JP2009038512A - Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program - Google Patents
Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program Download PDFInfo
- Publication number
- JP2009038512A JP2009038512A JP2007199754A JP2007199754A JP2009038512A JP 2009038512 A JP2009038512 A JP 2009038512A JP 2007199754 A JP2007199754 A JP 2007199754A JP 2007199754 A JP2007199754 A JP 2007199754A JP 2009038512 A JP2009038512 A JP 2009038512A
- Authority
- JP
- Japan
- Prior art keywords
- security association
- shared parameter
- parameter information
- ipv6 address
- information communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムに関する。 The present invention relates to an encrypted information communication apparatus, an encrypted information communication system, an encrypted information communication method, and a program for performing encrypted communication using an IPsec protocol via an IPv6 network.
IPv6においては暗号化通信を行うIPsecが標準機能としてRFC(Request For Comment)にて規格化されている。このIPsecによる暗号化通信を行うにあたっては、どの通信装置とどの通信装置が、どのような暗号鍵により、どのような暗号アルゴリズムで暗号化通信を行うかあらかじめ折衝する必要がある。このような暗号化のための折衝パラメータをIKE(Internet Key Exchange)によるプロトコルによってセキュリティアソシエーションとして確立して共有することにより、IPsecによる暗号化通信を行うことができる。しかし、インターネットの世界では、情報通信装置のIPアドレスは必ずしも、一定の値をとり続ける保証はなく、例えばDHCP(Dynamic Host Configuration Protocol)によるIPアドレスの割り当てが行われていれば、毎回の起動ごとに違うIPアドレスが割り当てられる。セキュリティアソシエーションではIPアドレスとIPアドレスの対でパラメータを登録する必要があるため、このような動的にIPアドレスが変わる場合には、特定の暗号化通信を行う相手を特定することができず、セキュリティアソシエーションが確立できない。そこで、SIP(Session Initiation Protocol)サーバに自分のIPアドレスや、暗号アルゴリズム、暗号鍵等の事前共有パラメータ情報を登録しておき、暗号化通信を開始するに先立って、相手の事前共有パラメータ情報をSIPサーバを介して取得して、IKEプロトコルによるセキュリティアソシエーションを確立する方法がとられる。 In IPv6, IPsec for performing encrypted communication is standardized by RFC (Request For Comment) as a standard function. In performing encrypted communication by IPsec, it is necessary to negotiate in advance which communication device and which communication device perform encrypted communication with which encryption key and with which encryption algorithm. By establishing and sharing such negotiation parameters for encryption as a security association by a protocol based on IKE (Internet Key Exchange), encrypted communication by IPsec can be performed. However, in the Internet world, there is no guarantee that the IP address of the information communication device will always take a constant value. For example, if the IP address is assigned by DHCP (Dynamic Host Configuration Protocol), Is assigned a different IP address. Since it is necessary to register a parameter with a pair of an IP address and an IP address in a security association, when such an IP address changes dynamically, it is not possible to specify a partner to perform a specific encrypted communication. Security association cannot be established. Therefore, the pre-shared parameter information such as the IP address, encryption algorithm, encryption key, etc. is registered in the SIP (Session Initiation Protocol) server, and the pre-shared parameter information of the other party is set prior to starting the encrypted communication. A method is used in which the security association is obtained through the SIP server and the security association according to the IKE protocol is established.
このような暗号化情報通信システムとして、特許文献1に記載のセキュリティポリシー設定方法が挙げられる。
An example of such an encrypted information communication system is a security policy setting method described in
特許文献1に記載の暗号化情報通信システムでは、暗号通信を行いたい暗号化情報通信装置は自分のセキュリティアソシエーションの事前共有パラメータ情報をSIPサーバに対してSDPプロトコルにより登録する。また、通信相手の暗号化情報通信装置のセキュリティアソシエーションの事前共有パラメータ情報をSIPのInviteメッセージを用いて取得を行う。これによりDHCP等で動的にIPアドレスが決定する暗号化情報通信装置間においても、お互いのIPアドレスとセキュリティアソシエーションの事前共有パラメータ情報を入手してIKEによりセキュリティアソシエーションを確立することが可能となり、IPsecによる通信を行うことができる。
In the encrypted information communication system described in
従来の暗号化情報通信システムについて具体的に説明する。 A conventional encrypted information communication system will be specifically described.
図6は、従来の暗号化情報通信システムのセキュリティアソシエーションの事前共有パラメータ情報を交換するための処理を示すフローチャートである。送信側の暗号化情報通信装置11では、ステップS1〜ステップS7を実行し、受信側の暗号化情報通信装置12では、ステップS11〜ステップS16を実行する。メッセージの送受信は、SIPサーバ10を介して行う。
FIG. 6 is a flowchart showing a process for exchanging pre-shared parameter information for security association in a conventional encrypted information communication system. The encrypted information communication apparatus 11 on the transmission side executes Steps S1 to S7, and the encrypted information communication apparatus 12 on the reception side executes Steps S11 to S16. Messages are transmitted and received through the
図6において、送信側の暗号化情報通信装置11は、IPsec通信の開始にあたり、RFC2327で定義されている、Session Description Protocol(SDP)を用いて、自分のセキュリティアソシエーションに関する事前共有パラメータを設定する(ステップS1)。次いで、設定した事前共有パラメータをRFC3261で定義されているSesstion Initiation Protocol(SIP)のInviteメッセージに添付して(ステップS2)、SIPサーバ10に送信する(ステップS3)。 In FIG. 6, the encrypted information communication device 11 on the transmission side sets pre-shared parameters related to its own security association using the Session Description Protocol (SDP) defined in RFC2327 at the start of IPsec communication ( Step S1). Next, the set pre-shared parameter is attached to the Invite message of the Session Initiation Protocol (SIP) defined in RFC3261 (step S2) and transmitted to the SIP server 10 (step S3).
SIPサーバ10は、宛先の暗号化情報通信装置を検索し、SIPのInviteメッセージを転送する。
The
受信側の暗号化情報通信装置12は、SIPのInviteメッセージを受信すると(ステップS11)、送信されたメッセージから送信元のSDPの情報を取り出す(ステップS12)。次いで、受信側の暗号化情報通信装置12は、SDPを用いて、自分のセキュリティアソシエーションに関する事前共有パラメータを設定する(ステップS13)。さらに、SIPのOKメッセージにSDP情報を添付して(ステップS14)、SIPサーバ10にSIPのOKメッセージを送信する(ステップS15)。送信を完了すると、受信側の暗号化情報通信装置は送信側のセキュリティアソシエーション事前共有パラメータ情報と自分のセキュリティアソシエーション事前共有パラメータ情報を対にして、SAパラメータテーブルに設定して受信側のフローを終了する(ステップS16)。 When the encrypted information communication apparatus 12 on the receiving side receives the SIP Invite message (step S11), it extracts the SDP information of the transmission source from the transmitted message (step S12). Next, the encrypted information communication apparatus 12 on the receiving side uses the SDP to set a pre-shared parameter related to its own security association (step S13). Further, the SDP information is attached to the SIP OK message (step S14), and the SIP OK message is transmitted to the SIP server 10 (step S15). When the transmission is completed, the encrypted information communication device on the reception side sets the security association pre-shared parameter information on the transmission side and its own security association pre-shared parameter information in the SA parameter table and ends the flow on the reception side. (Step S16).
上記ステップS15にて送信されたSIPのOKメッセージを受信したSIPサーバ10は、最初にSIPのInviteメッセージを送信した送信元にSIPのOKメッセージを転送する。送信元の暗号化情報通信装置11は、SIPのOKメッセージを受信すると(ステップS4)、受信したメッセージから通信相手のSDPの情報を取り出す(ステップS5)。さらに、SDPから相手のセキュリティアソシエーション事前共有パラメータ情報を取り出し(ステップS6)、受信側のセキュリティアソシエーション事前共有パラメータ情報と自分のセキュリティアソシエーション事前共有パラメータ情報を対にして、SAパラメータテーブルに設定して送信側のフローを終了する(ステップS7)。
Upon receiving the SIP OK message transmitted in step S15, the
以上のように、従来の暗号化情報通信システムは、SIPサーバ10のInviteメッセージに通信相手の事前共有パラメータ情報を載せて通信を行うことにより、不特定なIPアドレスを持つ、情報通信装置との間でセキュリティアソシエーション確立のための事前共有パラメータ情報を交換することができ、IKEによりセキュリティアソシエーション確立を行うことが可能となり、IPsecによる暗号化通信を行うことができる。
しかしながら、このような従来の暗号化情報通信システムにあっては、SIPサーバを介することが前提であり、SIPサーバがダウンしてしまうと、セキュリティアソシエーションを確立するための、事前共有パラメータ情報を交換できない。事前共有パラメータ情報を交換できないと、機器間でSAを確立することができず、IPsec通信を行うことができなくなってしまう。 However, in such a conventional encrypted information communication system, it is premised that the communication is made via a SIP server. When the SIP server goes down, the pre-shared parameter information for establishing the security association is exchanged. Can not. If the pre-shared parameter information cannot be exchanged, the SA cannot be established between devices, and IPsec communication cannot be performed.
また、特定のSIPサーバとの通信は暗号化されないため、本来暗号化通信を行うための事前共有パラメータ情報を交換する際に、やりとりする通信を覗き見されてしまい、IPsecの安全性が保証されない。例えば、SIPサーバとの通信は、秘匿されないため、SIPのInviteメッセージを覗き見して、SA確立のための事前設定情報を入手して詐称することが可能である。 Further, since communication with a specific SIP server is not encrypted, when exchanging pre-shared parameter information for originally performing encrypted communication, the exchanged communication is peeped, and IPsec security is not guaranteed. . For example, since the communication with the SIP server is not concealed, it is possible to look through the SIP Invite message, obtain pre-configuration information for establishing the SA, and misrepresent it.
本発明は、上記に鑑みてなされたものであり、簡単な構成で、サーバを介することなく、Inviteメッセージの覗き見を防止して事前共有パラメータ情報を安全に保護することができる暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムを提供することを目的とする。 The present invention has been made in view of the above, and an encrypted information communication that can protect a pre-shared parameter information safely by preventing a peep of an Invite message without using a server with a simple configuration. An object is to provide an apparatus, an encrypted information communication system, an encrypted information communication method, and a program.
本発明の暗号化情報通信装置は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信装置であって、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換手段と、前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除手段と、前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段と、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立手段とを備える構成を採る。 The encrypted information communication apparatus according to the present invention is an encrypted information communication apparatus that performs encrypted communication using the IPsec protocol via an IPv6 network, and is necessary for establishing IPsec security association (SA) information using the IKE protocol. Security association pre-shared parameter information exchanging means for exchanging pre-shared parameter information, and IPv6 Address Privacy Extension for generating / deleting an IPv6 Address Privacy Extension to be assigned to each other on the transmitting side and the receiving side connected via the IPv6 network Prior to the security association between the generation / deletion means and the IPv6 Address Privacy Extension assigned to each other Security that establishes a security association for IPsec by performing IKE communication using communication means for transmitting and receiving protocol procedures for exchanging shared parameter information and security association pre-shared parameter information exchanged by the security association pre-shared parameter information exchanging means It adopts a configuration comprising association establishing means.
本発明の暗号化情報通信システムは、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信システムであって、上記暗号化情報通信装置を用いる構成を採る。 An encrypted information communication system according to the present invention is an encrypted information communication system including a plurality of encrypted information communication devices that perform encrypted communication using an IPsec protocol via an IPv6 network. Use the configuration to be used.
本発明の暗号化情報通信方法は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信方法であって、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換ステップと、前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除ステップと、前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信ステップと、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立ステップとを有する。 The encrypted information communication method according to the present invention is an encrypted information communication method comprising a plurality of encrypted information communication devices that perform encrypted communication using the IPsec protocol via an IPv6 network, and includes an IPsec security association (SA). A security association pre-shared parameter information exchange step for exchanging pre-shared parameter information necessary for establishing information by the IKE protocol, and an IPv6 Address for assigning each other between the transmitting side and the receiving side connected via the IPv6 network An IPv6 Address Privacy Extension generation / deletion step for generating / deleting a privacy extension, and the IPv6 address privacy extensions assigned to each other. a communication step for transmitting and receiving a protocol procedure for exchanging security association pre-shared parameter information between ntions, and IKE communication is performed using the security association pre-shared parameter information exchanged by the security association pre-shared parameter information exchanging means. A security association establishing step for establishing a security association.
また他の観点から、本発明は、上記暗号化情報通信方法の各ステップをコンピュータに実行させるためのプログラムである。 From another viewpoint, the present invention is a program for causing a computer to execute each step of the encrypted information communication method.
本発明によれば、暗号通信を行う2つの暗号化情報通信装置の間でセキュリティアソシエーション事前共有パラメータ情報を交換するため、サーバが不要となり、サーバがダウンすると暗号化通信を行うことができないという事態を防ぐことができる。 According to the present invention, since the security association pre-shared parameter information is exchanged between two encrypted information communication apparatuses that perform encrypted communication, a server becomes unnecessary, and encrypted communication cannot be performed if the server goes down. Can be prevented.
また、セキュリティアソシエーション事前共有パラメータ情報をIPv6プロトコルのIPv6 Address Privacy Extention間で交換するため、毎回通信に利用するアドレスが異なり、覗き見を防止することができる。また、セキュリティアソシエーション事前共有パラメータ情報を暗号化して交換するため、仮に覗き見されても、セキュリティアソシエーション事前共有パラメータ情報を安全に保護することができる。 Further, since security association pre-shared parameter information is exchanged between IPv6 Address Privacy Extensions of the IPv6 protocol, the addresses used for communication are different each time, and peeping can be prevented. In addition, since the security association pre-shared parameter information is exchanged after being encrypted, the security association pre-shared parameter information can be safely protected even if it is looked into.
さらに、一時的に生成するIPv6 Address Privacy Extention間で通信を行うため、あらかじめデータをキャプチャしようとすることを未然に防ぐことができる。 Further, since communication is performed between IPv6 Address Privacy Extensions that are temporarily generated, it is possible to prevent data from being captured in advance.
以下、本発明の実施の形態について図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
(実施の形態)
図1は、本発明の一実施の形態に係る暗号化情報通信システムの暗号化情報通信装置内部の概略構成を示すブロック図である。
(Embodiment)
FIG. 1 is a block diagram showing a schematic configuration inside an encrypted information communication apparatus of an encrypted information communication system according to an embodiment of the present invention.
図1において、暗号化情報通信システム100は、暗号化情報通信装置110と、暗号化情報通信装置110と同一の構成を有する暗号化情報通信装置120と、暗号化情報通信装置110と暗号化情報通信装置120とを接続するIPv6ネットワーク130とを含んで構成される。
In FIG. 1, an encrypted
暗号化情報通信装置110は、送信側の暗号化情報通信装置、暗号化情報通信装置120は、受信側の暗号化情報通信装置として説明する。なお、暗号化情報通信装置120は、暗号化情報通信装置110と同一構成をとるため説明を省略する。
The encrypted
暗号化情報通信装置110は、セキュリティアソシエーション事前共有パラメータ格納部111、セキュリティアソシエーション事前共有パラメータ情報交換部112、IPv6 Address Privacy Extention交換部113、暗号鍵生成部114、暗号鍵格納部115、暗号路生成部116、IPv6 Address Privacy Extention生成・削除部117、パラメータ送信部118、及びパラメータ受信部119を備えて構成される。
The encrypted
また、暗号化情報通信装置110は、起動時にDHCPプロトコルやIPv6のRAにより、動的に決定されるIPv6 Global Address121が付与され、セキュリティアソシエーション事前共有パラメータ情報を交換するにあたって、一時的にIPv6 Address Privacy Extention122が付与される。IPv6 Address Privacy Extention122については、図2により後述する。
Also, the encrypted
セキュリティアソシエーション事前共有パラメータ情報交換部112は、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換する。また、セキュリティアソシエーション事前共有パラメータ情報交換部112は、生成された暗号鍵で前記セキュリティアソシエーション事前共有パラメータ情報を暗号化する。セキュリティアソシエーション事前共有パラメータ情報は、送信側もしくは受信側のIPv6 Global AddressとIKEプロトコルで使用する事前共有鍵を含む。具体的には、セキュリティアソシエーション事前共有パラメータ情報交換部112は、IPsec通信のIKEによる鍵交換時に必要となる、自分のIPv6 Global Addressを含むセキュリティアソシエーション事前共有パラメータ情報をパラメータ送信部118及びパラメータ受信部119により交換して、セキュリティアソシエーション事前共有パラメータ格納部111に登録する。
The security association pre-shared parameter
IPv6 Address Privacy Extention交換部113は、一時的なIPv6 Address Privacy Extentionを用いて通信路を設定する。
The IPv6 Address Privacy
暗号鍵生成部114は、パラメータの交換時、送信側及び受信側のIPv6 Address Privacy ExtentionのインタフェースIDを用いて、暗号鍵を生成する。
The encryption
暗号鍵格納部115は、暗号鍵生成部114により生成された暗号鍵を格納する。
The encryption
暗号路生成部116は、SA確立に必要な事前情報を交換するための暗号路を生成する。暗号路を確保するための鍵情報は、双方のIPv6 Privacy Extention Addressから生成する。
The encryption
IPv6 Address Privacy Extention生成・削除部117は、IPv6ネットワーク130を介して接続された、送信側の暗号化情報通信装置110、及び受信側の暗号化情報通信装置120との間で互いに割り当てを行う。
The IPv6 Address Privacy Extension generation /
パラメータ送信部118及びパラメータ受信部119は、IPv6 Address Privacy Extention生成・削除機能と、IPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段を構成する。
The
図2は、セキュリティアソシエーション事前共有パラメータ情報を交換するための暗号鍵を生成する際のブロック図である。 FIG. 2 is a block diagram when generating an encryption key for exchanging security association pre-shared parameter information.
図2において、IPv6 Address Privacy Extention122は、プレフィックス部122aと、インタフェースID部122bとから構成される。
In FIG. 2, IPv6
暗号鍵生成部114は、送信側のIPv6 Address Privacy Extention122のインタフェースID部122bと、受信側のIPv6 Address Privacy Extention122のインタフェースID部122bが入力されると、暗号鍵を生成し、暗号鍵格納部115に保存する。暗号鍵生成部114がインタフェースIDから暗号鍵を生成するアルゴリズムは例えば、送信側のインタフェースIDを上位64ビット、受信側のインタフェースIDを下位64ビットに設定する方法や、それぞれのインタフェースIDのビットを1ビットずつ交互に配置する方法等が考えられる。
When the
図3は、セキュリティアソシエーション事前共有パラメータ格納部111に格納されるセキュリティアソシエーション事前共有パラメータ情報の一例を示す図である。
FIG. 3 is a diagram illustrating an example of security association pre-shared parameter information stored in the security association pre-shared
図3において、セキュリティアソシエーション事前共有パラメータ情報200は、識別ID201、通信相手のIPv6 Global Address202、IKEの事前共有鍵203、IPsec通信を行うプロトコル204、ポート番号205、及び暗号タイプ206が格納されている。例えば、プロトコル204は、TCP/UDP/ICMPやすべてを含むANYが設定される。ポート番号205は、指定したいポートやすべてのポート番号を示すANYが設定される。暗号タイプ206は、IPsecの暗号タイプ206であるAHやESP、AHとESP両方を行うAH+ESP等が設定される。
In FIG. 3, the security association pre-shared parameter information 200 stores an
以下、上述のように構成された暗号化情報通信システム100の動作について説明する。
Hereinafter, the operation of the encrypted
図4は、IPv6 Address Privacy Extention間のアドレス情報交換を行う手順を示すフローチャートである。送信側の暗号化情報通信装置110では、ステップS21〜ステップS25を実行し、受信側の暗号化情報通信装置120では、ステップS31〜ステップS33を実行する。
FIG. 4 is a flowchart showing a procedure for exchanging address information between IPv6 Address Privacy Extensions. The encrypted
図4において、送信側の暗号化情報通信装置110は、IPv6 Address Privacy Extention要求処理が起動されている(ステップS20)。また、受信側の暗号化情報通信装置120は、Address Privacy Extention応答処理が起動されている(ステップS30)。
In FIG. 4, the encrypted
送信側の暗号化情報通信装置110は、接続先である受信側の暗号化情報通信装置120に関するセキュリティアソシエーション(SA)事前共有パラメータ情報が、セキュリティアソシエーション事前共有パラメータ格納部111に存在するか否かチェックする(ステップS21)。
The encrypted
パラメータ情報が存在しなければ、送信側の暗号化情報通信装置110は、接続先のDNS(Domain Name System)を参照してIPアドレスの解決を行う(ステップS22)。次いで、送信側の暗号化情報通信装置110の、IPv6 Address Privacy Extention生成・削除部117は、自分の送信アドレスとして、新しいIPv6 Address Privacy Extentionを生成する(ステップS23)。次いで、送信側の暗号化情報通信装置110の、IPv6 Privacy Address交換部113は、パラメータ送信部118から、接続先にIPv6 Address Privacy Extentionを要求する(ステップS24)。
If the parameter information does not exist, the encrypted
一方、受信側の暗号化情報通信装置120は、パケットを受信待ち状態にある(ステップS31)。受信側の暗号化情報通信装置120は、パケットを受信すると、IPv6 Address Privacy Extention生成・削除部117から、自分の応答アドレスとして、新しいIPv6 Address Privacy Extentionを生成する(ステップS32)。次いで、受信側の暗号化情報通信装置120は、IPv6 Privacy Address交換部113により、応答するためのパケットを生成し、パラメータ送信部118から、要求元に自分のIPv6 Address Privacy Extentionを応答する(ステップS33)。
On the other hand, the encrypted
送信側の暗号化情報通信装置10は、接続先から応答メッセージを受信すると(ステップS25)、IPv6 Address Privacy Extention要求処理を終了する。
When receiving the response message from the connection destination (step S25), the encrypted
次に、セキュリティアソシエーション(SA)事前共有パラメータ情報を交換する処理について説明する。 Next, processing for exchanging security association (SA) pre-shared parameter information will be described.
図5は、セキュリティアソシエーション(SA)事前共有パラメータ情報を交換する処理を示すフローチャートである。送信側の暗号化情報通信装置110では、ステップS41〜ステップS46を実行し、受信側の暗号化情報通信装置120では、ステップS51〜ステップS56を実行する。
FIG. 5 is a flowchart showing a process for exchanging security association (SA) pre-shared parameter information. The encrypted
前記図2に示すように、送信側の暗号化情報通信装置110の暗号鍵生成部114は、前記図4のステップS25で取得した、送信側及び受信側双方のIPv6 Address Privacy Extentionから、セキュリティアソシエーション事前共有パラメータ情報200(図3参照)を交換するための暗号鍵を生成する(図5のステップS41)。生成した暗号鍵は、暗号鍵格納部115に格納する。
As shown in FIG. 2, the encryption
次いで、送信側の暗号化情報通信装置110は、自分のIPv6 Global Address及び、IKEの事前共有鍵を含むセキュリティアソシエーション事前共有パラメータ情報200を生成し、暗号鍵格納部115に格納された暗号鍵を用いて暗号化を行う(ステップS42)。その後、接続先にステップS42で暗号化された、セキュリティアソシエーション事前共有パラメータ情報200を送信する(ステップS43)。
Next, the encryption
一方、受信側の暗号化情報通信装置120は、送信側の暗号化情報通信装置110の暗号鍵生成部114と同様の動作を行う。すなわち、受信側の暗号化情報通信装置120の暗号鍵生成部114は、前記図4のステップS31及びステップS32で取得した、送信側及び受信側双方のIPv6 Address Privacy Extentionから、セキュリティアソシエーション事前共有パラメータ情報を交換するための暗号鍵を生成し(ステップS51)する。生成した暗号鍵は、暗号鍵格納部115に格納する。
On the other hand, the encrypted
次いで、送信側の暗号化情報通信装置110から、暗号化された、セキュリティアソシエーション事前共有パラメータ情報を受信する(ステップS52)。パラメータを受信すると、暗号鍵格納部115に格納された暗号鍵を用いて、受信したセキュリティアソシエーション事前共有パラメータ情報の復号化を行う(ステップS53)。正常にセキュリティアソシエーション事前共有パラメータ情報の復号化が行えると応答メッセージを送信する(ステップS54)。応答メッセージの送信が終了すると、受信側の暗号化情報通信装置120は、セキュリティアソシエーション事前共有パラメータ格納部111に、セキュリティアソシエーション事前共有パラメータ情報を格納する(ステップS55)。次いで、通信路として使用したIPv6 Address Privacy Extentionを削除して(ステップS56)、受信側の暗号化情報通信装置120の事前共有パラメータ情報交換処理を終了する。
Next, the encrypted security association pre-shared parameter information is received from the encrypted
一方、送信側の暗号化情報通信装置110は、受信側の暗号化情報通信装置120から、応答メッセージを受信する(ステップS44)。応答メッセージを受信すると、送信側の暗号化情報通信装置110は、セキュリティアソシエーション事前共有パラメータ格納部111に、セキュリティアソシエーション事前共有パラメータ情報を格納する(ステップS45)。次いで、通信路として使用したIPv6 Address Privacy Extentionを削除して(ステップS46)、送信側の暗号化情報通信装置110の事前共有パラメータ情報交換処理を終了する。
On the other hand, the encrypted
以上詳細に説明したように、本実施の形態によれば、IPsec通信を行うための暗号化情報通信装置間でIPv6 Address Privacty Extentionを用いて通信路を設定し、セキュリティアソシエーション事前共有パラメータ情報の交換を行うことによりDHCP等で動的に決定される双方のIPv6 Global Addressを登録するとともに、一時的なIPv6 Privacy Extentionを用いてセキュリティアソシエーション事前共有パラメータ情報の交換を行うため、パケットキャプチャによる覗き見を防止することができる。また、IPv6 Address Privacy Extention上で暗号化を行ってセキュリティアソシエーション事前共有パラメータ情報の交換を行うため、仮に覗き見が行われたとしても、パラメータ情報を安全に保護することができる。 As described above in detail, according to the present embodiment, a communication path is set using IPv6 Address Privacy Extension between encrypted information communication apparatuses for performing IPsec communication, and exchange of security association pre-shared parameter information is performed. In addition to registering both IPv6 Global Addresses dynamically determined by DHCP, etc., and exchanging security association pre-shared parameter information using temporary IPv6 Privacy Extension, peep by packet capture Can be prevented. Further, since the security association pre-shared parameter information is exchanged by performing encryption on the IPv6 Address Privacy Extension, the parameter information can be safely protected even if a peep is performed.
以上の説明は本発明の好適な実施の形態の例証であり、本発明の範囲はこれに限定されることはない。例えば、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信システムに適用した例であるが、IPvネットワークであればよく、IPv6ネットワークの機能を含む上位バージョンが策定された場合はこれも包含するものである。 The above description is an illustration of a preferred embodiment of the present invention, and the scope of the present invention is not limited to this. For example, this is an example applied to an encrypted information communication system that performs encrypted communication using the IPsec protocol via an IPv6 network. However, the IPv6 network may be used, and if a higher version including the IPv6 network function is formulated, Is also included.
また、本実施の形態では暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法という名称を用いたが、これは説明の便宜上であり、暗号化通信システム、セキュリティアソシエーション方法等であってもよいことは勿論である。 In the present embodiment, the names of the encrypted information communication apparatus, the encrypted information communication system, and the encrypted information communication method are used. However, this is for convenience of explanation, such as the encrypted communication system, the security association method, and the like. Of course, it may be.
さらに、上記暗号化情報通信装置及び暗号化情報通信システムを構成する各部、例えば暗号鍵生成部の種類、その数及び接続方法などはどのようなものでもよい。 Further, any part of the encrypted information communication apparatus and the encrypted information communication system, for example, the type, number and connection method of the encryption key generation part may be used.
以上説明した暗号化情報通信方法は、この暗号化情報通信方法を機能させるためのプログラムでも実現される。このプログラムはコンピュータで読み取り可能な記録媒体に格納されている。 The encrypted information communication method described above is also realized by a program for causing the encrypted information communication method to function. This program is stored in a computer-readable recording medium.
以上のように、本発明にかかる暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムは、IPsec通信に必要となるセキュリティアソシエーション確立のためのセキュリティアソシエーション事前共有パラメータ情報を暗号化した上で、IPv6 Address Privacy Extention上の通信路で交換を行うため、安全にパラメータの交換を行うことができ、悪意のあるユーザが暗号鍵情報を覗き見することを防止できるという効果を有し、かつ、DHCP等の動的にIPアドレスが決定されるネットワーク環境においても、セキュリティアソシエーション確立を行うことができる、暗号化情報通信システムとして有用である。 As described above, the encrypted information communication device, the encrypted information communication system, the encrypted information communication method, and the program according to the present invention encrypt the security association pre-shared parameter information for establishing the security association required for IPsec communication. In addition, since the exchange is performed on the communication path on the IPv6 Address Privacy Extension, it is possible to exchange parameters safely and to prevent malicious users from peeping at the encryption key information. In addition, it is useful as an encrypted information communication system capable of establishing a security association even in a network environment such as DHCP in which an IP address is dynamically determined.
100 暗号化情報通信システム
110,120 暗号化情報通信装置
130 IPv6ネットワーク
111 セキュリティアソシエーション事前共有パラメータ格納部
112 セキュリティアソシエーション事前共有パラメータ情報交換部
113 IPv6 Address Privacy Extention交換部
114 暗号鍵生成部
115 暗号鍵格納部
116 暗号路生成部
117 IPv6 Address Privacy Extention生成・削除部
118 パラメータ送信部
119 パラメータ受信部
DESCRIPTION OF
Claims (12)
IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換手段と、
前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除手段と、
前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段とを備え、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立する暗号化情報通信装置。 An encrypted information communication apparatus that performs encrypted communication using an IPsec protocol via an IPv6 network,
Security association pre-shared parameter information exchanging means for exchanging pre-shared parameter information necessary for establishing IPsec security association (SA) information by the IKE protocol;
An IPv6 Address Privacy Extension generation / deletion means for generating / deleting an IPv6 Address Privacy Extension that assigns to each other on the transmission side and the reception side connected via the IPv6 network;
Communication means for transmitting and receiving a protocol procedure for exchanging security association pre-shared parameter information between the mutually assigned IPv6 Address Privacy Extensions,
An encrypted information communication apparatus that establishes a security association for IPsec by performing IKE communication using the security association pre-shared parameter information exchanged by the security association pre-shared parameter information exchanging means.
前記通信手段は、生成した送信側のIPv6 Address Privacy Extentionと受信側のIPv6 Address Privacy Extention間で通信路を設定し、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段は、前記セキュリティアソシエーション事前共有パラメータ情報交換を行い、
前記IPv6 Address Privacy Extention生成・削除手段は、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によるセキュリティアソシエーション事前共有パラメータ情報交換が終了すると、各々のIPv6 Address Privacy Extentionを削除する請求項1記載の暗号化情報通信装置。 The IPv6 Address Privacy Extension generation / deletion unit generates an IPv6 Address Privacy Extension for exchanging the security association pre-shared parameter information between the transmission side and the reception side,
The communication unit sets a communication path between the generated IPv6 Address Privacy Extension on the transmission side and the IPv6 Address Privacy Extension on the reception side,
The security association pre-shared parameter information exchanging means performs the security association pre-shared parameter information exchange,
The encrypted information communication according to claim 1, wherein the IPv6 Address Privacy Extension generation / deletion unit deletes each IPv6 Address Privacy Extension when the security association pre-shared parameter information exchange by the security association pre-shared parameter information exchange unit is completed. apparatus.
生成した暗号鍵を格納する暗号鍵格納手段と
をさらに備える請求項1記載の暗号化情報通信装置。 An encryption key generating means for generating an encryption key from the lower 64 bits of the interface ID of the IPv6 Address Privacy Extension on the sending side and the lower 64 bits of the interface ID of the IPv6 Address Privacy Extension on the receiving side;
The encrypted information communication apparatus according to claim 1, further comprising: an encryption key storage unit that stores the generated encryption key.
請求項1乃至請求項5のいずれかに記載の暗号化情報通信装置を用いる暗号化情報通信システム。 An encrypted information communication system comprising a plurality of encrypted information communication devices that perform encrypted communication using an IPsec protocol via an IPv6 network,
An encrypted information communication system using the encrypted information communication apparatus according to any one of claims 1 to 5.
IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換ステップと、
前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除ステップと、
前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信ステップと、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立ステップと
を有する暗号化情報通信方法。 An encrypted information communication method comprising a plurality of encrypted information communication devices that perform encrypted communication using the IPsec protocol via an IPv6 network,
A security association pre-shared parameter information exchange step for exchanging pre-shared parameter information necessary for establishing IPsec security association (SA) information by the IKE protocol;
An IPv6 Address Privacy Extension generation / deletion step for generating / deleting an IPv6 Address Privacy Extension that assigns each other between the transmitting side and the receiving side connected via the IPv6 network;
A communication step of transmitting and receiving a protocol procedure for exchanging security association pre-shared parameter information between the mutually assigned IPv6 Address Privacy Extensions;
An encrypted information communication method comprising: a security association establishing step of performing IKE communication using the security association pre-shared parameter information exchanged by the security association pre-shared parameter information exchanging means and establishing a security association for IPsec.
前記通信ステップでは、生成した送信側のIPv6 Address Privacy Extentionと受信側のIPv6 Address Privacy Extention間で通信路を設定し、
前記セキュリティアソシエーション事前共有パラメータ情報交換ステップでは、前記セキュリティアソシエーション事前共有パラメータ情報交換を行い、
前記IPv6 Address Privacy Extention生成・削除ステップでは、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によるセキュリティアソシエーション事前共有パラメータ情報交換が終了すると、各々のIPv6 Address Privacy Extentionを削除する請求項7記載の暗号化情報通信方法。 In the IPv6 Address Privacy Extension generation / deletion step, when exchanging the security association pre-shared parameter information between the transmission side and the reception side, each IPv6 Address Privacy Extension is generated,
In the communication step, a communication path is set between the generated IPv6 Address Privacy Extension on the transmission side and the IPv6 Address Privacy Extension on the reception side,
In the security association pre-shared parameter information exchange step, the security association pre-shared parameter information exchange is performed,
8. The encrypted information communication according to claim 7, wherein, in the IPv6 Address Privacy Extension generation / deletion step, when the security association pre-shared parameter information exchange by the security association pre-shared parameter information exchanging means ends, each IPv6 Address Privacy Extension is deleted. Method.
生成した暗号鍵を格納する暗号鍵格納ステップとをさらに備える請求項7記載の暗号化情報通信方法。 An encryption key generation step for generating an encryption key from the lower 64 bits of the interface ID of the IPv6 Address Privacy Extension on the sending side and the lower 64 bits of the interface ID of the IPv6 Address Privacy Extension on the receiving side;
The encryption information communication method according to claim 7, further comprising an encryption key storage step of storing the generated encryption key.
The program for making a computer perform each step of the encryption information communication method in any one of Claims 7 thru | or 11.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007199754A JP2009038512A (en) | 2007-07-31 | 2007-07-31 | Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007199754A JP2009038512A (en) | 2007-07-31 | 2007-07-31 | Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009038512A true JP2009038512A (en) | 2009-02-19 |
Family
ID=40440068
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007199754A Pending JP2009038512A (en) | 2007-07-31 | 2007-07-31 | Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009038512A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009157213A1 (en) | 2008-06-27 | 2009-12-30 | パナソニック株式会社 | Audio signal decoding device and balance adjustment method for audio signal decoding device |
CN116963050A (en) * | 2023-09-21 | 2023-10-27 | 明阳时创(北京)科技有限公司 | Trusted communication method and system based on end-to-end IPv6 password identification |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004007512A (en) * | 2002-04-17 | 2004-01-08 | Canon Inc | Public key certificate providing device |
JP2004032699A (en) * | 2002-05-09 | 2004-01-29 | Canon Inc | Apparatus for issuing public key certificate |
JP2005079921A (en) * | 2003-08-29 | 2005-03-24 | Canon Inc | Communication equipment, address creating method, program and storage medium |
JP2005101740A (en) * | 2003-09-22 | 2005-04-14 | Canon Inc | Security controller |
JP2007166552A (en) * | 2005-12-16 | 2007-06-28 | Canon Inc | Communication apparatus and encryption communication method |
-
2007
- 2007-07-31 JP JP2007199754A patent/JP2009038512A/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004007512A (en) * | 2002-04-17 | 2004-01-08 | Canon Inc | Public key certificate providing device |
JP2004032699A (en) * | 2002-05-09 | 2004-01-29 | Canon Inc | Apparatus for issuing public key certificate |
JP2005079921A (en) * | 2003-08-29 | 2005-03-24 | Canon Inc | Communication equipment, address creating method, program and storage medium |
JP2005101740A (en) * | 2003-09-22 | 2005-04-14 | Canon Inc | Security controller |
JP2007166552A (en) * | 2005-12-16 | 2007-06-28 | Canon Inc | Communication apparatus and encryption communication method |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009157213A1 (en) | 2008-06-27 | 2009-12-30 | パナソニック株式会社 | Audio signal decoding device and balance adjustment method for audio signal decoding device |
CN116963050A (en) * | 2023-09-21 | 2023-10-27 | 明阳时创(北京)科技有限公司 | Trusted communication method and system based on end-to-end IPv6 password identification |
CN116963050B (en) * | 2023-09-21 | 2023-11-28 | 明阳时创(北京)科技有限公司 | Trusted communication method and system based on end-to-end IPv6 password identification |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4648148B2 (en) | Connection support device | |
US8312532B2 (en) | Connection supporting apparatus | |
JP4033868B2 (en) | Method and apparatus for processing authentication in IPv6 network | |
Bittau et al. | Cryptographic protection of TCP streams (tcpcrypt) | |
JP6345816B2 (en) | Network communication system and method | |
WO2009082889A1 (en) | A method for internet key exchange negotiation and device, system thereof | |
US20090327730A1 (en) | Apparatus and method for encrypted communication processing | |
US20080310639A1 (en) | Communication apparatus, communication system, and communication method | |
JP2006050267A (en) | IPsec COMMUNICATION METHOD, COMMUNICATION CONTROLLER AND NETWORK CAMERA | |
CN105516062B (en) | Method for realizing L2 TP over IPsec access | |
CN110191052B (en) | Cross-protocol network transmission method and system | |
JP2005295038A (en) | Providing apparatus, providing method, communication apparatus, communication method, and program | |
KR100948604B1 (en) | Security method of mobile internet protocol based server | |
WO2009082950A1 (en) | Key distribution method, device and system | |
JP2008288757A (en) | Method for transferring encrypted packet, repeater, its program, and communication system | |
JP2007142656A (en) | Computer system and computer | |
JP2009038512A (en) | Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program | |
JP2006109152A (en) | Connection requesting device, response device, connection management device and communication system for performing communication on network | |
JP4073931B2 (en) | Terminal, communication apparatus, communication establishment method and authentication method | |
JP4555311B2 (en) | Tunnel communication system, control device, and tunnel communication device | |
JP2011054182A (en) | System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message | |
JP2005175825A (en) | Encrypted packet filtering device, program thereof, and host device | |
JP2009260847A (en) | Vpn connection method, and communication device | |
JP3911697B2 (en) | Network connection device, network connection method, network connection program, and storage medium storing the program | |
JP4874037B2 (en) | Network equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100716 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120319 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120327 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120724 |