JP2011077887A - Packet transfer system, packet transfer method, communication apparatus and packet transfer program - Google Patents
Packet transfer system, packet transfer method, communication apparatus and packet transfer program Download PDFInfo
- Publication number
- JP2011077887A JP2011077887A JP2009228013A JP2009228013A JP2011077887A JP 2011077887 A JP2011077887 A JP 2011077887A JP 2009228013 A JP2009228013 A JP 2009228013A JP 2009228013 A JP2009228013 A JP 2009228013A JP 2011077887 A JP2011077887 A JP 2011077887A
- Authority
- JP
- Japan
- Prior art keywords
- tunnel
- communication device
- key exchange
- setting
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、パケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムに関し、例えば、仮想プライベートネットワーク(VPN:Vertual Private Network)上でパケット転送を実現するパケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムに適用し得るものである。 The present invention relates to a packet transfer system, a packet transfer method, a communication device, and a packet transfer program. For example, a packet transfer system, a packet transfer method, a communication device, and a packet transfer system that realize packet transfer on a virtual private network (VPN) It can be applied to a packet transfer program.
従来、仮想プライベートネットワークを用いて、VPNゲートウェイ装置間でパケット転送を実現する方法の1つとして、例えばGRE Over IPSec通信方式があり(特許文献1、非特許文献1参照)、この通信方式が広く利用されている。
Conventionally, as one method for realizing packet transfer between VPN gateway devices using a virtual private network, for example, there is a GRE Over IPSec communication method (see
GRE(Generic Routing Encapsulation)とはトンネルプロトコルの1つであり、IETFのRFC1701、RFC2784で規定されている標準化技術である。 GRE (Generic Routing Encapsulation) is one of the tunnel protocols, and is a standardized technology defined by RFC 1701 and RFC 2784 of IETF.
GREトンネリングでは、トンネルの両端のVPNゲートウェイ装置が、任意のプロトコルをIP(Internet Protocol)トンネル内でカプセル化してパケット転送を行い、又受信したパケットのカプセル化の解除を行う。そのため、トンネルの両端のVPNゲートウェイ装置が、直結したパケット転送を行うように見える。 In GRE tunneling, VPN gateway devices at both ends of the tunnel encapsulate an arbitrary protocol in an IP (Internet Protocol) tunnel to perform packet transfer, and decapsulate the received packet. Therefore, the VPN gateway devices at both ends of the tunnel appear to perform packet transfer directly connected.
しかし、GREは、暗号化機能を備えていない。そのため、ルーティングセキュリティが保たれても、データそのものに対するセキュリティが保たれていない。そこで、データの安全性を保つために、図2に示すようにGRE Over IPsecを用いている。 However, GRE does not have an encryption function. Therefore, even if routing security is maintained, security for the data itself is not maintained. Therefore, in order to maintain data safety, GRE Over IPsec is used as shown in FIG.
ここで、IPsec(Security Architecture For Internet Protocol)は、暗号技術を用いてIPパケット単位のデータの改竄防止や秘匿性等を提供するプロトコルである。 Here, IPsec (Security Architecture For Internet Protocol) is a protocol that provides encryption prevention, confidentiality, and the like of data in units of IP packets using encryption technology.
IPsecでは、AH(Authentication Header)とESP(Encapsulating Security Payload)といつ2つのセキュリティプロトコルが定義されている。AHは、パケットの認証機能を提供し、ESPは、パケットの認証機能と暗号化機能を提供するものであり、セキュリティポリシーに応じていずれかの機能を選択することができる。 In IPsec, two security protocols are defined when AH (Authentication Header) and ESP (Encapsulating Security Payload). The AH provides a packet authentication function, and the ESP provides a packet authentication function and an encryption function. Either function can be selected according to the security policy.
また、IPsecの動作モードとしては、トランスポートモードとトンネルモードとがある。トランスポートモードは、元のIPパケットのペイロードのみをIPsecのパケットにカプセル化するモードであり、トンネルモードは、元のIPパケットの全てをIPsecのパケットにカプセル化するモードである。 In addition, the IPsec operation mode includes a transport mode and a tunnel mode. The transport mode is a mode in which only the payload of the original IP packet is encapsulated in an IPsec packet, and the tunnel mode is a mode in which all of the original IP packet is encapsulated in an IPsec packet.
GRE Over IPsec通信を行う際、VPNゲートウェイ装置間でGREトンネルを確立した後、そのGREトンネル上を流れるパケットをトランスポートモードのIPsecを利用して暗号化していた。 When performing GRE Over IPsec communication, after establishing a GRE tunnel between VPN gateway devices, packets flowing on the GRE tunnel are encrypted using transport mode IPsec.
上述したGREトンネリングは、カプセル化されるプロトコルとして、IP、IPX、Apple Talk、CLNS、DECnet、VINES、Banyanなど様々なレイヤ3プロトコルを利用することができる。
The GRE tunneling described above can use
しかしながら、ネットワークプロトコルにIPのみを採用している環境において、従来のようなGRE over IPsec方式を行うと、GREトンネルの確立後に、暗号化処理を行うため、図3に示すように、転送されるパケットサイズはトンネルモードのIPsecパケットに比べて、GREヘッダサイズ(8Byte)分オーバヘッドが増加してしまうという問題がある。 However, in an environment where only IP is used as a network protocol, when the conventional GRE over IPsec method is performed, encryption processing is performed after the GRE tunnel is established, and therefore, as shown in FIG. The packet size has a problem that the overhead increases by the GRE header size (8 bytes) compared to the IPsec packet in the tunnel mode.
また、GER over IPsec通信を確立する際、オペレータ(VPNゲートウェイ装置)は、
(a)GREトンネル確立
(b)IKE等の鍵交換プロトコルの設定
と2段階の手順を踏まなければならなかった。
Also, when establishing GER over IPsec communication, the operator (VPN gateway device)
(A) GRE tunnel establishment (b) Key exchange protocol setting such as IKE and two steps were required.
そのため、従来のGRE over IPsec通信方式よりも、パケットのヘッダサイズを小さくして暗号パケットを伝送することができ、かつ、トンネル確立工程を少なくしてパケット伝送することができるパケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムが求められている。 Therefore, a packet transfer system and packet transfer capable of transmitting an encrypted packet with a smaller header size than the conventional GRE over IPsec communication method and transmitting a packet with a reduced number of tunnel establishment steps There is a need for a method, a communication device, and a packet transfer program.
かかる課題を解決するために、第1の本発明のパケット転送システムは、第1の通信装置と、第1の通信装置に対向する第2の通信装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送するパケット転送システムにおいて、(1)第1の通信装置が、鍵交換プロトコルによる第2の通信装置との間のネゴシエーションの際、自装置が要求するカプセル方式を第2の通信装置に通知するモード通知手段を有し、(2)第2の通信装置が、第1の通信装置の要求するカプセル方式を認識するモード認識手段を有し、(3)第1の通信装置及び第2の通信装置は、鍵交換プロトコルを用いて、カプセル方式によるトンネルを設定するトンネル設定手段を有することを特徴とする。 In order to solve such a problem, a packet transfer system according to a first aspect of the present invention provides a predetermined key exchange protocol between a first communication device and a second communication device facing the first communication device. In a packet transfer system for encapsulating a transfer packet and transferring the packet, (1) the first communication device requests a capsule method requested by itself when negotiating with the second communication device by a key exchange protocol. (2) the second communication device has mode recognition means for recognizing the capsule method requested by the first communication device, and (3) the first communication device The communication apparatus and the second communication apparatus include a tunnel setting unit that sets a tunnel by a capsule method using a key exchange protocol.
第2の本発明のパケット転送方法は、第1の通信装置と、第1の通信装置に対向する第2の通信装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送するパケット転送方法において、(1)第1の通信装置が、鍵交換プロトコルによる第2の通信装置との間のネゴシエーションの際、自装置が要求するカプセル方式を第2の通信装置に通知するモード通知工程と、(2)第2の通信装置が、第1の通信装置の要求するカプセル方式を認識するモード認識工程と、(3)第1の通信装置及び第2の通信装置は、鍵交換プロトコルを用いて、カプセル方式によるトンネルを設定するトンネル設定工程とを有することを特徴とする。 The packet transfer method according to the second aspect of the present invention encapsulates a transfer packet according to a predetermined key exchange protocol between the first communication device and the second communication device facing the first communication device. (1) A mode in which the first communication device notifies the second communication device of the capsule method requested by itself when negotiating with the second communication device using the key exchange protocol. A notification step, (2) a mode recognition step in which the second communication device recognizes the capsule method requested by the first communication device, and (3) a key exchange between the first communication device and the second communication device. And a tunnel setting step for setting a capsule-based tunnel using a protocol.
第3の本発明の通信装置は、対向装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送する通信装置において、(1)鍵交換プロトコルにより対向装置との間でネゴシエーションを行うネゴシエーション手段と、(2)ネゴシエーション手段による対向装置との間のネゴシエーションの際、自装置が要求するカプセル方式を対向装置に通知するモード通知手段と、(3)対向装置の要求するカプセル方式を認識するモード認識手段と、(4)鍵交換プロトコルを用いて、カプセル方式によるトンネルを設定するトンネル設定手段とを備えることを特徴とする。 The communication device according to the third aspect of the present invention is a communication device that encapsulates a transfer packet in accordance with a predetermined key exchange protocol with the opposite device and transfers the packet. (1) Negotiation with the opposite device using the key exchange protocol (2) mode notification means for notifying the opposite device of the capsule method requested by the own device when negotiating between the opposite device by the negotiation means; and (3) the capsule method requested by the opposite device. And (4) tunnel setting means for setting a capsule-based tunnel using a key exchange protocol.
第4の本発明のパケット転送プログラムは、対向装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送する通信装置を、(1)鍵交換プロトコルにより対向装置との間でネゴシエーションを行うネゴシエーション手段、(2)ネゴシエーション手段による対向装置との間のネゴシエーションの際、自装置が要求するカプセル方式を対向装置に通知するモード通知手段、(3)対向装置の要求するカプセル方式を認識するモード認識手段、(4)鍵交換プロトコルを用いて、カプセル方式によるトンネルを設定するトンネル設定手段として機能させることを特徴とする。 According to a fourth aspect of the present invention, there is provided a packet transfer program comprising: (1) a communication device that encapsulates a transfer packet in accordance with a predetermined key exchange protocol and transfers the packet to / from an opposite device; Negotiation means for performing negotiation, (2) Mode notification means for notifying the opposite apparatus of the capsule method requested by the own apparatus when negotiating with the opposite apparatus by the negotiation means, and (3) Capsule method requested by the opposite apparatus. A mode recognizing means for recognizing, and (4) functioning as a tunnel setting means for setting a capsule tunnel using a key exchange protocol.
本発明によれば、従来方式(GRE over IPsec通信方式)よりも、パケットのヘッダサイズを小さくして暗号パケットを伝送することができ、かつ、トンネル確立工程を少なくしてパケット伝送することができる。 According to the present invention, an encrypted packet can be transmitted with a smaller header size than the conventional method (GRE over IPsec communication method), and a packet can be transmitted with fewer tunnel establishment steps. .
(A)第1の実施形態
以下では、本発明のパケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムの第1の実施形態を、図面を参照しながら説明する。
(A) First Embodiment Hereinafter, a packet transfer system, a packet transfer method, a communication apparatus, and a packet transfer program according to a first embodiment of the present invention will be described with reference to the drawings.
第1の実施形態は、本発明を利用して、例えば、ネットワークプロトコルとしてIPを採用する環境において、IPパケットをインターネットプロトコル(IP)でカプセル化してトンネル内をパケット転送するパケット転送システムのIPIPトンネル確立処理を実現する実施形態を例示する。 The first embodiment uses the present invention to, for example, an IPIP tunnel of a packet transfer system that encapsulates an IP packet with an Internet protocol (IP) and transfers the packet in the tunnel in an environment where IP is used as a network protocol. 2 illustrates an embodiment for realizing the establishment process.
なお、本発明は、後述するようにIPIPトンネルを確立するものであり、例えば、IETFのRFC1853「IP in Tunneling」の規定等に適用することができる。RFC1853では、IPヘッダを他のIPヘッダで単純に包むことが提案されており、IPIPトンネルのパケットのカプセル化形式が示されている。 The present invention establishes an IPIP tunnel as will be described later, and can be applied to, for example, the provisions of RFC 1853 “IP in Tunneling” of IETF. In RFC1853, it is proposed to simply wrap an IP header with another IP header, and an IPIP tunnel packet encapsulation format is shown.
また、本発明は、IPヘッダを他のヘッダで包む観点で捉えるならば、RFC1853をモバイルIP(Mobie IP)向けに拡張したRFC2003「IP Encapsulation within IP」の規定等にも適用できる。 The present invention can also be applied to the provisions of RFC 2003 “IP Encapsulation within IP” in which RFC1853 is expanded for mobile IP (Mobile IP) if the IP header is understood from the viewpoint of wrapping it with other headers.
(A−1)第1の実施形態の構成
図4は、第1の実施形態のパケット転送システム5の構成を示す構成図である。図4に示すように、ネットワーク20及びサブネットAに接続する通信装置10−1と、ネットワーク20及びサブネットBに接続する通信装置10−2を備える。
(A-1) Configuration of the First Embodiment FIG. 4 is a configuration diagram showing the configuration of the
ネットワーク20は、例えばインターネットに代表されるように、通信プロトコルをインターネットプロトコル(IP)とする通信網を想定し、例えば拠点間のパケット転送を行うWAN(Wide Area Network)が該当する。 The network 20 is assumed to be a communication network whose communication protocol is the Internet protocol (IP) as represented by the Internet, for example, and corresponds to, for example, a WAN (Wide Area Network) that performs packet transfer between bases.
サブネットA及びサブネットBは、例えば通信プロトコルをインターネットプロトコル(IP)とする通信網を想定し、例えばローカルエリアネットワーク(LAN)等のサブネットワークが該当する。 The subnet A and the subnet B are assumed to be a communication network whose communication protocol is the Internet protocol (IP), for example, and correspond to a subnetwork such as a local area network (LAN).
通信装置10−1及び通信装置10−2は、対向する通信装置との間で、所定のトンネルプロトコルに従ってトンネルを確立してパケット転送を行う通信装置であり、例えば、VPNゲートウェイ装置やVPNルータ装置などのパケット転送装置を適用することができる。 The communication device 10-1 and the communication device 10-2 are communication devices that establish a tunnel according to a predetermined tunnel protocol with a facing communication device and perform packet transfer. For example, a VPN gateway device or a VPN router device A packet transfer apparatus such as can be applied.
また、通信装置10−1及び通信装置10−2は、暗号化処理に係る鍵交換プロトコルに従ったネゴシエーションの際に、自装置が利用するカプセル化方式(カプセル化モード)を対向装置に通知し、又自装置が対向装置から通知されたカプセル化方式に対応可能である場合にはその旨を応答し、鍵交換後に、上記カプセル化方式に従ったトンネルを確立するものである。 In addition, the communication device 10-1 and the communication device 10-2 notify the opposite device of the encapsulation method (encapsulation mode) used by the communication device 10-1 and the communication device 10-2 in the negotiation according to the key exchange protocol related to the encryption process. If the own device can cope with the encapsulation method notified from the opposite device, it responds to that effect, and establishes a tunnel according to the encapsulation method after key exchange.
ここで、第1の実施形態では、所定のトンネルプロトコルとしてIPsecを適用し、鍵交換プロトコルとしてIKEv1(Internet Key Exchange Protocol version 1)を適用するものとする。 Here, in the first embodiment, IPsec is applied as a predetermined tunnel protocol, and IKEv1 (Internet Key Exchange Protocol version 1) is applied as a key exchange protocol.
また、図4に示すように、ネットワークプロトコルとしてIPのみを利用する場合であり、通信装置10−1及び通信装置10−2が、IPIP over IPsecトンネルを確立する場合を中心に説明する。IPIP over IPsecトンネルを確立することで、自装置と対向装置との間で特定のパケットを暗号化することができる。 Also, as shown in FIG. 4, the description will focus on the case where only IP is used as the network protocol, and the communication device 10-1 and the communication device 10-2 establish an IPIP over IPsec tunnel. By establishing an IPIP over IPsec tunnel, a specific packet can be encrypted between the own device and the opposite device.
図1は、通信装置10−1及び通信装置10−2の内部構成を示す内部構成図である。なお、通信装置10−1と通信装置10−2との内部構成は同一であり、共通する構成要素を説明する場合には「通信装置10」と示して説明する。 FIG. 1 is an internal configuration diagram illustrating an internal configuration of the communication device 10-1 and the communication device 10-2. Note that the internal configurations of the communication device 10-1 and the communication device 10-2 are the same, and in the description of the common components, the communication device 10-1 and the communication device 10-2 will be described as “communication device 10”.
図1において、通信装置10は、ユーザインタフェース部100、プログラム部200、ネットワークスタック部300を少なくとも有して構成される。 In FIG. 1, the communication device 10 includes at least a user interface unit 100, a program unit 200, and a network stack unit 300.
ユーザインタフェース部100は、ユーザによる所定の設定情報の入力を受け付ける処理部又は装置である。ユーザインタフェース部100は、例えば、HTTP(HyperText Transfer Protocol)サーバ等を利用したGUI(Graphical User Interface)を適用することができ、IPIP over IPsecトンネルを確立するために必要な設定情報の入力を行う。 The user interface unit 100 is a processing unit or device that accepts input of predetermined setting information by a user. The user interface unit 100 can apply, for example, a GUI (Graphical User Interface) using an HTTP (HyperText Transfer Protocol) server or the like, and inputs setting information necessary for establishing an IPIP over IPsec tunnel.
ここで、IPIP over IPsecトンネルを確立するために必要な設定情報としては、主として、IPIPトンネル確立に係る設定情報と、鍵交換プロトコルの設定に係る設定情報とがある。 Here, the setting information necessary for establishing an IPIP over IPsec tunnel mainly includes setting information related to establishment of an IPIP tunnel and setting information related to setting of a key exchange protocol.
IPIPトンネル確立に係る設定情報(トンネル確立設定情報)としては、具体的に、(a)対向装置のアドレス(IPアドレス等)、(b)自装置のアドレス(IPアドレス等)、(c)IPIPトンネルのアドレス(例えば、自装置のサブネット側ネットワークアドレスに属すアドレス等)、(d)IPIPトンネルに流したいトラフィックのルーティング設定(例えば、対向装置のサブネットを指定する情報等)等がある。 Specifically, the setting information (tunnel establishment setting information) related to the IPIP tunnel establishment includes (a) the address (IP address, etc.) of the opposite device, (b) the address (IP address, etc.) of the own device, and (c) IPIP. There are tunnel addresses (for example, addresses belonging to the subnet side network address of the own device), (d) routing settings for traffic to be passed through the IPIP tunnel (for example, information specifying the subnet of the opposite device), and the like.
また、鍵交換プロトコルの設定に係る設定情報(鍵交換設定情報)としては、具体的に、(e)対向装置のアドレス(IPアドレス等)、(f)自装置のアドレス(IPアドレス等)、(g)事前鍵共有方式(PSK:Pre Shared Key)認証用パフフレーズ(パスワード)又はRSA認証用デジタル証明書等がある。 In addition, as the setting information (key exchange setting information) related to the setting of the key exchange protocol, specifically, (e) the address of the opposite device (IP address, etc.), (f) the address of the own device (IP address, etc.), (G) There is a pre-shared key (PSK) authentication puff phrase (password), a digital certificate for RSA authentication, or the like.
ユーザインタフェース部100は、上記のような設定情報の入力を受け付け、入力された設定情報をプログラム部200の鍵交換管理部210に与える。なお、鍵交換管理部210では、上記設定情報の入力について、「(a)と(e)」、「(b)と(f)」は同じ値が設定されるため、一方が設定されたら、他方に同じ値を自動挿入するようにする。これにより、オペレータの設定作業を軽減することができる。
The user interface unit 100 receives the input of the setting information as described above, and gives the input setting information to the key
プログラム部200は、自装置(通信装置)10のOS(オペレーティングシステム)上で実行される各処理機能部を提供するものである。プログラム部200は、図1に示すように、鍵交換管理部210、SP(セキュリティポリシー)設定部220、SA(セキュリティアソシエーション)部230、トンネル設定部240、ネゴシエーション部250を少なくとも有する。
The program unit 200 provides each processing function unit executed on the OS (operating system) of the own device (communication device) 10. As shown in FIG. 1, the program unit 200 includes at least a key
鍵交換管理部210は、ユーザインタフェース部100からの設定情報に応じて、対向装置との間でネゴシエーション管理を行い、対向装置との間で安全に鍵交換処理を制御するものである。
The key
鍵交換管理部210は、ユーザインタフェース部100から受け取った鍵交換設定情報をSA設定部230に与え、SAD(セキュリティデータベース)320にセキュリティアソシエーションの設定情報の設定登録させるものである。
The key
また、鍵交換管理部210は、ユーザインタフェース部100から受け取ったトンネル確立設定情報をトンネル設定部240に与えるものである。これにより、トンネル設定部240は、トンネル確立設定情報を用いて対向装置との間でIPIPトンネルを確立することができる。
In addition, the key
また、鍵交換管理部210は、ユーザインタフェース部100からの設定情報に基づいて、今回のパケットをIPIP over IPsec通信で対向装置へ伝送する場合、IPIP over IPsecトンネルを対向装置との間で確立すべき旨の指示を、ネゴシエーション部250及びトンネル設定部240に行うものである。
In addition, the key
さらに、鍵交換管理部210は、対向装置がIPIP over IPsecトンネルの確立要求してきたことをネゴシエーション部250から受けると、トンネル設定部240に対して、カプセル化方式が一致するか否かを判断させ、IPIPトンネルを対向装置との間で確立すべき旨の指示を行うものである。
Furthermore, when the key
SP設定部220は、ユーザインタフェース部100からの設定情報を鍵交換管理部210を通じて、ネットワークスタック部300のSPD(セキュリティポリシーデータベース)310にセキュリティポリシーを設定するものである。
The
SA設定部230は、ユーザインタフェース部100からの設定情報(鍵交換設定情報)を鍵交換管理部210を通じて、ネットワークスタック部300のSAD(セキュリティアソシエーションデータベース)320にセキュリティアソシエーションを設定するものである。
The
トンネル設定部240は、ユーザインタフェース部100からのトンネル確立設定情報に基づいて、自装置と対向装置との間で、カプセル化モードとしてIPIPトンネルモードを利用することを認識した後、IPIPトンネルの設定を行うものである。
Based on the tunnel establishment setting information from the user interface unit 100, the
図5は、トンネル設定部240の機能構成を示すブロック図である。図5に示すように、トンネル設定部240は、IPIPトンネル処理起動設定部241、IPIPトンネル生成部242、ルーティング設定部243、トンネル確立設定情報格納部244を少なくとも有する。
FIG. 5 is a block diagram illustrating a functional configuration of the
IPIPトンネル処理起動設定部241は、自装置と対向装置との間で、IPIPトンネルモードを利用すると認識すると、自装置のOS上でIPIPトンネルの生成に関する処理が行えるように設定するものである。
When the IPIP tunnel process
例えば、自装置のOSがLinux(登録商標)の場合、IPIPトンネル処理起動設定部241は、IP/IPプロトコルデコーダ処理に関するモジュール(例えばipip.o等)やトンネル処理に関するモジュール(例えばnew_tunnel.o(tunnel.o)等)をローディングし、OS上でIPIPトンネルに関する処理が行えるようにする。
For example, when the OS of the own apparatus is Linux (registered trademark), the IPIP tunnel processing
また、IPIPトンネル処理起動設定部241は、上記のようにしてローティングしたIPIPトンネルの生成処理に関するモジュールが正常にローディングできたか否かを確認するものである。
The IPIP tunnel processing
例えば、IPIPトンネル処理起動設定部241は、ロードされているモジュールの一覧にローディングしたモジュールが存在するか否かを確認することにより、正常のローディングできたか否かを判断する。
For example, the IPIP tunnel processing
IPIPトンネル生成部242は、IPIPトンネルの設定準備が整うと、OS上でトンネルの通信に用いる擬似デバイス(例えばtun10等)の生成及び設定を行い、トンネル確立設定情報を用いて対向装置との間でIPIPトンネルを生成するものである。
When IPIP tunnel setting preparation is completed, the IPIP
例えば、IPIPトンネル生成部242は、擬似デバイスを生成すると、対向装置のIPアドレスと紐付けを行うことで、IPIPトンネルを生成する。
For example, when the IPIP
ルーティング設定部242は、生成したIPIPトンネルで経由するネットワークに関するルーティングの設定を行うものである。
The
例えば、ルーティング設定部243は、対向装置と通信するWANインタフェースである通信処理部のインタフェースAの通信経路を、生成したIPIPトンネルで経由するように設定する。
For example, the
トンネル確立設定情報格納部244は、トンネル確立設定情報を格納するものである。
The tunnel establishment setting
ネゴシエーション部250は、鍵交換管理部210の制御の下、パケット処理部330を介して、対向装置との間で、所定の鍵交換プロトコルに従ったネゴシエーションを行うものである。
The
また、ネゴシエーション部250は、鍵交換管理部210から自装置が対向装置との愛で、IPIP over IPsecトンネルを確立すべく旨の指示を受けると、鍵交換プロトコルによるネゴシエーション(以下では、鍵交換ネゴシエーションともいう)の際に、自装置が利用するカプセル化方式を対向装置に通知(以下では、カプセル化モードの通知ともいう)するものである。
When the
なお、第1の実施形態では、鍵交換プロトコルとしてIKEv1を採用する場合を例示する。これは、鍵交換ネゴシエーションの手順に応じて、自装置が利用するカプセル化方式の通知手順が異なるため、第1の実施形態ではIKEv1の場合を例示し、第2の実施形態ではIKEv2の場合を例示する。 In the first embodiment, a case where IKEv1 is adopted as a key exchange protocol is illustrated. This is because the notification procedure of the encapsulation method used by the own device differs depending on the key exchange negotiation procedure. Therefore, the first embodiment illustrates the case of IKEv1, and the second embodiment illustrates the case of IKEv2. Illustrate.
ここで、カプセル化モードの通知タイミングは、鍵交換ネゴシエーション中の場合を例示するが、鍵交換ネゴシエーション中に限らず、鍵交換ネゴシエーション後に行うようにしても良い。つまり、鍵交換ネゴシエーション後にカプセル化モードの通知を行う場合、通常のトランスポートモードのIPsec暗号通信が可能なので、この暗号通信路を利用して対向装置にカプセル化モードを通知しあうことができるからである。 Here, the notification timing of the encapsulation mode is exemplified when the key exchange negotiation is in progress, but is not limited to during the key exchange negotiation, and may be performed after the key exchange negotiation. In other words, when the encapsulation mode is notified after the key exchange negotiation, since the IPsec encryption communication in the normal transport mode is possible, it is possible to notify the opposite device of the encapsulation mode using this encryption communication path. It is.
図6は、ネゴシエーション部250の機能構成を示すブロック図である。図6に示すように、ネゴシエーション部250は、動作モード通知部251を少なくとも有する。
FIG. 6 is a block diagram illustrating a functional configuration of the
動作モード通知部251は、自装置が利用するカプセル化モードを対向装置に通知するものである。また、受信したカプセル化モードの通知に対する応答を行うものである。動作モード通知部251は、鍵交換プロトコルのIKEv1を拡張して、ネゴシエーションの際に対向装置との間で、カプセル化モードの通知の授受を行う。
The operation
次に、ネットワークスタック部300は、一般に、通信処理を実行するOS上のネットワークスタックである。ネットワークスタック部300は、図1に示すように、SPD310、SAD320、パケット処理部330、インタフェース部A340−1、インタフェース部B340−2を少なくとも有する。
Next, the network stack unit 300 is generally a network stack on an OS that executes communication processing. As illustrated in FIG. 1, the network stack unit 300 includes at least an SPD 310, an
SPD310は、セキュリティポリシーを保持するデータベースである。図7は、SPD310に保持されるセキュリティポリシーの構成を説明する説明図である。なお図7は、例えば、通信装置10−1におけるセキュリティポリシーを例示する。 The SPD 310 is a database that holds a security policy. FIG. 7 is an explanatory diagram for explaining the configuration of the security policy held in the SPD 310. FIG. 7 illustrates a security policy in the communication device 10-1, for example.
図7において、セキュリティポリシーは、セレクタとして「ローカルIPアドレス」及び「リモートIPアドレス」、「動作」、IPsec「モード」、「SAリンク」等を項目として構成される。 In FIG. 7, the security policy includes “local IP address”, “remote IP address”, “operation”, IPsec “mode”, “SA link”, and the like as items.
なお、必要に応じて、セレクタの欄に、ローカルポート番号、リモートポート番号、上位層プロトコル等を項目を有するようにしても良い。IPsecの欄に、セキュリティプロトコル、暗号化アルゴリズム、認証アルゴリズム等の項目を有するようにしても良い。 If necessary, the selector column may have items such as a local port number, a remote port number, and an upper layer protocol. You may make it have items, such as a security protocol, an encryption algorithm, an authentication algorithm, in the column of IPsec.
「ローカルIPアドレス」は、自装置10−1の接続するサブネットに属する端末のアドレスを格納するものである。図7の場合、通信装置10−2の接続するサブネットBに属するネットワークアドレスとして、「192.168.1.0」〜「198.162.1.255」が設定されている。 The “local IP address” stores the address of the terminal belonging to the subnet connected to the own device 10-1. In the case of FIG. 7, “192.168.1.0” to “198.162.1.255” are set as network addresses belonging to the subnet B to which the communication device 10-2 is connected.
「リモートIPアドレス」は、対向装置の接続するサブネットに属する端末のアドレスを格納するものである。図7の場合、対向装置の1つとして通信端末10−2の接続するサブネットAに属するネットワークアドレスとして、「192.168.2.0」〜「198.162.2.255」が設定されている。 “Remote IP address” stores the address of a terminal belonging to the subnet connected to the opposite apparatus. In the case of FIG. 7, “192.168.2.0” to “198.162.2.255” are set as network addresses belonging to the subnet A to which the communication terminal 10-2 is connected as one of the opposing devices.
「動作」は、動作モードを保持するものであり、例えば図7では、IPIP over IPsecとして動作する場合を例示する。 “Operation” holds the operation mode. For example, FIG. 7 illustrates a case of operating as IPIP over IPsec.
「モード」は、IPsecを行う場合に、トランスポートモードとするか又はトンネルモードとするかを格納するものである。図7では、IPIP over IPsec通信を行う際には、トランスポートを選択することが設定されている。 “Mode” stores whether to use the transport mode or the tunnel mode when performing IPsec. In FIG. 7, it is set to select a transport when performing IPIP over IPsec communication.
「SAリンク」は、SAD320におけるSAと対応付けるための識別子を格納するものである。図7では、鍵交換プロトコルとしてIKEv1を採用する「1」が設定されている。
The “SA link” stores an identifier associated with the SA in the
SAD320は、セキュリティアソシエーションを保持するデータベースである。図8は、SAD320に保持されるセキュリティアソシエーションの構成を説明する説明図である。なお図8は、例えば、通信装置10−1におけるセキュリティアソシエーションを例示する。
The
図8において、セキュリティアソシエーションは、「SPI」、「モード」、「セキュリティプロトコル」、「暗号パラメータ」、「認証パラメータ」等を項目として構成される。 In FIG. 8, the security association includes “SPI”, “mode”, “security protocol”, “encryption parameter”, “authentication parameter”, and the like.
「SPI」は、セキュリティアソシエーションを一意に識別する識別子を格納するものである。 “SPI” stores an identifier for uniquely identifying a security association.
「モード」は、IPsecを行う場合に、トランスポートモードとするか又はトンネルモードとするかを格納するものである。 “Mode” stores whether to use the transport mode or the tunnel mode when performing IPsec.
「セキュリティプロトコル」は、セキュリティプロトコルを格納するものであり、例えば、AH、ESPなどの種別が格納される。 The “security protocol” stores a security protocol, and stores, for example, types such as AH and ESP.
「暗号パラメータ」は、暗号アルゴリズムや鍵などを格納するものである。 The “encryption parameter” stores an encryption algorithm, a key, and the like.
「認証パラメータ」は、認証アルゴリズムや鍵などを格納するものである。 The “authentication parameter” stores an authentication algorithm, a key, and the like.
パケット処理部330は、パケットの送信処理、受信・解析処理、転送処理、暗号化・復号処理等を行う処理部又は装置である。パケット処理部330は、パケットの送受信時に、SPD310から当該パケットのセキュリティポリシーを検索し、セキュリティポリシーがある場合には、セキュリティポリシーに紐付けされたセキュリティアソシエーションをSAD320から検索し、セキュリティポリシーに紐付けされた鍵を用いて、暗号化・復号処理を行い、パケット転送を行う。
The
インタフェース部A340−1は、ネットワーク20に接続する通信インタフェースであり、インタフェース部B340−2は、サブネットA又はBに接続する通信インタフェースである。 The interface unit A340-1 is a communication interface connected to the network 20, and the interface unit B340-2 is a communication interface connected to the subnet A or B.
(A−2)第1の実施形態の動作
次に、第1の実施形態のパケット転送処理の動作を図面を参照しながら説明する。
(A-2) Operation of the First Embodiment Next, the operation of the packet transfer process of the first embodiment will be described with reference to the drawings.
図9は、第1の実施形態のIPIP over IPsecトンネル確立処理を示すシーケンス図である。また、図10は、通信装置10における鍵交換処理のフローチャートである。 FIG. 9 is a sequence diagram illustrating an IPIP over IPsec tunnel establishment process according to the first embodiment. FIG. 10 is a flowchart of key exchange processing in the communication apparatus 10.
なお、図9では、通信装置10−1が、通信10−2を対向装置として、鍵交換プロトコルにIKEv1を拡張して、IKEv1のMainモードを利用して、自動的にIPIP over IPsecトンネルを確立する場合を例示する。 In FIG. 9, the communication apparatus 10-1 automatically establishes an IPIP over IPsec tunnel using the main mode of IKEv1 by extending IKEv1 to the key exchange protocol with the communication 10-2 as the opposite apparatus. The case where it does is illustrated.
まず、通信装置10−1において、ユーザインタフェース部100は、ユーザによる設定情報の入力を読み込み(ステップS201)、鍵交換管理部210の制御の下、根後シーエーション部250が、対向装置である通信装置10−2との間で鍵交換ネゴシエーションを開始する(ステップS202)。
First, in the communication device 10-1, the user interface unit 100 reads the input of setting information by the user (step S201), and the
鍵交換管理部210は、入力した設定情報に基づいて自装置のカプセル化モードを確認し、カプセル化モードがIPIPトンネルモードである場合には(ステップS203)、IPIPトンネルモードを要求することを、対向装置10−2とのネゴシエーション中に通知する(ステップS204)。なお、IPIPトンネルモードでない場合には、入力した設定情報に基づく鍵交換処理が行われる。
The key
このとき、通信装置10−1と通信装置10−2との間で鍵交換ネゴシエーションが失敗すると(ステップS203)、ネゴシエーションエラーとしてリソースの開放を行い(ステップS212)、処理は終了する。 At this time, if the key exchange negotiation fails between the communication device 10-1 and the communication device 10-2 (step S203), the resource is released as a negotiation error (step S212), and the process ends.
一方、鍵交換ネゴシエーションが成功すると、各通信装置10−1及び10−2では、入力された設定情報に基づいて、SP設定部220がSP設定を行い(ステップS206)、さらにSA設定部230がSA設定を行い(ステップS207)、鍵交換ネゴシエーションが完了する(ステップS208)。
On the other hand, if the key exchange negotiation is successful, in each of the communication devices 10-1 and 10-2, the
ここで、図9を用いて、鍵交換ネゴシエーション中にIPIP over IPsecトンネルを確立する処理を説明する。 Here, a process for establishing an IPIP over IPsec tunnel during key exchange negotiation will be described with reference to FIG.
図9に示すように、鍵交換管理部210がIPIP over IPsecトンネルの確立要求する場合(ステップS101)、ネゴシエーション部250は、IKEv1のMainモードで、自装置が利用するカプセル化モードがIPIPトンネルモードであることを記載したMainモード第1メッセージを通信装置10−2に送信する(ステップS102)。
As shown in FIG. 9, when the key
カプセル化モードの通知は、例えば、RFC2407の4.5章で定義されているカプセル化モード(Encapsulation Mode)を拡張して、カプセル化モードがIPIPトンネルモードであることを通知する。 For the notification of the encapsulation mode, for example, the encapsulation mode defined in Chapter 4.5 of RFC2407 is extended to notify that the encapsulation mode is the IPIP tunnel mode.
例えば、図11(A)は、IKEv1におけるメッセージの構成例を示す構成図であり、図11(B)は、メッセージに含まれるTransformペイロードの構成例を示す構成図である。ネゴシエーション部250は、Mainモード第1メッセージのTransformペイロードのSA Attributes(SA属性)に、カプセル化モードがIPIPトンネルモードであること示す情報(例えば、属性値等)を記載することで通信装置10−2に通知する方法を用いることができる。つまり、IKEv1プロトコルを拡張して、鍵交換ネゴシエーション中にカプセル化モードがIPIPトンネルモードであることを通知する。
For example, FIG. 11A is a configuration diagram illustrating a configuration example of a message in IKEv1, and FIG. 11B is a configuration diagram illustrating a configuration example of a Transform payload included in the message. The
通信装置10−2では、通信装置10−1からのMainモード第1メッセージを受信し、ネゴシエーション部250が、通信装置10−1のカプセル化モードとしてIPIPトンネルモードを要求することを認識し(ステップS103)、対応可能である場合に、通信装置10−2のカプセル化モードをIPIPトンネルモードとするMainモード第2メッセージを通信装置10−1に応答する(ステップS104)。
The communication device 10-2 receives the Main mode first message from the communication device 10-1, and recognizes that the
このときも、例えば、ネゴシエーション部250は、Mainモード第2メッセージのTransformペイロードのSA Attributesに、カプセル化モードがIPIPトンネルモードであること示す情報を記載して通信装置10−1に返信する。
Also at this time, for example, the
その後、通信装置10−1と通信装置10−2との間で、通常のIKEv1の鍵交換ネゴシエーションを行う(ステップS105)。 Thereafter, normal IKEv1 key exchange negotiation is performed between the communication device 10-1 and the communication device 10-2 (step S105).
通信装置10−1と通信装置10−2との間で鍵交換ネゴシエーションが完了し、カプセル化モードがIPIPトンネルモードであることを確認する(ステップS209)。 It is confirmed that the key exchange negotiation is completed between the communication device 10-1 and the communication device 10-2, and the encapsulation mode is the IPIP tunnel mode (step S209).
トンネル設定部240は、IPIPトンネルモードに関する処理するモジュール(例えば、ipip.oやtunnel.o等)をローディングし、ローディングしたモジュールを確認した後、OS上で、トンネルの通信に用いる擬似デバイス(例えば、tun10等)を生成・設定してIPIPトンネルを生成する(図9のステップS106、図10のステップS210)。
The
また、トンネル設定部240は、生成したIPIPトンネルで経由するネットワークに関するネットワークのルーティングの設定をする(ステップS211)。
Further, the
これにより、通信装置10−1と通信装置10−2との間で、双方向のIPIPトンネルが確立完了し、インタフェースA340−1においてIPIP over IPsecの通信が確立すると、IPIP over IPsecトンネルが確立完了する(ステップS107)。 As a result, the establishment of the bidirectional IPIP tunnel between the communication device 10-1 and the communication device 10-2 is completed, and when the IPIP over IPsec communication is established at the interface A340-1, the establishment of the IPIP over IPsec tunnel is completed. (Step S107).
(A−3)第1の実施形態の効果
上記のように、第1の実施形態によれば、従来の方式であるGRE over IPsecトンネルよりも少ないオーバヘッドで暗号パケットを伝送することができるIPIP over IPsecトンネルを確立することができる。
(A-3) Effects of the First Embodiment As described above, according to the first embodiment, the IPIP over which can transmit an encrypted packet with less overhead than the conventional GRE over IPsec tunnel. An IPsec tunnel can be established.
また、第1の実施形態によれば、GRE over IPsecトンネルの確立にオペレータによる2段階の操作が必要だったことに対し、IKEv1プロトコルを拡張することで1段階の手順でIPIP over IPsecトンネルを確立することができる。 In addition, according to the first embodiment, in order to establish a GRE over IPsec tunnel, a two-step operation by an operator is required. By extending the IKEv1 protocol, an IPIP over IPsec tunnel is established in a one-step procedure. can do.
(B)第2の実施形態
次に、本発明のパケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムの第2の実施形態を、図面を参照しながら説明する。
(B) Second Embodiment Next, a second embodiment of the packet transfer system, packet transfer method, communication apparatus, and packet transfer program of the present invention will be described with reference to the drawings.
(B−1)第2の実施形態の構成及び動作
第2の実施形態の構成は、第1の実施形態で説明した構成と同じであるから、第2の実施形態においても図1を用いて説明する。
(B-1) Configuration and Operation of Second Embodiment Since the configuration of the second embodiment is the same as the configuration described in the first embodiment, FIG. 1 is also used in the second embodiment. explain.
第2の実施形態が、第1の実施形態と異なる点は、鍵交換プロトコルとしてIKEv2(Internet Key Exchange Protocol version 2)を採用する点であり、ネゴシエーション部250が、IETFのRFC4307に規定されているIKEv2を拡張して、カプセル化モードの通知を行う点である。
The second embodiment is different from the first embodiment in that IKEv2 (Internet Key Exchange Protocol version 2) is adopted as a key exchange protocol, and the
従って、以下では、IKEv2を利用した場合の自装置と対向装置との間のIPIP over IPsecトンネル確立処理の動作を中心に説明する。 Therefore, the following description will focus on the operation of the IPIP over IPsec tunnel establishment process between the own device and the opposite device when IKEv2 is used.
図12は、第2の実施形態のIPIP over IPsecトンネル確立処理を示すシーケンス図である。なお、図12は、拡張認証プロトコル(EAP)による認証未使用時のシーケンス図である。 FIG. 12 is a sequence diagram illustrating an IPIP over IPsec tunnel establishment process according to the second embodiment. FIG. 12 is a sequence diagram when authentication is not used according to the extended authentication protocol (EAP).
通信装置10−1の鍵交換管理部210は、第1の実施形態と同様に、IPIP over IPsecトンネルの確立要求する場合(ステップS301)、後述するように、通信装置10−2との間の鍵交換ネゴシエーションの際に、カプセル化モードの通知を行う。
As in the first embodiment, the key
通信装置10−1のネゴシエーション部250は、IKEv2のIKE_SA_INIT第1メッセージを通信装置10−2に送信する(ステップS302)。
The
通信装置10−2のネゴシエーション部250は、通信装置10−1から受信したIKE_SA_INIT第1メッセージに基づいて、通信装置10−1がIPIP over IPsecトンネルの確立を要求することを認識し(ステップS303)、IKE_SA_INIT第2メッセージを通信装置10−1に返信する(ステップS304)。
The
通信装置10−1のネゴシエーション部250は、NOTIFIY MESSEAGEでカプセル化モードがIPIPトンネルであることを記載したIKE_AUTH第1メッセージを通信装置10−2に送信する(ステップS305)。
The
また、通信装置10−2のネゴシエーション部250は、NOTIFIY MESSAGEでカプセル化モードがIPIPトンネルであることを記載したIKE_AUTH第2メッセージを通信装置10−2に返信する(ステップS306)。
Further, the
ここで、カプセル化モードの通知は、RFC4306の3.10.1章で定義されているNOTIFY MESSAGEを拡張して、IPIPトンネルモードであることを通知する方法を適用することができる。 Here, the notification of the encapsulation mode can be applied by extending NOTIFY MESSAGE defined in section 3.10.1 of RFC4306 and notifying that it is in the IPIP tunnel mode.
その後、通信装置10−1及び通信装置10−2では、トンネル設定部240が、第1の実施形態と同様にして、IPIPトンネルモードに関する処理するモジュール(例えば、ipip.oやtunnel.o等)をローディングし、ローディングしたモジュールを確認した後、OS上で、トンネルの通信に用いる擬似デバイス(例えば、tun10等)を生成・設定してIPIPトンネルを生成する(ステップS307)。
Thereafter, in the communication device 10-1 and the communication device 10-2, the
また、通信装置10−1及び通信装置10−2のそれぞれにおいて、トンネル設定部240が、生成したIPIPトンネルで経由するネットワークに関するネットワークのルーティングの設定をして、双方向のIPIPトンネルが確立完了し、インタフェースA340−1においてIPIP over IPsecの通信が確立すると、IPIP over IPsecトンネルが確立完了する(ステップS308)。
Further, in each of the communication device 10-1 and the communication device 10-2, the
通信装置10−1では、SAのリキー処理を開始し(ステップS309)、ネゴシエーション部250が、NOTIFIY MESSEAGEでカプセル化モードがIPIPトンネルであることを記載したCREATE_CHILD_SA requestを通信装置10−2に送信する(ステップS310)。
In the communication apparatus 10-1, the SA rekey process is started (step S309), and the
また、通信装置10−2のネゴシエーション部250は、NOTIFIY MESSAGEでカプセル化モードがIPIPトンネルであることを記載したCREATE_CHILD_SA responseを通信装置10−2に返信する(ステップS311)。
Further, the
ここで、図12では、EAP認証未使用時のシーケンスを示した。これは、EAP認証使用時は、IKE_AUTHのメッセージ送受信回数が異なり、NOTIFY MESSAGEを挿入する箇所が異なるためである。 Here, FIG. 12 shows a sequence when EAP authentication is not used. This is because when EAP authentication is used, the number of message transmission / reception of IKE_AUTH differs, and the place where NOTIFY MESSAGE is inserted is different.
EAP認証使用時の場合には、IKE_AUTHのメッセージ送受信回数が異なるが、この場合、IKE_AUTHの第1メッセージと最終メッセージにカプセル化モードが「IPIPトンネル」であることを通知するNOTIFY MESSAGEを挿入することで実現することができる。 When EAP authentication is used, the number of message transmission / reception of IKE_AUTH differs. In this case, NOTIFY MESSAGE notifying that the encapsulation mode is “IPIP tunnel” is inserted in the first message and the final message of IKE_AUTH. Can be realized.
(B−2)第2の実施形態の効果
上記のように、第2の実施形態によれば、鍵交換プロトコルとしてIKEv2を利用する場合でも、従来の方式であるGRE over IPsecトンネルよりも少ないオーバヘッドで暗号パケットを伝送することができるIPIP over Ipsecトンネルを確立することができる。
(B-2) Effects of Second Embodiment As described above, according to the second embodiment, even when IKEv2 is used as a key exchange protocol, the overhead is smaller than that of the conventional GRE over IPsec tunnel. An IPIP over Ipsec tunnel that can transmit encrypted packets can be established.
また、GRE over IPsecトンネルの確立にオペレ一夕による2段階の操作が必要だったことに対し、IKEv2プロトコルを拡張することで1段階の手順でIPIP over IPsecトンネルを確立することができる。 Further, in contrast to the fact that a two-step operation by an operation is necessary for establishing a GRE over IPsec tunnel, an IPIP over IPsec tunnel can be established by a one-step procedure by extending the IKEv2 protocol.
(C)第3の実施形態
次に、本発明のパケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムの第2の実施形態を、図面を参照しながら説明する。
(C) Third Embodiment Next, a second embodiment of the packet transfer system, packet transfer method, communication apparatus, and packet transfer program of the present invention will be described with reference to the drawings.
(C−1)第3の実施形態の構成及び動作
第3の実施形態の構成も、第1の実施形態で説明した構成と同じであるから、第3の実施形態においても図1を用いて説明する。
(C-1) Configuration and operation of the third embodiment Since the configuration of the third embodiment is the same as the configuration described in the first embodiment, the third embodiment will also be described with reference to FIG. explain.
第3の実施形態が、第1の実施形態と異なる点は、カプセル化モードの通知を、鍵交換ネゴシエーション後に行う点である。 The third embodiment is different from the first embodiment in that the encapsulation mode is notified after the key exchange negotiation.
従って、ネゴシエーション部240による鍵交換ネゴシエーション後に、トンネル設定部250がIPIPトンネルを生成するという手順を中心に説明する。
Therefore, a description will be mainly given of a procedure in which the
なお、第3の実施形態では、鍵交換ネゴシエーション後に、カプセル化モードの通知を行うので、鍵交換プロトコルは、IPsecトンネルを確立できるプロトコルであれば、IKEv1、IKEv2等広く適用することができる。 In the third embodiment, since the encapsulation mode is notified after the key exchange negotiation, the key exchange protocol can be widely applied to IKEv1, IKEv2, etc. as long as the protocol can establish an IPsec tunnel.
図13は、第3の実施形態のIPIP over IPsecトンネル確立処理を示すシーケンス図である。また、図14は、通信装置10における鍵交換処理のフローチャートである。 FIG. 13 is a sequence diagram illustrating an IPIP over IPsec tunnel establishment process according to the third embodiment. FIG. 14 is a flowchart of key exchange processing in the communication apparatus 10.
まず、第1の実施形態と同様に、通信装置10−1では、ユーザインタフェース部100が、ユーザによる設定情報の入力を読み込み(ステップS501)、鍵交換管理部210の制御の下、ネゴシエーション部250が、対向装置である通信装置10−2との間で鍵交換ネゴシエーションを開始する(ステップS502)。
First, as in the first embodiment, in the communication device 10-1, the user interface unit 100 reads the setting information input by the user (step S <b> 501), and under the control of the key
このとき、通信装置10−1と通信装置10−2との間で鍵交換ネゴシエーションが失敗すると(ステップS503)、ネゴシエーションエラーとしてリソースの開放を行い(ステップS504)、処理は終了する。 At this time, if the key exchange negotiation fails between the communication device 10-1 and the communication device 10-2 (step S503), the resource is released as a negotiation error (step S504), and the process ends.
一方、鍵交換ネゴシエーションが成功すると、各通信装置10−1及び10−2では、入力された設定情報に基づいて、SP設定部220がSP設定を行い(ステップS505)、さらにSA設定部230がSA設定を行い(ステップS506)、鍵交換ネゴシエーションが完了する(ステップS507)。
On the other hand, if the key exchange negotiation is successful, in each of the communication devices 10-1 and 10-2, the
ここで、図13に示すように、通信装置10−1の鍵交換管理部210がIPsecトンネルの確立要求する場合(ステップS401)、通信装置10−1のネゴシエーション部250は、IPsecトンネルを確立する所定の鍵交換ネゴシエーションメッセージを通信装置10−2に送信する(ステップS402)。
Here, as shown in FIG. 13, when the key
通信装置10−2のネゴシエーション部250は、IPsecトンネル確立要求を受信すると(ステップS403)、通信装置10−1に対して所定の鍵交換ネゴシエーションを返信する(ステップS404)。
Upon receiving the IPsec tunnel establishment request (step S403), the
このように、通信装置10−1及び通信装置10−2間で、IPsecトンネルを確立する所定の鍵交換ネゴシエーションが完了し、通信装置10−1及び通信装置10−2では、トンネル設定部240が、IPsecトンネルを確立する(ステップS405)。
As described above, the predetermined key exchange negotiation for establishing the IPsec tunnel is completed between the communication device 10-1 and the communication device 10-2. In the communication device 10-1 and the communication device 10-2, the
通信装置10−1では、通信装置10−2との間で鍵交換ネゴシエーションが完了し、カプセル化モードがIPIPトンネルモードであることを確認する(ステップS508)。 The communication device 10-1 confirms that the key exchange negotiation has been completed with the communication device 10-2 and that the encapsulation mode is the IPIP tunnel mode (step S508).
そうすると、通信装置10−1の鍵交換管理部210は、対向する通信装置10−2に対して、カプセル化モードがIPIPトンネルモードであることを通知する(図13のS407及びS408、図14のステップS509)。
Then, the key
このとき、通信装置10−1は、IPsecトンネルが確立しているので、IPsecトンネルを通じてカプセル化モードの通知を行う。 At this time, since the IPsec tunnel is established, the communication device 10-1 notifies the encapsulation mode through the IPsec tunnel.
そして、通信装置10−1及び通信装置10−2のカプセル化モードがIPIPトンネルモードである場合(ステップS510)、トンネル設定部240は、第1の実施形態と同様に、IPIPトンネルモードに関する処理するモジュール(例えば、ipip.oやtunnel.o等)をローディングし、ローディングしたモジュールを確認した後、OS上で、トンネルの通信に用いる擬似デバイス(例えば、tun10等)を生成・設定してIPIPトンネルを生成する(図13のステップS409、図14のステップS511)。
When the encapsulation mode of the communication device 10-1 and the communication device 10-2 is the IPIP tunnel mode (step S510), the
また、トンネル設定部240は、生成したIPIPトンネルで経由するネットワークに関するネットワークのルーティングの設定をする(ステップS512)。
In addition, the
なお、ステップS510で、通信装置10−1及び通信装置10−2のカプセル化モードがIPIPトンネルモードでない場合、IPsec切断後、リソースを開放して、処理を終了する(ステップS513)。 In step S510, when the encapsulation mode of the communication device 10-1 and the communication device 10-2 is not the IPIP tunnel mode, the resource is released after IPsec disconnection, and the process is terminated (step S513).
(C−2)第3の実施形態の効果
上記のように、第3の実施形態によれば、鍵交換ネゴシエーション後に、IPIPトンネルを確立することによっても、従来の方式であるGRE over IPsecトンネルよりも少ないオーバヘッドで暗号パケットを伝送することができるIPIP over IPsecトンネルを確立することができる。
(C-2) Effects of the Third Embodiment As described above, according to the third embodiment, after establishing the IPIP tunnel after the key exchange negotiation, the GRE over IPsec tunnel, which is the conventional method, is also used. It is possible to establish an IPIP over IPsec tunnel that can transmit an encrypted packet with less overhead.
また、GRE over IPsecトンネルの確立にオペレータによる2段階の操作が必要だったことに対し、任意の鍵交換プロトコルであっても、生成した暗号トンネルを通じてカプセル化モードを対向装置に通知することで1段階の手順でIPIP over IPsecトンネルを確立することができる。 Further, in contrast to the fact that the operator required two-stage operation to establish the GRE over IPsec tunnel, even if an arbitrary key exchange protocol is used, the encapsulation mode is notified to the opposite device through the generated encryption tunnel. An IPIP over IPsec tunnel can be established in a stepwise procedure.
(D)他の実施形態
第1の実施形態では、IKEv1の特定のペイロードにカプセル化モードを挿入して通知する方式であったが、対向装置に自装置のカプセル化モードを知らせることができれば、どのようなべイロードであっても良い。例えば、第1の実施形態では、IKEv1のMainモード第1メッセージを拡張する場合を例示したが、第1メッセージに限定されず、第3、第5メッセージであってもよい。
(D) Other Embodiments In the first embodiment, the encapsulation mode is inserted into the specific payload of IKEv1 and notified, but if the opposite device can be notified of the encapsulation mode of its own device, Any bay road may be used. For example, in the first embodiment, the case where the IKEv1 Main mode first message is extended is illustrated, but the first message is not limited, and the third and fifth messages may be used.
第2の実施形態では、IKEv2の特定のペイロードにカプセル化モードを挿入して通知する方式であったが、対向装置に自装置のカプセル化モードを知らせることができれば、どのようなべイロードであっても良い。 In the second embodiment, the encapsulation mode is inserted into the specific payload of IKEv2 and notified. However, as long as the opposite device can be notified of the encapsulation mode of its own device, any payload can be obtained. Also good.
第1及び第2の実施形態では、IKEv1やIKEv2の特定のペイロードにカプセル化モードを挿入して通知する方式であったが、対向装置に自装置のカプセル化モードを知らせることができれば、どのような鍵交換プロトコルであっても良い。 In the first and second embodiments, the encapsulation mode is inserted and notified in a specific payload of IKEv1 or IKEv2, but what if the encapsulation mode of the own device can be notified to the opposite device? A simple key exchange protocol may be used.
第1、第2、第3の実施形態では、カプセル化モードとしてIPIPトンネルを使用したが、「IPv6 over IPv4トンネル」「IPv4 over IPv6トンネル」「IPv6 over IPv6トンネル」等、どのようなトンネリングプロトコルでも良い。 In the first, second, and third embodiments, the IPIP tunnel is used as the encapsulation mode. However, any tunneling protocol such as “IPv6 over IPv4 tunnel”, “IPv4 over IPv6 tunnel”, or “IPv6 over IPv6 tunnel” may be used. good.
第1、第2、第3の実施形態では、カプセル化モードとしてIPIPトンネルを使用したが、「Ether over IP」レイヤ2トンネル等、レイヤ3トンネリングプロトコル以外でも良い。
In the first, second, and third embodiments, the IPIP tunnel is used as the encapsulation mode, but it may be other than the
第1の実施形態では、IPIPトンネル自身に設定するアドレスを自装置のユーザインタフェースによって設定したが、mode−config(draft−dukes−ike−mode−cfg−02.txt)を使って対向装置から自動的に取得したアドレスを設定しても良い。 In the first embodiment, the address to be set for the IPIP tunnel itself is set by the user interface of the own device, but automatically from the opposite device using mode-config (draft-dukes-ike-mode-cfg-02.txt). Alternatively, the acquired address may be set.
第2の実施形態では、IPIPトンネル自身に設定するアドレスを自装置のユーザインタフェースによって設定したが、Configuration Payload(RFC4306 3.15章)を使って対向装置から自動的に取得したアドレスを設定しても良い。 In the second embodiment, the address to be set for the IPIP tunnel itself is set by the user interface of the own device, but the address automatically obtained from the opposite device is set by using Configuration Payload (RFC4306 3.15). Also good.
第1、第2、第3の実施形態では、マルチキャストパケットのようなトンネルモードのIPsec上で送受信することができないトラフィックを扱う際、GRE over IPsecの代わりにIPIP over IPsecを利用することができる。これにより、GREヘッダ分のオーバヘッドを軽減することができる。 In the first, second, and third embodiments, IPIP over IPsec can be used instead of GRE over IPsec when handling traffic that cannot be transmitted and received over tunnel mode IPsec such as multicast packets. Thereby, the overhead for the GRE header can be reduced.
5…パケット転送システム、10−1及び10−2…通信装置、
100…ユーザインタフェース部、200…プログラム部、
210…鍵交換管理部、220…SP設定部、230…SA設定部、
240…トンネル設定部、250…ネゴシエーション部、
300…ネットワークスタック部、
310…SPD、320…SAD、330…パケット処理部、
340−1…インタフェース部(WAN側)、340−2…インタフェース部(LAN側)。
5 ... Packet transfer system, 10-1 and 10-2 ... Communication device,
100 ... User interface part, 200 ... Program part,
210 ... Key exchange management unit, 220 ... SP setting unit, 230 ... SA setting unit,
240 ... tunnel setting part, 250 ... negotiation part,
300 ... Network stack part,
310 ... SPD, 320 ... SAD, 330 ... packet processing unit,
340-1 ... interface unit (WAN side), 340-2 ... interface unit (LAN side).
Claims (8)
上記第1の通信装置が、上記鍵交換プロトコルによる上記第2の通信装置との間のネゴシエーションの際、自装置が要求するカプセル方式を上記第2の通信装置に通知するモード通知手段を有し、
上記第2の通信装置が、上記第1の通信装置の要求するカプセル方式を認識するモード認識手段を有し、
上記第1の通信装置及び上記第2の通信装置は、上記鍵交換プロトコルを用いて、上記カプセル方式によるトンネルを設定するトンネル設定手段を有する
ことを特徴とするパケット転送システム。 In a packet transfer system that encapsulates a transfer packet according to a predetermined key exchange protocol and transfers the packet between the first communication device and the second communication device facing the first communication device.
The first communication device has mode notification means for notifying the second communication device of a capsule method requested by the device when negotiating with the second communication device by the key exchange protocol. ,
The second communication device has mode recognition means for recognizing a capsule method requested by the first communication device;
The packet transfer system, wherein the first communication device and the second communication device include tunnel setting means for setting a tunnel by the capsule method using the key exchange protocol.
上記鍵交換プロトコルによる鍵交換処理に必要な鍵交換設定情報を設定する鍵交換設定情報設定手段と、
上記カプセル方式によるトンネルを確立するために必要なトンネル確立設定情報を設定するトンネル確立設定手段と
を備え、
上記トンネル確立設定手段及び上記鍵交換設定情報設定手段が、上記トンネル確立設定情報と上記鍵交換設定情報との間で重複する設定項目を相互に補完することを特徴とする請求項1〜3のいずれかに記載のパケット転送システム。 The first communication device and the second communication device are:
Key exchange setting information setting means for setting key exchange setting information necessary for key exchange processing by the key exchange protocol;
Tunnel establishment setting means for setting tunnel establishment setting information necessary for establishing a tunnel by the capsule method, and
4. The tunnel establishment setting unit and the key exchange setting information setting unit complement each other of setting items that overlap between the tunnel establishment setting information and the key exchange setting information. The packet transfer system according to any one of the above.
上記第1の通信装置が、上記鍵交換プロトコルによる上記第2の通信装置との間のネゴシエーションの際、自装置が要求するカプセル方式を上記第2の通信装置に通知するモード通知工程と、
上記第2の通信装置が、上記第1の通信装置の要求するカプセル方式を認識するモード認識工程と、
上記第1の通信装置及び上記第2の通信装置は、上記鍵交換プロトコルを用いて、上記カプセル方式によるトンネルを設定するトンネル設定工程と
を有することを特徴とするパケット転送方法。 In a packet transfer method for encapsulating a transfer packet according to a predetermined key exchange protocol and transferring the packet between the first communication device and the second communication device facing the first communication device,
A mode notification step in which the first communication device notifies the second communication device of a capsule method requested by the device when negotiating with the second communication device by the key exchange protocol;
A mode recognition step in which the second communication device recognizes a capsule method requested by the first communication device;
The first communication apparatus and the second communication apparatus have a tunnel setting step of setting a tunnel by the capsule method using the key exchange protocol.
上記鍵交換プロトコルにより上記対向装置との間でネゴシエーションを行うネゴシエーション手段と、
上記ネゴシエーション手段による上記対向装置との間のネゴシエーションの際、自装置が要求するカプセル方式を上記対向装置に通知するモード通知手段と、
上記対向装置の要求するカプセル方式を認識するモード認識手段と、
上記鍵交換プロトコルを用いて、上記カプセル方式によるトンネルを設定するトンネル設定手段と
を備えることを特徴とする通信装置。 In a communication device that encapsulates a transfer packet according to a predetermined key exchange protocol and transfers the packet between the opposite device,
Negotiation means for negotiating with the opposing device by the key exchange protocol;
Mode notification means for notifying the opposite device of the capsule method requested by the own device when negotiating with the opposite device by the negotiation means;
Mode recognition means for recognizing the capsule method requested by the opposite device;
A communication apparatus comprising: a tunnel setting means for setting a tunnel by the capsule method using the key exchange protocol.
上記鍵交換プロトコルにより上記対向装置との間でネゴシエーションを行うネゴシエーション手段、
上記ネゴシエーション手段による上記対向装置との間のネゴシエーションの際、自装置が要求するカプセル方式を上記対向装置に通知するモード通知手段、
上記対向装置の要求するカプセル方式を認識するモード認識手段、
上記鍵交換プロトコルを用いて、上記カプセル方式によるトンネルを設定するトンネル設定手段
として機能させることを特徴とするパケット転送プログラム。 A communication device that encapsulates a transfer packet according to a predetermined key exchange protocol and transfers the packet between the opposite device,
Negotiation means for negotiating with the opposing device by the key exchange protocol;
Mode notification means for notifying the opposite apparatus of the capsule method requested by the own apparatus when negotiating with the opposite apparatus by the negotiation means;
A mode recognizing means for recognizing the capsule method required by the opposing device;
A packet transfer program that functions as tunnel setting means for setting a tunnel by the capsule method using the key exchange protocol.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009228013A JP2011077887A (en) | 2009-09-30 | 2009-09-30 | Packet transfer system, packet transfer method, communication apparatus and packet transfer program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009228013A JP2011077887A (en) | 2009-09-30 | 2009-09-30 | Packet transfer system, packet transfer method, communication apparatus and packet transfer program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2011077887A true JP2011077887A (en) | 2011-04-14 |
Family
ID=44021369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009228013A Pending JP2011077887A (en) | 2009-09-30 | 2009-09-30 | Packet transfer system, packet transfer method, communication apparatus and packet transfer program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2011077887A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013141146A (en) * | 2012-01-05 | 2013-07-18 | Murata Mach Ltd | Relay server |
| CN104601496A (en) * | 2014-12-23 | 2015-05-06 | 杭州华三通信技术有限公司 | GRE (Generic Routing Encapsulation) head encapsulation table item generation method and device |
| WO2024113471A1 (en) * | 2022-11-29 | 2024-06-06 | 杭州海兴电力科技股份有限公司 | Gateway system and method for secure transmission of ipv6 data |
-
2009
- 2009-09-30 JP JP2009228013A patent/JP2011077887A/en active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013141146A (en) * | 2012-01-05 | 2013-07-18 | Murata Mach Ltd | Relay server |
| CN104601496A (en) * | 2014-12-23 | 2015-05-06 | 杭州华三通信技术有限公司 | GRE (Generic Routing Encapsulation) head encapsulation table item generation method and device |
| WO2024113471A1 (en) * | 2022-11-29 | 2024-06-06 | 杭州海兴电力科技股份有限公司 | Gateway system and method for secure transmission of ipv6 data |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| US9813380B2 (en) | Method, apparatus, and network system for terminal to traverse private network to communicate with server in IMS core network | |
| US9231918B2 (en) | Use of virtual network interfaces and a websocket based transport mechanism to realize secure node-to-site and site-to-site virtual private network solutions | |
| CN108769292B (en) | Message data processing method and device | |
| EP3213488A1 (en) | End-to-end service layer authentication | |
| US11388145B2 (en) | Tunneling data traffic and signaling over secure etls over wireless local area networks | |
| JP2013523050A (en) | Proxy SSL handoff via intermediate stream renegotiation | |
| WO2013170376A1 (en) | Tls abbreviated session identifier protocol | |
| JP2015525018A (en) | System and method for reducing call establishment time | |
| US11924248B2 (en) | Secure communications using secure sessions | |
| US11006346B2 (en) | X2 service transmission method and network device | |
| WO2016066027A1 (en) | Media transmission method and device | |
| JP2011077887A (en) | Packet transfer system, packet transfer method, communication apparatus and packet transfer program | |
| CN110351308B (en) | Virtual private network communication method and virtual private network device | |
| JP3651424B2 (en) | Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus | |
| CN112104601A (en) | Data transmission method, device, terminal equipment and storage medium | |
| JP2006352710A (en) | Packet repeating apparatus and program | |
| US12028747B2 (en) | Methods and apparatus for reducing communications delay | |
| WO2024092655A1 (en) | Method and communication device for communication using ipsec | |
| US20220400405A1 (en) | Methods and apparatus for reducing communications delay | |
| CN116866450A (en) | Data transmission method, device, electronic equipment and storage medium | |
| CN117675886A (en) | Method and device for executing business operation and electronic equipment | |
| CN117938801A (en) | Resource access method, device, electronic equipment and medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20120813 |