JP2008182649A - 暗号化パケット通信システム - Google Patents
暗号化パケット通信システム Download PDFInfo
- Publication number
- JP2008182649A JP2008182649A JP2007016242A JP2007016242A JP2008182649A JP 2008182649 A JP2008182649 A JP 2008182649A JP 2007016242 A JP2007016242 A JP 2007016242A JP 2007016242 A JP2007016242 A JP 2007016242A JP 2008182649 A JP2008182649 A JP 2008182649A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- encrypted
- key
- common key
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 端末同士の通信を暗号化し、且つ、暗号化された通信をゲートウェイ装置でも解析可能とし、情報漏洩を防ぐため検閲を行えるようにすること。
【解決手段】 ゲートウェイ装置3は公開鍵暗号方式による、公開鍵と秘密鍵のペアを用意し、ゲートウェイ装置3が管理する端末2a〜2cへ公開鍵を配布しておく。端末2a〜2cは、通信パケットを従来の共通鍵暗号化をした後に、共通鍵を公開鍵で暗号化し、パケットに付与する。ゲートウェイ装置3は、秘密鍵を使い共通鍵を復号化し、パケットを検閲し、従来の暗号化パケットフォーマットに戻した後、相手端末2d〜2fがいるネットワーク1cへ転送する。
【選択図】 図1
【解決手段】 ゲートウェイ装置3は公開鍵暗号方式による、公開鍵と秘密鍵のペアを用意し、ゲートウェイ装置3が管理する端末2a〜2cへ公開鍵を配布しておく。端末2a〜2cは、通信パケットを従来の共通鍵暗号化をした後に、共通鍵を公開鍵で暗号化し、パケットに付与する。ゲートウェイ装置3は、秘密鍵を使い共通鍵を復号化し、パケットを検閲し、従来の暗号化パケットフォーマットに戻した後、相手端末2d〜2fがいるネットワーク1cへ転送する。
【選択図】 図1
Description
本発明は、暗号化パケット通信システムに係り、特に、IP(Internet Protocol)等を通信プロトコルとするネットワーク上の暗号化通信において、暗号化されたパケットを検閲するための暗号化パケット通信システムに関する。
近年、通信ネットワークのIP化が進む中、インターネットを中心にIP通信ネットワークは広く社会基盤として利用されている。そして、インターネット上での個人情報や商取引情報等を含むパケット通信において、盗聴や改竄を防御するため通信経路のセキュリティを確保することが不可欠となっている。
インターネット上での通信セキュリティに関する技術として、インターネット標準化委員会IETF(The Internet Engineering Task Force)で議論されている技術である、Security Architecture for the Internet Protocol(インターネットプロトコルのためのセキュリティアーキテクチャ)が広く知られている(非特許文献1参照)。
なお、今後広く普及が見込まれる、IPv6(Internet Protocol ver.6)ではIPsec(IP security Protocol)を標準装備することが規定されており、現在IPv6に対応した製品ではIPsec機能が実装されている。さらに、通信ネットワークのオールIP化が進むにつれ、接続端末数や利用者数の増加およびアクセス形態が複雑化していくことが予測される。
通常、IPsecでは送信者と受信者間で送受信パケットに対して共通鍵による暗号化処理を行うことにより安全な通信を実現している。このため、あらかじめ送信者と受信者との間でIPsecを適用するために必要な認証・暗号アルゴリズム情報等や共通鍵を決めておく必要がある。IPsec処理装置間で通信開始前に折衝を行い、上述の共通鍵を自動的に生成する技術に関して、Internet Key Exchangeが知られている(非特許文献2参照)。
インターネット上での通信セキュリティに関する技術として、インターネット標準化委員会IETF(The Internet Engineering Task Force)で議論されている技術である、Security Architecture for the Internet Protocol(インターネットプロトコルのためのセキュリティアーキテクチャ)が広く知られている(非特許文献1参照)。
なお、今後広く普及が見込まれる、IPv6(Internet Protocol ver.6)ではIPsec(IP security Protocol)を標準装備することが規定されており、現在IPv6に対応した製品ではIPsec機能が実装されている。さらに、通信ネットワークのオールIP化が進むにつれ、接続端末数や利用者数の増加およびアクセス形態が複雑化していくことが予測される。
通常、IPsecでは送信者と受信者間で送受信パケットに対して共通鍵による暗号化処理を行うことにより安全な通信を実現している。このため、あらかじめ送信者と受信者との間でIPsecを適用するために必要な認証・暗号アルゴリズム情報等や共通鍵を決めておく必要がある。IPsec処理装置間で通信開始前に折衝を行い、上述の共通鍵を自動的に生成する技術に関して、Internet Key Exchangeが知られている(非特許文献2参照)。
一方、企業等の組織から意図していない情報が外部へ出てしまうことにより起こる、情報漏洩が目立つようになってきた。このため、組織内部のネットワークから外部へ情報を出すことがないよう、パケットの内容を確認し、転送してはいけないパケットを廃棄するための検閲装置が使われるようになった。この装置は組織ネットワークの出口になるゲートウェイに組み込まれることが多い。
S.Kent、 R. Atkinson、 「Security Architecture for the Internet Protocol」 RFC2401、 1998年11月 D. Harkins、 D. Carrel 、 「The Internet Key Exchange (IKE)」 RFC2409、 1998年11月
S.Kent、 R. Atkinson、 「Security Architecture for the Internet Protocol」 RFC2401、 1998年11月 D. Harkins、 D. Carrel 、 「The Internet Key Exchange (IKE)」 RFC2409、 1998年11月
上述のようなIPsec技術等で暗号化されているパケットに対しては、ゲートウェイ装置は、共通鍵を保持していないため、そのパケットを復号化することができず、パケットのデータ部を見ることができないという課題があった。
このような課題を解決するため、IPsecトンネルモードを使用し、ゲートウェイが端末の代わりに暗号化を実施する方法がある。これにより、ゲートウェイ装置には暗号化されていない平文のパケットが届き、パケットの内容をゲートウェイ装置が見ることができるようになった。しかし、これを実施することにより、以下に示すような課題が生じた。
・組織内ネットワークに配置されている端末の、暗号化通信先が複数の場合、その複数の相手先すべての共通鍵情報を保持しなければならず、ゲートウェイ装置の必要メモリ量が増大する。
・ゲートウェイ装置は複数の共通鍵を取り出すための検索に時間がかかり、ゲートウェイ装置の必要CPU時間が増大する。
・組織内ネットワークでは、暗号化されていない平文のパケットが転送されることになるので、組織内での盗聴が可能になり、端末間のセキュリティを完全に確保できていない。
このような課題を解決するため、IPsecトンネルモードを使用し、ゲートウェイが端末の代わりに暗号化を実施する方法がある。これにより、ゲートウェイ装置には暗号化されていない平文のパケットが届き、パケットの内容をゲートウェイ装置が見ることができるようになった。しかし、これを実施することにより、以下に示すような課題が生じた。
・組織内ネットワークに配置されている端末の、暗号化通信先が複数の場合、その複数の相手先すべての共通鍵情報を保持しなければならず、ゲートウェイ装置の必要メモリ量が増大する。
・ゲートウェイ装置は複数の共通鍵を取り出すための検索に時間がかかり、ゲートウェイ装置の必要CPU時間が増大する。
・組織内ネットワークでは、暗号化されていない平文のパケットが転送されることになるので、組織内での盗聴が可能になり、端末間のセキュリティを完全に確保できていない。
以上が従来の課題の例である。
本発明は、以上の点に鑑み、メモリ量及び/又はCPU処理等を増やすことなく、組織網内の端末間のセキュリティを確保しつつ、ゲートウェイ装置で転送するパケットの検閲をできるようにすることを目的とする。
本発明は、以上の点に鑑み、メモリ量及び/又はCPU処理等を増やすことなく、組織網内の端末間のセキュリティを確保しつつ、ゲートウェイ装置で転送するパケットの検閲をできるようにすることを目的とする。
上述の課題を解決するため、本発明は、共通鍵暗号方式と公開鍵暗号方式の両方式を用いるようにした。ここで、共通鍵暗号方式とは、暗号化した鍵と同一の鍵でのみ復号化が可能な鍵を用いる暗号化方式である。また、公開鍵暗号方式とは、二つの鍵ペア、例えば鍵Aと鍵Bが存在し、鍵Aで暗号化したデータは鍵Bでのみ復号化でき、鍵Bで暗号化としたデータは、鍵Aでのみ復号化することができる方式である。この特徴を利用し、鍵Aを公開鍵として使用し、もう一方の鍵Bを秘密鍵として使用する。
本発明は、主に、共通鍵でパケットを暗号化する手段と、公開鍵で前記共通鍵を暗号化する手段と、共通鍵で暗号化されたパケットの情報を欠落させることなく、暗号化した共通鍵を、暗号化されたパケットと同時に送信する手段とを具備する。また、本発明は、公開鍵に対応する秘密鍵を格納する手段と、前記パケットと同時に受け取った暗号化された共通鍵を秘密鍵で復号化して共通鍵を取り出す手段と、パケットを取り出した共通鍵で復号化する手段と、パケット検閲手段に平文でパケットを渡す手段とを具備する。さらに、本発明は、従来の暗号化パケットフォーマットに戻して、パケットを転送する手段を具備することができる。
本発明は、主に、共通鍵でパケットを暗号化する手段と、公開鍵で前記共通鍵を暗号化する手段と、共通鍵で暗号化されたパケットの情報を欠落させることなく、暗号化した共通鍵を、暗号化されたパケットと同時に送信する手段とを具備する。また、本発明は、公開鍵に対応する秘密鍵を格納する手段と、前記パケットと同時に受け取った暗号化された共通鍵を秘密鍵で復号化して共通鍵を取り出す手段と、パケットを取り出した共通鍵で復号化する手段と、パケット検閲手段に平文でパケットを渡す手段とを具備する。さらに、本発明は、従来の暗号化パケットフォーマットに戻して、パケットを転送する手段を具備することができる。
本発明の解決手段によると、パケット送信装置から、パケット送信装置を含むネットワークのパケット転送装置を介して、他のネットワーク内のパケット受信装置へパケットを送信するための暗号化パケット通信システムであって、
前記パケット送信装置は、
前記パケットのパケットデータ部を共通鍵で暗号化して暗号化データ部を作成し、前記パケット送信装置と前記パケット受信装置との間で暗号化するための共通鍵を検索するための共通鍵識別情報を含む第1暗号化ヘッダを作成する手段と、
前記共通鍵を公開鍵で暗号化して暗号化共通鍵を作成し、前記暗号化共通鍵及び前記公開鍵の識別情報を含む第2暗号化ヘッダを作成する手段と、
前記第1暗号化ヘッダと前記第2暗号化ヘッダと前記暗号化データ部とを含む暗号化パケットを前記パケット転送装置へ送信するための手段と、
を備え、
前記パケット転送装置は、
前記暗号化パケットを前記パケット送信装置から受信し、受信したパケットが前記第2暗号化ヘッダを含む場合、前記第2暗号化ヘッダ中の公開鍵の識別情報に基づき、前記公開鍵に対応する秘密鍵を求め、前記第2暗号化ヘッダに含まれる前記暗号化共通鍵を前記秘密鍵で復号化して前記共通鍵を求め、前記暗号化パケットから前記第2暗号化ヘッダを削除する手段と、
求めた前記共通鍵で前記暗号化パケットの前記暗号化データ部を復号化して前記パケットデータ部を求め、前記暗号化パケットから前記第1暗号化ヘッダをさらに削除する手段と、
前記パケットデータ部を検閲し、前記パケットデータ部を含むパケットを転送してもよいか判断する手段と、
前記パケットデータ部を含むパケットを転送してもよいと判断された場合、前記パケットデータ部を前記共通鍵で暗号化して前記暗号化データ部を作成し、前記暗号化データ部と、前記共通鍵識別情報を含む第1暗号化ヘッダを含む第1暗号化ヘッダ付き暗号化パケットを作成する手段と、
前記第1暗号化ヘッダ付き暗号化パケットを前記他のネットワークへ送信するための手段と、
を備えた前記暗号化パケット通信システムが提供される。
前記パケット送信装置は、
前記パケットのパケットデータ部を共通鍵で暗号化して暗号化データ部を作成し、前記パケット送信装置と前記パケット受信装置との間で暗号化するための共通鍵を検索するための共通鍵識別情報を含む第1暗号化ヘッダを作成する手段と、
前記共通鍵を公開鍵で暗号化して暗号化共通鍵を作成し、前記暗号化共通鍵及び前記公開鍵の識別情報を含む第2暗号化ヘッダを作成する手段と、
前記第1暗号化ヘッダと前記第2暗号化ヘッダと前記暗号化データ部とを含む暗号化パケットを前記パケット転送装置へ送信するための手段と、
を備え、
前記パケット転送装置は、
前記暗号化パケットを前記パケット送信装置から受信し、受信したパケットが前記第2暗号化ヘッダを含む場合、前記第2暗号化ヘッダ中の公開鍵の識別情報に基づき、前記公開鍵に対応する秘密鍵を求め、前記第2暗号化ヘッダに含まれる前記暗号化共通鍵を前記秘密鍵で復号化して前記共通鍵を求め、前記暗号化パケットから前記第2暗号化ヘッダを削除する手段と、
求めた前記共通鍵で前記暗号化パケットの前記暗号化データ部を復号化して前記パケットデータ部を求め、前記暗号化パケットから前記第1暗号化ヘッダをさらに削除する手段と、
前記パケットデータ部を検閲し、前記パケットデータ部を含むパケットを転送してもよいか判断する手段と、
前記パケットデータ部を含むパケットを転送してもよいと判断された場合、前記パケットデータ部を前記共通鍵で暗号化して前記暗号化データ部を作成し、前記暗号化データ部と、前記共通鍵識別情報を含む第1暗号化ヘッダを含む第1暗号化ヘッダ付き暗号化パケットを作成する手段と、
前記第1暗号化ヘッダ付き暗号化パケットを前記他のネットワークへ送信するための手段と、
を備えた前記暗号化パケット通信システムが提供される。
本発明によって、ゲートウェイ装置で転送するパケットの検閲ができるようになり、かつ、以下のような効果を奏する。
・ゲートウェイ装置は暗号化されたパケットを復号化する為の、端末毎の共通鍵を保持する必要がないので、ゲートウェイは複雑な事前鍵交換プロトコルを具備する必要がなくなる。
・ゲートウェイ装置は暗号化されたパケットを復号化する為の、端末毎の共通鍵を保持する必要がないので、共通鍵を保持するメモリが不要となる。
・ゲートウェイ装置は暗号化されたパケットを復号化する為の、端末毎の共通鍵を保持する必要がないので、従来ではパケットが届く度に実施していた共通鍵の検索が不要となる。よって、使用するCPUリソースを減らすことができる。
・ゲートウェイ装置が管理する組織網内で転送されるパケットも暗号化が施されているため、組織網内でパケットを盗聴されない。
・ゲートウェイ装置は暗号化されたパケットを復号化する為の、端末毎の共通鍵を保持する必要がないので、ゲートウェイは複雑な事前鍵交換プロトコルを具備する必要がなくなる。
・ゲートウェイ装置は暗号化されたパケットを復号化する為の、端末毎の共通鍵を保持する必要がないので、共通鍵を保持するメモリが不要となる。
・ゲートウェイ装置は暗号化されたパケットを復号化する為の、端末毎の共通鍵を保持する必要がないので、従来ではパケットが届く度に実施していた共通鍵の検索が不要となる。よって、使用するCPUリソースを減らすことができる。
・ゲートウェイ装置が管理する組織網内で転送されるパケットも暗号化が施されているため、組織網内でパケットを盗聴されない。
本発明の実施の形態について図面を用いて説明する。
1.暗号化パケット検閲システム
図1に、暗号化パケット検閲システムのネットワーク構成図を示す。
以下、本発明の実施の形態の説明では、パケットデータを暗号化する方法に、IPsecを用いることを例にして説明するが、パケットデータを暗号化するにあたり、他のパケット暗号化方法を採用した場合でも、同様に本発明を実施することが可能である。
この図は一般的なインターネット接続構成を示しており、企業網などのIPネットワーク1aと、ISP(Internet Service Provider)等が個人ユーザへ提供するIPネットワーク1cとの間に、インターネット等のIPネットワーク1bが中継ネットワークとして存在する構成である。
IPネットワーク1aとIPネットワーク1cを中継するためにSGW(Security Gateway)3が設置されている。IPネットワーク1bとIPネットワーク1cを中継するためにISP−GW(Internset Service Provider Gateway)4がある。IPネットワーク1aには、PC(Personal Computer)2a、PC2b、PC2cがあり、それぞれSGW3へ接続されている。IPネットワーク1bには、PC2d、PC2e、PC2fがあり、それぞれISP−GW4に接続されている。
また、図11に、各IPネットワークで伝送されるパケットのフォーマットについての説明図を示す。
図示のように、PC2aは、PKヘッダ付き暗号化パケット101を送信し、SGW3はPKヘッダ付き暗号化パケット101をデカプセル化し(例、PKヘッダの除去)、IPsec暗号化パケット102を生成し、IPネットワーク1bへ転送する。ここで、IPsec暗号化パケット102は、従来のIPsecパケットと互換性があり、IPsec暗号化パケット102を受信する装置は、本発明又は本実施の形態を実施するための特別な変更をしなくて済む効果がある。一方、ISP−GW4は、IPsec暗号化パケット102を受信すると、デカプセル化および復号化をし(例、ESPヘッダの除去)、TCP/IPパケット103を生成し、IPネットワーク1cへ転送する。
1.暗号化パケット検閲システム
図1に、暗号化パケット検閲システムのネットワーク構成図を示す。
以下、本発明の実施の形態の説明では、パケットデータを暗号化する方法に、IPsecを用いることを例にして説明するが、パケットデータを暗号化するにあたり、他のパケット暗号化方法を採用した場合でも、同様に本発明を実施することが可能である。
この図は一般的なインターネット接続構成を示しており、企業網などのIPネットワーク1aと、ISP(Internet Service Provider)等が個人ユーザへ提供するIPネットワーク1cとの間に、インターネット等のIPネットワーク1bが中継ネットワークとして存在する構成である。
IPネットワーク1aとIPネットワーク1cを中継するためにSGW(Security Gateway)3が設置されている。IPネットワーク1bとIPネットワーク1cを中継するためにISP−GW(Internset Service Provider Gateway)4がある。IPネットワーク1aには、PC(Personal Computer)2a、PC2b、PC2cがあり、それぞれSGW3へ接続されている。IPネットワーク1bには、PC2d、PC2e、PC2fがあり、それぞれISP−GW4に接続されている。
また、図11に、各IPネットワークで伝送されるパケットのフォーマットについての説明図を示す。
図示のように、PC2aは、PKヘッダ付き暗号化パケット101を送信し、SGW3はPKヘッダ付き暗号化パケット101をデカプセル化し(例、PKヘッダの除去)、IPsec暗号化パケット102を生成し、IPネットワーク1bへ転送する。ここで、IPsec暗号化パケット102は、従来のIPsecパケットと互換性があり、IPsec暗号化パケット102を受信する装置は、本発明又は本実施の形態を実施するための特別な変更をしなくて済む効果がある。一方、ISP−GW4は、IPsec暗号化パケット102を受信すると、デカプセル化および復号化をし(例、ESPヘッダの除去)、TCP/IPパケット103を生成し、IPネットワーク1cへ転送する。
以下、図1に示す構成において、PC2aがPC2dへIPsecで暗号化したIPパケットを送信する場合について説明する。
2.ユーザ端末装置(PC)
図2は、ユーザ端末装置の装置構成図である。なお、ユーザ端末装置PCa、PC2b、PC2cは、それぞれ同様の構成である。
PC2aは少なくとも、4つのハードウェアブロックを備える。以下に各ハードウェアブロックについて説明する。
・ソフトウェアや本装置の動作を決定する設定ファイル等の情報を格納するハードディスク200。
・本装置の制御を司るCPU201。
・ソフトウェアを実行に際して一時的に利用する領域であるメモリ202。
・IPパケットを送信するネットワークインターフェイス203。
上述のハードウェアブロックは、全てバス204で接続される。
図2は、ユーザ端末装置の装置構成図である。なお、ユーザ端末装置PCa、PC2b、PC2cは、それぞれ同様の構成である。
PC2aは少なくとも、4つのハードウェアブロックを備える。以下に各ハードウェアブロックについて説明する。
・ソフトウェアや本装置の動作を決定する設定ファイル等の情報を格納するハードディスク200。
・本装置の制御を司るCPU201。
・ソフトウェアを実行に際して一時的に利用する領域であるメモリ202。
・IPパケットを送信するネットワークインターフェイス203。
上述のハードウェアブロックは、全てバス204で接続される。
図3は、ユーザ端末装置のソフトウェア構成を示した説明図である。なお、ユーザ端末装置PCa、PC2b、PC2cは、それぞれ同様の構成である。
ユーザ端末装置は、アプリケーションプログラム301a、301bを含む。ソケットインターフェイス302a、302b、302cは、ユーザ空間からカーネル空間へデータパケットを送信する。TCP制御部304は、TCPヘッダをデータパケットに追加し、また、コネクション管理をする。UDP制御部305は、UDPヘッダをデータパケットに追加する。SCTP制御部306は、SCTPヘッダをデータパケットに追加し、また、コネクション管理をする。IPv4制御部307は、IPv4ヘッダをTCP、UDP、SCTP等の上位レイヤからのパケットに付与する。IPv6制御部308は、IPv4制御部307と同様に、IPv6ヘッダを付与する。
IPsec制御部309は、IPパケットに対し、暗号化やIPsecヘッダを付与する。セキュリティポリシデータベース310では、IPsec制御部309が、IPv4制御部307やIPv6制御部308が構築したパケットに対して、IPsecを適用するべきか判断する。共通鍵データベース311は、前記パケットをIPsec暗号化するための共通鍵を保持する。公開鍵データベース312は、前記共通鍵を暗号化するための公開鍵を保持する。暗号化共通鍵制御部313は、IPsec制御部309が構築した前記パケットに、前記共通鍵を前記公開鍵で暗号化した結果を付与する。
リンクレイヤ制御部314は、暗号化共通鍵制御部313や、IPsec制御部309が構築したパケットに対して、MACアドレスを付与する。NIF制御部315はネットワークインターフェイスデバイスを制御する。
プロセス管理部321は、単位時間内に、どのプロセスをCPU201で実行させるかを制御する。プロセス情報データベース322には、プロセス管理部321が、すべての実行中プロセス情報を格納しておく。
ユーザ端末装置は、アプリケーションプログラム301a、301bを含む。ソケットインターフェイス302a、302b、302cは、ユーザ空間からカーネル空間へデータパケットを送信する。TCP制御部304は、TCPヘッダをデータパケットに追加し、また、コネクション管理をする。UDP制御部305は、UDPヘッダをデータパケットに追加する。SCTP制御部306は、SCTPヘッダをデータパケットに追加し、また、コネクション管理をする。IPv4制御部307は、IPv4ヘッダをTCP、UDP、SCTP等の上位レイヤからのパケットに付与する。IPv6制御部308は、IPv4制御部307と同様に、IPv6ヘッダを付与する。
IPsec制御部309は、IPパケットに対し、暗号化やIPsecヘッダを付与する。セキュリティポリシデータベース310では、IPsec制御部309が、IPv4制御部307やIPv6制御部308が構築したパケットに対して、IPsecを適用するべきか判断する。共通鍵データベース311は、前記パケットをIPsec暗号化するための共通鍵を保持する。公開鍵データベース312は、前記共通鍵を暗号化するための公開鍵を保持する。暗号化共通鍵制御部313は、IPsec制御部309が構築した前記パケットに、前記共通鍵を前記公開鍵で暗号化した結果を付与する。
リンクレイヤ制御部314は、暗号化共通鍵制御部313や、IPsec制御部309が構築したパケットに対して、MACアドレスを付与する。NIF制御部315はネットワークインターフェイスデバイスを制御する。
プロセス管理部321は、単位時間内に、どのプロセスをCPU201で実行させるかを制御する。プロセス情報データベース322には、プロセス管理部321が、すべての実行中プロセス情報を格納しておく。
図4は、セキュリティポリシデータベース310と共通鍵データベース311と公開鍵データベース312の構造と関係を示した説明図である。
セキュリティポリシデータベース400は、図3のセキュリティポリシデータベース310に対応する。セキュリティポリシ401は、セキュリティポリシデータベース400からポイントされている。セキュリティポリシデータベース400はセキュリティポリシ401を複数格納することができる。
セキュリティポリシ401には、セレクタ410、共通鍵ポインタ417、公開鍵ポインタ418が含まれる。セキュリティポリシデータベース400は、IPv4制御部307またはIPv6制御部308が構築したパケットに含まれる情報である、セレクタ410に含まれる発IPアドレス411、宛先IPアドレス412、L4プロトコル番号413、発ポート番号414、宛先ポート番号415をそれぞれ比較し、すべて一致するものを検索して取得することができる。ただし、発IPアドレス411、宛先IPアドレス412、L4プロトコル番号413、発ポート番号414、宛先ポート番号415の1つまたは複数に「any」と指定した場合は、「any」と指定した項目についての検索は行わない。なお、例えば、発IPアドレス411、宛先IPアドレス412、L4プロトコル番号413は、IPヘッダに含まれ、発ポート番号414、宛先ポート番号415はTCPヘッダに含まれる。
または、セキュリティポリシデータベース400は、パケットを送出したアプリケーション名と、アプリケーション名416を比較し、一致したものを取得することができる。ただし、アプリケーション名416に「any」と指定した場合は、アプリケーション名による検索は行わない。さらに、セキュリティポリシデータベース400は、発IPアドレス411〜アプリケーション名416の全ての情報を比較してもよい。
アプリケーション名による検索は、OS(オペレーティングシステム)のプロセス管理部321が管理しているプロセス情報と比較して行うことができる。プロセスとは、OSで実行中のプログラムのことである。プロセス管理部321が、現在CPU201で実行しているプロセスを「実行中である」とプロセス情報データベース322に記録している。よって、どの機能部であっても、プロセス情報データベース322を検索することにより、現在CPU201を実行しているプロセス情報を知ることができる。このプロセス情報の中には、アプリケーション名も含まれているので、IPsec制御部309は、プロセス情報データベース322を検索し、アプリケーション名416と文字列比較するためのアプリケーション名を取得する。この手段によれば、アプリケーション301aやアプリケーション301bは、IPsec制御部309に、自身のアプリケーション名を伝える必要はなく、そのためのインターフェイスを作成しなくても良いという利点がある。
セキュリティポリシデータベース400は、図3のセキュリティポリシデータベース310に対応する。セキュリティポリシ401は、セキュリティポリシデータベース400からポイントされている。セキュリティポリシデータベース400はセキュリティポリシ401を複数格納することができる。
セキュリティポリシ401には、セレクタ410、共通鍵ポインタ417、公開鍵ポインタ418が含まれる。セキュリティポリシデータベース400は、IPv4制御部307またはIPv6制御部308が構築したパケットに含まれる情報である、セレクタ410に含まれる発IPアドレス411、宛先IPアドレス412、L4プロトコル番号413、発ポート番号414、宛先ポート番号415をそれぞれ比較し、すべて一致するものを検索して取得することができる。ただし、発IPアドレス411、宛先IPアドレス412、L4プロトコル番号413、発ポート番号414、宛先ポート番号415の1つまたは複数に「any」と指定した場合は、「any」と指定した項目についての検索は行わない。なお、例えば、発IPアドレス411、宛先IPアドレス412、L4プロトコル番号413は、IPヘッダに含まれ、発ポート番号414、宛先ポート番号415はTCPヘッダに含まれる。
または、セキュリティポリシデータベース400は、パケットを送出したアプリケーション名と、アプリケーション名416を比較し、一致したものを取得することができる。ただし、アプリケーション名416に「any」と指定した場合は、アプリケーション名による検索は行わない。さらに、セキュリティポリシデータベース400は、発IPアドレス411〜アプリケーション名416の全ての情報を比較してもよい。
アプリケーション名による検索は、OS(オペレーティングシステム)のプロセス管理部321が管理しているプロセス情報と比較して行うことができる。プロセスとは、OSで実行中のプログラムのことである。プロセス管理部321が、現在CPU201で実行しているプロセスを「実行中である」とプロセス情報データベース322に記録している。よって、どの機能部であっても、プロセス情報データベース322を検索することにより、現在CPU201を実行しているプロセス情報を知ることができる。このプロセス情報の中には、アプリケーション名も含まれているので、IPsec制御部309は、プロセス情報データベース322を検索し、アプリケーション名416と文字列比較するためのアプリケーション名を取得する。この手段によれば、アプリケーション301aやアプリケーション301bは、IPsec制御部309に、自身のアプリケーション名を伝える必要はなく、そのためのインターフェイスを作成しなくても良いという利点がある。
共通鍵データベース402は、図3の共通鍵データベース311に相当し、複数の共通鍵を保持する。前記共通鍵は、IPsec暗号化に使用するものである。セキュリティポリシ401は、前記共通鍵への共通鍵ポインタ417を保持しているので、セキュリティポリシ401を取得することにより、前記共通鍵にアクセスすることが可能である。
公開鍵データベース403は、図3の公開鍵データベース312に相当し、複数の公開鍵を保持する。前記公開鍵は、前記共通鍵の暗号化にしようするものである。セキュリティポリシ401は、前記共通鍵への公開鍵ポインタ418を保持しているので、セキュリティポリシ401を取得することにより、前記公開鍵にアクセスすることが可能である。公開鍵ポインタ418には、空ポインタ指定することもできる。空ポインタが指定されていた場合は、前記共通鍵を前記パケットに付与しない。
公開鍵データベース403は、図3の公開鍵データベース312に相当し、複数の公開鍵を保持する。前記公開鍵は、前記共通鍵の暗号化にしようするものである。セキュリティポリシ401は、前記共通鍵への公開鍵ポインタ418を保持しているので、セキュリティポリシ401を取得することにより、前記公開鍵にアクセスすることが可能である。公開鍵ポインタ418には、空ポインタ指定することもできる。空ポインタが指定されていた場合は、前記共通鍵を前記パケットに付与しない。
図5は、ユーザ端末装置のパケット送信処理フローを示した説明図である。また図6は、ユーザ端末装置が送受信するパケットフォーマットを示した説明図である。次に、ユーザ端末装置PCaにおいて、パケット暗号化を行うIPsec制御部309の動作と暗号化共通鍵制御部の動作について、図5および図6を使いさらに具体的に説明する。
IPsec制御部309は、IPv4制御部307またはIPv6制御部308よりパケットを受け取ると、IPヘッダ601およびTCPヘッダ602、または、プロセスデータベース情報データベース322より取得した送信元アプリケーション情報から、セキュリティポリシデータベース310を検索し、セレクタ410に該当するセキュリティポリシ401を取得する(ステップS501)。
該当するセキュリティポリシ401が存在しない場合は、IPsec制御部309は、IPsec処理を行わない(ステップS502)。一方、該当するセキュリティポリシ401が存在した場合は、IPsec制御部309は、共通鍵ポインタ417から共通鍵データベース402に格納されている共通鍵で、前記パケットのTCPヘッダ部602とデータ部603を暗号化する(ステップS503)。また、IPsec制御部309は、受信側であるPC2dで復号するための共通鍵を検索できるように、IPsecの共通鍵IDが含まれているESPヘッダ613を作成し、暗号化したパケットには、そのESPヘッダ613を付与する(ステップS504)。共通鍵IDとは、任意のデータを暗号化した共通鍵を識別するためのIDであり、IPsec方式ではSPI(Security Parameter Index)とも呼ばれている。
つぎに、ステップS501で検索したセキュリティポリシ401に含まれている、公開鍵ポインタ418が空だった場合は(ステップS505)、IPsec制御部309は、前記共通鍵で暗号化したパケットをリンクレイヤ制御部314へ渡し、リンクレイヤ制御部314は、送信要求する。
一方、ステップS501で検索したセキュリティポリシ401に含まれている、公開鍵ポインタ418が、公開鍵データベース403に含まれる公開鍵のアドレスを指していた場合は(ステップS505)、IPsec制御部309は暗号化共通鍵制御部313へ共通鍵でデータ部615及びTCPヘッダ614を暗号化したパケットを渡し、暗号化共通鍵制御部313は、該当する公開鍵で前記共通鍵を暗号化する(ステップS506)。暗号化共通鍵制御部313は、共通鍵を暗号化した公開鍵ID623と暗号化した共通鍵(暗号化共通鍵)622とを含むPKヘッダ612を前記パケットへ付与する(ステップS507)。暗号化共通鍵制御部313は、上述の処理を施したパケット(図11、PKヘッダ付き暗号化パケット)をリンクレイヤ制御部314に渡し、リンクレイヤ制御部314はデバイスへ送信要求する(ステップS508)。
IPsec制御部309は、IPv4制御部307またはIPv6制御部308よりパケットを受け取ると、IPヘッダ601およびTCPヘッダ602、または、プロセスデータベース情報データベース322より取得した送信元アプリケーション情報から、セキュリティポリシデータベース310を検索し、セレクタ410に該当するセキュリティポリシ401を取得する(ステップS501)。
該当するセキュリティポリシ401が存在しない場合は、IPsec制御部309は、IPsec処理を行わない(ステップS502)。一方、該当するセキュリティポリシ401が存在した場合は、IPsec制御部309は、共通鍵ポインタ417から共通鍵データベース402に格納されている共通鍵で、前記パケットのTCPヘッダ部602とデータ部603を暗号化する(ステップS503)。また、IPsec制御部309は、受信側であるPC2dで復号するための共通鍵を検索できるように、IPsecの共通鍵IDが含まれているESPヘッダ613を作成し、暗号化したパケットには、そのESPヘッダ613を付与する(ステップS504)。共通鍵IDとは、任意のデータを暗号化した共通鍵を識別するためのIDであり、IPsec方式ではSPI(Security Parameter Index)とも呼ばれている。
つぎに、ステップS501で検索したセキュリティポリシ401に含まれている、公開鍵ポインタ418が空だった場合は(ステップS505)、IPsec制御部309は、前記共通鍵で暗号化したパケットをリンクレイヤ制御部314へ渡し、リンクレイヤ制御部314は、送信要求する。
一方、ステップS501で検索したセキュリティポリシ401に含まれている、公開鍵ポインタ418が、公開鍵データベース403に含まれる公開鍵のアドレスを指していた場合は(ステップS505)、IPsec制御部309は暗号化共通鍵制御部313へ共通鍵でデータ部615及びTCPヘッダ614を暗号化したパケットを渡し、暗号化共通鍵制御部313は、該当する公開鍵で前記共通鍵を暗号化する(ステップS506)。暗号化共通鍵制御部313は、共通鍵を暗号化した公開鍵ID623と暗号化した共通鍵(暗号化共通鍵)622とを含むPKヘッダ612を前記パケットへ付与する(ステップS507)。暗号化共通鍵制御部313は、上述の処理を施したパケット(図11、PKヘッダ付き暗号化パケット)をリンクレイヤ制御部314に渡し、リンクレイヤ制御部314はデバイスへ送信要求する(ステップS508)。
3.セキュリティゲートウェイ(SGW)
次に、パケットを検閲するSGW3について説明する。
図7は、SGW3の装置構成図である。SGW3は少なくとも、5つのハードウェアブロックを備える。以下に各ハードウェアブロックについて説明する。
・ソフトウェアや本装置の動作を決定する設定ファイル等の情報を格納するハードディスク700。
・本装置の制御を司るCPU701。
・ソフトウェアを実行に際して一時的に利用する領域であるメモリ702。
・IPパケットを送信するネットワークインターフェイス703a、ネットワークインターフェイス703b。
上述のハードウェアブロックは、全てバス704で接続される。
次に、パケットを検閲するSGW3について説明する。
図7は、SGW3の装置構成図である。SGW3は少なくとも、5つのハードウェアブロックを備える。以下に各ハードウェアブロックについて説明する。
・ソフトウェアや本装置の動作を決定する設定ファイル等の情報を格納するハードディスク700。
・本装置の制御を司るCPU701。
・ソフトウェアを実行に際して一時的に利用する領域であるメモリ702。
・IPパケットを送信するネットワークインターフェイス703a、ネットワークインターフェイス703b。
上述のハードウェアブロックは、全てバス704で接続される。
図8は、SGW3のソフトウェア構成を示した説明図である。SGW3は、パケットを検閲するためのアプリケーションプログラム801を含む。ソケットインターフェイス802は、カーネル空間からユーザ空間へまたはその逆へパケットを渡す。RAW制御部803は、ソケット802へ、IPヘッダ610を含んだパケットを渡す。また、RAW制御部803は、ソケット802からIPv4制御部804又はIPv6制御部805へパケットを渡す。IPv4制御部804は、IPv4パケットを別インターフェイスに転送するための制御を行い、また、パケットのコピーを作成し、RAW制御部803へ、前記コピーしたパケット渡す。IPv6制御部805は、IPv6パケットを別インターフェイスに転送するための制御を行い、また、パケットのコピーを作成し、RAW制御部803へ、前記コピーしたパケット渡す。また、IPv4制御部804、IPv6制御部805は、RAW制御部803から受けたパケットをIPsec制御部806へ渡す。
IPsec制御部806は、受信したパケットの暗号化されたデータ部615及びTCPヘッダ614を共通鍵で復号化し、ESPヘッダ613を取り除き、その後、IPv4制御部804およびIPv6制御部805へ前記パケットを送信する。なお、IPsec制御部806は、復号化した共通鍵を保持しておいてもよい。また、IPsec制御部806は、IPv4制御部804又はIPv6制御部805から受けたパケットにESPヘッダを付与する。暗号化共通鍵制御部807は、受信したパケットのPKヘッダ612に暗号化されている共通鍵622を復号化し、PKヘッダを取り除き、その後、復号化した前記共通鍵とPKヘッダを取り除いた前記パケットをIPsec制御部806に渡す。公開鍵・秘密鍵データベース808は、PC2aに送付した公開鍵と、前記公開鍵とペアになる秘密鍵を格納しておく。ペアとなる公開鍵と秘密鍵のIDは同一のものである。
リンクレイヤ制御部809は、受信したパケットをIPv4制御部804で処理させるべきか、IPv6制御部805で処理させるべきかを判断し、暗号化共通鍵制御部807またはIPsec制御部806に通知する。また、リンクレイヤ制御部809は、IPsec制御部806からNIF制御部810へパケットを渡す。NIF制御部810は、ネットワークインターフェイス703a、703bから、受信したパケット情報を取り出し、ソフトウェアで扱えるようにメモリ702へ移し変える。また、NIF制御部810は、リンクレイヤ制御部809からのパケットをネットワークインターフェイス703a、703bを介してリンクレイヤへ送信する。
IPsec制御部806は、受信したパケットの暗号化されたデータ部615及びTCPヘッダ614を共通鍵で復号化し、ESPヘッダ613を取り除き、その後、IPv4制御部804およびIPv6制御部805へ前記パケットを送信する。なお、IPsec制御部806は、復号化した共通鍵を保持しておいてもよい。また、IPsec制御部806は、IPv4制御部804又はIPv6制御部805から受けたパケットにESPヘッダを付与する。暗号化共通鍵制御部807は、受信したパケットのPKヘッダ612に暗号化されている共通鍵622を復号化し、PKヘッダを取り除き、その後、復号化した前記共通鍵とPKヘッダを取り除いた前記パケットをIPsec制御部806に渡す。公開鍵・秘密鍵データベース808は、PC2aに送付した公開鍵と、前記公開鍵とペアになる秘密鍵を格納しておく。ペアとなる公開鍵と秘密鍵のIDは同一のものである。
リンクレイヤ制御部809は、受信したパケットをIPv4制御部804で処理させるべきか、IPv6制御部805で処理させるべきかを判断し、暗号化共通鍵制御部807またはIPsec制御部806に通知する。また、リンクレイヤ制御部809は、IPsec制御部806からNIF制御部810へパケットを渡す。NIF制御部810は、ネットワークインターフェイス703a、703bから、受信したパケット情報を取り出し、ソフトウェアで扱えるようにメモリ702へ移し変える。また、NIF制御部810は、リンクレイヤ制御部809からのパケットをネットワークインターフェイス703a、703bを介してリンクレイヤへ送信する。
図9は、セキュリティゲートウェイのパケット検閲と転送フローチャートを示した説明図である。また図10は、公開鍵および秘密鍵を格納しておくデータベース808の構成を示した説明図である。次に、PC2aから受信した暗号化パケット610をIPsec暗号化パケットとして転送する方法について、図9および図10を使い、さらに具体的に説明する。
NIF制御部810は、ネットワークインターフェイス703a、703bから受信したパケット(図11、PKヘッダ付き暗号化パケット)を予めメモリ702へ記憶している。リンクレイヤ制御部809は、メモリ702から受信したパケットを読み出し、暗号化共通鍵制御部807は、リンクレイヤ制御部809からそのパケットを受信する(ステップS900)。リンクレイヤ制御部809は、受信したパケットにPKヘッダ612があるかどうか調べる。PKヘッダが無い場合は、暗号化共通鍵制御部807は、パケットを検閲アプリケーション801に渡す(ステップS901)。一方、PKヘッダ612がある場合、暗号化共通鍵制御部807は、PKヘッダ612に含まれている公開鍵ID623と同一のIDを持つ秘密鍵を検索するため、公開鍵・秘密鍵データベース808を検索する(ステップS902)。
ここで、図10に、公開鍵・秘密鍵データベース構造の説明図を示す。前記秘密鍵を取得するには、公開鍵・秘密鍵データベース1001(図8中、公開鍵・秘密鍵データベースに相当)に含まれる公開鍵・秘密鍵エントリ1002を順に検索する。前記検索した公開鍵・秘密鍵エントリ1002に含まれる秘密鍵データ1013が、公開鍵ID623と同一IDを持つ秘密鍵である。
ステップS902において、暗号化共通鍵制御部807は、秘密鍵が見つからなかった場合は(ステップS903)、パケットを廃棄する(ステップ915)。一方、暗号化共通鍵制御部807は、秘密鍵が見つかった場合(ステップS903)、ステップ902で取得した秘密鍵を使い、PKヘッダ612に含まれている暗号化共通鍵622を復号化し、PKヘッダを取り除き、復号化された共通鍵と、PKヘッダを取り除いたパケットとをIPsec制御部806に渡す(ステップS904)。次にIPsec制御部806は、ステップS904で復号化された共通鍵を使い、暗号化パケット610のデータ部615及びTCPヘッダ614を復号化する(ステップS907)。IPsec制御部806は、ステップS907で復号化したパケットからESPヘッダを取り除き、そのパケットと、ステップS906で復号化した共通鍵とを、IPv4制御部804またはIPv6制御部805および、RAW制御部803および、ソケット802を経由して、検閲アプリケーション801へ渡す(ステップS908)。
検閲アプリケーション801は、パケットのデータ部の内容を確認し、機密情報のキーワードが含まれている等、転送してはいけないと判断した場合は、パケットを廃棄する(ステップS915)。検閲アプリケーションが受け取るパケットデータは、復号化されており、パケットデータ部分を検閲できるという効果がある。一方、検閲アプリケーション801は、ステップS909にて、転送しても良いと判断した場合は、ステップS907で復号化したパケットおよび、ステップS906で復号化した共通鍵を、ソケット802および、RAW制御部803および、IPv4制御部804またはIPv6制御部805を経由して、IPsec制御部806へ渡す。IPsec制御部806は、前記共通鍵を用いて、データ部615及びTCPヘッダ614を再び暗号化する(ステップS910)。なお、IPsec制御部806は、復号化した共通鍵を保持しておき、データ部の暗号化のとき、それを用いてもよい。この場合、検閲アプリケーション801はIPsec制御部806に共通鍵を渡さないように構成してもよい。なお、IPsec制御部806は、前記暗号化を行う代わりに、ステップS907実施前の暗号化パケット610を一時的に保存しておき、代用することが可能である。次に、IPsec制御部806は、暗号化したパケットにESPヘッダ613を付与する(図11、IPsec暗号化パケット102)(ステップS911)。この処理によって、通常のIPsecパケットと同様のフォーマットになる。よって、PC2dは、通常のIPsec処理を行うことにより、パケットを正常に受信できるようになる。
NIF制御部810は、ネットワークインターフェイス703a、703bから受信したパケット(図11、PKヘッダ付き暗号化パケット)を予めメモリ702へ記憶している。リンクレイヤ制御部809は、メモリ702から受信したパケットを読み出し、暗号化共通鍵制御部807は、リンクレイヤ制御部809からそのパケットを受信する(ステップS900)。リンクレイヤ制御部809は、受信したパケットにPKヘッダ612があるかどうか調べる。PKヘッダが無い場合は、暗号化共通鍵制御部807は、パケットを検閲アプリケーション801に渡す(ステップS901)。一方、PKヘッダ612がある場合、暗号化共通鍵制御部807は、PKヘッダ612に含まれている公開鍵ID623と同一のIDを持つ秘密鍵を検索するため、公開鍵・秘密鍵データベース808を検索する(ステップS902)。
ここで、図10に、公開鍵・秘密鍵データベース構造の説明図を示す。前記秘密鍵を取得するには、公開鍵・秘密鍵データベース1001(図8中、公開鍵・秘密鍵データベースに相当)に含まれる公開鍵・秘密鍵エントリ1002を順に検索する。前記検索した公開鍵・秘密鍵エントリ1002に含まれる秘密鍵データ1013が、公開鍵ID623と同一IDを持つ秘密鍵である。
ステップS902において、暗号化共通鍵制御部807は、秘密鍵が見つからなかった場合は(ステップS903)、パケットを廃棄する(ステップ915)。一方、暗号化共通鍵制御部807は、秘密鍵が見つかった場合(ステップS903)、ステップ902で取得した秘密鍵を使い、PKヘッダ612に含まれている暗号化共通鍵622を復号化し、PKヘッダを取り除き、復号化された共通鍵と、PKヘッダを取り除いたパケットとをIPsec制御部806に渡す(ステップS904)。次にIPsec制御部806は、ステップS904で復号化された共通鍵を使い、暗号化パケット610のデータ部615及びTCPヘッダ614を復号化する(ステップS907)。IPsec制御部806は、ステップS907で復号化したパケットからESPヘッダを取り除き、そのパケットと、ステップS906で復号化した共通鍵とを、IPv4制御部804またはIPv6制御部805および、RAW制御部803および、ソケット802を経由して、検閲アプリケーション801へ渡す(ステップS908)。
検閲アプリケーション801は、パケットのデータ部の内容を確認し、機密情報のキーワードが含まれている等、転送してはいけないと判断した場合は、パケットを廃棄する(ステップS915)。検閲アプリケーションが受け取るパケットデータは、復号化されており、パケットデータ部分を検閲できるという効果がある。一方、検閲アプリケーション801は、ステップS909にて、転送しても良いと判断した場合は、ステップS907で復号化したパケットおよび、ステップS906で復号化した共通鍵を、ソケット802および、RAW制御部803および、IPv4制御部804またはIPv6制御部805を経由して、IPsec制御部806へ渡す。IPsec制御部806は、前記共通鍵を用いて、データ部615及びTCPヘッダ614を再び暗号化する(ステップS910)。なお、IPsec制御部806は、復号化した共通鍵を保持しておき、データ部の暗号化のとき、それを用いてもよい。この場合、検閲アプリケーション801はIPsec制御部806に共通鍵を渡さないように構成してもよい。なお、IPsec制御部806は、前記暗号化を行う代わりに、ステップS907実施前の暗号化パケット610を一時的に保存しておき、代用することが可能である。次に、IPsec制御部806は、暗号化したパケットにESPヘッダ613を付与する(図11、IPsec暗号化パケット102)(ステップS911)。この処理によって、通常のIPsecパケットと同様のフォーマットになる。よって、PC2dは、通常のIPsec処理を行うことにより、パケットを正常に受信できるようになる。
IPsec制御部806は、以上の処理を行った前記パケットをリンクレイヤ制御部809に渡し、リンクレイヤ制御部809はNIF制御部810を介して前記パケットをリンクレイヤへ送信し、ネットワークインターフェイス703aまたは703bより、ISP−GW4へ前記パケットを送信する(ステップS913)。なお、ISP−GW4は、SGW3からIPネットワーク1bを介して受信したパケット(図11、IPsec暗号化パケット)をデカプセル化及び復号して、TCP/IPパケット(図11参照)を得ることができる。
以上の実施の形態から明らかなように、本発明によると、暗号化しているにも関わらず、ゲートウェイ装置において、パケットの内容を検閲し、情報漏洩を防止することができる。また、ゲートウェイに保持する情報量は、ゲートウェイに接続されている端末数に依存しないので、本発明は、大規模なネットワークにも適用することができる。
1 IP網
2 パーソナルコンピュータ(Personal Computer:PC)
3 セキュリティゲートウェイ(Security Gateway:SGW)
4 ISPゲートウェイ(Internet Service Provider Gateway:ISP−GW)
2 パーソナルコンピュータ(Personal Computer:PC)
3 セキュリティゲートウェイ(Security Gateway:SGW)
4 ISPゲートウェイ(Internet Service Provider Gateway:ISP−GW)
Claims (6)
- パケット送信装置から、パケット送信装置を含むネットワークのパケット転送装置を介して、他のネットワーク内のパケット受信装置へパケットを送信するための暗号化パケット通信システムであって、
前記パケット送信装置は、
前記パケットのパケットデータ部を共通鍵で暗号化して暗号化データ部を作成し、前記パケット送信装置と前記パケット受信装置との間で暗号化するための共通鍵を検索するための共通鍵識別情報を含む第1暗号化ヘッダを作成する手段と、
前記共通鍵を公開鍵で暗号化して暗号化共通鍵を作成し、前記暗号化共通鍵及び前記公開鍵の識別情報を含む第2暗号化ヘッダを作成する手段と、
前記第1暗号化ヘッダと前記第2暗号化ヘッダと前記暗号化データ部とを含む暗号化パケットを前記パケット転送装置へ送信するための手段と、
を備え、
前記パケット転送装置は、
前記暗号化パケットを前記パケット送信装置から受信し、受信したパケットが前記第2暗号化ヘッダを含む場合、前記第2暗号化ヘッダ中の公開鍵の識別情報に基づき、前記公開鍵に対応する秘密鍵を求め、前記第2暗号化ヘッダに含まれる前記暗号化共通鍵を前記秘密鍵で復号化して前記共通鍵を求め、前記暗号化パケットから前記第2暗号化ヘッダを削除する手段と、
求めた前記共通鍵で前記暗号化パケットの前記暗号化データ部を復号化して前記パケットデータ部を求め、前記暗号化パケットから前記第1暗号化ヘッダをさらに削除する手段と、
前記パケットデータ部を検閲し、前記パケットデータ部を含むパケットを転送してもよいか判断する手段と、
前記パケットデータ部を含むパケットを転送してもよいと判断された場合、前記パケットデータ部を前記共通鍵で暗号化して前記暗号化データ部を作成し、前記暗号化データ部と、前記共通鍵識別情報を含む第1暗号化ヘッダを含む第1暗号化ヘッダ付き暗号化パケットを作成する手段と、
前記第1暗号化ヘッダ付き暗号化パケットを前記他のネットワークへ送信するための手段と、
を備えた前記暗号化パケット通信システム。 - 請求項1に記載の暗号化パケット通信システムにおいて、
前記パケット送信装置は、
発信元識別情報及び/又は宛先識別情報を含む少なくとも1つ以上のセキュリティポリシを格納したセキュリティポリシデータベースを備え、
送信すべきパケットの発信元識別情報及び/又は宛先識別情報に基づき前記セキュリティポリシデータベースを検索し、前記パケットが前記セキュリティポリシに該当するとき、前記第1暗号化ヘッダ及び/または第2暗号化ヘッダを前記パケットに付与するようにした前記暗号化パケット通信システム。 - 請求項1に記載の暗号化パケット通信システムにおいて、
前記パケット送信装置は、
アプリケーション名を含む少なくとも1つ以上のセキュリティポリシを格納したセキュリティポリシデータベースを備え、
送信すべきパケットについて、OSが管理するプロセス情報に含まれるアプリケーション名を検索し、前記パケットを送信又は作成したアプリケーション名を用いて前記セキュリティデータベースから前記セキュリティポリシを検索し、前記パケットが前記セキュリティポリシに該当するとき、前記第1暗号化ヘッダ及び/または前記第2暗号化ヘッダを前記パケットに付与するようにした前記暗号化パケット通信システム。 - 請求項1に記載の暗号化パケット通信システムにおいて、
少なくとも1つ以上の共通鍵を格納できる共通鍵データベースをさらに備え、
前記セキュリティポリシは前記共通鍵を識別するポインタを含み、前記セキュリティポリシから前記共通鍵をポインタ経由で取得し、前記第1暗号化ヘッダを付与する手段を備えた前記暗号化パケット通信システム。 - 請求項1に記載の暗号化パケット通信システムにおいて、
少なくとも1つ以上の公開鍵を格納できる公開鍵データベースをさらに備え、
前記セキュリティポリシは前記共通鍵を識別するポインタを含み、前記セキュリティポリシから前記公開鍵をポインタ経由で取得し、前記第2暗号化ヘッダを付与する手段を備えた前記暗号化パケット通信システム。 - 請求項1に記載の暗号化パケット通信システムにおいて、
前記パケット転送装置は、公開鍵識別情報に対応して、少なくとも1つ以上の公開鍵及び秘密鍵を格納した公開鍵秘密鍵データベースをさらに備え、
前記パケット送信装置から送信されるパケットに付与されている公開鍵の識別情報に基づき、前記公開鍵秘密鍵データベースから前記秘密鍵を取得する手段をさらに備えたようにした前記暗号化パケット通信システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007016242A JP4933286B2 (ja) | 2007-01-26 | 2007-01-26 | 暗号化パケット通信システム |
| US11/965,839 US8670565B2 (en) | 2007-01-26 | 2007-12-28 | Encrypted packet communication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007016242A JP4933286B2 (ja) | 2007-01-26 | 2007-01-26 | 暗号化パケット通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008182649A true JP2008182649A (ja) | 2008-08-07 |
| JP4933286B2 JP4933286B2 (ja) | 2012-05-16 |
Family
ID=39668003
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007016242A Expired - Fee Related JP4933286B2 (ja) | 2007-01-26 | 2007-01-26 | 暗号化パケット通信システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8670565B2 (ja) |
| JP (1) | JP4933286B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2009326848B2 (en) * | 2008-12-08 | 2015-03-12 | FnF Group Pty Ltd | System and method for adapting an internet and intranet filtering system |
| GB2471282B (en) * | 2009-06-22 | 2015-02-18 | Barclays Bank Plc | Method and system for provision of cryptographic services |
| US9445095B1 (en) * | 2011-10-06 | 2016-09-13 | Arris Enterprises, Inc. | Compression of modified data captures for packets with encrypted or non-interesting content |
| CN112105016A (zh) | 2014-07-03 | 2020-12-18 | 华为技术有限公司 | 无线网络接入保护和安全架构的系统和方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0946330A (ja) * | 1995-07-28 | 1997-02-14 | Toshiba Corp | 電子メール暗号化装置及び電子メール転送装置 |
| JPH11203222A (ja) * | 1998-01-19 | 1999-07-30 | Mitsubishi Electric Corp | 暗号通信方法 |
| WO2002067512A1 (fr) * | 2001-02-19 | 2002-08-29 | Fujitsu Limited | Technique de filtrage de paquets et systeme securise de communication de paquets |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3688830B2 (ja) * | 1995-11-30 | 2005-08-31 | 株式会社東芝 | パケット転送方法及びパケット処理装置 |
| JP3431745B2 (ja) | 1996-01-08 | 2003-07-28 | 富士通株式会社 | ゲートウェイシステム |
| US5812671A (en) * | 1996-07-17 | 1998-09-22 | Xante Corporation | Cryptographic communication system |
| JP3651721B2 (ja) * | 1996-11-01 | 2005-05-25 | 株式会社東芝 | 移動計算機装置、パケット処理装置及び通信制御方法 |
| US6084969A (en) * | 1997-12-31 | 2000-07-04 | V-One Corporation | Key encryption system and method, pager unit, and pager proxy for a two-way alphanumeric pager network |
| CA2228687A1 (en) * | 1998-02-04 | 1999-08-04 | Brett Howard | Secured virtual private networks |
| JP2001111612A (ja) | 1999-10-05 | 2001-04-20 | Nippon Telegr & Teleph Corp <Ntt> | 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体 |
| US7983419B2 (en) * | 2001-08-09 | 2011-07-19 | Trimble Navigation Limited | Wireless device to network server encryption |
| JP4099039B2 (ja) * | 2002-11-15 | 2008-06-11 | 松下電器産業株式会社 | プログラム更新方法 |
-
2007
- 2007-01-26 JP JP2007016242A patent/JP4933286B2/ja not_active Expired - Fee Related
- 2007-12-28 US US11/965,839 patent/US8670565B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0946330A (ja) * | 1995-07-28 | 1997-02-14 | Toshiba Corp | 電子メール暗号化装置及び電子メール転送装置 |
| JPH11203222A (ja) * | 1998-01-19 | 1999-07-30 | Mitsubishi Electric Corp | 暗号通信方法 |
| WO2002067512A1 (fr) * | 2001-02-19 | 2002-08-29 | Fujitsu Limited | Technique de filtrage de paquets et systeme securise de communication de paquets |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4933286B2 (ja) | 2012-05-16 |
| US20080181404A1 (en) | 2008-07-31 |
| US8670565B2 (en) | 2014-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220038440A1 (en) | Secure end-to-end transport through intermediary nodes | |
| JP4707992B2 (ja) | 暗号化通信システム | |
| JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
| US6944762B1 (en) | System and method for encrypting data messages | |
| JP4933286B2 (ja) | 暗号化パケット通信システム | |
| JP6396831B2 (ja) | 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ | |
| JP3796496B2 (ja) | セキュリティ管理装置、方法、及び、プログラム | |
| Alhoaimel | Performance Evaluation of IPv6 and the Role of IPsec in Encrypting Data | |
| CN114268499A (zh) | 数据传输方法、装置、系统、设备和存储介质 | |
| JP2001103096A (ja) | ネットワークの構築方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090512 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20100122 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120214 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120216 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150224 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |