対し、認証成功であったことを確認するパケットである。 When receiving the Access-Accept packet, the Gateway as the responder transmits a SET packet to the CPE device as the initiator. The SET packet is a packet informing the responder that the authentication is successful to the initiator. When the CPE device that is the initiator receives the SET packet, the CPE device transmits an ACK packet to the Gateway that is the responder, and the authentication process is completed. The ACK packet is a packet for confirming that the initiator has succeeded in authenticating the SET packet received from the responder.
なお、Radiusサーバを使用せずにPAP認証を行う場合は、応答者であるGateway自身が有するユーザネーム、IPアドレス、パスワードとREPLYパケットにセットされたユーザネーム、IPアドレス、パスワードを比較する。比較した結果、一致した場合には、応答者であるGatewayは始動者であるCPE装置にSETパケットを送信する。始動者であるCPE装置はSETパケット受信すると、応答者であるGatewayに対して、ACKパケットを送信し、認証処理が完了する。 When PAP authentication is performed without using the Radius server, the user name, IP address, and password of the responding Gateway itself are compared with the user name, IP address, and password set in the REPLY packet. If the comparison results in a match, the responding Gateway sends a SET packet to the initiator CPE device. When the CPE device that is the initiator receives the SET packet, the CPE device transmits an ACK packet to the gateway that is the responder, and the authentication process is completed.
xauth認証及びRadius-xauth認証が完了すると、Phase2、即ち、IPsecのSAを確立する処理が開始さる。IPsecのSAを確立する処理が終了し、Phase1の処理を張り直す場合、Phase1、xauth認証、Radius-xauth認証、Phase2の処理を繰り返す。
When xauth authentication and Radius-xauth authentication are completed,
さらに、上述した応答者であるGatewayとRadiusサーバとの認証処理をフローチャートを参照しながら詳細に説明する。
図5は、応答者であるGatewayとRadiusサーバとの認証処理を示す従来のフローチャートである。
Further, the authentication process between the responder Gateway and the Radius server will be described in detail with reference to a flowchart.
FIG. 5 is a conventional flowchart showing an authentication process between the responding Gateway and the Radius server.
まず、上述の認証方法を利用し、応答者であるGatewayがREPLYパケットを受信する(S101)。次に、応答者であるGatewayが受信したREPLYパケットにセットされているユーザネーム、パスワード等をAccess-Requestパケットにセットし、Gatewayは、RadiusサーバにAccess-Requestパケットを送信する、即ち、認証問い合わせを行う(S102)。Radiusサーバで認証が成功した場合(S103;Yes)、ネゴシエーションを続行、即ち、IKEを継続させる。Radiusサーバで認証が失敗した場合(S103;No)、ネゴシエーションを終了、即ち、IKEを中断する。
しかしながら、上述したような認証方法は、Phase1を張り直す、即ち、始動者と応答者との間で拡張認証を行う場合、その都度Radiusサーバに認証問い合わせをしなければいけなかった。そのため、通信ネットワーク上のトラフィックが増大し、ネットワーク運営に支障をきたしていた。
However, in the authentication method as described above, when
本発明は、上述の問題点に鑑みてなされたものであり、Phase1を張り直す、即ち、始動者と応答者との間で再度拡張認証を行う場合、その都度Radiusサーバに認証問い合わせをしなくてもよい通信制御方法を提供する。
The present invention has been made in view of the above-described problems. When
本発明の通信制御方法の第1の態様は、始動者から送信される認証パケットを応答者が受信する受信ステップと、応答者から認証サーバに認証問い合わせを行う認証問い合わせステップと、認証問い合わせが成功したか否かを判定する認証判定ステップと、認証問い合わせが成功した場合に、ネゴシエーションを続行する認証続行ステップとを備えた通信制御方法であって、始動者から応答者に複数回ネゴシエーションを行った場合に、前記始動者が前記応答者に接続を開始した最初のネゴシエーションであるか否かを判断する認証判断ステップを備えたことを特徴とする通信制御方法である。 According to a first aspect of the communication control method of the present invention, a responder receives an authentication packet transmitted from an initiator, an authentication inquiry step of making an authentication inquiry from the responder to an authentication server, and an authentication inquiry succeeding A communication control method comprising an authentication determination step for determining whether or not an authentication has been successful, and an authentication continuation step for continuing negotiation when an authentication inquiry is successful. In this case, the communication control method further comprises an authentication determination step for determining whether or not the starter is the first negotiation for starting connection with the responder.
本発明の通信制御方法の第2の態様は、認証判断ステップが、最初のネゴシエーションであると判断した場合に、2回目以降のネゴシエーションは始動者から送信される認証パケットの認証情報と応答者が有する認証情報とを比較し、比較した結果一致した場合に、認証成功であると判断することを特徴とする通信制御方法である。 In the second aspect of the communication control method of the present invention, when the authentication determination step determines that the negotiation is the first negotiation, the second and subsequent negotiations are performed by the authentication information of the authentication packet transmitted from the initiator and the responder. The communication control method is characterized in that the authentication information is compared, and if the comparison results in a match, it is determined that the authentication is successful.
本発明の通信制御方法の第3の態様は、認証情報が、ユーザネーム、IPアドレス及びパスワードであることを特徴とする通信制御方法である。 According to a third aspect of the communication control method of the present invention, the authentication information is a user name, an IP address, and a password.
本発明の通信制御装置の第1の態様は、始動者から送信される認証パケットを応答者が受信する受信部と、前記応答者から認証サーバに認証問い合わせを行う認証問い合わせ部と、前記認証問い合わせが成功したか否かを判定する認証判定部と、前記認証問い合わせが成功した場合に、ネゴシエーションを続行する認証続行部とを備えた通信制御装置であって、前記始動者から前記応答者に複数回ネゴシエーションを行った場合に、前記始動者が前記応答者に接続を開始した最初のネゴシエーションであるか否かを判断する認証判断部を備えたことを特徴とする通信制御装置である。 According to a first aspect of the communication control apparatus of the present invention, a responder receives an authentication packet transmitted from an initiator, an authentication inquiry unit that makes an authentication inquiry from the responder to an authentication server, and the authentication inquiry A communication control device including an authentication determination unit that determines whether or not the authentication inquiry is successful, and an authentication continuation unit that continues negotiation when the authentication inquiry is successful. The communication control device includes an authentication determination unit configured to determine whether or not the starter is a first negotiation that starts connection to the responder when the negotiation is performed once.
本発明の通信制御装置の第2の態様は、認証判断部が、最初のネゴシエーションであると判断した場合に、2回目以降のネゴシエーションは始動者から送信される認証パケットの認証情報と応答者が有する認証情報とを比較し、比較した結果一致した場合に、認証成功であると判断することを特徴とする通信制御装置である。 According to a second aspect of the communication control device of the present invention, when the authentication determination unit determines that the negotiation is the first negotiation, the second and subsequent negotiations are performed by the authentication information and the responder of the authentication packet transmitted from the initiator. The communication control device is characterized in that the authentication information is compared and the authentication control unit determines that the authentication is successful when the comparison results in a match.
本発明の通信制御装置の第3の態様は、認証情報が、ユーザネーム、IPアドレス及びパスワードであることを特徴とする通信制御装置である。 According to a third aspect of the communication control apparatus of the present invention, the authentication information is a user name, an IP address, and a password.
本発明の制御プログラムの第1の態様は、始動者から送信される認証パケットを応答者に受信させ、応答者から認証サーバに認証問い合わせを行わせ、認証問い合わせが成功したか否かを判定させ、認証問い合わせが成功した場合に、ネゴシエーションを続行させる通信制御装置をコンピュータにより制御する制御プログラムであって、始動者から応答者に複数回ネゴシエーションを行った場合に、前記始動者が前記応答者に接続を開始した最初のネゴシエーションであるか否かを判断させることを特徴とする制御プログラムである。 According to a first aspect of the control program of the present invention, the responder receives an authentication packet transmitted from the initiator, causes the responder to make an authentication inquiry to the authentication server, and determines whether the authentication inquiry is successful. A control program for controlling the communication control device for continuing the negotiation by the computer when the authentication inquiry is successful, when the initiator initiates a response from the initiator to the responder a plurality of times, the initiator starts the response to the responder. It is a control program characterized by determining whether it is the first negotiation which started the connection.
本発明の制御プログラムの第2の態様は、判断が、最初のネゴシエーションであると判断した場合に、2回目以降のネゴシエーションは始動者から送信される認証パケットの認証情報と応答者が有する認証情報とを比較し、比較した結果一致した場合に、認証成功であると判断させることを特徴とする制御プログラムである。 According to the second aspect of the control program of the present invention, when the determination is made as the first negotiation, the authentication information of the authentication packet transmitted from the initiator and the authentication information held by the responder when the second and subsequent negotiations are performed And a control program characterized in that if the result of the comparison is a match, it is determined that the authentication is successful.
本発明の制御プログラムの第3の態様は、認証情報が、ユーザネーム、IPアドレス及びパスワードであることを特徴とする制御プログラムである。 According to a third aspect of the control program of the present invention, the authentication information is a user name, an IP address, and a password.
本発明の記録媒体の第1の態様は、上述に記載の制御プログラムを記録したことを特徴とするコンピュータ読取可能な記録媒体である。 A first aspect of the recording medium of the present invention is a computer-readable recording medium in which the control program described above is recorded.
本発明の通信制御方法により、始動者と応答者との間で拡張認証を行う場合、その都度Radiusサーバに認証問い合わせをしなくてもよい認証方法を提供することが可能となる。即ち、応答者とRadiusサーバとで行われる認証時のトラフィック量が軽減されることによって、従来より適切なネットワーク運営が期待できる。 According to the communication control method of the present invention, when extended authentication is performed between the initiator and the responder, it is possible to provide an authentication method that does not require an authentication inquiry to the Radius server each time. That is, by reducing the traffic volume at the time of authentication performed between the responder and the Radius server, it is possible to expect a more appropriate network operation than before.
以下に、本発明の実施形態を、図面を参照しながら詳細に説明する。 Embodiments of the present invention will be described below in detail with reference to the drawings.
図6は、本発明の通信制御方法を説明するための図である。
図6に示すように、本発明の通信制御方法は、始動者、応答者、認証サーバで構成される。また、tは経過時刻を表している。まず、始動者は応答者との間で、Phase1の処理を開始する。
FIG. 6 is a diagram for explaining the communication control method of the present invention.
As shown in FIG. 6, the communication control method according to the present invention includes a starter, a responder, and an authentication server. T represents the elapsed time. First, the initiator starts
Phase1では、メインモードを使用する。即ち、始動者と応答者との間で、6回(3往復)の通信を行ってISAKMPを確立する。始めの2回(1往復)の通信において両者で使用するアルゴリズム等の取り決めが行われる。次の2回(1往復)の通信において鍵交換に必要なDiffie-Hellman鍵交換アルゴリズムの公開値や乱数等の補助的なデータの交換が行われる。そして、最後の2回(1往復)の通信で生成された鍵の認証が行われる。Phase1の処理が終了すると、続いて、始動者は応答者との間で、xauth認証及びRadius−xauth認証を開始する。
In
xauth認証は、始動者と応答者とで認証用パケットが1往復する。まず、応答者は、始動者 にREQUESTパケットを送信する。REQUESTパケットは、応答者が始動者に対してユーザネームとIPアドレスを要求するパケットである。始動者がREQUESTパケットを受信すると、始動者は応答者に対して、REPLYパケットを送信する。REPLYパケットは、応答者から受信したREQUESTパケットに対し、ユーザネームとIPアドレスをセットし、始動者が応答者に応答するパケットである。なお、xauth認証がPAP認証である場合、REPLYパケットはユーザネームとIPアドレスとパスワードを入れて、応答者に送信される。 In xauth authentication, the authentication packet makes one round trip between the initiator and the responder. First, the responder sends a REQUEST packet to the initiator. The REQUEST packet is a packet in which the responder requests a user name and an IP address from the initiator. When the initiator receives the REQUEST packet, the initiator sends a REPLY packet to the responder. The REPLY packet is a packet in which a user name and an IP address are set to the REQUEST packet received from the responder, and the initiator responds to the responder. When xauth authentication is PAP authentication, the REPLY packet is sent to the responder with the user name, IP address, and password.
応答者が、REPLYパケットを受信すると、Radiusサーバに対して、Access-Requestパケットを送信する。Access-Requestパケットは、応答者からRadiusサーバに対して、接続要求を行うパケットであり、REPLYパケットにセットされているユーザネームとIPアドレスがAccess-Requestパケットにセットされている。なお、xauth認証が、PAP認証である場合には、Access-RequestパケットにREPLYパケットのユーザネーム、IPアドレス、パスワードをセットしてRadiusサーバに送信する。 When the responder receives the REPLY packet, the responder transmits an Access-Request packet to the Radius server. The Access-Request packet is a packet for making a connection request from the responder to the Radius server, and the user name and IP address set in the REPLY packet are set in the Access-Request packet. When the xauth authentication is PAP authentication, the user name, IP address, and password of the REPLY packet are set in the Access-Request packet and transmitted to the Radius server.
応答者は、Access-Acceptパケットを受信すると、始動者から送信された際のユーザネームとIPアドレスを応答者自身に登録する。さらに、始動者にSETパケットを送信する。SETパケットは、応答者が始動者に対して認証成功であることを伝えるパケットである。始動者は、SETパケットを受信すると、応答者に対して、ACKパケットを送信し、認証処理が完了する。ACKパケットは、始動者が応答者から受信したSETパケットに対し、認証成功であったことを確認するパケットである。 When the responder receives the Access-Accept packet, the responder registers the user name and IP address transmitted from the initiator with the responder itself. Furthermore, a SET packet is transmitted to the initiator. The SET packet is a packet informing the responder that the authentication is successful to the initiator. When the initiator receives the SET packet, the initiator transmits an ACK packet to the responder, and the authentication process is completed. The ACK packet is a packet for confirming that the initiator has succeeded in authenticating the SET packet received from the responder.
なお、Radiusサーバを使用せずにPAP認証を行う場合は、応答者自身が有するユーザネーム、IPアドレス、パスワードとREPLYパケットにセットされたユーザネーム、IPアドレス、パスワードを比較する。比較した結果、一致した場合には、応答者は始動者にSETパケットを送信する。始動者はSETパケット受信すると、応答者に対して、ACKパケットを送信し、認証処理が完了する。 When PAP authentication is performed without using the Radius server, the user name, IP address, and password of the responder itself are compared with the user name, IP address, and password set in the REPLY packet. If the result of the comparison is a match, the responder sends a SET packet to the initiator. When the initiator receives the SET packet, the initiator transmits an ACK packet to the responder, and the authentication process is completed.
始動者が応答者との間で、xauth認証を成功させると、引き続いて、応答者はRadiusサーバとの間でRadius−xauth認証を行う。 If the starter succeeds in xauth authentication with the responder, the responder subsequently performs Radius-xauth authentication with the Radius server.
Radius-xauth認証は、応答者であるGatewayが、REPLYパケットを受信すると、Radiusサーバに対して、Access-Requestパケットを送信する。Access-Requestパケットは、応答者からRadiusサーバに対して、接続要求を行うパケットであり、REPLYパケットにセットされているユーザネームとIPアドレスがAccess-Requestパケットにセットされている。なお、xauth認証が、PAP認証である場合には、Access-RequestパケットにREPLYパケットのユーザネーム、IPアドレス、パスワードをセットしてRadiusサーバに送信する。 In the Radius-xauth authentication, when a gateway as a responder receives a REPLY packet, it transmits an Access-Request packet to the Radius server. The Access-Request packet is a packet for making a connection request from the responder to the Radius server, and the user name and IP address set in the REPLY packet are set in the Access-Request packet. When the xauth authentication is PAP authentication, the user name, IP address, and password of the REPLY packet are set in the Access-Request packet and transmitted to the Radius server.
RadiusサーバがAccess-Requestパケットを受信すると、Radiusサーバ自身が有するユーザネーム、パスワードと、Access-Requestパケットにセットされたユーザネーム、パスワードを比較する。比較した結果、一致した場合、Radiusサーバは、認証成功と判断し、応答者であるGatewayに対して、Access-Acceptパケットを送信する。Access-Acceptパケットは、接続許可を行うパケットであり、Radiusサーバが認証成功と判断した場合に応答者に対して送信するパケットである。 When the Radius server receives the Access-Request packet, it compares the user name and password of the Radius server itself with the user name and password set in the Access-Request packet. If they match as a result of the comparison, the Radius server determines that the authentication is successful, and transmits an Access-Accept packet to the responding Gateway. The Access-Accept packet is a packet for permitting connection, and is a packet transmitted to the responder when the Radius server determines that the authentication is successful.
応答者がRadiusサーバとの間でRadius−xauth認証を成功させ、始動者との間でxauth認証を成功させると、始動者は応答者との間で、Phase2の処理を開始する。
When the responder succeeds in Radius-xauth authentication with the Radius server and succeeds in xauth authentication with the initiator, the initiator starts the process of
Phase2は、クイックモードを使用する。即ち、始動者と応答者の間で、3回(1.5回)の通信を行い、IPsecのSAを確立する。クイックモードにおける通信内容は、ISAKMP SAによって保護される。始めの2回(1往復)の通信において、両者で使用するアルゴリズム等の取り決めが行われ、3回目の通信で生成された鍵の認証が行われる。 Phase2 uses quick mode. That is, communication is performed three times (1.5 times) between the initiator and the responder to establish an IPsec SA. Communication contents in the quick mode are protected by ISAKMP SA. In the first two (one round-trip) communication, an algorithm used for both is determined, and the key generated in the third communication is authenticated.
次に、始動者はPhase1の張り直し処理を行う。上述のPhase1の処理が終了後、続いて、始動者は応答者との間で、xauth認証を開始する。
Next, the starter performs
xauth認証は、始動者と応答者とで認証用パケットが1往復する。まず、応答者は、始動者 にREQUESTパケットを送信する。始動者がREQUESTパケットを受信すると、始動者は応答者に対して、REPLYパケットを送信する。REPLYパケットは、応答者から受信したREQUESTパケットに対し、ユーザネームをセットし、始動者が応答者に応答するパケットである。なお、xauth認証がPAP認証である場合、REPLYパケットはユーザネームとパスワードを入れて、応答者に送信される。 In xauth authentication, the authentication packet makes one round trip between the initiator and the responder. First, the responder sends a REQUEST packet to the initiator. When the initiator receives the REQUEST packet, the initiator sends a REPLY packet to the responder. The REPLY packet is a packet in which the user name is set for the REQUEST packet received from the responder, and the initiator responds to the responder. When xauth authentication is PAP authentication, the REPLY packet is sent to the responder with the user name and password.
応答者が、REPLYパケットを受信すると、応答者自身に登録されているユーザネームとIPアドレスとREPLYパケットにセットされているユーザネームとIPアドレスとを比較する。比較した結果、一致した場合、始動者は応答者との間で、Phase2の処理を行う。一致しなかった場合、応答者は始動者とのネゴシエーションを終了させる。
When the responder receives the REPLY packet, the user name and IP address registered in the responder itself are compared with the user name and IP address set in the REPLY packet. If the result of the comparison is a match, the starter performs
即ち、応答者とRadiusサーバとの間で1回目の認証が成功すると、2回目以降の応答者とRadiusサーバとの間での認証問い合わせは行わない。即ち、従来の応答者とRadiusサーバとの間での認証問い合わせである、図6に示す破線の矢印部分は、本発明によって行わないようにする。 That is, when the first authentication is successful between the responder and the Radius server, the second and subsequent responders and the Radius server are not inquired for authentication. That is, the broken line arrow portion shown in FIG. 6 which is an authentication inquiry between the conventional responder and the Radius server is not performed by the present invention.
その際、応答者とRadiusサーバとの認証問い合わせは、1回目で認証が成功した際のユーザネーム、IPアドレスを状態保持しておく。そして、2回目以降の応答者とRadiusサーバとの認証問い合わせで、1回目で認証が成功した際のユーザネーム、
IPアドレスを使用することにより、2回目以降の応答者とRadiusサーバとの認証問い合わせが不要となる。PAP認証の場合には、応答者はユーザネームとIPアドレスとパスワードを状態保持しておく。
At that time, the authentication inquiry between the responder and the Radius server holds the state of the user name and IP address when the authentication is successful at the first time. And the authentication name between the responder for the second time and the Radius server, the user name when the authentication was successful in the first time,
By using the IP address, the second and subsequent responders and the Radius server do not need to be authenticated. In the case of PAP authentication, the responder keeps a user name, an IP address, and a password.
なお、上述した2回目以降の応答者とRadiusサーバとの認証問い合わせが不要とならず、2回目以降の応答者とRadiusサーバとの認証問い合わせが必要となるのは、始動者と応答者とのSAがすべて解放された場合のみである。 In addition, the above-mentioned authentication inquiry between the responder and the Radius server after the second time is not necessary, and the authentication inquiry between the responder and the Radius server after the second time is necessary between the starter and the responder. Only when all SAs are released.
そして、上述の実施形態はメインモードを利用して、Phase1の処理を行ったが、アグレッシブモードを利用して、Phase1の処理を行ってもよい。
In the above-described embodiment, the
さらに、上述した本発明の応答者とRadiusサーバとの認証処理をフローチャートを参照しながら詳細に説明する。
図7は、応答者とRadiusサーバとの認証処理を示す本発明のフローチャートである。
Furthermore, the authentication process between the responder of the present invention and the Radius server will be described in detail with reference to a flowchart.
FIG. 7 is a flowchart of the present invention showing an authentication process between the responder and the Radius server.
まず、応答者は始動者からREPLYパケットを受信する(S201)。応答者はREPLYパケットを受信すると、状態保持の判定を行う(S202)。なお、状態保持とは、ユーザネーム、IPアドレス等が応答者に保持されている状態をいう。応答者が状態保持中でない場合、即ち、ユーザネーム、IPアドレス等が保持されていない場合(S202;YES)、応答者はRadiusサーバに対して認証問い合わせを行う(S203)。即ち、応答者はRadiusサーバに対してAccess-Requestパケットを送信する。 First, the responder receives a REPLY packet from the initiator (S201). When the responder receives the REPLY packet, it determines whether or not to hold the state (S202). Note that the state holding means a state in which a responder holds a user name, an IP address, and the like. If the responder is not holding the state, that is, if the user name, IP address, etc. are not held (S202; YES), the responder makes an authentication inquiry to the Radius server (S203). That is, the responder transmits an Access-Request packet to the Radius server.
応答者はRadiusサーバに対して認証問い合わせを行い、認証が成功したか否かを判定する(S204)。即ち、Access-Requestパケットにセットされているユーザネーム、IPアドレス等とRadiusサーバに登録されているユーザネーム、IPアドレス等とを比較する。 The responder makes an authentication inquiry to the Radius server and determines whether or not the authentication is successful (S204). That is, the user name and IP address set in the Access-Request packet are compared with the user name and IP address registered in the Radius server.
認証が成功した場合(S204:YES)、即ち、Access-Requestパケットにセットされているユーザネーム、IPアドレス等とRadiusサーバに登録されているユーザネーム、IPアドレス等とが一致した場合、応答者は状態保持を行う。即ち、応答者は始動者のユーザネーム、IPアドレス等を保持する(S205)。そして、応答者は、ネゴシエーションを続行する(S206)、即ち、IKEを継続させる。 If the authentication is successful (S204: YES), that is, if the user name and IP address set in the Access-Request packet match the user name and IP address registered in the Radius server, the responder Does state retention. That is, the responder holds the user name, IP address, etc. of the initiator (S205). Then, the responder continues the negotiation (S206), that is, continues the IKE.
一方、応答者が状態保持中である場合、即ち、応答者が始動者のユーザネーム、IPアドレス等を保持している場合(S202;NO)、応答者に状態保持されている始動者のユーザネーム、IPアドレス等と、REPLYパケットにセットされているユーザネーム、IPアドレス等とを比較する(S207)。 On the other hand, if the responder is holding the state, that is, if the responder holds the user name, IP address, etc. of the starter (S202; NO), the user of the starter whose state is held by the responder The name, IP address, etc. are compared with the user name, IP address, etc. set in the REPLY packet (S207).
応答者に状態保持されている始動者のユーザネーム、IPアドレス等と、REPLYパケットにセットされているユーザネーム、IPアドレス等とを比較した結果、一致した場合(S207;YES)、ネゴシエーションは続行される(S206)。一方で、応答者に状態保持されている始動者のユーザネーム、IPアドレス等と、REPLYパケットにセットされているユーザネーム、IPアドレス等とを比較した結果、一致しなかった場合(S207;NO)、応答者はネゴシエーションを終了させる(S206)。 If the user name, IP address, etc. of the initiator that is kept in the responder match the user name, IP address, etc. set in the REPLY packet, if they match (S207: YES), the negotiation continues. (S206). On the other hand, as a result of comparing the user name, IP address, etc. of the starter held in the responder with the user name, IP address, etc. set in the REPLY packet, they do not match (S207; NO) ), The responder ends the negotiation (S206).
また、応答者がRadiusサーバに対して認証問い合わせを行い、認証が成功したか否かを判定する処理(S204)で、認証が失敗した場合(S204;NO)、応答者はネゴシエーションを終了させる(S206)。即ち、応答者がRadiusサーバに対してAccess-Requestパケットを送信し、Access-Requestパケットにセットされている始動者のユーザネーム、IPアドレス等と、Radiusサーバに登録されているユーザネーム、IPアドレス等とが一致しなかった場合は、応答者はネゴシエーションを終了させる。 When the responder makes an authentication inquiry to the Radius server and determines whether or not the authentication has succeeded (S204), if the authentication fails (S204; NO), the responder ends the negotiation ( S206). That is, the responder sends an Access-Request packet to the Radius server, and the user name and IP address of the initiator set in the Access-Request packet and the user name and IP address registered in the Radius server If they do not match, the responder terminates the negotiation.
なお、本実施形態はRadiusサーバを認証サーバとして使用したが、AAA(Authentication、Authorization、Authorization)サーバであればよく、TACACS(Terminal Access Controller Access Control System)サーバ等であってもよい。 In this embodiment, the Radius server is used as the authentication server. However, an AAA (Authentication, Authorization, Authorization) server may be used, and a TACACS (Terminal Access Controller Access Control System) server or the like may be used.
さらに、本発明の通信制御装置(応答者)の動作について図8を参照しながら詳細に説明する。 Further, the operation of the communication control apparatus (responder) of the present invention will be described in detail with reference to FIG.
図8は本発明の通信制御装置を示す他のブロック図である。図8に示すように、本発明の通信制御装置は、ISAKMP制御デーモン7、Kernel8、ピア情報データベース9、SA情報データベース10を備えている。なお、本実施形態では、上述したRadiusサーバを使用せずに、始動者と応答者との間で認証処理を行うことを考える。
FIG. 8 is another block diagram showing the communication control apparatus of the present invention. As shown in FIG. 8, the communication control apparatus of the present invention includes an
まず、始動者が応答者に接続すると、上述した応答者はPhase1の処理を開始する。そして、Phase1の処理が終了すると、次に応答者は、xauth認証を開始する。なお、Phase1の処理はメインモード、アグレッシブモードのどちらでもよい。
First, when the starter connects to the responder, the responder described above starts the processing of Phase1. Then, when the processing of
xauth認証では、応答者が始動者に対して、REQUESTパケットを送信する。始動者は、応答者から送信されたREQUESTパケットを受信すると、ユーザネーム、IPアドレスをREPLYパケットにセットし、応答者に送信する。 In xauth authentication, the responder sends a REQUEST packet to the initiator. When the initiator receives the REQUEST packet transmitted from the responder, the initiator sets the user name and IP address in the REPLY packet and transmits the packet to the responder.
応答者は、始動者から送信されたREPLYパケットを受信する。そして、応答者は、REPLYパケットにセットされているユーザネーム、IPアドレスと、応答者自身に登録されているユーザネーム、IPアドレスとを比較する。比較して一致した場合、応答者の内部にあるISAKMP制御デーモン7は、ピア情報データベース8に登録されたピアの情報を基にSETパケットの送信依頼を、応答者の内部にあるKernel9に行う。
The responder receives the REPLY packet transmitted from the initiator. Then, the responder compares the user name and IP address set in the REPLY packet with the user name and IP address registered in the responder itself. If they match, the
SETパケットの送信依頼を受けたKernel9は、始動者にSETパケットを送信する。SETパケットを受信した始動者は、応答者に対しACKパケットを送信する。応答者は始動者から送信されたACKパケットを受信すると、応答者は上述のPhase2の処理を開始する。
応答者は、上述のPhase2の処理を終了すると、応答者内部にあるISAKMP制御デーモン7が、Kernel9に対してIPsec SAの作成完了通知を行い、SA情報データベース10にIPsec SA情報登録する。そして、Kernel9はSA情報データベース10に登録されたSA情報を利用し、応答者と始動者とのESP通信を開始する。
When the responder finishes the processing of
以上の説明においては、通信制御装置を制御するための制御プログラムが予めROMに記憶されている場合について説明したが、各種磁気ディスク、光ディスク、メモリカード等の記録媒体に制御用のプログラムをあらかじめ記録し、これらの記録媒体から読み込み、インストールするように構成することも可能である。 In the above description, the case where the control program for controlling the communication control device is stored in the ROM in advance has been described. However, the control program is recorded in advance on recording media such as various magnetic disks, optical disks, and memory cards. However, it is also possible to read and install from these recording media.
また、通信インタフェースを設け、インターネット、LANなどのネットワークを介して制御用プログラムをダウンロードし、インストールして実行するように構成することも可能である。このように構成することにより、ソフトウェア的により高機能としたり、より信頼性の高いネットワーク機器を構成することが可能となる。 It is also possible to provide a communication interface and download the control program via a network such as the Internet or LAN, and install and execute it. By configuring in this way, it becomes possible to configure a network device with higher functionality and higher reliability in terms of software.
なお、本発明は、上述した実施形態に限定されるものではなく、その要旨を逸脱しない範囲内で種々変形して実施することが可能である。 Note that the present invention is not limited to the above-described embodiment, and various modifications can be made without departing from the scope of the invention.
本発明の通信制御方法により、始動者と応答者との間で拡張認証を行う場合、その都度Radiusサーバに認証問い合わせをしなくてもよい。その結果、通信トラフィック量が軽減され、ネットワーク運営が良好となるため産業上の利用可能性が高い。 When performing extended authentication between the initiator and the responder by the communication control method of the present invention, it is not necessary to make an authentication inquiry to the Radius server each time. As a result, the amount of communication traffic is reduced and the network operation is improved, so the industrial applicability is high.
1 インターネット
2 Radiusサーバ
3 Gateway(応答者)
4 ESPトンネル
5−1〜5−3 CPE装置(始動者)
6 ネットワーク
7 ISAKMP制御デーモン
8 ピア情報データベース
9 Kernel
10 SA情報データベース
1
4 ESP tunnel 5-1 to 5-3 CPE equipment (starter)
6
10 SA information database
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004267192A JP2006086618A (en) | 2004-09-14 | 2004-09-14 | Communication control method, communication control unit, control program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004267192A JP2006086618A (en) | 2004-09-14 | 2004-09-14 | Communication control method, communication control unit, control program, and recording medium |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006086618A true JP2006086618A (en) | 2006-03-30 |
Family
ID=36164792
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004267192A Pending JP2006086618A (en) | 2004-09-14 | 2004-09-14 | Communication control method, communication control unit, control program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006086618A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012034169A (en) * | 2010-07-30 | 2012-02-16 | Access Co Ltd | Packet authentication system, authentication method, and program |
-
2004
- 2004-09-14 JP JP2004267192A patent/JP2006086618A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012034169A (en) * | 2010-07-30 | 2012-02-16 | Access Co Ltd | Packet authentication system, authentication method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8275989B2 (en) | Method of negotiating security parameters and authenticating users interconnected to a network | |
US7003662B2 (en) | System and method for dynamically determining CRL locations and access methods | |
US8201233B2 (en) | Secure extended authentication bypass | |
US6938155B2 (en) | System and method for multiple virtual private network authentication schemes | |
US8209753B2 (en) | Universal secure messaging for remote security tokens | |
EP2290895B1 (en) | Method, system and device for negotiating security association (sa) in ipv6 network | |
US20070283430A1 (en) | Negotiating vpn tunnel establishment parameters on user's interaction | |
US20050149732A1 (en) | Use of static Diffie-Hellman key with IPSec for authentication | |
US20080152140A1 (en) | Mass subscriber management | |
US11451959B2 (en) | Authenticating client devices in a wireless communication network with client-specific pre-shared keys | |
WO2015010537A1 (en) | Encrypted communications method and encrypted communications system | |
WO2006089473A1 (en) | A method for realizing network access authentication | |
EP2159988B1 (en) | Authentication and authorisation of a remote client | |
US20020178240A1 (en) | System and method for selectively confirming digital certificates in a virtual private network | |
US20030005328A1 (en) | Dynamic configuration of IPSec tunnels | |
US20060021036A1 (en) | Method and system for network security management | |
WO2009082950A1 (en) | Key distribution method, device and system | |
JP3833652B2 (en) | Network system, server device, and authentication method | |
JP2004528624A (en) | A device for pre-authenticating a user using a one-time password | |
CN114764492A (en) | SDP access control method and system based on block chain | |
JP2011054182A (en) | System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message | |
CA2595191C (en) | Negotiating vpn tunnel establishment parameters on user's interaction | |
JP2006086618A (en) | Communication control method, communication control unit, control program, and recording medium | |
JP2008199420A (en) | Gateway device and authentication processing method | |
JP2003224562A (en) | Personal authentication system and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20061215 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070501 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20081022 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090406 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090818 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091209 |