JP2007235715A - Network equipment - Google Patents

Network equipment Download PDF

Info

Publication number
JP2007235715A
JP2007235715A JP2006056407A JP2006056407A JP2007235715A JP 2007235715 A JP2007235715 A JP 2007235715A JP 2006056407 A JP2006056407 A JP 2006056407A JP 2006056407 A JP2006056407 A JP 2006056407A JP 2007235715 A JP2007235715 A JP 2007235715A
Authority
JP
Japan
Prior art keywords
network device
ipsec
communication
error
notification method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006056407A
Other languages
Japanese (ja)
Other versions
JP2007235715A5 (en
JP4980627B2 (en
Inventor
Tomochika Aikawa
智慎 相川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2006056407A priority Critical patent/JP4980627B2/en
Publication of JP2007235715A publication Critical patent/JP2007235715A/en
Publication of JP2007235715A5 publication Critical patent/JP2007235715A5/ja
Application granted granted Critical
Publication of JP4980627B2 publication Critical patent/JP4980627B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide network equipment capable of identify causes related to the inadequate setting easily when the communication of IPsec fails by notifying a user of which steps have been completed normally until now for each step of communication procedures. <P>SOLUTION: The network equipment corresponds to the IPsec communication, and comprises a means for retaining a setting parameter required for IPsec connection set by the user, a means for maintaining an error information output level set by the user, and a means for notifying the user of error information occurring in the process of the IPsec communication. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、IPsec(Security Architecture for Internet Protocol)通信対応のネットワーク機器に関する。   The present invention relates to a network device compatible with IPsec (Security Architecture for Internet Protocol) communication.

IPsecの通信手順には複数の段階があり、それぞれの段階に対して複数の設定を必要とするという特徴を持つ。IPsec通信を行うためには、各段階における全ての設定を通信相手と揃える必要がある。そのため、多数のIPsec設定の中に一つでも問題がある場合、通信自体が行えなくなる。通信が行えなくなることにより、通信相手から何の返答も得られないため、使用者は設定の不備に関して何ら情報を得ることができない。   The IPsec communication procedure has a plurality of stages and has a feature that a plurality of settings are required for each stage. In order to perform IPsec communication, it is necessary to align all settings at each stage with the communication partner. Therefore, if there is a problem in one of many IPsec settings, communication itself cannot be performed. Since no communication can be obtained from the communication partner due to the inability to perform communication, the user cannot obtain any information regarding the incomplete setting.

一方、特許文献1には、ファクシミリ装置等の通信装置におけるエラーの発生状況を外部端末で監視できるようにした技術が開示されている。
特開2005−223947号公報 On the other hand, Patent Document 1 discloses a technique that enables an external terminal to monitor an error occurrence state in a communication apparatus such as a facsimile apparatus.
JP 2005-223947 A

上述したように、使用者は、IPsec設定の設定ミスが原因で通信が行えなくなった場合、通信相手から何の返答も得られないため、どの設定に問題があるかを原因特定することが困難であるという問題があった。   As described above, the user cannot obtain any response from the communication partner when communication cannot be performed due to a mistake in the setting of the IPsec setting, so it is difficult to identify the cause of which setting has a problem. There was a problem of being.

また、自動鍵交換方式を用いる場合はリキーと呼ばれるSA(Security Association)の再確立が行われ、このリキーが失敗した場合、新たなSAが確立できず突然通信不能になるため、使用者はどの設定に問題があるかを原因特定することが困難であった。   When the automatic key exchange method is used, re-establishment of SA (Security Association) called re-key is performed. If this re-key fails, a new SA cannot be established and sudden communication becomes impossible. It was difficult to determine whether there was a problem with the settings.

更に、IPsecには一般的な各種通信エラーのほかにIPsec特有のエラーとして、パラメータが異なることにより暗号解読に失敗した場合のエラー、プロポーザルが適合しない場合のエラーがある。通常、これらのエラーが起きた際には通信ができなくなってしまうため、使用者は問題解決のための情報を得ることができなかった。   Furthermore, in addition to various general communication errors, IPsec has errors that are specific to IPsec, such as errors when decryption fails due to different parameters, and errors when proposals do not fit. Normally, when these errors occur, communication becomes impossible, and the user cannot obtain information for solving the problem.

本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、通信手順の段階ごとに、どの段階までが正常に終了したかを使用者に通知することで、IPsecの通信失敗時の設定不備に関する原因特定を容易にすることのできるネットワーク機器を提供することにある。   The present invention has been proposed in view of the above-described conventional problems, and the purpose of the present invention is to notify the user of which stage has been normally completed for each stage of the communication procedure. It is an object of the present invention to provide a network device that can easily identify the cause of a setting defect when IPsec communication fails.

上記の課題を解決するため、本発明にあっては、
請求項1に記載されるように、IPsec通信対応のネットワーク機器であって、使用者により設定されるIPsec接続に必要な設定パラメータを保持する手段と、使用者により設定されるエラー情報出力レベルを保持する手段と、IPsec通信の過程で発生したエラー情報を使用者に通知する手段とを備えるネットワーク機器を要旨としている。 In order to solve the above problems, in the present invention,
According to a first aspect of the present invention, there is provided a network device that is compatible with IPsec communication and that stores a setting parameter necessary for IPsec connection set by a user, and an error information output level set by the user. The gist of the present invention is a network device including means for holding and means for notifying a user of error information generated in the course of IPsec communication.

また、請求項2に記載されるように、請求項1に記載のネットワーク機器において、IPsec化するプロトコルとして、IPv6通信に対応するプロトコルを用いるようにすることができる。   Further, as described in claim 2, in the network device according to claim 1, a protocol corresponding to IPv6 communication can be used as a protocol to be changed to IPsec.

また、請求項3に記載されるように、請求項1に記載のネットワーク機器において、IPsec化するプロトコルとして、IPv4通信に対応するプロトコルを用いるようにすることができる。   Further, as described in claim 3, in the network device according to claim 1, a protocol corresponding to IPv4 communication can be used as a protocol to be changed to IPsec.

また、請求項4に記載されるように、請求項1に記載のネットワーク機器において、IPsec通信の過程で発生したエラー情報を使用者に通知するための表示パネルを備えるようにすることができる。   Further, as described in claim 4, the network device according to claim 1 can be provided with a display panel for notifying a user of error information generated in the process of IPsec communication.

また、請求項5に記載されるように、請求項1に記載のネットワーク機器において、過去のIPsec通信の過程で発生したエラー情報を蓄積する記憶手段を備えるようにすることができる。   Further, as described in claim 5, the network device according to claim 1 can be provided with storage means for accumulating error information generated in the past IPsec communication process.

また、請求項6に記載されるように、請求項1に記載のネットワーク機器において、出力するエラー情報の種類を使用者が設定するようにすることができる。   Further, as described in claim 6, in the network device according to claim 1, the user can set the type of error information to be output.

また、請求項7に記載されるように、請求項1に記載のネットワーク機器において、IPsec通信の過程で発生したエラー情報を外部telnet端末から参照可能なtelnetシステムを備えるようにすることができる。   In addition, as described in claim 7, in the network device according to claim 1, it is possible to provide a telnet system capable of referring to error information generated in the course of IPsec communication from an external telnet terminal.

また、請求項8に記載されるように、請求項1に記載のネットワーク機器において、IPsec通信の過程で発生したエラー情報を外部Webブラウザから参照可能なWebシステムを備えるようにすることができる。   Further, as described in claim 8, the network device according to claim 1 can be provided with a Web system capable of referring to error information generated in the course of IPsec communication from an external Web browser.

また、請求項9〜16に記載されるように、ネットワーク機器のエラー通知方法として構成することができる。   Further, as described in claims 9 to 16, it can be configured as an error notification method for a network device.

本発明のネットワーク機器にあっては、通信手順の段階ごとに、どの段階までが正常に終了したかを使用者に通知することで、IPsecの通信失敗時の設定不備に関する原因特定を容易にすることができる。   In the network device of the present invention, for each stage of the communication procedure, the user is notified of which stage has been successfully completed, thereby facilitating the identification of the cause of the setting failure at the time of IPsec communication failure. be able to.

以下、本発明の好適な実施形態につき説明する。   Hereinafter, preferred embodiments of the present invention will be described.

図1は本発明のネットワーク機器を用いたネットワークシステムの一実施形態を示す全体構成図である。図1において、ネットワーク機器1A、1Bはネットワーク3上に配置され、ネットワーク機器1C、1Dはネットワーク4上に配置され、両ネットワーク3、4はルータ2により接続されている。ネットワーク機器1A〜1Dは、クライアントPC(Personal Computer)、サーバ、プリンタ、MFP(Multi Function Printer)等が想定される。また、ネットワーク機器1A〜1Dはtelnet端末やWebブラウザとして動作することもある。   FIG. 1 is an overall configuration diagram showing an embodiment of a network system using a network device of the present invention. In FIG. 1, network devices 1 A and 1 B are arranged on a network 3, network devices 1 C and 1 D are arranged on a network 4, and both networks 3 and 4 are connected by a router 2. The network devices 1A to 1D are assumed to be client PCs (Personal Computers), servers, printers, MFPs (Multi Function Printers), and the like. The network devices 1A to 1D may operate as telnet terminals or Web browsers.

ネットワーク機器1A〜1DはIPsecに対応している。IPsecには、全ての通信をIPsec化して直接通信を行うトランスポートモードのほかに、ゲートウェイ機器間のみをIPsec化するトンネルモードと呼ばれる方式も存在する。通信する相手側のネットワーク機器としては、同じネットワーク3、4に接続された同一セグメント内のネットワーク機器であっても、ルータ2を介して別のセグメントに存在するネットワーク機器であっても構わない。なお、図にはIPv6(Internet Protocol version 6)対応のネットワーク機器を記載しており、この場合は機器に一意のアドレスが自動的に割り当てられてセグメントを越えて互いにアクセス可能となるが、IPv4(Internet Protocol version 4)アドレス対応のネットワーク機器でも同様に適用可能である。   The network devices 1A to 1D are compatible with IPsec. In IPsec, in addition to a transport mode in which all communications are converted to IPsec and direct communication is performed, there is a method called a tunnel mode in which only gateway devices are converted to IPsec. The network device on the other side of communication may be a network device in the same segment connected to the same network 3 or 4, or a network device existing in another segment via the router 2. In the figure, a network device compatible with IPv6 (Internet Protocol version 6) is described. In this case, a unique address is automatically assigned to the device so that it can be accessed beyond the segment. Internet Protocol version 4) The same applies to network devices that support addresses.

図2はネットワーク機器1の内部構成例を示すソフトウェアモジュール構成図である。図2において、ネットワーク機器1は、IPsec通信を利用する上位のアプリケーション11と、IPsec通信を司るネットワーク制御部12と、OS(Operating System)13とを備えている。   FIG. 2 is a software module configuration diagram illustrating an internal configuration example of the network device 1. In FIG. 2, the network device 1 includes a host application 11 that uses IPsec communication, a network control unit 12 that manages IPsec communication, and an OS (Operating System) 13.

ネットワーク制御部12は、使用者により設定されるIPsec設定を保持するIPsec設定テーブル121と、このIPsec設定テーブル121に保持されるIPsec設定に基づいてIPsec通信を実行するIPsec通信部122と、使用者により設定されるどのログを出力するか(エラー情報出力レベル)を示す情報を保持するログ出力設定テーブル123と、IPsec通信の状況を判定し、ログ出力設定テーブル123に保持される情報に基づいて、そのつどログ出力するかどうかを決定し、各通信のエラーやIPsec特有の通信不能状態である暗号解読失敗エラー、プロポーザル不適合等のログを出力するIPsec状況判定部124と、出力されたログを保持するログテーブル125とを備えている。IPsec設定テーブル121、ログ出力設定テーブル123、ログテーブル125はNVRAM(Non Volatile RAM(Random Access Memory))や磁気ディスク装置等に保存される。   The network control unit 12 includes an IPsec setting table 121 that holds IPsec settings set by a user, an IPsec communication unit 122 that executes IPsec communication based on the IPsec settings held in the IPsec setting table 121, and a user Log output setting table 123 holding information indicating which log to be output (error information output level), and the state of IPsec communication are determined, and based on the information held in log output setting table 123 In this case, it is determined whether to output a log each time, an IPsec status determination unit 124 that outputs a log of each communication error, a decryption failure error that is unique to IPsec, a proposal nonconformity, and the output log. And a log table 125 to be held. The IPsec setting table 121, the log output setting table 123, and the log table 125 are stored in an NVRAM (Non Volatile RAM (Random Access Memory)), a magnetic disk device, or the like.

OS13は、ネットワークプロトコル131とネットワーク通信ドライバ132とを備えている。   The OS 13 includes a network protocol 131 and a network communication driver 132.

図3はIPsec設定テーブル121の例を示す図であり、mode、IKE(Internet Key Exchange)Phase1認証方式、IPアドレス/マスク等の項目と、それに対応する設定値とが保持される。   FIG. 3 is a diagram showing an example of the IPsec setting table 121, which holds items such as mode, IKE (Internet Key Exchange) Phase 1 authentication method, IP address / mask, and setting values corresponding thereto.

図4はログ出力設定テーブル123の例を示す図であり、ログ取得、IKE Phase1通信エラー、IKE Phase2通信エラー、IKE Phase2暗号解読エラー、IPsecプロポーザル不適合、IPsec通信エラー、IPsec暗号解読エラー、リキー失敗エラー等の項目と、それに対応する設定値(ONもしくはOFF)とが保持される。   FIG. 4 is a diagram showing an example of the log output setting table 123. Log acquisition, IKE Phase 1 communication error, IKE Phase 2 communication error, IKE Phase 2 decryption error, IPsec proposal nonconformity, IPsec communication error, IPsec decryption error, rekey failure Items such as errors and corresponding setting values (ON or OFF) are held.

図5はログテーブル125の例を示す図であり、事象が発生した日時、通信元のIPアドレスであるsrc、通信先のIPアドレスであるdst、事象の内容を含んでいる。   FIG. 5 is a diagram showing an example of the log table 125, which includes the date and time when the event occurred, the source IP address src, the destination IP address dst, and the event content.

図6〜図8はIPsec通信の設定画面の例を示す図である。使用者はIPsec通信対応のネットワーク機器1の設定パネル等から、IKE Phase1、IKE Phase2、IPsecの各種設定を行う。設定項目には選択式のものや、鍵フレーズと呼ばれるパスワード情報を入力するものが存在する。   6 to 8 are diagrams showing examples of setting screens for IPsec communication. The user performs various settings for IKE Phase 1, IKE Phase 2, and IPsec from the setting panel of the network device 1 that supports IPsec communication. The setting items include a selection type and a type for inputting password information called a key phrase.

IPsecの通信手順における複数の段階とそれぞれの設定は以下のようになる。   A plurality of stages and respective settings in the communication procedure of IPsec are as follows.

IPsecにおけるコネクションをSAと呼ぶ。IPsecではSAを確立し、そのSAを用いて通信を行う。IPsec SAは各種パラメータにより完全性が保証され、暗号化処理される。IPsecにはSAを確立する方法として、自動鍵交換方式と手動鍵交換方式がある。使用者はIPsecを使用するために、自動鍵交換方式と手動鍵交換方式、どちらの方法を用いるかを設定する必要がある。   A connection in IPsec is called SA. In IPsec, an SA is established and communication is performed using the SA. IPsec SA is guaranteed to be complete by various parameters and is encrypted. IPsec has an automatic key exchange method and a manual key exchange method as methods for establishing an SA. In order to use IPsec, the user needs to set which method to use, an automatic key exchange method or a manual key exchange method.

IPsecのためのSAを自動鍵交換方式を用いて確立する場合、通信プロトコルや暗号鍵などのIPsecパラメータの交換を行うために、自動鍵交換プロトコルIKEと呼ばれる通信を行う。IKEではまず、平文の通信を行ってIKE用の通信プロトコルや暗号鍵を交換し、ISAKMP(Internet Security Association Key Management Protocol)SAと呼ばれる鍵交換のためのコネクションを確立する(IKE Phase1)。次にIKE用の通信プロトコルや暗号鍵で暗号化したISAKMP SAと呼ばれるコネクションで、IPsec用の通信プロトコルや暗号鍵などを交換する(IKE Phase2)。IPsecは、これらの手順を経ることでIPsec SAを確立することができ、セキュリティ通信を行うことができる。   When establishing an SA for IPsec using an automatic key exchange method, communication called an automatic key exchange protocol IKE is performed in order to exchange IPsec parameters such as a communication protocol and an encryption key. In IKE, first, plaintext communication is performed to exchange a communication protocol and encryption key for IKE, and a connection for key exchange called ISAKMP (Internet Security Association Key Management Protocol) SA is established (IKE Phase 1). Next, the communication protocol and encryption key for IPsec are exchanged with a connection called ISAKMP SA encrypted with the communication protocol and encryption key for IKE (IKE Phase 2). IPsec can establish IPsec SA through these procedures, and can perform security communication.

また、自動鍵交換方式を用いる場合は、SAが一定期間で再確立される。自動鍵交換方式で確立されたSAには確立時にライフタイムが設定され、一定期間が経過したSAは使用不能になる。ここで自動鍵交換方式ではIKEによって自動的に新しいSAが確立される。   In addition, when the automatic key exchange method is used, the SA is reestablished in a certain period. The SA established by the automatic key exchange method has a lifetime set at the time of establishment, and the SA after a certain period of time becomes unusable. Here, in the automatic key exchange method, a new SA is automatically established by IKE.

また、IKE Phase1の手順には、MainモードとAggressiveモードの2つの動作モードがある。使用者はどちらのモードを使用するかを設定する必要がある。   Further, the IKE Phase 1 procedure has two operation modes: a Main mode and an Aggressive mode. The user needs to set which mode to use.

また、IKEでは相手認証方式により相手の認証を行う。IKEにおける相手認証方式は4種類が定義されている。よって、事前共有秘密鍵認証方式(Pre−Shared Key)、デジタル署名認証方式、公開鍵認証暗号方式、改良型公開鍵暗号認証方式の4種類のうちどの方式を使用するかを設定する必要がある。さらに、事前共有秘密鍵認証方式は、通信する相手のIPアドレスごとに鍵となる文字列を指定する方式と、マスク指定によるIPアドレスの範囲ごとに鍵となる文字列を指定する方式の2種類から、どちらを使用するかを設定する必要がある。   In IKE, the other party is authenticated by the other party authentication method. Four types of partner authentication methods in IKE are defined. Therefore, it is necessary to set which of four types of pre-shared secret key authentication method (Pre-Shared Key), digital signature authentication method, public key authentication encryption method, and improved public key encryption authentication method is used. . Furthermore, there are two types of pre-shared secret key authentication methods: a method for designating a character string as a key for each IP address of a communicating party and a method for designating a character string as a key for each range of IP addresses by mask specification. It is necessary to set which one to use.

IKE Phase2を行う通信であるISAKMP SAを確立するために必要なパラメータとその値は以下のとおりである。暗号アルゴリズム(DES−CBC/3DES−CBCなど)、ハッシュアルゴリズム(MD5/SHA1など)、相手認証方式(事前共有秘密鍵認証方式/デジタル署名認証方式/公開鍵認証暗号方式/改良型公開鍵暗号認証方式)、Oakleyグループ(768ビットMODPグループ/1024ビットMODPグループなど)。   The parameters and values necessary for establishing ISAKMP SA, which is communication for performing IKE Phase 2, are as follows. Cryptographic algorithm (DES-CBC / 3DES-CBC, etc.), hash algorithm (MD5 / SHA1, etc.), partner authentication method (pre-shared secret key authentication method / digital signature authentication method / public key authentication encryption method / improved public key encryption authentication) Scheme), Oakley group (768-bit MODP group / 1024-bit MODP group, etc.).

IPsecによる通信であるIPsec SAを確立するために必要なパラメータとその値は以下のとおりである。AH(Authentication Header)認証アルゴリズム(HMAC−MD5/HMAC−SHA1など)、ESP(Encapsulating Security Payload)暗号アルゴリズム(NULL/DES−CBC/AES−CBCなど)、ESP認証アルゴリズム(HMAC−MD5/HMAC−SHA1など)、PFS(Perfect Forward Secrecy)グループ(使用しない/768ビットMODPグループ/1024ビットMODPグループ)。   The parameters and their values necessary for establishing IPsec SA, which is communication by IPsec, are as follows. AH (Authentication Header) authentication algorithm (such as HMAC-MD5 / HMAC-SHA1), ESP (Encapsulating Security Payload) encryption algorithm (such as NULL / DES-CBC / AES-CBC), ESP authentication algorithm (HMAC-MD5 / HMAC-SHA1) PFS (Perfect Forward Secrecy) group (not used / 768-bit MODP group / 1024-bit MODP group).

IPsecのためのSAを手動鍵交換方式を用いて確立する場合、上記IKE Phase1、IKE Phase2の通信を行わず、使用者がIPsec SAに必要なパラメータを全て手動で設定する。この場合、自動鍵交換方式と異なり、SAにライフタイムが設定されないため、リキーは行われず、鍵が自動で更新されることはない。   When establishing the SA for IPsec using the manual key exchange method, the IKE Phase 1 and IKE Phase 2 communication is not performed, and the user manually sets all parameters necessary for the IPsec SA. In this case, unlike the automatic key exchange method, no lifetime is set in the SA, so rekeying is not performed and the key is not automatically updated.

IPsec通信機器は、多数の上記IKEパラメータや、IPsecパラメータの中から自身が使用可能な方式をプロポーザルとして通信相手機器に送信する。通信相手の機器はそのプロポーザルの中から、自身が使用可能なパラメータを選択することで、双方向の通信を行う。   The IPsec communication device transmits, to the communication counterpart device, as a proposal, a number of IKE parameters and a method that can be used among the IKE parameters and the IPsec parameters. The communication partner device performs two-way communication by selecting parameters that can be used from among the proposals.

図9はログ出力の設定画面の例を示す図であり、ログ取得(全てのログを取得するかどうか)、IKE Phase1通信エラー、IKE Phase2通信エラー、IKE Phase2暗号解読エラー、IPsecプロポーザル不適合、IPsec通信エラー、IPsec暗号解読エラー、リキー失敗エラー等の項目に対し、そのログを出力するかしないかに応じてONもしくはOFFを選択するボタンがそれぞれ設けられている。なお、ログ出力をONとした場合は、エラーのみならず、成功したこと(エラーがなかったことを示す)についてもログが出力される。   FIG. 9 is a diagram showing an example of a log output setting screen. Log acquisition (whether all logs are acquired), IKE Phase 1 communication error, IKE Phase 2 communication error, IKE Phase 2 decryption error, IPsec proposal nonconformity, IPsec For items such as a communication error, an IPsec decryption error, and a rekey failure error, buttons for selecting ON or OFF according to whether or not to output the log are provided. When the log output is set to ON, a log is output not only for an error but also for success (indicating that there was no error).

図10はIPsec通信の処理例を示すシーケンス図であり、ネットワーク機器1Aとネットワーク機器1Bとの間で通信を行う場合の例である。図10において、IPsecで自動鍵交換方式を用いる場合、IKE Phase1において、ネットワーク機器1Aとネットワーク機器1Bとの間でIKE暗号化アルゴリズム/IKE鍵を交換する(ステップS101、S102)。設定内容に誤りがある場合はこの段階でエラーになることがある。   FIG. 10 is a sequence diagram showing a processing example of IPsec communication, and shows an example in which communication is performed between the network device 1A and the network device 1B. In FIG. 10, when the automatic key exchange method is used in IPsec, the IKE encryption algorithm / IKE key is exchanged between the network device 1A and the network device 1B in IKE Phase 1 (steps S101 and S102). If the settings are incorrect, an error may occur at this stage.

IKE Phase1が成功した場合、IKE Phase2において、ネットワーク機器1Aとネットワーク機器1Bとの間でIPsec暗号化アルゴリズム/IPsecセキュリティプロトコル/IPsec鍵を交換する(ステップS103、S104)。設定内容に誤りがある場合はこの段階でエラーになることがある。   When the IKE Phase 1 is successful, the IPsec encryption algorithm / IPsec security protocol / IPsec key are exchanged between the network device 1A and the network device 1B in the IKE Phase 2 (steps S103 and S104). If the settings are incorrect, an error may occur at this stage.

IKE Phase2が成功した場合、IPsec通信を行うことができるようになる(ステップS105、S106)。   When IKE Phase 2 is successful, IPsec communication can be performed (steps S105 and S106).

このように、IKE Phase1、IKE Phase2の通信を経てIPsec通信を行うことができるようになる。IKE Phase2での通信(ISAKMP SA)は、IKE Phase1で交換された情報を元に暗号化されるため、IKE Phase1で交換された情報がなければ行うことができず、またIPSecでの通信(IPSec SA)も同様に、IKE Phase2で交換された情報がなければ行うことができない。   In this way, IPsec communication can be performed through IKE Phase 1 and IKE Phase 2 communication. Since communication using IKE Phase 2 (ISAKMP SA) is encrypted based on information exchanged using IKE Phase 1, it cannot be performed without information exchanged using IKE Phase 1, and communication using IPSec (IPSec). Similarly, SA) cannot be performed without the information exchanged in IKE Phase2.

図11はIPsec通信に際してログを出力する処理例を示すフローチャートである。使用者がIPsec設定を設定済みであり、ログ出力設定を設定済みである場合にIPsec通信を開始した場合、図のフローに従った処理を行う。   FIG. 11 is a flowchart illustrating an example of a process for outputting a log during IPsec communication. When the user has already set the IPsec setting and the log output setting has been set, when the IPsec communication is started, the process according to the flowchart of FIG.

処理を開始すると(ステップS201)、はじめにIKE Phase1の通信を行い(ステップS202)、通信エラー情報を出力する(ステップS203〜S205)。   When the process is started (step S201), first, IKE Phase 1 communication is performed (step S202), and communication error information is output (steps S203 to S205).

次に、IKE Phase1の情報に従い、IKE Phase2の通信を行う(ステップS206)。ここでは通信エラーの他に、IKE Phase1の情報が不適切であったために暗号化通信が正常に行えなかった際のエラー、および通信相手とのプロポーザルが不適合であった際のエラーを通知する(ステップS207〜S215)。   Next, IKE Phase 2 communication is performed according to the information of IKE Phase 1 (step S206). Here, in addition to the communication error, an error when the encrypted communication cannot be normally performed due to inappropriate information of IKE Phase 1 and an error when the proposal with the communication partner is incompatible are notified ( Steps S207 to S215).

次に、IKE Phase2の情報に従い、IPsecの通信を行う(ステップS216)。ここでは通信エラーの他に、IKE Phase2の情報が不適切であったために暗号化通信が正常に行えなかった際のエラーを通知する(ステップS217〜S223)。   Next, IPsec communication is performed according to the information of IKE Phase 2 (step S216). Here, in addition to the communication error, an error when the encrypted communication cannot be normally performed due to inappropriate information of IKE Phase 2 is notified (steps S217 to S223).

図12はIPsec通信開始後のリキー失敗エラーのログを出力する処理例を示すフローチャートである。図12において、処理を開始すると(ステップS301)、リキー処理を行い(ステップS302)、リキー失敗エラーが発生したか否か判断し(ステップS303)、エラーなく成功した場合は成功ログを出力し(ステップS304)、エラーが発生した場合は失敗ログを出力し(ステップS305)、処理を終了する(ステップS306)。   FIG. 12 is a flowchart showing an example of processing for outputting a log of a rekey failure error after the start of IPsec communication. In FIG. 12, when the process is started (step S301), a rekey process is performed (step S302), and it is determined whether a rekey failure error has occurred (step S303). If an error occurs, a failure log is output (step S305), and the process ends (step S306).

図13は出力されるログの例を示す図であり、各時刻ごとに、どの相手との通信においてどの種類のエラーが発生したかを出力する。これにより、使用者は、IPsec通信失敗時にどういった理由で失敗したかを判別することができる。また、成功時にもどのような設定パラメータでの接続が成功したかどうかを表示することで、通信状況の把握が可能である。なお、IPsecログ出力は、PCのモニタの他、MFP等のネットワーク機器1に設置された表示パネルに表示することができる。表示パネルは、液晶パネル、CRTなどを用いてIPsecログ出力を文字情報として出力する。   FIG. 13 is a diagram showing an example of a log to be output, which outputs which type of error has occurred in communication with which partner at each time. As a result, the user can determine the reason for failure when IPsec communication fails. Further, even when successful, it is possible to grasp the communication status by displaying whether or not the connection with any setting parameter is successful. The IPsec log output can be displayed on a display panel installed in the network device 1 such as an MFP in addition to a PC monitor. The display panel outputs an IPsec log output as character information using a liquid crystal panel, CRT, or the like.

また、図13に示したIPsecログ出力結果を、外部telnet端末から参照するようにすることができる。この場合、ネットワーク機器1にtelnetサーバを内包し、外部からのtelnet接続を行えるようにする。   Further, the IPsec log output result shown in FIG. 13 can be referred from an external telnet terminal. In this case, a telnet server is included in the network device 1 so that a telnet connection from the outside can be performed.

同様に、図13に示したIPsecログ出力結果を、外部Webブラウザから参照するようにすることができる。この場合、ネットワーク機器1にWebサーバを内包し、外部からのWeb接続を行えるようにする。   Similarly, the IPsec log output result shown in FIG. 13 can be referred from an external Web browser. In this case, the network device 1 includes a Web server so that external Web connection can be performed.

このように、本発明にあっては、使用者にIPsec手順上のエラー特定原因を通知することにより、IPsecの通信失敗時に使用者の設定不備に関する原因特定が容易になる。   As described above, according to the present invention, by notifying the user of the cause of specifying an error in the IPsec procedure, it becomes easy to specify the cause of the setting failure of the user when IPsec communication fails.

また、自動鍵交換に対応することにより、リキー時のログなど、使用者が直接行っていない操作に対してログを出力することができ、使用者の設定不備に関する不意のエラーに関する原因特定が容易になる。   In addition, by supporting automatic key exchange, it is possible to output logs for operations that are not performed directly by the user, such as logs during rekeying, and it is easy to identify the cause of unexpected errors related to inadequate user settings. become.

また、機器がIPv6通信に対応することにより、機器に一意に与えられるアドレスにより、セグメントを越えて互いにアクセス可能となる。IPv6通信対応機器に本発明を適応することにより、より多くの機器に対してログ出力機能を持たせることができる。   In addition, since the devices support IPv6 communication, they can access each other across segments by an address uniquely given to the devices. By applying the present invention to an IPv6 communication-compatible device, a log output function can be provided to more devices.

また、機器に設置された表示パネル上にログを表示することにより、機器単体でIPsecエラーログを参照することができる。   Further, by displaying the log on a display panel installed in the device, the IPsec error log can be referred to by the device alone.

また、機器内にIPsec通信のログを蓄積することにより、過去の接続に関する問題の追跡が可能となる。   Further, by accumulating IPsec communication logs in the device, it becomes possible to track problems related to past connections.

また、IPsec通信の回数増加に伴い出力されるエラー情報の量が増加するが、出力するエラー情報を絞り込むことによって、設定不備に関する原因特定がより容易になる。   Further, the amount of error information that is output increases as the number of IPsec communications increases. However, by narrowing down the error information to be output, it is easier to identify the cause of the setting error.

また、ネットワーク機器内にtelnetシステムを持つことにより、外部端末からのエラーログ参照が容易になる。   Further, by having a telnet system in the network device, it is easy to refer to an error log from an external terminal.

また、ネットワーク機器内にWebシステムを持つことにより、外部端末からのエラーログ参照が容易になる。   In addition, by having a Web system in the network device, it is easy to refer to an error log from an external terminal.

以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。   The present invention has been described above by the preferred embodiments of the present invention. While the invention has been described with reference to specific embodiments, various modifications and changes may be made to the embodiments without departing from the broad spirit and scope of the invention as defined in the claims. Obviously you can. In other words, the present invention should not be construed as being limited by the details of the specific examples and the accompanying drawings.

本発明のネットワーク機器を用いたネットワークシステムの一実施形態を示す全体構成図である。1 is an overall configuration diagram showing an embodiment of a network system using a network device of the present invention. ネットワーク機器の内部構成例を示すソフトウェアモジュール構成図である。It is a software module block diagram which shows the internal structural example of a network apparatus. IPsec設定テーブルの例を示す図である。It is a figure which shows the example of an IPsec setting table. ログ出力設定テーブルの例を示す図である。It is a figure which shows the example of a log output setting table. ログテーブルの例を示す図である。It is a figure which shows the example of a log table. IPsec通信の設定画面の例を示す図(その1)である。FIG. 6 is a diagram (part 1) illustrating an example of a setting screen for IPsec communication; IPsec通信の設定画面の例を示す図(その2)である。FIG. 10 is a second diagram illustrating an example of a setting screen for IPsec communication; IPsec通信の設定画面の例を示す図(その3)である。FIG. 10 illustrates an example of a setting screen for IPsec communication (part 3); ログ出力の設定画面の例を示す図である。It is a figure which shows the example of the setting screen of log output. IPsec通信の処理例を示すシーケンス図である。It is a sequence diagram which shows the example of a process of IPsec communication. IPsec通信に際してログを出力する処理例を示すフローチャートである。It is a flowchart which shows the example of a process which outputs a log in the case of IPsec communication. IPsec通信開始後のリキー失敗エラーのログを出力する処理例を示すフローチャートである。It is a flowchart which shows the process example which outputs the log of the rekey failure error after IPsec communication start. 出力されるログの例を示す図である。It is a figure which shows the example of the log output.

符号の説明Explanation of symbols

1、1A〜1D ネットワーク機器
11 アプリケーション
12 ネットワーク制御部
121 IPsec設定テーブル
122 IPsec通信部
123 ログ出力設定テーブル
124 IPsec状況判定部
125 ログテーブル
13 OS
131 ネットワークプロトコル
132 ネットワーク通信ドライバ
2 ルータ
3,4 ネットワーク DESCRIPTION OF SYMBOLS 1, 1A-1D Network apparatus 11 Application 12 Network control part 121 IPsec setting table 122 IPsec communication part 123 Log output setting table 124 IPsec status determination part 125 Log table 13 OS
131 Network Protocol 132 Network Communication Driver 2 Router 3, 4 Network

Claims (16)

IPsec通信対応のネットワーク機器であって、
使用者により設定されるIPsec接続に必要な設定パラメータを保持する手段と、
使用者により設定されるエラー情報出力レベルを保持する手段と、
IPsec通信の過程で発生したエラー情報を使用者に通知する手段とを備えたことを特徴とするネットワーク機器。 A network device compatible with IPsec communication,
Means for holding setting parameters necessary for IPsec connection set by a user;
Means for holding the error information output level set by the user;
A network device comprising means for notifying a user of error information generated in the course of IPsec communication. 請求項1に記載のネットワーク機器において、
IPsec化するプロトコルとして、IPv6通信に対応するプロトコルを用いることを特徴とするネットワーク機器。 The network device according to claim 1,
A network device characterized in that a protocol corresponding to IPv6 communication is used as a protocol for making an IPsec. 請求項1に記載のネットワーク機器において、
IPsec化するプロトコルとして、IPv4通信に対応するプロトコルを用いることを特徴とするネットワーク機器。 The network device according to claim 1,
A network device characterized in that a protocol corresponding to IPv4 communication is used as a protocol for making an IPsec. 請求項1に記載のネットワーク機器において、
IPsec通信の過程で発生したエラー情報を使用者に通知するための表示パネルを備えたことを特徴とするネットワーク機器。 The network device according to claim 1,
A network device comprising a display panel for notifying a user of error information generated in the course of IPsec communication. 請求項1に記載のネットワーク機器において、
過去のIPsec通信の過程で発生したエラー情報を蓄積する記憶手段を備えたことを特徴とするネットワーク機器。 The network device according to claim 1,
A network device comprising storage means for storing error information generated in the past IPsec communication process. 請求項1に記載のネットワーク機器において、
出力するエラー情報の種類を使用者が設定することを特徴とするネットワーク機器。 The network device according to claim 1,
A network device in which a user sets the type of error information to be output. 請求項1に記載のネットワーク機器において、
IPsec通信の過程で発生したエラー情報を外部telnet端末から参照可能なtelnetシステムを備えたことを特徴とするネットワーク機器。 The network device according to claim 1,
A network device comprising a telnet system capable of referring to error information generated in the course of IPsec communication from an external telnet terminal. 請求項1に記載のネットワーク機器において、
IPsec通信の過程で発生したエラー情報を外部Webブラウザから参照可能なWebシステムを備えたことを特徴とするネットワーク機器。 The network device according to claim 1,
A network device comprising a Web system capable of referencing error information generated in the course of IPsec communication from an external Web browser. IPsec通信対応のネットワーク機器のエラー通知方法であって、
使用者により設定されるIPsec接続に必要な設定パラメータを保持する工程と、
使用者により設定されるエラー情報出力レベルを保持する工程と、
IPsec通信の過程で発生したエラー情報を使用者に通知する工程とを備えたことを特徴とするネットワーク機器のエラー通知方法。 An error notification method for an IPsec communication compatible network device,
Holding a setting parameter required for the IPsec connection set by the user;
A step of maintaining an error information output level set by a user;
An error notification method for a network device, comprising: a step of notifying a user of error information generated in the course of IPsec communication. 請求項9に記載のネットワーク機器のエラー通知方法において、
IPsec化するプロトコルとして、IPv6通信に対応するプロトコルを用いることを特徴とするネットワーク機器のエラー通知方法。 The error notification method for a network device according to claim 9,
An error notification method for a network device, characterized in that a protocol corresponding to IPv6 communication is used as a protocol for realizing IPsec. 請求項9に記載のネットワーク機器のエラー通知方法において、
IPsec化するプロトコルとして、IPv4通信に対応するプロトコルを用いることを特徴とするネットワーク機器のエラー通知方法。 The error notification method for a network device according to claim 9,
An error notification method for a network device, characterized in that a protocol corresponding to IPv4 communication is used as a protocol for realizing IPsec. 請求項9に記載のネットワーク機器のエラー通知方法において、
IPsec通信の過程で発生したエラー情報を表示パネルにより使用者に通知する工程を備えたことを特徴とするネットワーク機器のエラー通知方法。 The error notification method for a network device according to claim 9,
An error notification method for a network device comprising a step of notifying a user of error information generated in the course of IPsec communication by a display panel. 請求項9に記載のネットワーク機器のエラー通知方法において、
過去のIPsec通信の過程で発生したエラー情報を記憶手段に蓄積する工程を備えたことを特徴とするネットワーク機器のエラー通知方法。 The error notification method for a network device according to claim 9,
An error notification method for a network device comprising a step of accumulating error information generated in the past IPsec communication process in a storage means. 請求項9に記載のネットワーク機器のエラー通知方法において、
出力するエラー情報の種類を使用者が設定することを特徴とするネットワーク機器のエラー通知方法。 The error notification method for a network device according to claim 9,
An error notification method for a network device, wherein a user sets the type of error information to be output. 請求項9に記載のネットワーク機器のエラー通知方法において、
IPsec通信の過程で発生したエラー情報をtelnetシステムにより外部telnet端末から参照可能とする工程を備えたことを特徴とするネットワーク機器のエラー通知方法。 The error notification method for a network device according to claim 9,
An error notification method for a network device, comprising: a step of allowing error information generated during IPsec communication to be referred to from an external telnet terminal by a telnet system. 請求項9に記載のネットワーク機器のエラー通知方法において、
IPsec通信の過程で発生したエラー情報をWebシステムにより外部Webブラウザから参照可能とする工程を備えたことを特徴とするネットワーク機器のエラー通知方法。 The error notification method for a network device according to claim 9,
An error notification method for a network device comprising a step of allowing error information generated in the course of IPsec communication to be referred to from an external Web browser by a Web system.
JP2006056407A 2006-03-02 2006-03-02 Network equipment Expired - Fee Related JP4980627B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006056407A JP4980627B2 (en) 2006-03-02 2006-03-02 Network equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006056407A JP4980627B2 (en) 2006-03-02 2006-03-02 Network equipment

Publications (3)

Publication Number Publication Date
JP2007235715A true JP2007235715A (en) 2007-09-13
JP2007235715A5 JP2007235715A5 (en) 2009-04-09
JP4980627B2 JP4980627B2 (en) 2012-07-18

Family

ID=38555819

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006056407A Expired - Fee Related JP4980627B2 (en) 2006-03-02 2006-03-02 Network equipment

Country Status (1)

Country Link
JP (1) JP4980627B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008205763A (en) * 2007-02-20 2008-09-04 Ricoh Co Ltd Communication device, and communication method and program
JP2008301072A (en) * 2007-05-30 2008-12-11 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system
JP2012177942A (en) * 2012-06-07 2012-09-13 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system
US8972595B2 (en) 2007-06-18 2015-03-03 Ricoh Company, Ltd. Communication apparatus, application communication executing method, and computer program product, configured to select software communication or hardware communication, to execute application communication, based on reference information for application communication

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6215641A (en) * 1985-07-12 1987-01-24 Nec Corp Log collection system
JP2001007803A (en) * 1999-06-18 2001-01-12 Nec Corp Method and device for automatically detecting improper operation in automatic key exchange protocol
JP2001159979A (en) * 1999-09-24 2001-06-12 Hitachi Ltd Computer system and installing method of program
JP2001197058A (en) * 2000-01-05 2001-07-19 Nippon Telegr & Teleph Corp <Ntt> Method for sharing authentication key between terminal and maintenance server and method for terminal remote maintenance implementation
JP2005045403A (en) * 2003-07-24 2005-02-17 Canon Inc Internet-connected terminal and its control method, program, and storage medium

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6215641A (en) * 1985-07-12 1987-01-24 Nec Corp Log collection system
JP2001007803A (en) * 1999-06-18 2001-01-12 Nec Corp Method and device for automatically detecting improper operation in automatic key exchange protocol
JP2001159979A (en) * 1999-09-24 2001-06-12 Hitachi Ltd Computer system and installing method of program
JP2001197058A (en) * 2000-01-05 2001-07-19 Nippon Telegr & Teleph Corp <Ntt> Method for sharing authentication key between terminal and maintenance server and method for terminal remote maintenance implementation
JP2005045403A (en) * 2003-07-24 2005-02-17 Canon Inc Internet-connected terminal and its control method, program, and storage medium

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008205763A (en) * 2007-02-20 2008-09-04 Ricoh Co Ltd Communication device, and communication method and program
JP2008301072A (en) * 2007-05-30 2008-12-11 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system
US8972595B2 (en) 2007-06-18 2015-03-03 Ricoh Company, Ltd. Communication apparatus, application communication executing method, and computer program product, configured to select software communication or hardware communication, to execute application communication, based on reference information for application communication
JP2012177942A (en) * 2012-06-07 2012-09-13 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system

Also Published As

Publication number Publication date
JP4980627B2 (en) 2012-07-18

Similar Documents

Publication Publication Date Title
JP4016998B2 (en) Communication apparatus and program
US8127340B2 (en) Communication apparatus
US7574603B2 (en) Method of negotiating security parameters and authenticating users interconnected to a network
US20110119487A1 (en) System and method for encryption rekeying
JP2008276686A (en) Server device, information processor, program, and recording medium
JP2011004385A (en) Information processing apparatus, mutual authentication method, mutual authentication program, information processing system, information processing method, information processing program, and recording medium
JP4211765B2 (en) Data transmission / reception system, data processing apparatus, and encrypted communication method
JP2004272770A (en) Relay apparatus of network device, system and method for managing the same, authentication server and update server
JP4980627B2 (en) Network equipment
JP2011077931A (en) METHOD AND APPARATUS FOR IPsec COMMUNICATION
CN110519259B (en) Method and device for configuring communication encryption between cloud platform objects and readable storage medium
JP2008205763A (en) Communication device, and communication method and program
JP6686350B2 (en) Computer program and relay device
JP4704247B2 (en) Network equipment
JP2005303676A (en) Image forming device, paired key generating method, and computer program
JP5569201B2 (en) Image processing apparatus, electronic certificate setting method, and electronic certificate setting program
JP5201982B2 (en) Information processing system, method and program
JP2013243583A (en) Image forming system, image forming apparatus, authentication server, client pc, and control method and program of image forming apparatus
Cisco Configuring Network Data Encryption with Router Authentication
Cisco Configuring Network Data Encryption with Router Authentication
Cisco Configuring Network Data Encryption with Router Authentication
JP4874037B2 (en) Network equipment
JP2009038512A (en) Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program
JP4866150B2 (en) FTP communication system, FTP communication program, FTP client device, and FTP server device
US11924286B2 (en) Encrypted communication processing apparatus, encrypted communication processing system, and non-transitory recording medium

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090219

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110104

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110628

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120321

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120419

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150427

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4980627

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees