JP2011015042A - Encryption communication device, encryption communication method, and program - Google Patents

Encryption communication device, encryption communication method, and program Download PDF

Info

Publication number
JP2011015042A
JP2011015042A JP2009155740A JP2009155740A JP2011015042A JP 2011015042 A JP2011015042 A JP 2011015042A JP 2009155740 A JP2009155740 A JP 2009155740A JP 2009155740 A JP2009155740 A JP 2009155740A JP 2011015042 A JP2011015042 A JP 2011015042A
Authority
JP
Japan
Prior art keywords
packet
ipsec
data
information
transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009155740A
Other languages
Japanese (ja)
Inventor
Akihisa Kinoshita
暁央 木下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2009155740A priority Critical patent/JP2011015042A/en
Publication of JP2011015042A publication Critical patent/JP2011015042A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To enable updating of security policy items even in a remote access or the like which can not know information of all selectors beforehand.SOLUTION: An encryption communication device using a protocol ensuring a security of data flowing through a network has communication means 101 and 108 performing a transmission/reception of an IP packet, a management means managing a database in which information indicating whether or not security processing is applied is registered, and an updating means updating information registered in the database.

Description

本発明は、インターネットやイントラネット等のネットワークを介したデータ送受信のセキュリティに関する。   The present invention relates to security of data transmission / reception via a network such as the Internet or an intranet.

近年、ネットワーク上におけるセキュリティについて必要性が高まってきており、特に暗号化通信によるセキュリティを確保する必要性が高まってきている。現在、セキュリティプロトコルとして幾つかのプロトコルが存在している。その中で例えばIPsec(IP Security Protocol)は、通信データを暗号化する仕組み、通信相手を認証する仕組みをIPレベルで実現している。このため上位のプロトコルに依存することなく利用でき、また、VPN(Virtual Private Network)を実現するための方法としても利用され、非常に注目されている。   In recent years, the need for security on a network has increased, and in particular, the need to ensure security by encrypted communication has increased. Currently, several protocols exist as security protocols. Among them, for example, IPsec (IP Security Protocol) realizes a mechanism for encrypting communication data and a mechanism for authenticating a communication partner at the IP level. For this reason, it can be used without depending on a higher-level protocol, and is also used as a method for realizing a VPN (Virtual Private Network).

IPsecでは、IPパケットに対しての処理の方法を記述したセキュリティポリシーが必要となる。セキュリティポリシーは、処理対象となるIPパケットを指定するために利用するための情報をセレクタと呼び、始点IPアドレス、終点IPアドレス、プロトコル、ポート番号等を利用してアクセス制御を行っている。なお、この種の先行技術として特許文献1に記載のものがある。   IPsec requires a security policy that describes how to process IP packets. In the security policy, information used to designate an IP packet to be processed is called a selector, and access control is performed using a start point IP address, an end point IP address, a protocol, a port number, and the like. In addition, there exists a thing of patent document 1 as this type of prior art.

特開2005−287034号公報JP 2005-287034 A

IPsecを利用した暗号化通信において、イントラネットのように全てのセレクタの情報を事前に知ることができる場合には問題がない。ところが、例えばリモートアクセスを行う場合など、始点IPアドレスを事前に知ることができない。そのためにセレクタの始点IPアドレスの設定に対して、全てのIPアドレスを示す“any”にしておかなければ通信ができなくなる。しかし、このように設定すると全てのIPアドレスからの通信が可能になるため、セキュリティが弱くなってしまうという問題があった。   In encrypted communication using IPsec, there is no problem if information on all selectors can be known in advance as in an intranet. However, for example, when performing remote access, the starting IP address cannot be known in advance. Therefore, communication cannot be performed unless "any" indicating all IP addresses is set for the setting of the start point IP address of the selector. However, if this setting is used, communication from all IP addresses is possible, resulting in a problem that security is weakened.

本発明は前記課題を解決するために、ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用した暗号化通信装置であって、IPパケットの送受信を行う通信手段と、セキュリティ処理を適用するかどうかについての情報が登録されているデータベースを管理する管理手段と、前記データベースに登録されている前記情報を更新する更新手段とを持つことを特徴とする暗号化通信装置等、を提供する。   In order to solve the above-mentioned problem, the present invention is an encrypted communication device using a protocol for ensuring the security of data flowing on a network, whether to apply communication means for transmitting / receiving IP packets, and security processing. There is provided an encryption communication device, etc., characterized by having a management means for managing a database in which information on the information is registered and an updating means for updating the information registered in the database.

本発明によれば、全てのセレクタの情報を事前に知ることができないリモートアクセス等でも、セキュリティポリシーの項目を更新可能にする。これによりIPsecを利用した通信が可能となり、セキュリティを維持した通信を可能とすることができる。   According to the present invention, the security policy item can be updated even in remote access or the like in which information of all selectors cannot be known in advance. As a result, communication using IPsec is possible, and communication with security maintained can be realized.

本発明のセキュリティポリシーを変更する暗号化通信方式の構成を示すブロック図である。It is a block diagram which shows the structure of the encryption communication system which changes the security policy of this invention. 本発明のSPDのSPを更新する処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process which updates SP of SPD of this invention. 本発明におけるIPsec受信手段において処理されている受信処理動作の流れを示すフローチャートである。It is a flowchart which shows the flow of the reception processing operation currently processed in the IPsec receiving means in this invention. 本発明におけるIPsec送信手段において処理されている送信処理動作の流れを示すフローチャートである。It is a flowchart which shows the flow of the transmission processing operation currently processed in the IPsec transmission means in this invention. 本発明におけるパケット処理手段の処理動作の流れを示すフローチャートである。It is a flowchart which shows the flow of the processing operation of the packet processing means in this invention. 本発明におけるソフトウェア処理手段の処理動作の流れを示すフローチャートである。It is a flowchart which shows the flow of the processing operation of the software processing means in this invention. 本発明におけるパケット生成手段の処理動作の流れを示すフローチャートである。It is a flowchart which shows the flow of the processing operation of the packet generation means in this invention. 本発明におけるSPDのSPを更新するためのパケットと拡張ヘッダのデータを示す図である。It is a figure which shows the packet for updating SP of SPD in this invention, and the data of an extension header.

以下、本発明の実施の形態について図面に基づき説明する。
図1は、本実施の形態の係る暗号化通信装置の構成を示すブロック図である。同図において暗号化通信装置は、ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用する。そして、この暗号化通信装置は、受信手段101、IPsec受信手段102、復号化手段103、セキュリティポリシー(SP)更新手段104、セキュリティポリシー(SP)管理手段105を有する。
また、セキュリティアソシエーション(SA)管理手段106、パケット処理手段107、ソフトウェア処理手段108、ソフトウェア記憶手段109、IPパケット生成手段110、IPsec送信手段111、暗号化手段112、送信手段113を有している。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a block diagram showing the configuration of the encrypted communication apparatus according to this embodiment. In the figure, the encrypted communication device uses a protocol for ensuring the security of data flowing on the network. The encrypted communication apparatus includes a receiving unit 101, an IPsec receiving unit 102, a decrypting unit 103, a security policy (SP) updating unit 104, and a security policy (SP) managing unit 105.
In addition, it has security association (SA) management means 106, packet processing means 107, software processing means 108, software storage means 109, IP packet generation means 110, IPsec transmission means 111, encryption means 112, and transmission means 113. .

まず初めに、本発明のセキュリティポリシーを変更する場合のブロック図を表している図1を基に、各手段の説明をする。
受信手段101は、ネットワーク内外から送信されてくるIPパケットのデータを受信する手段である。
IPsec受信手段102は、受信したIPパケットに対してIPsecが適用されているかどうかを判定する手段である。IPsecが適用されていない場合は、SPDからSPを検索し、検索されたSPが「破棄」の場合は、IPパケットを破棄する。また「IPsecを適用」の場合は、このIPパケットにIPsecが適用されていないためにこのIPパケットを破棄する。また「IPsecを適用しない」の場合は、受信したIPパケットと条件が一致するので次の手段にIPパケットを受け渡す。 First, each means will be described with reference to FIG. 1 showing a block diagram when changing the security policy of the present invention.
The receiving means 101 is means for receiving IP packet data transmitted from inside and outside the network.
The IPsec receiving means 102 is means for determining whether IPsec is applied to the received IP packet. When IPsec is not applied, the SP is searched from the SPD. When the searched SP is “discard”, the IP packet is discarded. In the case of “Apply IPsec”, since the IPsec is not applied to the IP packet, the IP packet is discarded. If “IPsec is not applied”, the condition matches the received IP packet, so the IP packet is transferred to the next means.

IPsecが適用されている場合は、まず始めにSADからSAを検索し、SAに記載されているアルゴリズムや鍵を利用して復号化手段103により復号化処理を行う。
次に、復号化処理が行われた後にSPDからSPを検索し、SPの内容と受信したIPパケットに適用されている内容と一致しているかどうかを判定する。一致していない場合は、IPパケットを破棄し、一致している場合は、次の手段にIPパケットを受け渡す。 When IPsec is applied, first, SA is searched from SAD, and decryption processing is performed by decryption means 103 using an algorithm and a key described in SA.
Next, after the decryption process is performed, the SP is searched from the SPD, and it is determined whether or not the content of the SP matches the content applied to the received IP packet. If they do not match, the IP packet is discarded, and if they match, the IP packet is transferred to the next means.

復号化手段103は、受信したIPパケットデータに対して、SP管理手段105に管理されているSPDと SA管理手段106に管理されているSADの情報をもとに復号化を行う手段である。
SP更新手段104は、IPパケットに記載されている情報により、SP管理手段105において管理されているSPDのSPを変更し、その後変更が完了したこと通信相手に知らせる手段である。
SP管理手段105は、実際にIPsecによるセキュリティ処理を適用するかどうかについての情報が登録されているSPD(セキュリティポリシーのデータベース)を管理する手段である。
SA管理手段106は、IPパケットに対して行うIPsec処理に関する情報が格納されているSADを管理する手段である。 The decryption means 103 is a means for decrypting the received IP packet data based on the SPD information managed by the SP management means 105 and the SAD information managed by the SA management means 106.
The SP update unit 104 is a unit that changes the SP of the SPD managed by the SP management unit 105 based on information described in the IP packet, and then notifies the communication partner that the change has been completed.
The SP management unit 105 is a unit that manages an SPD (security policy database) in which information about whether or not to actually apply IPsec security processing is registered.
The SA management means 106 is a means for managing the SAD in which information related to the IPsec processing performed on the IP packet is stored.

パケット処理手段107は、復号化手段103によって復号化されたIPパケットをIPヘッダやその他のヘッダ、そしてペイロードと呼ばれるデータに分ける手段である。
ソフトウェア処理手段108は、ソフトウェア記憶手段109に記憶されているソフトウェアを実行する手段である。
ソフトウェア記憶手段109は、通信を実行するのに必要なネットワークソフトウェアを記憶する手段である。
パケット生成手段110は、送信時におけるIPパケットのデータを生成する手段である。
IPsec送信手段111は、送信するIPパケットに対してIPsecを適用するかどうかを判定する手段である。 The packet processing means 107 is a means for dividing the IP packet decoded by the decoding means 103 into an IP header, other headers, and data called a payload.
The software processing means 108 is means for executing software stored in the software storage means 109.
The software storage means 109 is means for storing network software necessary for executing communication.
The packet generation means 110 is means for generating IP packet data at the time of transmission.
The IPsec transmission unit 111 is a unit that determines whether or not IPsec is applied to an IP packet to be transmitted.

始めにIPパケットの始点IPアドレス、終点IPアドレス、プロトコル、ポート番号の情報からSP管理手段105に管理されているSPDよりSPを検索する。SPが「破棄」の場合には、IPパケットを破棄する。また、「IPsecを適用しない」の場合は、IPsecを適用せずに送信手段113にIPパケットを送る。「IPsecを適用する」の場合は、SA管理手段106に管理されているSADよりSAを検索する。そしてSAに記載されているアルゴリズムや鍵を利用し、暗号化手段112により暗号化を実行する。   First, the SP is searched from the SPD managed by the SP management means 105 from the information of the start point IP address, end point IP address, protocol, and port number of the IP packet. When the SP is “discard”, the IP packet is discarded. If “IPsec is not applied”, the IP packet is sent to the transmission means 113 without applying IPsec. In the case of “apply IPsec”, the SA is searched from the SAD managed by the SA management means 106. Then, encryption is executed by the encryption means 112 using the algorithm and key described in SA.

暗号化手段112は、IPパケットデータに対して、SP管理手段105に管理されているSPDと SA管理手段106に管理されているSAD(セキュリティアソシエーションのデータベース)の情報をもとに暗号化を行う手段である。   The encryption unit 112 encrypts the IP packet data based on the information of the SPD managed by the SP management unit 105 and the SAD (security association database) managed by the SA management unit 106. Means.

送信手段113は、ネットワーク内外へIPパケットのデータを送信する手段である。
また、本発明である暗号化通信方式において用いられるIPパケットデータは、インターネット上で送受信されるデータの単位である。本発明では、発明の本質ではないので、このIPパケットデータの組み立て方法については、省力してある。
また、SP管理手段とSA管理手段は、通常のIPsecを利用した暗号化通信において利用されており、本発明では、発明の本質ではないので、詳細については、省略してある。
また、暗号化通信を始める前必要となる鍵交換は、IKEまたはSSLといった一般的な方法を利用し行うことを前提としており、本発明では、発明の本質ではないので、詳細については、省略してある。 The transmission means 113 is means for transmitting IP packet data in and out of the network.
The IP packet data used in the encrypted communication system according to the present invention is a unit of data transmitted / received on the Internet. In the present invention, since it is not the essence of the invention, this IP packet data assembling method is labor-saving.
Further, the SP management means and the SA management means are used in encrypted communication using normal IPsec, and are not the essence of the invention in the present invention, so the details are omitted.
The key exchange required before starting encrypted communication is assumed to be performed using a general method such as IKE or SSL. In the present invention, since it is not the essence of the invention, the details are omitted. It is.

次に、IPパケットの受信処理と送信処理を行う暗号化通信装置について、図1に基づき説明する。
受信手段101は、受信したIPパケットのデータをIPsec受信手段102に受け渡す。そして、IPsec受信手段102は、受け取ったIPパケットのデータに対してIPsecの受信処理を実行する。
IPsecの受信処理では、IPパケットデータの情報をもとにSPDからSPを検索する。IPsec処理がされていないIPパケットの場合は、SPの情報によりパケット処理手段107にIPパケットを受け渡す。
また、IPsec処理がされて、SPDのSPを更新するデータでない場合は、該当するSAの情報に基づいて復号化手段103によってIPパケットデータに復号化を実行し、パケット処理手段107にIPパケットを渡す。 Next, an encrypted communication apparatus that performs IP packet reception processing and transmission processing will be described with reference to FIG.
The receiving unit 101 passes the received IP packet data to the IPsec receiving unit 102. Then, the IPsec receiving means 102 executes an IPsec receiving process on the received IP packet data.
In the IPsec reception process, the SP is searched from the SPD based on the IP packet data information. In the case of an IP packet that has not been subjected to IPsec processing, the IP packet is delivered to the packet processing means 107 based on SP information.
In addition, when the IPsec processing is performed and the SPD of the SPD is not updated, the IP packet data is decoded by the decoding unit 103 based on the corresponding SA information, and the IP packet is sent to the packet processing unit 107. hand over.

パケット処理手段107では、受け取ったIPパケットをIPヘッダやその他のヘッダ、そしてペイロードと呼ばれるデータに分割をし、ソフトウェア処理手段108へデータを受け渡す。ソフトウェア処理手段108では、ソフトウェア記憶手段109から実行するネットワークソフトウェアの情報を取得し、処理を実行する。そして、送信時には、ソフトウェア処理手段108から送信データを受け取りIPパケットデータを生成し、IPsec送信手段111へIPパケットデータを受け渡す。   The packet processing means 107 divides the received IP packet into data called an IP header, other headers, and payload, and delivers the data to the software processing means 108. The software processing means 108 acquires information about the network software to be executed from the software storage means 109 and executes the processing. At the time of transmission, the transmission data is received from the software processing unit 108 to generate IP packet data, and the IP packet data is transferred to the IPsec transmission unit 111.

IPsec送信手段111では、受け取ったIPパケットデータに対して、SP管理手段105に管理されているSPDのSP情報とSA管理手段に管理されているSADのSA情報によりIPsec送信処理を行い、次に暗号化手段112により暗号化を行う。そして、暗号化されたIPパケットデータを送信手段113に受け渡す。送信手段113では受け取ったIPパケットデータを送信する。
IPパケットデータがSPDのSPを更新するデータだった場合は、データをSP更新手段104へ受け渡す。
SP更新手段104では、SP管理手段105に管理されているSPDのSPの値を更新する。そして、SPを更新後にIPパケットデータを生成し、IPsec送信手段111にIPパケットデータを受け渡す。 The IPsec transmission unit 111 performs an IPsec transmission process on the received IP packet data using the SP information of the SPD managed by the SP management unit 105 and the SA information of the SAD managed by the SA management unit, Encryption is performed by the encryption means 112. Then, the encrypted IP packet data is delivered to the transmission means 113. The transmission means 113 transmits the received IP packet data.
When the IP packet data is data for updating the SP of the SPD, the data is transferred to the SP updating means 104.
The SP update unit 104 updates the SP value of the SPD managed by the SP management unit 105. Then, after updating the SP, IP packet data is generated, and the IP packet data is delivered to the IPsec transmission means 111.

IPsec送信手段111では、受け取ったIPパケットデータに対してSA管理手段に管理されているSADのSA情報によりIPsec送信処理を行い、次に暗号化手段112により暗号化を行う。そして、暗号化されたIPパケットデータを送信手段113に受け渡す。送信手段113では受け取ったIPパケットデータを送信する。   In the IPsec transmission unit 111, the received IP packet data is subjected to an IPsec transmission process using the SA information of the SAD managed by the SA management unit, and then encrypted by the encryption unit 112. Then, the encrypted IP packet data is delivered to the transmission means 113. The transmission means 113 transmits the received IP packet data.

次に、SA更新手段104において処理されているSP更新処理動作の流れを、図2のフローチャートに基づき説明する。
最初に、ステップ201においてIPパケットデータがSPを更新するためのものかどうかを判定する。判定は、IPパケットデータに図8(2)が示す拡張ヘッダが含まれているかどうかをチェックする。SP更新パケットでない場合は、ステップ202へ進む。ステップ202では、パケット処理手段によりIPパケットを処理し、処理を終了する。 Next, the flow of the SP update processing operation processed in the SA update means 104 will be described based on the flowchart of FIG.
First, in step 201, it is determined whether the IP packet data is for updating the SP. The determination is made by checking whether or not the extension header shown in FIG. 8 (2) is included in the IP packet data. If it is not an SP update packet, the process proceeds to step 202. In step 202, the IP packet is processed by the packet processing means, and the process ends.

SP更新パケットの場合は、ステップ203へ進む。ステップ203では、SP更新手段に進む。そしてステップ204では、IPパケットデータから図8の(1)に示す更新データ調べ、ステップ205へ進む。ステップ205では、更新データの情報によりSP管理手段105に管理されているSPDのSPを更新する。   If it is an SP update packet, the process proceeds to step 203. In step 203, the process proceeds to the SP update means. In step 204, the update data shown in (1) of FIG. In step 205, the SP of the SPD managed by the SP management means 105 is updated with the update data information.

更新できなかった場合は、ステップ206へ進み、更新不可を示すIPパケットを生成し、次のステップへ進む。更新できた場合は、ステップ207へ進む。ステップ207では、更新できたことを示すIPパケットを生成し、ステップ208へ進む。ステップ208では生成されたIPパケットを受け取り、IPsec送信手段111に受け渡す。そして、IPsec送信手段111では、送信処理を実行し、処理を終了する。   If it cannot be updated, the process proceeds to step 206, an IP packet indicating that updating cannot be performed is generated, and the process proceeds to the next step. If it can be updated, the process proceeds to step 207. In step 207, an IP packet indicating that the update has been completed is generated, and the process proceeds to step 208. In step 208, the generated IP packet is received and transferred to the IPsec transmission means 111. Then, the IPsec transmission unit 111 executes a transmission process and ends the process.

次に、IPsec受信手段102において処理されている受信処理動作の流れを、図3のフローチャートに基づき説明する。
最初に、受信手段から受信したIPパケットデータを受け取ると、まず、ステップ301で暗号化パケットかどうか判定する。暗号化パケットではない場合は、ステップ302へ進み、IPパケットデータの情報をもとにSPDからSPを検索する。検索したSPが「discard」、「apply」の場合、ステップ303へ進み、IPパケットを破棄し、処理を終了する。
SPが「bypass」の場合は、ステップ304へ進み、復号化処理をしないで処理を終了する。 Next, the flow of the reception processing operation processed in the IPsec reception means 102 will be described based on the flowchart of FIG.
First, when IP packet data received from the receiving means is received, it is first determined in step 301 whether the packet is an encrypted packet. If it is not an encrypted packet, the process proceeds to step 302, and the SP is searched from the SPD based on the information of the IP packet data. If the retrieved SP is “discard” or “apply”, the process proceeds to step 303, the IP packet is discarded, and the process is terminated.
If the SP is “bypass”, the process proceeds to step 304, and the process ends without performing the decryption process.

暗号化パケットの場合は、ステップ305へ進み、SADからSAを検索し、ステップ306へ進む。ステップ306では、SAが存在したかどうか判定する。SAが存在しない場合は、ステップ303へ進み、IPパケットを破棄し、処理を終了する。SAが存在した場合は、ステップ307へ進み、IPsec受信処理を実行し、ステップ308へ進む。   If the packet is an encrypted packet, the process proceeds to step 305, the SA is searched from the SAD, and the process proceeds to step 306. In step 306, it is determined whether an SA exists. If the SA does not exist, the process proceeds to step 303, the IP packet is discarded, and the process ends. If the SA exists, the process proceeds to step 307 to execute the IPsec reception process and proceeds to step 308.

ステップ308では、IPパケットにSPを更新するためのデータが含まれているかどうかをチェックする。SPを更新するためのデータが含まれていない場合は、ステップ310へ進む。ステップ310では、IPパケットデータの情報をもとにSPDからSPを検索する。検索したSPが「discard」、「bypass」の場合、ステップ303へ進み、IPパケットを破棄し、処理を終了する。SPが「apply」の場合は、そのまま処理を終了する。
SPを更新するためのデータが含まれている場合は、ステップ309へ進み、SP更新手段によってIPパケットデータに含まれる更新データによってSPDのSPを更新し、処理を終了する。 In step 308, it is checked whether data for updating the SP is included in the IP packet. If data for updating the SP is not included, the process proceeds to step 310. In step 310, the SP is searched from the SPD based on the IP packet data information. If the retrieved SP is “discard” or “bypass”, the process proceeds to step 303, the IP packet is discarded, and the process is terminated. If the SP is “apply”, the process ends.
When the data for updating the SP is included, the process proceeds to step 309, the SP updating unit updates the SP of the SPD with the update data included in the IP packet data, and the process is terminated.

次に、IPsec送信手段111において処理されている送信処理動作の流れを、図4のフローチャートに基づき説明する。
最初に、送信のIPパケットデータを受け取ると、まず、ステップ401でIPパケットデータの情報をもとにSPDからSPを検索する。 検索したSPが「discard」場合は、ステップ402へ進み、IPパケットを破棄し、処理を終了する。「bypass」の場合は、ステップ403へ進み、処理をなにもしないで終了する。
「apply」の場合は、ステップ404に進む。ステップ404では、SADからSAを検索し、ステップ405に進む。ステップ405では、SAが存在するかどうかを判定する。
SAが存在しない場合は、ステップ402へ進み、IPパケットを破棄し、処理を終了する。SAが存在した場合は、ステップ406へ進む。ステップ406では、SAの内容に応じて暗号化処理を実行し、処理を終了する。 Next, the flow of the transmission processing operation processed in the IPsec transmission means 111 will be described based on the flowchart of FIG.
First, when the transmission IP packet data is received, first, in step 401, the SP is searched from the SPD based on the information of the IP packet data. If the retrieved SP is “discard”, the process proceeds to step 402, the IP packet is discarded, and the process ends. In the case of “bypass”, the process proceeds to step 403 and ends without performing any processing.
In the case of “apply”, the process proceeds to step 404. In step 404, SA is searched from SAD, and the process proceeds to step 405. In step 405, it is determined whether an SA exists.
If the SA does not exist, the process proceeds to step 402, the IP packet is discarded, and the process ends. If the SA exists, the process proceeds to step 406. In step 406, an encryption process is executed according to the contents of SA, and the process ends.

次に、パケット処理手段107において処理されている動作の流れを、図5のフローチャートに基づき説明する。
最初に、ステップ501においてIPsec受信手段からIPパケットデータを受け取り、ステップ502へ進む。ステップ502では、受け取ったIPパケットをIPヘッダやその他のヘッダ、そしてペイロードと呼ばれるデータに分割をし、ステップ503へ進む。ステップ503では、分割したデータをソフトウェア処理手段へ送り、処理を終了する。 Next, the operation flow processed in the packet processing means 107 will be described based on the flowchart of FIG.
First, in step 501, IP packet data is received from the IPsec receiving means, and the process proceeds to step 502. In step 502, the received IP packet is divided into data called an IP header, other headers, and payload, and the process proceeds to step 503. In step 503, the divided data is sent to the software processing means, and the process ends.

次に、ソフトウェア処理手段108において処理されている動作の流れを、図6のフローチャートに基づき説明する。
最初に、ステップ601ではソフトウェア記憶手段から実行するネットワークソフトウェアの情報を取得し、ステップ602へ進む。ステップ602では、処理が送信処理か受信処理かを判定する。送信処理の場合は、ステップ603へ進み、パケット生成手段へ送信データを送り、処理を終了する。受信処理の場合は、ステップ604へ進み、パケット処理手段から受信データを取得し、処理を終了する。 Next, the operation flow processed in the software processing means 108 will be described based on the flowchart of FIG.
First, in step 601, information on the network software to be executed is acquired from the software storage means, and the process proceeds to step 602. In step 602, it is determined whether the process is a transmission process or a reception process. In the case of the transmission process, the process proceeds to step 603, the transmission data is sent to the packet generation means, and the process ends. In the case of the reception process, the process proceeds to step 604, the reception data is acquired from the packet processing means, and the process ends.

次に、パケット生成手段110において処理されている動作の流れを、図7のフローチャートに基づき説明する。
最初に、ステップ701においてソフトウェア処理手段から送信データを受け取り、ステップ702へ進む。ステップ702では、受け取った送信データをもとにIPパケットデータを生成し、ステップ703へ進む。ステップ703では、生成したIPパケットデータをIPsec送信手段へ送り、処理を終了する。 Next, the operation flow processed in the packet generation means 110 will be described based on the flowchart of FIG.
First, in step 701, transmission data is received from the software processing means, and the process proceeds to step 702. In step 702, IP packet data is generated based on the received transmission data, and the process proceeds to step 703. In step 703, the generated IP packet data is sent to the IPsec transmission means, and the process ends.

なお、SPを更新することを示すIPパケットデータについて図8に基づき説明する。
図8の(1)は、IPパケットのペイロード部分でSPを更新するためのデータを示す。図8の(2)は、IPパケットに拡張ヘッダとして含まれ、SP更新データがIPパケットに含まれていることを示すものである。
また、前記の実施形態をコンピュータ内のプログラムによっても実現されることは当然である。 The IP packet data indicating that the SP is updated will be described with reference to FIG.
(1) in FIG. 8 shows data for updating the SP in the payload portion of the IP packet. (2) in FIG. 8 indicates that the IP packet is included as an extension header and SP update data is included in the IP packet.
Naturally, the above-described embodiment can be realized by a program in a computer.

101 受信手段
102 IPsec受信手段
103 復号化手段
104 セキュリティポリシー(SP)更新手段
105 セキュリティポリシー(SP)管理手段
106 セキュリティアソシエーション(SA)管理手段
107 パケット処理手段
108 ソフトウェア処理手段
109 ソフトウェア記憶手段
110 パケット生成手段
111 IPsec送信手段
112 暗号化手段 101 Receiving means
102 IPsec receiving means
103 Decryption means
104 Security policy (SP) update method
105 Security policy (SP) management means
106 Security Association (SA) Management Method
107 Packet processing means
108 Software processing means
109 Software storage means
110 packet generation means
111 IPsec transmission method
112 Encryption means

Claims (3)

ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用した暗号化通信装置であって、
IPパケットの送受信を行う通信手段と、
セキュリティ処理を適用するかどうかについての情報が登録されているデータベースを管理する管理手段と、
前記データベースに登録されている前記情報を更新する更新手段とを持つことを特徴とする暗号化通信装置。 An encrypted communication device using a protocol for ensuring the security of data flowing on a network,
A communication means for sending and receiving IP packets;
A management means for managing a database in which information on whether to apply security processing is registered;
An encryption communication apparatus comprising: an updating unit that updates the information registered in the database. ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用した暗号化通信方法であって、
IPパケットの送受信を行う通信工程と、
セキュリティ処理を適用するかどうかについての情報が登録されているデータベースを管理する管理工程と、
前記データベースに登録されている前記情報を更新する更新工程とを有することを特徴とする暗号化通信方法。 An encrypted communication method using a protocol for ensuring the security of data flowing on a network,
A communication process for sending and receiving IP packets;
A management process for managing a database in which information on whether security processing is applied is registered;
And an update process for updating the information registered in the database. 請求項2記載の暗号化通信方法の各工程をコンピュータにて実施させるプログラム。   A program for causing a computer to execute each step of the encrypted communication method according to claim 2.
JP2009155740A 2009-06-30 2009-06-30 Encryption communication device, encryption communication method, and program Pending JP2011015042A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009155740A JP2011015042A (en) 2009-06-30 2009-06-30 Encryption communication device, encryption communication method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009155740A JP2011015042A (en) 2009-06-30 2009-06-30 Encryption communication device, encryption communication method, and program

Publications (1)

Publication Number Publication Date
JP2011015042A true JP2011015042A (en) 2011-01-20

Family

ID=43593533

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009155740A Pending JP2011015042A (en) 2009-06-30 2009-06-30 Encryption communication device, encryption communication method, and program

Country Status (1)

Country Link
JP (1) JP2011015042A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018096984A (en) * 2016-12-08 2018-06-21 パナソニックIpマネジメント株式会社 Photo-detection system, and light-emitting device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018096984A (en) * 2016-12-08 2018-06-21 パナソニックIpマネジメント株式会社 Photo-detection system, and light-emitting device
JP7012235B2 (en) 2016-12-08 2022-01-28 パナソニックIpマネジメント株式会社 Light detection system

Similar Documents

Publication Publication Date Title
US10419406B2 (en) Efficient forwarding of encrypted TCP retransmissions
US10009336B2 (en) Network security system to validate a server certificate
Ristic Bulletproof SSL and TLS: Understanding and deploying SSL/TLS and PKI to secure servers and web applications
JP5205075B2 (en) Encryption processing method, encryption processing device, decryption processing method, and decryption processing device
US20050232277A1 (en) Internet protocol tunnelling using templates
JP4107213B2 (en) Packet judgment device
US10104050B2 (en) Authenticated group context in transitive IP network domains
US8745381B2 (en) Methods, systems, and computer readable media for performing encapsulating security payload (ESP) rehashing
US8281122B2 (en) Generation and/or reception, at least in part, of packet including encrypted payload
WO2010124014A2 (en) Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
US20050160269A1 (en) Common security key generation apparatus
US9467471B2 (en) Encrypted communication apparatus and control method therefor
JP2013078019A (en) Communication device, reception control method and transmission control method
JP4933286B2 (en) Encrypted packet communication system
JP2011015042A (en) Encryption communication device, encryption communication method, and program
JP2012160941A (en) Information processing device, information processing method and program
JP2008199420A (en) Gateway device and authentication processing method
US11343089B2 (en) Cryptography system and method
JP4844437B2 (en) Router device
JP4113205B2 (en) Cryptographic processing device
Da-Yuan et al. Implementation and performance evaluation of IPSec VPN based on netfilter
JP6228370B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM
JP4674144B2 (en) Encryption communication apparatus and encryption communication method
CN118381603A (en) WireGuard protocol-based encryption communication method and gateway architecture
JP6429521B2 (en) COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM