JP2009038512A - Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program - Google Patents

Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program Download PDF

Info

Publication number
JP2009038512A
JP2009038512A JP2007199754A JP2007199754A JP2009038512A JP 2009038512 A JP2009038512 A JP 2009038512A JP 2007199754 A JP2007199754 A JP 2007199754A JP 2007199754 A JP2007199754 A JP 2007199754A JP 2009038512 A JP2009038512 A JP 2009038512A
Authority
JP
Japan
Prior art keywords
security association
shared parameter
parameter information
ipv6 address
information communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007199754A
Other languages
Japanese (ja)
Inventor
Naoyuki Otoshi
直行 大利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Original Assignee
Panasonic Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp filed Critical Panasonic Corp
Priority to JP2007199754A priority Critical patent/JP2009038512A/en
Publication of JP2009038512A publication Critical patent/JP2009038512A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an encrypted information communication device capable of securely protecting prior shared parameter information by preventing an invite message from being secretly looked at without going through a server with a simple configuration, an encrypted information communication system, and an encrypted information method and program. <P>SOLUTION: A communication path is established by using IPv6 address privacy extension between encrypted information communication devices for performing IPsec communication, security association prior shared parameter information is exchanged to thereby register the IPv6 global addresses of the both determined dynamically by a DHCP, or the like, and a temporary IPv6 privacy extension is used to exchange the security association prior shared parameter information. In addition, encryption is performed on the IPv6 address privacy extension to exchange the security association prior shared parameter information. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムに関する。   The present invention relates to an encrypted information communication apparatus, an encrypted information communication system, an encrypted information communication method, and a program for performing encrypted communication using an IPsec protocol via an IPv6 network.

IPv6においては暗号化通信を行うIPsecが標準機能としてRFC(Request For Comment)にて規格化されている。このIPsecによる暗号化通信を行うにあたっては、どの通信装置とどの通信装置が、どのような暗号鍵により、どのような暗号アルゴリズムで暗号化通信を行うかあらかじめ折衝する必要がある。このような暗号化のための折衝パラメータをIKE(Internet Key Exchange)によるプロトコルによってセキュリティアソシエーションとして確立して共有することにより、IPsecによる暗号化通信を行うことができる。しかし、インターネットの世界では、情報通信装置のIPアドレスは必ずしも、一定の値をとり続ける保証はなく、例えばDHCP(Dynamic Host Configuration Protocol)によるIPアドレスの割り当てが行われていれば、毎回の起動ごとに違うIPアドレスが割り当てられる。セキュリティアソシエーションではIPアドレスとIPアドレスの対でパラメータを登録する必要があるため、このような動的にIPアドレスが変わる場合には、特定の暗号化通信を行う相手を特定することができず、セキュリティアソシエーションが確立できない。そこで、SIP(Session Initiation Protocol)サーバに自分のIPアドレスや、暗号アルゴリズム、暗号鍵等の事前共有パラメータ情報を登録しておき、暗号化通信を開始するに先立って、相手の事前共有パラメータ情報をSIPサーバを介して取得して、IKEプロトコルによるセキュリティアソシエーションを確立する方法がとられる。   In IPv6, IPsec for performing encrypted communication is standardized by RFC (Request For Comment) as a standard function. In performing encrypted communication by IPsec, it is necessary to negotiate in advance which communication device and which communication device perform encrypted communication with which encryption key and with which encryption algorithm. By establishing and sharing such negotiation parameters for encryption as a security association by a protocol based on IKE (Internet Key Exchange), encrypted communication by IPsec can be performed. However, in the Internet world, there is no guarantee that the IP address of the information communication device will always take a constant value. For example, if the IP address is assigned by DHCP (Dynamic Host Configuration Protocol), Is assigned a different IP address. Since it is necessary to register a parameter with a pair of an IP address and an IP address in a security association, when such an IP address changes dynamically, it is not possible to specify a partner to perform a specific encrypted communication. Security association cannot be established. Therefore, the pre-shared parameter information such as the IP address, encryption algorithm, encryption key, etc. is registered in the SIP (Session Initiation Protocol) server, and the pre-shared parameter information of the other party is set prior to starting the encrypted communication. A method is used in which the security association is obtained through the SIP server and the security association according to the IKE protocol is established.

このような暗号化情報通信システムとして、特許文献1に記載のセキュリティポリシー設定方法が挙げられる。   An example of such an encrypted information communication system is a security policy setting method described in Patent Document 1.

特許文献1に記載の暗号化情報通信システムでは、暗号通信を行いたい暗号化情報通信装置は自分のセキュリティアソシエーションの事前共有パラメータ情報をSIPサーバに対してSDPプロトコルにより登録する。また、通信相手の暗号化情報通信装置のセキュリティアソシエーションの事前共有パラメータ情報をSIPのInviteメッセージを用いて取得を行う。これによりDHCP等で動的にIPアドレスが決定する暗号化情報通信装置間においても、お互いのIPアドレスとセキュリティアソシエーションの事前共有パラメータ情報を入手してIKEによりセキュリティアソシエーションを確立することが可能となり、IPsecによる通信を行うことができる。   In the encrypted information communication system described in Patent Document 1, an encrypted information communication apparatus that wishes to perform encrypted communication registers the pre-shared parameter information of its security association with the SIP server using the SDP protocol. In addition, the pre-shared parameter information of the security association of the encrypted information communication device of the communication partner is acquired using the SIP Invite message. As a result, even between encrypted information communication apparatuses whose IP addresses are dynamically determined by DHCP or the like, it becomes possible to obtain the pre-shared parameter information of each other's IP address and the security association and establish the security association by IKE. Communication by IPsec can be performed.

従来の暗号化情報通信システムについて具体的に説明する。   A conventional encrypted information communication system will be specifically described.

図6は、従来の暗号化情報通信システムのセキュリティアソシエーションの事前共有パラメータ情報を交換するための処理を示すフローチャートである。送信側の暗号化情報通信装置11では、ステップS1〜ステップS7を実行し、受信側の暗号化情報通信装置12では、ステップS11〜ステップS16を実行する。メッセージの送受信は、SIPサーバ10を介して行う。   FIG. 6 is a flowchart showing a process for exchanging pre-shared parameter information for security association in a conventional encrypted information communication system. The encrypted information communication apparatus 11 on the transmission side executes Steps S1 to S7, and the encrypted information communication apparatus 12 on the reception side executes Steps S11 to S16. Messages are transmitted and received through the SIP server 10.

図6において、送信側の暗号化情報通信装置11は、IPsec通信の開始にあたり、RFC2327で定義されている、Session Description Protocol(SDP)を用いて、自分のセキュリティアソシエーションに関する事前共有パラメータを設定する(ステップS1)。次いで、設定した事前共有パラメータをRFC3261で定義されているSesstion Initiation Protocol(SIP)のInviteメッセージに添付して(ステップS2)、SIPサーバ10に送信する(ステップS3)。   In FIG. 6, the encrypted information communication device 11 on the transmission side sets pre-shared parameters related to its own security association using the Session Description Protocol (SDP) defined in RFC2327 at the start of IPsec communication ( Step S1). Next, the set pre-shared parameter is attached to the Invite message of the Session Initiation Protocol (SIP) defined in RFC3261 (step S2) and transmitted to the SIP server 10 (step S3).

SIPサーバ10は、宛先の暗号化情報通信装置を検索し、SIPのInviteメッセージを転送する。   The SIP server 10 searches for a destination encrypted information communication device and transfers a SIP Invite message.

受信側の暗号化情報通信装置12は、SIPのInviteメッセージを受信すると(ステップS11)、送信されたメッセージから送信元のSDPの情報を取り出す(ステップS12)。次いで、受信側の暗号化情報通信装置12は、SDPを用いて、自分のセキュリティアソシエーションに関する事前共有パラメータを設定する(ステップS13)。さらに、SIPのOKメッセージにSDP情報を添付して(ステップS14)、SIPサーバ10にSIPのOKメッセージを送信する(ステップS15)。送信を完了すると、受信側の暗号化情報通信装置は送信側のセキュリティアソシエーション事前共有パラメータ情報と自分のセキュリティアソシエーション事前共有パラメータ情報を対にして、SAパラメータテーブルに設定して受信側のフローを終了する(ステップS16)。   When the encrypted information communication apparatus 12 on the receiving side receives the SIP Invite message (step S11), it extracts the SDP information of the transmission source from the transmitted message (step S12). Next, the encrypted information communication apparatus 12 on the receiving side uses the SDP to set a pre-shared parameter related to its own security association (step S13). Further, the SDP information is attached to the SIP OK message (step S14), and the SIP OK message is transmitted to the SIP server 10 (step S15). When the transmission is completed, the encrypted information communication device on the reception side sets the security association pre-shared parameter information on the transmission side and its own security association pre-shared parameter information in the SA parameter table and ends the flow on the reception side. (Step S16).

上記ステップS15にて送信されたSIPのOKメッセージを受信したSIPサーバ10は、最初にSIPのInviteメッセージを送信した送信元にSIPのOKメッセージを転送する。送信元の暗号化情報通信装置11は、SIPのOKメッセージを受信すると(ステップS4)、受信したメッセージから通信相手のSDPの情報を取り出す(ステップS5)。さらに、SDPから相手のセキュリティアソシエーション事前共有パラメータ情報を取り出し(ステップS6)、受信側のセキュリティアソシエーション事前共有パラメータ情報と自分のセキュリティアソシエーション事前共有パラメータ情報を対にして、SAパラメータテーブルに設定して送信側のフローを終了する(ステップS7)。   Upon receiving the SIP OK message transmitted in step S15, the SIP server 10 transfers the SIP OK message to the transmission source that first transmitted the SIP Invite message. When receiving the SIP OK message (step S4), the encrypted information communication apparatus 11 of the transmission source extracts the SDP information of the communication partner from the received message (step S5). Further, the other party's security association pre-shared parameter information is extracted from the SDP (step S6), and the receiving-side security association pre-shared parameter information and the user's own security association pre-shared parameter information are paired and transmitted in the SA parameter table. The side flow is terminated (step S7).

以上のように、従来の暗号化情報通信システムは、SIPサーバ10のInviteメッセージに通信相手の事前共有パラメータ情報を載せて通信を行うことにより、不特定なIPアドレスを持つ、情報通信装置との間でセキュリティアソシエーション確立のための事前共有パラメータ情報を交換することができ、IKEによりセキュリティアソシエーション確立を行うことが可能となり、IPsecによる暗号化通信を行うことができる。
特開2006−50407号公報 As described above, the conventional encrypted information communication system communicates with the information communication apparatus having an unspecified IP address by performing communication by placing the pre-shared parameter information of the communication partner on the Invite message of the SIP server 10. The pre-shared parameter information for establishing the security association can be exchanged between them, the security association can be established by IKE, and encrypted communication by IPsec can be performed.
JP 2006-50407 A

しかしながら、このような従来の暗号化情報通信システムにあっては、SIPサーバを介することが前提であり、SIPサーバがダウンしてしまうと、セキュリティアソシエーションを確立するための、事前共有パラメータ情報を交換できない。事前共有パラメータ情報を交換できないと、機器間でSAを確立することができず、IPsec通信を行うことができなくなってしまう。   However, in such a conventional encrypted information communication system, it is premised that the communication is made via a SIP server. When the SIP server goes down, the pre-shared parameter information for establishing the security association is exchanged. Can not. If the pre-shared parameter information cannot be exchanged, the SA cannot be established between devices, and IPsec communication cannot be performed.

また、特定のSIPサーバとの通信は暗号化されないため、本来暗号化通信を行うための事前共有パラメータ情報を交換する際に、やりとりする通信を覗き見されてしまい、IPsecの安全性が保証されない。例えば、SIPサーバとの通信は、秘匿されないため、SIPのInviteメッセージを覗き見して、SA確立のための事前設定情報を入手して詐称することが可能である。   Further, since communication with a specific SIP server is not encrypted, when exchanging pre-shared parameter information for originally performing encrypted communication, the exchanged communication is peeped, and IPsec security is not guaranteed. . For example, since the communication with the SIP server is not concealed, it is possible to look through the SIP Invite message, obtain pre-configuration information for establishing the SA, and misrepresent it.

本発明は、上記に鑑みてなされたものであり、簡単な構成で、サーバを介することなく、Inviteメッセージの覗き見を防止して事前共有パラメータ情報を安全に保護することができる暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムを提供することを目的とする。   The present invention has been made in view of the above, and an encrypted information communication that can protect a pre-shared parameter information safely by preventing a peep of an Invite message without using a server with a simple configuration. An object is to provide an apparatus, an encrypted information communication system, an encrypted information communication method, and a program.

本発明の暗号化情報通信装置は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信装置であって、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換手段と、前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除手段と、前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段と、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立手段とを備える構成を採る。   The encrypted information communication apparatus according to the present invention is an encrypted information communication apparatus that performs encrypted communication using the IPsec protocol via an IPv6 network, and is necessary for establishing IPsec security association (SA) information using the IKE protocol. Security association pre-shared parameter information exchanging means for exchanging pre-shared parameter information, and IPv6 Address Privacy Extension for generating / deleting an IPv6 Address Privacy Extension to be assigned to each other on the transmitting side and the receiving side connected via the IPv6 network Prior to the security association between the generation / deletion means and the IPv6 Address Privacy Extension assigned to each other Security that establishes a security association for IPsec by performing IKE communication using communication means for transmitting and receiving protocol procedures for exchanging shared parameter information and security association pre-shared parameter information exchanged by the security association pre-shared parameter information exchanging means It adopts a configuration comprising association establishing means.

本発明の暗号化情報通信システムは、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信システムであって、上記暗号化情報通信装置を用いる構成を採る。   An encrypted information communication system according to the present invention is an encrypted information communication system including a plurality of encrypted information communication devices that perform encrypted communication using an IPsec protocol via an IPv6 network. Use the configuration to be used.

本発明の暗号化情報通信方法は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信方法であって、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換ステップと、前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除ステップと、前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信ステップと、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立ステップとを有する。   The encrypted information communication method according to the present invention is an encrypted information communication method comprising a plurality of encrypted information communication devices that perform encrypted communication using the IPsec protocol via an IPv6 network, and includes an IPsec security association (SA). A security association pre-shared parameter information exchange step for exchanging pre-shared parameter information necessary for establishing information by the IKE protocol, and an IPv6 Address for assigning each other between the transmitting side and the receiving side connected via the IPv6 network An IPv6 Address Privacy Extension generation / deletion step for generating / deleting a privacy extension, and the IPv6 address privacy extensions assigned to each other. a communication step for transmitting and receiving a protocol procedure for exchanging security association pre-shared parameter information between ntions, and IKE communication is performed using the security association pre-shared parameter information exchanged by the security association pre-shared parameter information exchanging means. A security association establishing step for establishing a security association.

また他の観点から、本発明は、上記暗号化情報通信方法の各ステップをコンピュータに実行させるためのプログラムである。   From another viewpoint, the present invention is a program for causing a computer to execute each step of the encrypted information communication method.

本発明によれば、暗号通信を行う2つの暗号化情報通信装置の間でセキュリティアソシエーション事前共有パラメータ情報を交換するため、サーバが不要となり、サーバがダウンすると暗号化通信を行うことができないという事態を防ぐことができる。   According to the present invention, since the security association pre-shared parameter information is exchanged between two encrypted information communication apparatuses that perform encrypted communication, a server becomes unnecessary, and encrypted communication cannot be performed if the server goes down. Can be prevented.

また、セキュリティアソシエーション事前共有パラメータ情報をIPv6プロトコルのIPv6 Address Privacy Extention間で交換するため、毎回通信に利用するアドレスが異なり、覗き見を防止することができる。また、セキュリティアソシエーション事前共有パラメータ情報を暗号化して交換するため、仮に覗き見されても、セキュリティアソシエーション事前共有パラメータ情報を安全に保護することができる。   Further, since security association pre-shared parameter information is exchanged between IPv6 Address Privacy Extensions of the IPv6 protocol, the addresses used for communication are different each time, and peeping can be prevented. In addition, since the security association pre-shared parameter information is exchanged after being encrypted, the security association pre-shared parameter information can be safely protected even if it is looked into.

さらに、一時的に生成するIPv6 Address Privacy Extention間で通信を行うため、あらかじめデータをキャプチャしようとすることを未然に防ぐことができる。   Further, since communication is performed between IPv6 Address Privacy Extensions that are temporarily generated, it is possible to prevent data from being captured in advance.

以下、本発明の実施の形態について図面を参照して詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

(実施の形態)
図1は、本発明の一実施の形態に係る暗号化情報通信システムの暗号化情報通信装置内部の概略構成を示すブロック図である。 (Embodiment)
FIG. 1 is a block diagram showing a schematic configuration inside an encrypted information communication apparatus of an encrypted information communication system according to an embodiment of the present invention.

図1において、暗号化情報通信システム100は、暗号化情報通信装置110と、暗号化情報通信装置110と同一の構成を有する暗号化情報通信装置120と、暗号化情報通信装置110と暗号化情報通信装置120とを接続するIPv6ネットワーク130とを含んで構成される。   In FIG. 1, an encrypted information communication system 100 includes an encrypted information communication device 110, an encrypted information communication device 120 having the same configuration as the encrypted information communication device 110, an encrypted information communication device 110, and encrypted information. An IPv6 network 130 that connects the communication device 120 is included.

暗号化情報通信装置110は、送信側の暗号化情報通信装置、暗号化情報通信装置120は、受信側の暗号化情報通信装置として説明する。なお、暗号化情報通信装置120は、暗号化情報通信装置110と同一構成をとるため説明を省略する。   The encrypted information communication device 110 will be described as a transmission-side encrypted information communication device, and the encrypted information communication device 120 will be described as a reception-side encrypted information communication device. The encrypted information communication device 120 has the same configuration as that of the encrypted information communication device 110, and thus description thereof is omitted.

暗号化情報通信装置110は、セキュリティアソシエーション事前共有パラメータ格納部111、セキュリティアソシエーション事前共有パラメータ情報交換部112、IPv6 Address Privacy Extention交換部113、暗号鍵生成部114、暗号鍵格納部115、暗号路生成部116、IPv6 Address Privacy Extention生成・削除部117、パラメータ送信部118、及びパラメータ受信部119を備えて構成される。   The encrypted information communication apparatus 110 includes a security association pre-shared parameter storage unit 111, a security association pre-shared parameter information exchange unit 112, an IPv6 Address Privacy Extension exchange unit 113, an encryption key generation unit 114, an encryption key storage unit 115, and an encryption path generation unit. Unit 116, IPv6 Address Privacy Extension generation / deletion unit 117, parameter transmission unit 118, and parameter reception unit 119.

また、暗号化情報通信装置110は、起動時にDHCPプロトコルやIPv6のRAにより、動的に決定されるIPv6 Global Address121が付与され、セキュリティアソシエーション事前共有パラメータ情報を交換するにあたって、一時的にIPv6 Address Privacy Extention122が付与される。IPv6 Address Privacy Extention122については、図2により後述する。   Also, the encrypted information communication apparatus 110 is given an IPv6 Global Address 121 that is dynamically determined by the DHCP protocol or IPv6 RA at startup, and temporarily exchanges IPv6 Address Privacy parameters when exchanging security association pre-shared parameter information. Extension 122 is given. The IPv6 Address Privacy Extension 122 will be described later with reference to FIG.

セキュリティアソシエーション事前共有パラメータ情報交換部112は、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換する。また、セキュリティアソシエーション事前共有パラメータ情報交換部112は、生成された暗号鍵で前記セキュリティアソシエーション事前共有パラメータ情報を暗号化する。セキュリティアソシエーション事前共有パラメータ情報は、送信側もしくは受信側のIPv6 Global AddressとIKEプロトコルで使用する事前共有鍵を含む。具体的には、セキュリティアソシエーション事前共有パラメータ情報交換部112は、IPsec通信のIKEによる鍵交換時に必要となる、自分のIPv6 Global Addressを含むセキュリティアソシエーション事前共有パラメータ情報をパラメータ送信部118及びパラメータ受信部119により交換して、セキュリティアソシエーション事前共有パラメータ格納部111に登録する。   The security association pre-shared parameter information exchanging unit 112 exchanges pre-shared parameter information necessary for establishing IPsec security association (SA) information using the IKE protocol. Further, the security association pre-shared parameter information exchanging unit 112 encrypts the security association pre-shared parameter information with the generated encryption key. The security association pre-shared parameter information includes the IPv6 Global Address on the transmission side or the reception side and the pre-shared key used in the IKE protocol. Specifically, the security association pre-shared parameter information exchange unit 112 receives the security association pre-shared parameter information including its own IPv6 Global Address, which is necessary when exchanging keys by IKE for IPsec communication, as a parameter transmission unit 118 and a parameter reception unit. It is exchanged by 119 and registered in the security association pre-shared parameter storage unit 111.

IPv6 Address Privacy Extention交換部113は、一時的なIPv6 Address Privacy Extentionを用いて通信路を設定する。   The IPv6 Address Privacy Extension exchange unit 113 sets a communication path using a temporary IPv6 Address Privacy Extension.

暗号鍵生成部114は、パラメータの交換時、送信側及び受信側のIPv6 Address Privacy ExtentionのインタフェースIDを用いて、暗号鍵を生成する。   The encryption key generation unit 114 generates an encryption key using the interface ID of the IPv6 Address Privacy Extension on the transmission side and the reception side when exchanging parameters.

暗号鍵格納部115は、暗号鍵生成部114により生成された暗号鍵を格納する。   The encryption key storage unit 115 stores the encryption key generated by the encryption key generation unit 114.

暗号路生成部116は、SA確立に必要な事前情報を交換するための暗号路を生成する。暗号路を確保するための鍵情報は、双方のIPv6 Privacy Extention Addressから生成する。   The encryption path generation unit 116 generates an encryption path for exchanging advance information necessary for SA establishment. The key information for securing the encryption path is generated from both IPv6 Privacy Extension Addresses.

IPv6 Address Privacy Extention生成・削除部117は、IPv6ネットワーク130を介して接続された、送信側の暗号化情報通信装置110、及び受信側の暗号化情報通信装置120との間で互いに割り当てを行う。   The IPv6 Address Privacy Extension generation / deletion unit 117 performs allocation between the encrypted information communication device 110 on the transmission side and the encrypted information communication device 120 on the reception side that are connected via the IPv6 network 130.

パラメータ送信部118及びパラメータ受信部119は、IPv6 Address Privacy Extention生成・削除機能と、IPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段を構成する。   The parameter transmission unit 118 and the parameter reception unit 119 constitute a communication unit that transmits and receives a protocol procedure for exchanging security association pre-shared parameter information between the IPv6 Address Privacy Extension creation / deletion function and the IPv6 Address Privacy Extension.

図2は、セキュリティアソシエーション事前共有パラメータ情報を交換するための暗号鍵を生成する際のブロック図である。   FIG. 2 is a block diagram when generating an encryption key for exchanging security association pre-shared parameter information.

図2において、IPv6 Address Privacy Extention122は、プレフィックス部122aと、インタフェースID部122bとから構成される。   In FIG. 2, IPv6 Address Privacy Extension 122 includes a prefix part 122a and an interface ID part 122b.

暗号鍵生成部114は、送信側のIPv6 Address Privacy Extention122のインタフェースID部122bと、受信側のIPv6 Address Privacy Extention122のインタフェースID部122bが入力されると、暗号鍵を生成し、暗号鍵格納部115に保存する。暗号鍵生成部114がインタフェースIDから暗号鍵を生成するアルゴリズムは例えば、送信側のインタフェースIDを上位64ビット、受信側のインタフェースIDを下位64ビットに設定する方法や、それぞれのインタフェースIDのビットを1ビットずつ交互に配置する方法等が考えられる。   When the interface ID unit 122b of the IPv6 Address Privacy Extension 122 on the transmitting side and the interface ID unit 122b of the IPv6 Address Privacy Extension 122 on the receiving side are input, the encryption key generating unit 114 generates an encryption key, and the encryption key storage unit 115 Save to. The algorithm by which the encryption key generation unit 114 generates the encryption key from the interface ID is, for example, a method of setting the interface ID on the transmission side to the upper 64 bits and the interface ID on the reception side to the lower 64 bits, A method of alternately arranging one bit at a time is conceivable.

図3は、セキュリティアソシエーション事前共有パラメータ格納部111に格納されるセキュリティアソシエーション事前共有パラメータ情報の一例を示す図である。   FIG. 3 is a diagram illustrating an example of security association pre-shared parameter information stored in the security association pre-shared parameter storage unit 111.

図3において、セキュリティアソシエーション事前共有パラメータ情報200は、識別ID201、通信相手のIPv6 Global Address202、IKEの事前共有鍵203、IPsec通信を行うプロトコル204、ポート番号205、及び暗号タイプ206が格納されている。例えば、プロトコル204は、TCP/UDP/ICMPやすべてを含むANYが設定される。ポート番号205は、指定したいポートやすべてのポート番号を示すANYが設定される。暗号タイプ206は、IPsecの暗号タイプ206であるAHやESP、AHとESP両方を行うAH+ESP等が設定される。   In FIG. 3, the security association pre-shared parameter information 200 stores an identification ID 201, a communication partner IPv6 Global Address 202, an IKE pre-shared key 203, a protocol 204 for performing IPsec communication, a port number 205, and an encryption type 206. . For example, the protocol 204 is set to TCP / UDP / ICMP or ANY including everything. The port number 205 is set to ANY indicating a port to be designated or all port numbers. As the encryption type 206, AH or ESP, which is the encryption type 206 of IPsec, AH + ESP that performs both AH and ESP, and the like are set.

以下、上述のように構成された暗号化情報通信システム100の動作について説明する。   Hereinafter, the operation of the encrypted information communication system 100 configured as described above will be described.

図4は、IPv6 Address Privacy Extention間のアドレス情報交換を行う手順を示すフローチャートである。送信側の暗号化情報通信装置110では、ステップS21〜ステップS25を実行し、受信側の暗号化情報通信装置120では、ステップS31〜ステップS33を実行する。   FIG. 4 is a flowchart showing a procedure for exchanging address information between IPv6 Address Privacy Extensions. The encrypted information communication apparatus 110 on the transmission side executes steps S21 to S25, and the encrypted information communication apparatus 120 on the reception side executes steps S31 to S33.

図4において、送信側の暗号化情報通信装置110は、IPv6 Address Privacy Extention要求処理が起動されている(ステップS20)。また、受信側の暗号化情報通信装置120は、Address Privacy Extention応答処理が起動されている(ステップS30)。   In FIG. 4, the encrypted information communication apparatus 110 on the transmission side has started the IPv6 Address Privacy Extension request processing (step S20). In the encrypted information communication apparatus 120 on the receiving side, the address privacy extension response process is activated (step S30).

送信側の暗号化情報通信装置110は、接続先である受信側の暗号化情報通信装置120に関するセキュリティアソシエーション(SA)事前共有パラメータ情報が、セキュリティアソシエーション事前共有パラメータ格納部111に存在するか否かチェックする(ステップS21)。   The encrypted information communication apparatus 110 on the transmission side determines whether or not the security association (SA) pre-shared parameter information regarding the encrypted information communication apparatus 120 on the receiving side that is the connection destination exists in the security association pre-shared parameter storage unit 111. Check (step S21).

パラメータ情報が存在しなければ、送信側の暗号化情報通信装置110は、接続先のDNS(Domain Name System)を参照してIPアドレスの解決を行う(ステップS22)。次いで、送信側の暗号化情報通信装置110の、IPv6 Address Privacy Extention生成・削除部117は、自分の送信アドレスとして、新しいIPv6 Address Privacy Extentionを生成する(ステップS23)。次いで、送信側の暗号化情報通信装置110の、IPv6 Privacy Address交換部113は、パラメータ送信部118から、接続先にIPv6 Address Privacy Extentionを要求する(ステップS24)。   If the parameter information does not exist, the encrypted information communication apparatus 110 on the transmission side refers to the DNS (Domain Name System) of the connection destination and resolves the IP address (step S22). Next, the IPv6 Address Privacy Extension generation / deletion unit 117 of the encrypted information communication apparatus 110 on the transmission side generates a new IPv6 Address Privacy Extension as its transmission address (step S23). Next, the IPv6 Privacy Address exchange unit 113 of the encrypted information communication apparatus 110 on the transmission side requests the IPv6 Address Privacy Extension from the parameter transmission unit 118 to the connection destination (Step S24).

一方、受信側の暗号化情報通信装置120は、パケットを受信待ち状態にある(ステップS31)。受信側の暗号化情報通信装置120は、パケットを受信すると、IPv6 Address Privacy Extention生成・削除部117から、自分の応答アドレスとして、新しいIPv6 Address Privacy Extentionを生成する(ステップS32)。次いで、受信側の暗号化情報通信装置120は、IPv6 Privacy Address交換部113により、応答するためのパケットを生成し、パラメータ送信部118から、要求元に自分のIPv6 Address Privacy Extentionを応答する(ステップS33)。   On the other hand, the encrypted information communication apparatus 120 on the receiving side is in a state of waiting for receiving a packet (step S31). When receiving the packet, the encrypted information communication apparatus 120 on the receiving side generates a new IPv6 Address Privacy Extension as its own response address from the IPv6 Address Privacy Extension generation / deletion unit 117 (step S32). Next, the encrypted information communication apparatus 120 on the receiving side generates a packet for response by the IPv6 Privacy Address exchanging unit 113, and responds its own IPv6 Address Privacy Extension to the request source from the parameter transmitting unit 118 (Step S1). S33).

送信側の暗号化情報通信装置10は、接続先から応答メッセージを受信すると(ステップS25)、IPv6 Address Privacy Extention要求処理を終了する。   When receiving the response message from the connection destination (step S25), the encrypted information communication apparatus 10 on the transmission side ends the IPv6 Address Privacy Extension request processing.

次に、セキュリティアソシエーション(SA)事前共有パラメータ情報を交換する処理について説明する。   Next, processing for exchanging security association (SA) pre-shared parameter information will be described.

図5は、セキュリティアソシエーション(SA)事前共有パラメータ情報を交換する処理を示すフローチャートである。送信側の暗号化情報通信装置110では、ステップS41〜ステップS46を実行し、受信側の暗号化情報通信装置120では、ステップS51〜ステップS56を実行する。   FIG. 5 is a flowchart showing a process for exchanging security association (SA) pre-shared parameter information. The encrypted information communication device 110 on the transmission side executes steps S41 to S46, and the encrypted information communication device 120 on the reception side executes steps S51 to S56.

前記図2に示すように、送信側の暗号化情報通信装置110の暗号鍵生成部114は、前記図4のステップS25で取得した、送信側及び受信側双方のIPv6 Address Privacy Extentionから、セキュリティアソシエーション事前共有パラメータ情報200(図3参照)を交換するための暗号鍵を生成する(図5のステップS41)。生成した暗号鍵は、暗号鍵格納部115に格納する。   As shown in FIG. 2, the encryption key generation unit 114 of the encrypted information communication device 110 on the transmission side uses the security association from the IPv6 Address Privacy Extension on both the transmission side and the reception side acquired in step S25 of FIG. An encryption key for exchanging the pre-shared parameter information 200 (see FIG. 3) is generated (step S41 in FIG. 5). The generated encryption key is stored in the encryption key storage unit 115.

次いで、送信側の暗号化情報通信装置110は、自分のIPv6 Global Address及び、IKEの事前共有鍵を含むセキュリティアソシエーション事前共有パラメータ情報200を生成し、暗号鍵格納部115に格納された暗号鍵を用いて暗号化を行う(ステップS42)。その後、接続先にステップS42で暗号化された、セキュリティアソシエーション事前共有パラメータ情報200を送信する(ステップS43)。   Next, the encryption information communication apparatus 110 on the transmission side generates security association pre-shared parameter information 200 including its own IPv6 Global Address and IKE pre-shared key, and uses the encryption key stored in the encryption key storage unit 115. Using this, encryption is performed (step S42). Thereafter, the security association pre-shared parameter information 200 encrypted in step S42 is transmitted to the connection destination (step S43).

一方、受信側の暗号化情報通信装置120は、送信側の暗号化情報通信装置110の暗号鍵生成部114と同様の動作を行う。すなわち、受信側の暗号化情報通信装置120の暗号鍵生成部114は、前記図4のステップS31及びステップS32で取得した、送信側及び受信側双方のIPv6 Address Privacy Extentionから、セキュリティアソシエーション事前共有パラメータ情報を交換するための暗号鍵を生成し(ステップS51)する。生成した暗号鍵は、暗号鍵格納部115に格納する。   On the other hand, the encrypted information communication apparatus 120 on the reception side performs the same operation as the encryption key generation unit 114 of the encrypted information communication apparatus 110 on the transmission side. That is, the encryption key generation unit 114 of the encrypted information communication device 120 on the reception side uses the security association pre-shared parameter from the IPv6 Address Privacy Extension on both the transmission side and the reception side acquired in Step S31 and Step S32 of FIG. An encryption key for exchanging information is generated (step S51). The generated encryption key is stored in the encryption key storage unit 115.

次いで、送信側の暗号化情報通信装置110から、暗号化された、セキュリティアソシエーション事前共有パラメータ情報を受信する(ステップS52)。パラメータを受信すると、暗号鍵格納部115に格納された暗号鍵を用いて、受信したセキュリティアソシエーション事前共有パラメータ情報の復号化を行う(ステップS53)。正常にセキュリティアソシエーション事前共有パラメータ情報の復号化が行えると応答メッセージを送信する(ステップS54)。応答メッセージの送信が終了すると、受信側の暗号化情報通信装置120は、セキュリティアソシエーション事前共有パラメータ格納部111に、セキュリティアソシエーション事前共有パラメータ情報を格納する(ステップS55)。次いで、通信路として使用したIPv6 Address Privacy Extentionを削除して(ステップS56)、受信側の暗号化情報通信装置120の事前共有パラメータ情報交換処理を終了する。   Next, the encrypted security association pre-shared parameter information is received from the encrypted information communication apparatus 110 on the transmission side (step S52). When the parameter is received, the received security association pre-shared parameter information is decrypted using the encryption key stored in the encryption key storage unit 115 (step S53). If the security association pre-shared parameter information can be decrypted normally, a response message is transmitted (step S54). When the transmission of the response message is completed, the encrypted information communication apparatus 120 on the reception side stores the security association pre-shared parameter information in the security association pre-shared parameter storage unit 111 (step S55). Next, the IPv6 Address Privacy Extension used as the communication path is deleted (step S56), and the pre-shared parameter information exchange process of the encrypted information communication apparatus 120 on the receiving side is terminated.

一方、送信側の暗号化情報通信装置110は、受信側の暗号化情報通信装置120から、応答メッセージを受信する(ステップS44)。応答メッセージを受信すると、送信側の暗号化情報通信装置110は、セキュリティアソシエーション事前共有パラメータ格納部111に、セキュリティアソシエーション事前共有パラメータ情報を格納する(ステップS45)。次いで、通信路として使用したIPv6 Address Privacy Extentionを削除して(ステップS46)、送信側の暗号化情報通信装置110の事前共有パラメータ情報交換処理を終了する。   On the other hand, the encrypted information communication apparatus 110 on the transmission side receives a response message from the encrypted information communication apparatus 120 on the reception side (step S44). When receiving the response message, the encrypted information communication device 110 on the transmission side stores the security association pre-shared parameter information in the security association pre-shared parameter storage unit 111 (step S45). Next, the IPv6 Address Privacy Extension used as the communication path is deleted (step S46), and the pre-shared parameter information exchange process of the encrypted information communication apparatus 110 on the transmission side is terminated.

以上詳細に説明したように、本実施の形態によれば、IPsec通信を行うための暗号化情報通信装置間でIPv6 Address Privacty Extentionを用いて通信路を設定し、セキュリティアソシエーション事前共有パラメータ情報の交換を行うことによりDHCP等で動的に決定される双方のIPv6 Global Addressを登録するとともに、一時的なIPv6 Privacy Extentionを用いてセキュリティアソシエーション事前共有パラメータ情報の交換を行うため、パケットキャプチャによる覗き見を防止することができる。また、IPv6 Address Privacy Extention上で暗号化を行ってセキュリティアソシエーション事前共有パラメータ情報の交換を行うため、仮に覗き見が行われたとしても、パラメータ情報を安全に保護することができる。   As described above in detail, according to the present embodiment, a communication path is set using IPv6 Address Privacy Extension between encrypted information communication apparatuses for performing IPsec communication, and exchange of security association pre-shared parameter information is performed. In addition to registering both IPv6 Global Addresses dynamically determined by DHCP, etc., and exchanging security association pre-shared parameter information using temporary IPv6 Privacy Extension, peep by packet capture Can be prevented. Further, since the security association pre-shared parameter information is exchanged by performing encryption on the IPv6 Address Privacy Extension, the parameter information can be safely protected even if a peep is performed.

以上の説明は本発明の好適な実施の形態の例証であり、本発明の範囲はこれに限定されることはない。例えば、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信システムに適用した例であるが、IPvネットワークであればよく、IPv6ネットワークの機能を含む上位バージョンが策定された場合はこれも包含するものである。   The above description is an illustration of a preferred embodiment of the present invention, and the scope of the present invention is not limited to this. For example, this is an example applied to an encrypted information communication system that performs encrypted communication using the IPsec protocol via an IPv6 network. However, the IPv6 network may be used, and if a higher version including the IPv6 network function is formulated, Is also included.

また、本実施の形態では暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法という名称を用いたが、これは説明の便宜上であり、暗号化通信システム、セキュリティアソシエーション方法等であってもよいことは勿論である。   In the present embodiment, the names of the encrypted information communication apparatus, the encrypted information communication system, and the encrypted information communication method are used. However, this is for convenience of explanation, such as the encrypted communication system, the security association method, and the like. Of course, it may be.

さらに、上記暗号化情報通信装置及び暗号化情報通信システムを構成する各部、例えば暗号鍵生成部の種類、その数及び接続方法などはどのようなものでもよい。   Further, any part of the encrypted information communication apparatus and the encrypted information communication system, for example, the type, number and connection method of the encryption key generation part may be used.

以上説明した暗号化情報通信方法は、この暗号化情報通信方法を機能させるためのプログラムでも実現される。このプログラムはコンピュータで読み取り可能な記録媒体に格納されている。   The encrypted information communication method described above is also realized by a program for causing the encrypted information communication method to function. This program is stored in a computer-readable recording medium.

以上のように、本発明にかかる暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムは、IPsec通信に必要となるセキュリティアソシエーション確立のためのセキュリティアソシエーション事前共有パラメータ情報を暗号化した上で、IPv6 Address Privacy Extention上の通信路で交換を行うため、安全にパラメータの交換を行うことができ、悪意のあるユーザが暗号鍵情報を覗き見することを防止できるという効果を有し、かつ、DHCP等の動的にIPアドレスが決定されるネットワーク環境においても、セキュリティアソシエーション確立を行うことができる、暗号化情報通信システムとして有用である。   As described above, the encrypted information communication device, the encrypted information communication system, the encrypted information communication method, and the program according to the present invention encrypt the security association pre-shared parameter information for establishing the security association required for IPsec communication. In addition, since the exchange is performed on the communication path on the IPv6 Address Privacy Extension, it is possible to exchange parameters safely and to prevent malicious users from peeping at the encryption key information. In addition, it is useful as an encrypted information communication system capable of establishing a security association even in a network environment such as DHCP in which an IP address is dynamically determined.

本発明の実施の形態に係る暗号化情報通信システムの暗号化情報通信装置内部の概略構成を示すブロック図The block diagram which shows schematic structure inside the encryption information communication apparatus of the encryption information communication system which concerns on embodiment of this invention. 本実施の形態に係る暗号化情報通信装置のセキュリティアソシエーション事前共有パラメータ情報を交換するための暗号鍵を生成する際のブロック図The block diagram at the time of producing | generating the encryption key for exchanging the security association pre-shared parameter information of the encryption information communication apparatus concerning this Embodiment 本実施の形態に係る暗号化情報通信装置のセキュリティアソシエーション事前共有パラメータ格納部に格納されるセキュリティアソシエーション事前共有パラメータ情報の一例を示す図The figure which shows an example of the security association pre-shared parameter information stored in the security association pre-shared parameter storage part of the encryption information communication apparatus which concerns on this Embodiment 本実施の形態に係る暗号化情報通信装置のIPv6 Address Privacy Extention間のアドレス情報交換を行う手順を示すフロー図The flowchart which shows the procedure which performs the address information exchange between the IPv6 Address Privacy Extension of the encryption information communication apparatus which concerns on this Embodiment 本実施の形態に係る暗号化情報通信装置のセキュリティアソシエーション(SA)事前共有パラメータ情報を交換する処理を示すフロー図The flowchart which shows the process which exchanges the security association (SA) pre-shared parameter information of the encryption information communication apparatus concerning this Embodiment 従来の暗号化情報通信システムのセキュリティアソシエーションの事前共有パラメータ情報を交換するための処理を示すフロー図Flow diagram showing processing for exchanging pre-shared parameter information of security association in a conventional encrypted information communication system

符号の説明Explanation of symbols

100 暗号化情報通信システム
110,120 暗号化情報通信装置
130 IPv6ネットワーク
111 セキュリティアソシエーション事前共有パラメータ格納部
112 セキュリティアソシエーション事前共有パラメータ情報交換部
113 IPv6 Address Privacy Extention交換部
114 暗号鍵生成部
115 暗号鍵格納部
116 暗号路生成部
117 IPv6 Address Privacy Extention生成・削除部
118 パラメータ送信部
119 パラメータ受信部
DESCRIPTION OF SYMBOLS 100 Encryption information communication system 110,120 Encryption information communication apparatus 130 IPv6 network 111 Security association pre-shared parameter storage part 112 Security association pre-shared parameter information exchange part 113 IPv6 Address Privacy Extention exchange part 114 Encryption key generation part 115 Encryption key storage Unit 116 encryption path generation unit 117 IPv6 Address Privacy Extension generation / deletion unit 118 parameter transmission unit 119 parameter reception unit

Claims (12)

IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信装置であって、
IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換手段と、
前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除手段と、
前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段とを備え、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立する暗号化情報通信装置。 An encrypted information communication apparatus that performs encrypted communication using an IPsec protocol via an IPv6 network,
Security association pre-shared parameter information exchanging means for exchanging pre-shared parameter information necessary for establishing IPsec security association (SA) information by the IKE protocol;
An IPv6 Address Privacy Extension generation / deletion means for generating / deleting an IPv6 Address Privacy Extension that assigns to each other on the transmission side and the reception side connected via the IPv6 network;
Communication means for transmitting and receiving a protocol procedure for exchanging security association pre-shared parameter information between the mutually assigned IPv6 Address Privacy Extensions,
An encrypted information communication apparatus that establishes a security association for IPsec by performing IKE communication using the security association pre-shared parameter information exchanged by the security association pre-shared parameter information exchanging means. 前記IPv6 Address Privacy Extention生成・削除手段は、送信側と受信側で前記セキュリティアソシエーション事前共有パラメータ情報交換を行うにあたり、各々IPv6 Address Privacy Extentionを生成し、
前記通信手段は、生成した送信側のIPv6 Address Privacy Extentionと受信側のIPv6 Address Privacy Extention間で通信路を設定し、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段は、前記セキュリティアソシエーション事前共有パラメータ情報交換を行い、
前記IPv6 Address Privacy Extention生成・削除手段は、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によるセキュリティアソシエーション事前共有パラメータ情報交換が終了すると、各々のIPv6 Address Privacy Extentionを削除する請求項1記載の暗号化情報通信装置。 The IPv6 Address Privacy Extension generation / deletion unit generates an IPv6 Address Privacy Extension for exchanging the security association pre-shared parameter information between the transmission side and the reception side,
The communication unit sets a communication path between the generated IPv6 Address Privacy Extension on the transmission side and the IPv6 Address Privacy Extension on the reception side,
The security association pre-shared parameter information exchanging means performs the security association pre-shared parameter information exchange,
The encrypted information communication according to claim 1, wherein the IPv6 Address Privacy Extension generation / deletion unit deletes each IPv6 Address Privacy Extension when the security association pre-shared parameter information exchange by the security association pre-shared parameter information exchange unit is completed. apparatus. 送信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDと、受信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDから、暗号鍵を生成する暗号鍵生成手段と、
生成した暗号鍵を格納する暗号鍵格納手段と
をさらに備える請求項1記載の暗号化情報通信装置。 An encryption key generating means for generating an encryption key from the lower 64 bits of the interface ID of the IPv6 Address Privacy Extension on the sending side and the lower 64 bits of the interface ID of the IPv6 Address Privacy Extension on the receiving side;
The encrypted information communication apparatus according to claim 1, further comprising: an encryption key storage unit that stores the generated encryption key. 前記セキュリティアソシエーション事前共有パラメータ情報交換手段は、前記暗号鍵生成手段により生成された暗号鍵を基に前記セキュリティアソシエーション事前共有パラメータ情報を暗号化する請求項3記載の暗号化情報通信装置。   4. The encrypted information communication apparatus according to claim 3, wherein the security association pre-shared parameter information exchanging unit encrypts the security association pre-shared parameter information based on the encryption key generated by the encryption key generating unit. 前記セキュリティアソシエーション事前共有パラメータ情報は、送信側もしくは受信側のIPv6 Global AddressとIKEプロトコルで使用する事前共有鍵を含む請求項1記載の暗号化情報通信装置。   The encrypted information communication apparatus according to claim 1, wherein the security association pre-shared parameter information includes a pre-shared key used in an IPv6 Global Address on a transmitting side or a receiving side and an IKE protocol. IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信システムであって、
請求項1乃至請求項5のいずれかに記載の暗号化情報通信装置を用いる暗号化情報通信システム。 An encrypted information communication system comprising a plurality of encrypted information communication devices that perform encrypted communication using an IPsec protocol via an IPv6 network,
An encrypted information communication system using the encrypted information communication apparatus according to any one of claims 1 to 5. IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信方法であって、
IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換ステップと、
前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除ステップと、
前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信ステップと、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立ステップと
を有する暗号化情報通信方法。 An encrypted information communication method comprising a plurality of encrypted information communication devices that perform encrypted communication using the IPsec protocol via an IPv6 network,
A security association pre-shared parameter information exchange step for exchanging pre-shared parameter information necessary for establishing IPsec security association (SA) information by the IKE protocol;
An IPv6 Address Privacy Extension generation / deletion step for generating / deleting an IPv6 Address Privacy Extension that assigns each other between the transmitting side and the receiving side connected via the IPv6 network;
A communication step of transmitting and receiving a protocol procedure for exchanging security association pre-shared parameter information between the mutually assigned IPv6 Address Privacy Extensions;
An encrypted information communication method comprising: a security association establishing step of performing IKE communication using the security association pre-shared parameter information exchanged by the security association pre-shared parameter information exchanging means and establishing a security association for IPsec. 前記IPv6 Address Privacy Extention生成・削除ステップでは、送信側と受信側で前記セキュリティアソシエーション事前共有パラメータ情報交換を行うにあたり、各々IPv6 Address Privacy Extentionを生成し、
前記通信ステップでは、生成した送信側のIPv6 Address Privacy Extentionと受信側のIPv6 Address Privacy Extention間で通信路を設定し、
前記セキュリティアソシエーション事前共有パラメータ情報交換ステップでは、前記セキュリティアソシエーション事前共有パラメータ情報交換を行い、
前記IPv6 Address Privacy Extention生成・削除ステップでは、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によるセキュリティアソシエーション事前共有パラメータ情報交換が終了すると、各々のIPv6 Address Privacy Extentionを削除する請求項7記載の暗号化情報通信方法。 In the IPv6 Address Privacy Extension generation / deletion step, when exchanging the security association pre-shared parameter information between the transmission side and the reception side, each IPv6 Address Privacy Extension is generated,
In the communication step, a communication path is set between the generated IPv6 Address Privacy Extension on the transmission side and the IPv6 Address Privacy Extension on the reception side,
In the security association pre-shared parameter information exchange step, the security association pre-shared parameter information exchange is performed,
8. The encrypted information communication according to claim 7, wherein, in the IPv6 Address Privacy Extension generation / deletion step, when the security association pre-shared parameter information exchange by the security association pre-shared parameter information exchanging means ends, each IPv6 Address Privacy Extension is deleted. Method. 送信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDと、受信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDから、暗号鍵を生成する暗号鍵生成ステップと、
生成した暗号鍵を格納する暗号鍵格納ステップとをさらに備える請求項7記載の暗号化情報通信方法。 An encryption key generation step for generating an encryption key from the lower 64 bits of the interface ID of the IPv6 Address Privacy Extension on the sending side and the lower 64 bits of the interface ID of the IPv6 Address Privacy Extension on the receiving side;
The encryption information communication method according to claim 7, further comprising an encryption key storage step of storing the generated encryption key. 前記セキュリティアソシエーション事前共有パラメータ情報交換ステップでは、前記暗号鍵生成手段により生成された暗号鍵を基に前記セキュリティアソシエーション事前共有パラメータ情報を暗号化する請求項7記載の暗号化情報通信方法。   8. The encrypted information communication method according to claim 7, wherein, in the security association pre-shared parameter information exchange step, the security association pre-shared parameter information is encrypted based on an encryption key generated by the encryption key generation unit. 前記セキュリティアソシエーション事前共有パラメータ情報は、送信側もしくは受信側のIPv6 Global AddressとIKEプロトコルで使用する事前共有鍵を含む請求項7記載の暗号化情報通信方法。   8. The encrypted information communication method according to claim 7, wherein the security association pre-shared parameter information includes a pre-shared key used in the IPv6 Global Address on the transmission side or the reception side and the IKE protocol. 請求項7乃至請求項11のいずれかに記載の暗号化情報通信方法の各ステップをコンピュータに実行させるためのプログラム。
The program for making a computer perform each step of the encryption information communication method in any one of Claims 7 thru | or 11.
JP2007199754A 2007-07-31 2007-07-31 Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program Pending JP2009038512A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007199754A JP2009038512A (en) 2007-07-31 2007-07-31 Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007199754A JP2009038512A (en) 2007-07-31 2007-07-31 Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program

Publications (1)

Publication Number Publication Date
JP2009038512A true JP2009038512A (en) 2009-02-19

Family

ID=40440068

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007199754A Pending JP2009038512A (en) 2007-07-31 2007-07-31 Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program

Country Status (1)

Country Link
JP (1) JP2009038512A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009157213A1 (en) 2008-06-27 2009-12-30 パナソニック株式会社 Audio signal decoding device and balance adjustment method for audio signal decoding device
CN116963050A (en) * 2023-09-21 2023-10-27 明阳时创(北京)科技有限公司 Trusted communication method and system based on end-to-end IPv6 password identification

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004007512A (en) * 2002-04-17 2004-01-08 Canon Inc Public key certificate providing device
JP2004032699A (en) * 2002-05-09 2004-01-29 Canon Inc Apparatus for issuing public key certificate
JP2005079921A (en) * 2003-08-29 2005-03-24 Canon Inc Communication equipment, address creating method, program and storage medium
JP2005101740A (en) * 2003-09-22 2005-04-14 Canon Inc Security controller
JP2007166552A (en) * 2005-12-16 2007-06-28 Canon Inc Communication apparatus and encryption communication method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004007512A (en) * 2002-04-17 2004-01-08 Canon Inc Public key certificate providing device
JP2004032699A (en) * 2002-05-09 2004-01-29 Canon Inc Apparatus for issuing public key certificate
JP2005079921A (en) * 2003-08-29 2005-03-24 Canon Inc Communication equipment, address creating method, program and storage medium
JP2005101740A (en) * 2003-09-22 2005-04-14 Canon Inc Security controller
JP2007166552A (en) * 2005-12-16 2007-06-28 Canon Inc Communication apparatus and encryption communication method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009157213A1 (en) 2008-06-27 2009-12-30 パナソニック株式会社 Audio signal decoding device and balance adjustment method for audio signal decoding device
CN116963050A (en) * 2023-09-21 2023-10-27 明阳时创(北京)科技有限公司 Trusted communication method and system based on end-to-end IPv6 password identification
CN116963050B (en) * 2023-09-21 2023-11-28 明阳时创(北京)科技有限公司 Trusted communication method and system based on end-to-end IPv6 password identification

Similar Documents

Publication Publication Date Title
JP4648148B2 (en) Connection support device
US8312532B2 (en) Connection supporting apparatus
JP4033868B2 (en) Method and apparatus for processing authentication in IPv6 network
Bittau et al. Cryptographic protection of TCP streams (tcpcrypt)
JP6345816B2 (en) Network communication system and method
WO2009082889A1 (en) A method for internet key exchange negotiation and device, system thereof
US20090327730A1 (en) Apparatus and method for encrypted communication processing
US20080310639A1 (en) Communication apparatus, communication system, and communication method
JP2006050267A (en) IPsec COMMUNICATION METHOD, COMMUNICATION CONTROLLER AND NETWORK CAMERA
CN105516062B (en) Method for realizing L2 TP over IPsec access
CN110191052B (en) Cross-protocol network transmission method and system
JP2005295038A (en) Providing apparatus, providing method, communication apparatus, communication method, and program
KR100948604B1 (en) Security method of mobile internet protocol based server
WO2009082950A1 (en) Key distribution method, device and system
JP2008288757A (en) Method for transferring encrypted packet, repeater, its program, and communication system
JP2007142656A (en) Computer system and computer
JP2009038512A (en) Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program
JP2006109152A (en) Connection requesting device, response device, connection management device and communication system for performing communication on network
JP4073931B2 (en) Terminal, communication apparatus, communication establishment method and authentication method
JP4555311B2 (en) Tunnel communication system, control device, and tunnel communication device
JP2011054182A (en) System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message
JP2005175825A (en) Encrypted packet filtering device, program thereof, and host device
JP2009260847A (en) Vpn connection method, and communication device
JP3911697B2 (en) Network connection device, network connection method, network connection program, and storage medium storing the program
JP4874037B2 (en) Network equipment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100716

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120319

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120327

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120724