JP2014168204A - Communication device, communication method, and program - Google Patents
Communication device, communication method, and program Download PDFInfo
- Publication number
- JP2014168204A JP2014168204A JP2013040032A JP2013040032A JP2014168204A JP 2014168204 A JP2014168204 A JP 2014168204A JP 2013040032 A JP2013040032 A JP 2013040032A JP 2013040032 A JP2013040032 A JP 2013040032A JP 2014168204 A JP2014168204 A JP 2014168204A
- Authority
- JP
- Japan
- Prior art keywords
- session
- signal
- packet
- security
- ike
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 59
- 238000000034 method Methods 0.000 title claims description 102
- 238000012545 processing Methods 0.000 claims abstract description 157
- 230000005540 biological transmission Effects 0.000 claims description 22
- 239000003999 initiator Substances 0.000 description 21
- 238000010586 diagram Methods 0.000 description 2
- 238000007429 general method Methods 0.000 description 1
Images
Abstract
Description
本発明はセキュリティを確保した通信のための技術に関する。 The present invention relates to a technique for communication with security.
近年、ネットワーク上におけるセキュリティの重要性が高まってきており、特に、暗号化通信によるセキュリティの確保の重要性が高まってきている。現在、セキュリティプロトコルとして幾つかのプロトコルが存在し、IPsec(Security Architecture for Internet Protocol)がその中に含まれる。IPsecは、AH(Authentication Header)プロトコルとESP(Encapsulating Security Payload)プロトコルとを含む。AHプロトコルは、送信元の認証とデータの完全性保証を提供する機能であり、ESPプロトコルはIPパケットの機密性の確保と安全性保証と送信元の認証を提供する機能である。IPsecは、IPレベル(OSI参照モデルではネットワーク層)で実現されるセキュリティプロトコルであるため、IPパケット単位でAH及びESPのIPsec処理が行われる。 In recent years, the importance of security on networks has increased, and in particular, the importance of ensuring security by encrypted communication has increased. At present, there are several protocols as security protocols, including IPsec (Security Architecture for Internet Protocol). IPsec includes an AH (Authentication Header) protocol and an ESP (Encapsulating Security Payload) protocol. The AH protocol is a function that provides source authentication and data integrity guarantee, and the ESP protocol is a function that provides IP packet confidentiality, security guarantee, and sender authentication. Since IPsec is a security protocol implemented at the IP level (network layer in the OSI reference model), AH and ESP IPsec processing is performed in units of IP packets.
なお、IPsecの処理では、通信装置は、AHやESPで使用するアルゴリズム、鍵等のパラメータを持つIPsec SA(Security Association)を使用する(非特許文献1参照)。また、通信装置は、IPsecにおいて、鍵管理プロトコルであるIKEを利用した相手方装置との鍵交換により、IPsec SAを確立する(非特許文献2参照)。 In the IPsec processing, the communication device uses IPsec SA (Security Association) having parameters such as algorithms and keys used in AH and ESP (see Non-Patent Document 1). Further, the communication apparatus establishes IPsec SA in IPsec by exchanging keys with a counterpart apparatus using IKE which is a key management protocol (see Non-Patent Document 2).
通信装置は、IPsecによるIPパケットの送信を開始する際にIPsec SAが確立されていない場合は、IKE(Internet Key Exchange)を用いてIPsec SAを構築する。このとき、通信装置は、自らがIKE要求を相手方装置へ発行することとなるため、イニシエータ(Initiator)として相手方装置との間でIPsec SAを確立する。なお、通信装置は、IPsec SAを確立するまでは、IPsecの処理を行うことはできない。ここで、IPsecの処理を行うことができない場合のIPパケットの処理方式には、IPsec SAが確立されるまでの期間において、IPパケットを破棄する方式とIPパケットをキューに格納する方式(特許文献1参照)とがある。 When the IPsec SA is not established when starting the transmission of the IP packet by IPsec, the communication apparatus constructs the IPsec SA using IKE (Internet Key Exchange). At this time, since the communication device itself issues an IKE request to the counterpart device, it establishes an IPsec SA with the counterpart device as an initiator. Note that the communication device cannot perform IPsec processing until IPsec SA is established. Here, as a method of processing an IP packet when IPsec processing cannot be performed, a method of discarding an IP packet and a method of storing an IP packet in a queue during a period until IPsec SA is established (Patent Document) 1).
しかしながら、IPパケットを破棄する方式は、IPsec SAが確立されるまでの期間、パケットロスの状態になるため、再送の発生による通信の遅延や通信データの欠落が発生するという課題があった。 However, the method for discarding the IP packet has a problem that a packet loss occurs during the period until the IPsec SA is established, which causes a communication delay due to retransmission and a loss of communication data.
一方、IPパケットをキューに格納する方式は、IPsec機能がIKE機能へIPsec SA確立要求行い、IKE機能がその要求に応じてイニシエータとしてIKE処理を行い、IPsec SAを確立する。IPsec機能はIKE機能からのIPsec SA確立通知を受け取った後、確立したIPsec SAに対応するIPパケットをキューから取り出してIPsec処理を行った上でIPパケットの送信を行う。したがって、IPsec SAの確立後、キューから確立したIPsec SAに対応するIPパケットを探索するための、一定の処理量及び処理時間が要求されるという課題があった。 On the other hand, in the method of storing IP packets in a queue, the IPsec function makes an IPsec SA establishment request to the IKE function, and the IKE function performs an IKE process as an initiator in response to the request to establish an IPsec SA. After receiving the IPsec SA establishment notification from the IKE function, the IPsec function takes out an IP packet corresponding to the established IPsec SA from the queue, performs an IPsec process, and then transmits the IP packet. Therefore, after establishing the IPsec SA, there is a problem that a certain amount of processing and processing time are required to search for an IP packet corresponding to the IPsec SA established from the queue.
また、相手方装置がイニシエータとして、そして通信装置がレスポンダ(Responder)として実行されるIKE処理と、その逆の役割によるIKE処理とが同時に実行される場合がある。ここで、通信装置では、イニシエータとして実行したIKE処理が失敗すると、IPsec機能がIPsec SA確立失敗通知を受け取り、キューに格納したIPパケットが削除される。このため、通信装置がレスポンダとして実行したIKE処理が成功し、レスポンダによって使用できるIPsec SAが確立している場合であっても、IPパケットが削除され、送信されなくなってしまう、という課題があった。 In some cases, an IKE process executed by the counterpart apparatus as an initiator and a communication apparatus as a responder, and an IKE process by the opposite role are executed simultaneously. Here, in the communication apparatus, when the IKE process executed as the initiator fails, the IPsec function receives an IPsec SA establishment failure notification, and the IP packet stored in the queue is deleted. For this reason, even if the IKE process executed by the communication device as a responder succeeds and an IPsec SA that can be used by the responder is established, there is a problem that the IP packet is deleted and cannot be transmitted. .
本発明は上記課題に鑑みなされたものであり、上述の課題の少なくとも1つを解消することを目的とする。 The present invention has been made in view of the above problems, and an object thereof is to solve at least one of the above problems.
上記目的を達成するため、本発明による通信装置は、セキュリティが確保されていないセッションについて、送信すべき信号が生じた場合、当該セッションと関連付けて当該信号を保持する保持手段と、前記信号に関連付けられているセッションについてのセキュリティ確保のための処理が完了した場合に、前記信号を相手方装置へ送信する送信手段と、を有する。 In order to achieve the above object, when a signal to be transmitted is generated for a session for which security is not ensured, the communication device according to the present invention associates the session with the holding means for retaining the signal in association with the session. Transmitting means for transmitting the signal to the counterpart device when the process for ensuring the security of the session being completed is completed.
本発明によれば、低処理量で、破棄されるパケットの量を低減することができる。 According to the present invention, the amount of discarded packets can be reduced with a low processing amount.
以下、本発明の実施の形態について図面に基づき説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<<実施形態1>>
本実施形態では、IPsec通信時に通信セッションについてSAが確立されていない場合、IKEによりSAが確立されるまでその通信セッションと関連付けてIPパケットを保持し、SA確立後にIKEが代理送信を行う。図1は、本実施形態に係る通信装置の機能構成例を示すブロック図である。
<< Embodiment 1 >>
In the present embodiment, when the SA is not established for the communication session during IPsec communication, the IP packet is held in association with the communication session until the SA is established by the IKE, and the IKE performs proxy transmission after the SA is established. FIG. 1 is a block diagram illustrating a functional configuration example of a communication apparatus according to the present embodiment.
図1において、通信装置は、プロトコル処理部101、IPsec処理機能部102、IKE処理機能部103、及びネットワークインタフェース部104を有する。なお、IPsec処理機能部102は、例えば、SP管理部201、SA管理部202、及びIPsec処理部203を有する。なお、SPは、Security Policyの略である。また、IKE処理機能部103は、例えば、IKE Policy管理部301、Phase1(ISAKMP SA)管理部302、Phase2管理部303、及びIKE処理部304を有する。
In FIG. 1, the communication apparatus includes a
プロトコル処理部101は、OSI参照モデルにおけるネットワーク層以上の上位層の処理を行う機能部であり、ネットワークを介して通信をするための処理を行う。プロトコル処理部101は、ネットワークインタフェース部104へIPパケットを渡す。
The
IPsec処理機能部102は、プロトコル処理部101から受け取ったIPパケットに対してIPsecの適用処理を行い、IPsec適用後のIPパケットをプロトコル処理部101に渡す。
The IPsec
IKE処理機能部103は、IPsec処理機能部102からの要求、又は通信の相手方装置からの要求により、通信相手とSA確立のための鍵交換処理を行う。そして、IKE処理機能部103は、プロトコル処理部101に対して、鍵交換処理における信号の送信時にはISAKMPメッセージを渡し、信号の受信時にはISAKMPメッセージを受け取る。
The IKE processing function unit 103 performs key exchange processing for SA establishment with the communication partner in response to a request from the IPsec
ネットワークインタフェース部104は、OSI参照モデルにおけるデータリンク層と物理層の処理を行う機能部であり、IPパケットをネットワーク上へ送信する。
The
なお、以下に示す暗号化通信方式において用いられるIPパケットデータは、インターネット上で送受信される1単位のデータである。なお、以下では、IPパケットデータの組成手法については説明を省略するが、IPパケットデータは、一般的な手法を用いて組成することができる。 Note that the IP packet data used in the following encrypted communication method is a unit of data transmitted and received on the Internet. In the following, description of the composition method of the IP packet data is omitted, but the IP packet data can be composed using a general method.
また、暗号化通信を始める前に必要となる鍵交換は、IKEまたはSSLといった方法を利用して行うものとし、詳細な説明を省略する。 The key exchange required before starting encrypted communication is performed using a method such as IKE or SSL, and detailed description thereof is omitted.
次に、IPsec処理機能部102について説明する。SP管理部201は、実際にIPsecによるセキュリティ処理を適用するかどうかについての情報が登録されるSPD(Security Policy Database)を管理する。SA管理部202は、IPパケットに対して行うIPsec処理に関する情報(IPsec SA)が格納されるSAD(Security Association Database)を管理する。なお、SP管理部201とSA管理部202は、通常のIPsecを利用した暗号化通信において利用されるものと同様であるため、詳細な説明は省略する。
Next, the IPsec
IPsec処理部203は、プロトコル処理部101から受け取ったIPパケットに対してIPsecを適用する。IPsec処理部203は、送信時の処理において、IPパケットに対してIPsecを適用するかどうかを判定する。このため、IPsec処理部203は、まず、IPパケットの送信元IPアドレス、宛先IPアドレス、プロトコル、ポート番号などの情報に基づき、SP管理部201で管理されているSPDからIPパケットに対応するSPを検索する。そして、IPパケットに対応するSPが「破棄」を示す場合には、IPsec処理部203はそのIPパケットを破棄する。また、IPパケットに対応するSPが「IPsecを適用しない」旨を示す場合は、IPsec処理部203は、IPsecを適用せずに、そのIPパケットをプロトコル処理部101に渡す。
The IPsec
一方、IPパケットに対応するSPが「IPsecを適用する」旨を示す場合は、IPsec処理部203は、SA管理部202で管理されているSADから、そのIPパケットに対応するSAを検索する。そして、そのIPパケットに対応するSAが確立されている場合は、IPsec処理部203は、SAに記載されているアルゴリズムや鍵を利用して、そのIPパケットに対する暗号化処理を実行する。そして、暗号化処理後のIPパケットはプロトコル処理部101に渡される。IPパケットに対応するSAが確立されていない場合は、IPsec処理部203は、そのIPパケットをIKE処理機能部103に渡し、SA確立要求を行う。
On the other hand, when the SP corresponding to the IP packet indicates that “IPsec is applied”, the IPsec
IPsec処理部203は、受信時の処理において、受信したIPパケットに対してIPsecが適用されているかどうかを判定する。そして、そのIPパケットにIPsecが適用されていない場合は、IPsec処理部203は、SP管理部201に管理されているSPDからSPを検索する。そして、受信したIPパケットに対応するSPが「破棄」を示す場合は、IPsec処理部203は、そのIPパケットを破棄する。また受信したIPパケットに対応するSPが「IPsecを適用する」旨を示す場合は、この受信したIPパケットにはIPsecが適用されていないため、IPsec処理部203はこのIPパケットを破棄する。また受信したIPパケットに対応するSPが「IPsecを適用しない」旨を示す場合は、IPsec処理部203は、受信したIPパケットと条件が一致するため、プロトコル処理部101にIPパケットを渡す。
The IPsec
受信したIPパケットに対してIPsecが適用されている場合、IPsec処理部203は、まず、SA管理部202に管理されているSADから、そのIPパケットに対応するSAを検索する。そして、IPsec処理部203は、SAに記載されているアルゴリズムや鍵を利用して、そのIPパケットに対して復号化処理を実行する。次に、IPsec処理部203は、復号化処理が行われた後に、SPDからそのIPパケットに対応するSPを検索する。そして、IPsec処理部203は、検索により得たSPの内容と、受信したIPパケットに適用されているセキュリティ処理とが一致しているかどうかを判定する。そして、IPsec処理部203は、これらが一致していない場合はそのIPパケットを破棄し、これらが一致している場合はプロトコル処理部101にそのIPパケットを渡す。
When IPsec is applied to the received IP packet, the
次に、IKE処理機能部103について図1に基づき説明する。IKE Policy管理部301は、IKEがPhase1セッションにおいて通信相手とISAKMP SAを確立するための情報が登録されるIKE Policyを管理する。
Next, the IKE processing function unit 103 will be described with reference to FIG. The IKE
Phase1管理部302は、IKE Policy管理部301に格納されている情報により相手方装置とのネゴシエーションを行ったPhase1セッション中の情報を格納する。そして、Phase1管理部302は、Phase1セッション終了時に、Phase1セッション情報により確立されたISAKMP SAを格納する。
The Phase 1
Phase2管理部303は、SP管理部201に格納されている情報を用いて相手方装置とネゴシエーションを行ったPhase2セッション中の情報を格納する。また、Phase2管理部303は、Phase2セッション情報においてSAが確立されていないことに起因してIPsec処理部203がIPsecを適用できなかったIPパケットを保持する。
The Phase 2
IKE処理部304は、IPsec処理部203からのSA確立要求を受けると、イニシエータとしてIKE処理を実行する。IKE処理部304は、そのときに、SAが確立されていないため送信できなかったIPパケットをIPsec処理部203から受け取り、Phase2管理部303のPhase2セッション情報にそのIPパケットを登録する。また、IKE処理部304は、相手方装置からIKE要求を発行した鍵交換における、レスポンダとしてのIKE処理も実行する。
When the
IKE処理では、IKE Policy管理部301に格納された情報によりPhase1セッションを行ってISAKMP SAが確立され、確立したISAKMP SAは、Phase1管理部302に格納される。Phase1セッション終了後、IKE処理では、ISAKMP SAを用いて暗号化したPhase2セッションによりSAが確立され、確立したSAはSA管理部202に格納される。IKE処理部304は、Phase2セッション情報にSAが確立されていないため送信できなかったIPパケットが登録されている場合は、SAのSA管理部202への格納後に、そのIPパケットの代理送信処理を実行する。なお、代理送信処理とは、IPsec処理機能部102(IPsec処理部203)に代わって、IKE処理機能部103(IKE処理部304)がプロトコル処理部101を介してIPパケットを送信する処理である。
In the IKE process, an ISAKMP SA is established by performing a Phase 1 session based on information stored in the IKE
次に、IPsec処理部203がIKE処理部304に対して行うSA確立要求の流れを、図2のフローチャートに基づいて説明する。IPsec処理部203は、まず、S401において、プロトコル処理部101から受け取ったIPパケットの情報に基づいて、SP管理部201に管理されているSPDから、そのIPパケットに対応するSPを検索する。ここで、IPパケットの情報は、例えば、IPパケットの送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先のポート番号の情報を含む。
Next, the flow of the SA establishment request performed by the
続いて、IPsec処理部203は、S402において、SP管理部に管理されているSPDにおいて、IPパケットに対応するSPが存在するか否かを判定する。そしてSPが存在しない場合は、IPsec処理を適用する必要がないため、IPsec処理部203は、IPパケットをプロトコル処理部101に受け渡して処理を終了する。一方、SPが存在する場合は、IPsec処理部203は、処理をS403へ進め、IPパケットの情報に基づいて、SA管理部202に管理されているSADから、そのIPパケットに対応するSAを検索する。
Subsequently, in S402, the
そして、IPsec処理部203は、S404において、IPパケットに対応するSAが存在する場合は処理をS406へ進め、その対応するSAに基づいてそのIPパケットにIPsec処理を適用する。そして、IPsec処理の適用後のIPパケットは、プロトコル処理部101へ渡される。一方、IPsec処理部203は、IPパケットに対応するSAが存在しない場合は、処理をS405へ進め、そのIPパケットをIKE処理機能部103へ渡してSA確立要求を行う。なお、この場合のIPパケットは、SAが存在しないことによりIPsecを適用できなかったIPパケットである。
In step S404, if there is an SA corresponding to the IP packet, the
IPsec処理部203がIKE処理機能部103へSA確立要求を行うと、続いて、IKE処理部304がIKE処理のPhase1セッションを実行する。IKE処理部304において処理されるIKE処理のPhase1セッションの動作について、図3のフローチャートを用いて説明する。
When the
IKE処理部304は、IPsec処理部203がSA確立要求を実行したことに応じて、IKE処理を開始する。まず、IKE処理部304は、S501において、IPsec処理部203から受け取ったIPパケットの情報に基づいて、そのIPパケットに対応するPhase2セッション情報がPhase2管理部303に存在するかを確認する。IKE処理部304は、IPパケットに対応するPhase2セッション情報が存在する場合は処理をS502へ進め、発見されたPhase2セッション情報にそのIPパケットを登録し、処理を終了する。IPパケットに対応するPhase2セッション情報が存在しない場合は、IKE処理部304は、処理をS503へ進める。
The
S503では、IKE処理部304は、IPsec処理部より受け取ったIPパケットの情報に基づいてPhase2セッション情報を生成して、生成したPhase2セッション情報にそのIPパケットを登録する。また、IKE処理部304は、Phase2管理部303にPhase2セッション情報の登録を行い、処理をS504へ進める。なお、ここでのIPパケットの情報は、例えば、送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先のポート番号の情報を含む。
In step S503, the
IKE処理部304は、S504において、送信元と宛先IPアドレスの情報を基にIKE Policy管理部301からIPパケットに対応するIKE Policyを検索し、処理をS505へ進める。S505では、IKE処理部304は、IPパケットに対応するIKE Policyが存在するかどうかを判定し、そのようなIKE Policy存在しない場合は、処理をS507へ進める。この場合、IKE処理部304は、IKE Policyが存在しないため、Phase1セッションの開始ができない。このため、IKE処理部304は、S507において、生成したPhase2セッション情報と、受け取ったIPパケットとを削除し、処理を終了する。
In step S504, the
一方、IPパケットに対応するIKE Policyが存在する場合は、IKE処理部304は、処理をS506へ進める。S506においては、IKE処理部304は、送信元と宛先のIPアドレスの情報に基づいて、Phase1セッション情報を生成してPhase1管理部302に登録し、Phase1セッションを実行する。そして、IKE処理部304は、S508において、Phase1セッションが正常に終了したかを確認し、正常に終了しなかった場合は、処理をS509へ進める。S509では、IKE処理部304は、生成したPhase1セッション情報を削除する。
On the other hand, if there is an IKE Policy corresponding to the IP packet, the
一方、S509においては、送信元と宛先のIPアドレスが同一の、セッション中のPhase1セッション情報がPhase1管理部に存在する場合は、生成されたPhase2セッション情報とIPパケットは削除されない。同様に、送信元と宛先のIPアドレス、プロトコル番号、及び送信元と宛先のポート番号が同一の、セッション中のPhase2セッション情報がPhase2管理部に存在する場合、生成されたPhase2セッション情報とIPパケットは削除されない。すなわち、これらの場合は、生成されたPhase2セッション情報とIPパケットは削除されず、Phase2管理部に残される。セッション中のPhase1セッション情報又はPhase2セッション情報が存在しない場合は、IKE処理部304は、生成したPhase2セッション情報と受け取ったIPパケットとを削除し、処理を終了する。
On the other hand, in S509, when the Phase 1 session information in the session having the same source and destination IP addresses exists in the Phase 1 management unit, the generated Phase 2 session information and the IP packet are not deleted. Similarly, when Phase 2 session information in the session having the same source and destination IP addresses, protocol numbers, and source and destination port numbers exists in the Phase 2 management unit, the generated Phase 2 session information and IP packet Is not deleted. That is, in these cases, the generated Phase 2 session information and the IP packet are not deleted, and are left in the Phase 2 management unit. If there is no Phase 1 session information or Phase 2 session information in the session, the
一方、S508において、Phase1セッションが正常に終了すると、続いて、IKE処理部304は、IKE処理のPhase2セッションを実行する。続いて、IKE処理部304において処理されるIKE処理のPhase2セッションの動作について、図4のフローチャートを用いて説明する。
On the other hand, when the Phase 1 session ends normally in S508, the
IKE処理部304は、Phase1セッションが成功したことに応じて、Phase2セッション処理を開始する。IKE処理部304は、まず、S601において、送信元と宛先のIPアドレスの情報に基づいて、Phase2管理部303からPhase2セッション情報を取得する。続いて、IKE処理部304は、S602において、送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先ポート番号の情報に基づいて、SP管理部201よりIPパケットに対応するSPを検索する。そして、IKE処理部304は、S603において、IPパケットに対応するSPが存在するかどうかを確認し、存在しない場合は処理をS605へ進め、Phase2セッション情報とIPパケットとを削除して処理を終了する。
The
一方、IPパケットに対応するSPが存在する場合は、IKE処理部304は、S604において、Phase2セッションを実行して、処理をS606へ進める。S606では、IKE処理部304は、Phase2セッションが成功したかを判定し、失敗した場合は処理をS607へ進め、成功した場合は処理をS608に進める。S607では、送信元と宛先のIPアドレスが同一の、セッション中のPhase1セッション情報がPhase1管理部に存在する場合は、生成されたPhase2セッション情報とIPパケットは削除されない。同様に、送信元と宛先のIPアドレス、プロトコル番号、及び送信元と宛先のポート番号が同一の、セッション中のPhase2セッション情報がPhase2管理部に存在する場合、生成されたPhase2セッション情報とIPパケットは削除されない。すなわち、これらの場合、生成されたPhase2セッション情報とIPパケットは削除されずにPhase2管理部に残される。一方、IKE処理部304は、セッション中のPhase1セッション情報又はPhase2セッション情報が存在しない場合は、生成したPhase2セッション情報と受け取ったIPパケットとを削除し、処理を終了する。
On the other hand, if there is an SP corresponding to the IP packet, the
S608では、IKE処理部304は、Phase2セッションにより確立されたSAがSA管理部202に登録された後に、IPパケットを代理送信するため、プロトコル処理部101にIPパケットを渡す。S609では送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先ポート番号の情報に基づいて、同じ相手方装置についてのPhase2セッション情報がPhase2管理部303に存在しないかチェックする。そして、IKE処理部304は、同じ相手方装置についてのPhase2セッション情報が存在しない場合は処理を終了する。同じ相手方装置についてのPhase2セッション情報が存在し、IPパケットがPhase2セッション情報に登録されている場合は、IKE処理部304は、処理をS608へ戻し、IPパケットの代理送信を実行する。S608とS609は同じ通信相手のPhase2セッション情報が存在する場合は繰り返し行う。
In step S <b> 608, the
以上のように、本実施形態においては、通信セッション単位でセキュリティ確保のための処理(SAの確立、及びそのためのIKE処理)を行う。そして、その処理が完了しておらず、セキュリティが確保されていないセッションにおいて送信すべき信号(IPパケット)が生じると、IPパケットはセッションに関連付けられて保持される(Phase1セッション情報、Phase2セッション情報)。そして、そのIPパケットに関連付けられたセッションについてのセキュリティ確保のための処理が完了した後に、そのIPパケットが送信される。これにより、あるセッションについてSAの確立が完了した時点において、そのセッションに対してIPパケットが対応付けられている状態となるため、キューからIPパケットを検索する処理が不要となる。また、IPパケットは、SAの確立まで保持されるため、破棄されることがなくなり、パケットロスの状態となることがなくなり、その結果、通信データの再送または欠落が生じなくなる。 As described above, in the present embodiment, processing for ensuring security (SA establishment and IKE processing therefor) is performed for each communication session. When a signal (IP packet) to be transmitted is generated in a session in which the processing is not completed and security is not ensured, the IP packet is held in association with the session (Phase 1 session information, Phase 2 session information). ). Then, after the processing for ensuring security for the session associated with the IP packet is completed, the IP packet is transmitted. As a result, when the establishment of SA for a session is completed, an IP packet is associated with the session, so that the process of searching for an IP packet from the queue becomes unnecessary. Further, since the IP packet is held until the SA is established, it is not discarded and no packet loss occurs, and as a result, communication data is not retransmitted or lost.
<<実施形態2>>
本実施形態では、相手方装置との間で、イニシエータ及びレスポンダとして同時鍵交換が実行される際、Phase2セッションにおいてイニシエータとしての処理が失敗し、レスポンダとしての処理が成功した場合を検討する。この場合の、IKE処理部304によるIPパケットの代理送信処理について、図5のフローチャートを用いて以下説明する。
<< Embodiment 2 >>
In the present embodiment, when simultaneous key exchange is executed as an initiator and a responder with a counterpart apparatus, a case where the process as the initiator fails in the Phase 2 session and the process as the responder succeeds is considered. The IP packet proxy transmission processing by the
IKE処理部304は、まず、S701のIKE Policyに基づいてイニシエータ及びレスポンダとして、Phase1セッションを実行する。そして、IKE処理部304は、S702において、実行された鍵交換がイニシエータとして行われたものかレスポンダとして行われたものかをチェックし、イニシエータとして行われたものである場合は処理をS703へ進める。一方、実行された鍵交換がレスポンダとして行われたものである場合は、IKE処理部304は、処理をS704へ進める。S703では、IKE処理部304は、Phase2セッション情報を生成後、そのPhase2セッションに関連付けてIPパケットを登録し、処理をS704へ進める。
The
IKE処理部304は、Phase1セッションがS704において正常終了すると、S705において、IPsec SPに基づいてPhase2セッションを開始する。続いて、S706において、IKE処理部304は、レスポンダとしてのPhase2セッションが成功したか失敗したかを判定し、失敗した場合は処理を終了し、成功した場合は、処理をS707へ進める。S707では、IKE処理部304は、同時鍵交換で失敗したイニシエータとしてのPhase2セッションが存在するかどうかを判定し、存在しない場合は処理を終了し、存在する場合は処理をS708へ進める。S708では、IKE処理部304は、見つかった同時鍵交換で失敗したイニシエータとしてのPhase2セッション情報にIPパケットが登録されている場合、そのIPパケットの代理送信を行い、処理を終了する。
When the Phase 1 session ends normally in S704, the
このように、本実施形態では、通信装置は、イニシエータとしてのIKE処理が失敗した場合であっても、レスポンダとしてのIKE処理が成功していれば、その成功したIKE処理によって交換した鍵を用いてセキュリティを確保することが可能となる。一方、通信装置は、イニシエータとしてIKE処理が成功していれば、IPsecによりセキュリティを確保して信号を送信することができる。このとき、レスポンダとしてIKE処理が失敗した場合でも、相手方装置が、その成功したIKE処理に基づくIPsecによりセキュリティを確保して信号を送信することができる。すなわち、IPパケットは、セッションに関連付けられて保持されるところ、そのセッションに関連付けられた複数のIKE処理のいずれかが成功さえすれば、IPsecによるセキュリティを確保した通信を行うことができる。この結果、1つのセッションに関連付けられた複数のIKE処理のうち、いずれかが成功すればよいため、IKE処理が失敗してパケットを破棄する確率を低減することができる。 As described above, in this embodiment, even if the IKE process as the initiator fails, the communication apparatus uses the key exchanged by the successful IKE process if the IKE process as the responder is successful. Security. On the other hand, if the IKE process is successful as an initiator, the communication device can transmit a signal while ensuring security by IPsec. At this time, even if the IKE process fails as a responder, the counterpart apparatus can transmit a signal while ensuring security by IPsec based on the successful IKE process. That is, an IP packet is held in association with a session, and as long as any one of a plurality of IKE processes associated with the session succeeds, communication with security secured by IPsec can be performed. As a result, any one of the plurality of IKE processes associated with one session only needs to be successful, so that the probability that the IKE process fails and the packet is discarded can be reduced.
なお、上述の2つの実施形態では、通信装置においてSAが確立されていない場合に送信すべきIPパケットが生じたことにより、イニシエータとしてIKE処理を実行する場合について説明したが、これに限られない。すなわち、SAが確立されていないセッションにおいて送信すべきIPパケットが生じたとしても、通信装置は、IKE処理を自らイニシエータとして開始する必要はない。例えば、送信すべきIPパケットの宛先である相手方装置が、既にイニシエータとしてIKE処理を実行している場合は、通信装置は、自らをレスポンダとしたIKE処理が完了するのを待ってもよい。そして、IPパケットは、進行中のIKE処理についてのセッションに関連付けられて保持され、IKE処理が完了した後に、IPsecによる暗号化を施された後に相手方装置へ送信されてもよい。すなわち、IPパケットは、通信装置が開始したIKE処理の完了後、又は相手方装置が開始したIKE処理の完了後のいずれかに送信されればよい。また、通信装置は、相手方装置がIKE処理を開始していない場合に限ってイニシエータとしてIKE処理を開始するようにしてもよいし、相手方装置がIKE処理を開始しているかによらず、自らをイニシエータとしたIKE処理を別途開始してもよい。 In the above-described two embodiments, the case where the IKE process is executed as an initiator due to the occurrence of an IP packet to be transmitted when the SA is not established in the communication apparatus has been described. However, the present invention is not limited to this. . That is, even if an IP packet to be transmitted occurs in a session for which SA is not established, the communication apparatus does not need to start the IKE process as an initiator. For example, when the counterpart apparatus that is the destination of the IP packet to be transmitted has already executed the IKE process as an initiator, the communication apparatus may wait for the IKE process with itself as a responder to be completed. Then, the IP packet may be held in association with the session for the IKE process in progress, and after the IKE process is completed, the IP packet may be encrypted and transmitted to the counterpart apparatus. That is, the IP packet may be transmitted either after completion of the IKE process started by the communication apparatus or after completion of the IKE process started by the counterpart apparatus. In addition, the communication device may start the IKE process as an initiator only when the counterpart device has not started the IKE process, or the communication device may start itself regardless of whether the counterpart device has started the IKE process. The IKE process using the initiator may be started separately.
<<その他の実施形態>>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
<< Other Embodiments >>
The present invention can also be realized by executing the following processing. That is, software (program) that realizes the functions of the above-described embodiments is supplied to a system or apparatus via a network or various storage media, and a computer (or CPU, MPU, etc.) of the system or apparatus reads the program. It is a process to be executed.
Claims (12)
前記信号に関連付けられているセッションについてのセキュリティ確保のための処理が完了した場合に、前記信号を相手方装置へ送信する送信手段と、
を有することを特徴とする通信装置。 For a session for which security is not ensured, when a signal to be transmitted occurs, holding means for holding the signal in association with the session;
A transmission means for transmitting the signal to the counterpart device when processing for ensuring security for the session associated with the signal is completed;
A communication apparatus comprising:
前記送信手段は、当該鍵交換処理が完了した後に、交換した鍵を用いて暗号化を施した後の前記信号を送信する、
ことを特徴とする請求項1に記載の通信装置。 The security ensuring process is a key exchange process with the counterpart device,
The transmission means transmits the signal after encryption using the exchanged key after the key exchange processing is completed.
The communication apparatus according to claim 1.
前記送信手段は、前記通信装置が開始した前記セキュリティ確保のための処理が完了した後に、当該処理に対応する前記セッションに関連付けられた前記信号を送信する、
ことを特徴とする請求項1又は2に記載の通信装置。 A start means for starting the process for ensuring security when a signal to be transmitted occurs in a session where security is not ensured;
The transmission unit transmits the signal associated with the session corresponding to the process after the process for ensuring security started by the communication apparatus is completed.
The communication apparatus according to claim 1 or 2, wherein
ことを特徴とする請求項3に記載の通信装置。 The starting means performs the processing when a signal to be transmitted is generated in a session where security is not secured and the counterpart device has not started processing for securing the security corresponding to the session. Start,
The communication apparatus according to claim 3.
ことを特徴とする請求項4に記載の通信装置。 When the transmission means generates a signal to be transmitted in a session in which security is not ensured, if the counterpart device has started the process for ensuring security corresponding to the session, the process is completed. Waiting to send the signal associated with the session,
The communication apparatus according to claim 4.
ことを特徴とする請求項5に記載の通信装置。 The start means starts the process when the counterpart apparatus has started the process for ensuring the security corresponding to the session when a signal to be transmitted is generated in the session where the security is not ensured. do not do,
The communication apparatus according to claim 5.
ことを特徴とする請求項1又は2に記載の通信装置。 The transmission means transmits the signal associated with the session corresponding to the processing after the processing for ensuring security started by the counterpart device is completed.
The communication apparatus according to claim 1 or 2, wherein
ことを特徴とする請求項1又は2に記載の通信装置。 The transmission means transmits the signal associated with the session after one of the processes for ensuring security started by the communication device and the counterpart device for one session is completed.
The communication apparatus according to claim 1 or 2, wherein
ことを特徴とする請求項1から8のいずれか1項に記載の通信装置。 When the process for ensuring security fails, the holding means deletes the signal for the session corresponding to the process,
The communication apparatus according to claim 1, wherein the communication apparatus is configured as described above.
ことを特徴とする請求項1から9のいずれか1項に記載の通信装置。 The transmission unit repeats the transmission of the signal after the process for ensuring the security is completed until there is no signal held associated with the session corresponding to the process,
The communication apparatus according to any one of claims 1 to 9, wherein
保持手段が、セキュリティが確保されていないセッションについて、送信すべき信号が生じた場合、当該セッションと関連付けて当該信号を保持する保持工程と、
送信手段が、前記信号に関連付けられているセッションについてのセキュリティ確保のための処理が完了した場合に、前記信号を相手方装置へ送信する送信工程と、
を有することを特徴とする通信方法。 A communication method in a communication device,
A holding step of holding a signal in association with the session when a signal to be transmitted is generated for a session for which security is not secured;
When the transmission means completes the process for ensuring security for the session associated with the signal, a transmission step of transmitting the signal to the counterpart device;
A communication method characterized by comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013040032A JP6228370B2 (en) | 2013-02-28 | 2013-02-28 | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013040032A JP6228370B2 (en) | 2013-02-28 | 2013-02-28 | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2014168204A true JP2014168204A (en) | 2014-09-11 |
JP2014168204A5 JP2014168204A5 (en) | 2016-03-24 |
JP6228370B2 JP6228370B2 (en) | 2017-11-08 |
Family
ID=51617675
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013040032A Active JP6228370B2 (en) | 2013-02-28 | 2013-02-28 | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6228370B2 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07288870A (en) * | 1994-04-15 | 1995-10-31 | Kyocera Corp | Control system for portable telephone set |
JP2005354556A (en) * | 2004-06-14 | 2005-12-22 | Matsushita Electric Ind Co Ltd | Key exchanging device, system, and method, and encryption communication system |
JP2009060245A (en) * | 2007-08-30 | 2009-03-19 | Seiko Epson Corp | Communication control method, program and communication device |
JP2009081779A (en) * | 2007-09-27 | 2009-04-16 | Oki Semiconductor Co Ltd | Communication path establishing method and system |
JP2010028666A (en) * | 2008-07-23 | 2010-02-04 | Toshiba Corp | Electronic device and communication control method |
JP2011205435A (en) * | 2010-03-26 | 2011-10-13 | Casio Computer Co Ltd | Terminal and program |
-
2013
- 2013-02-28 JP JP2013040032A patent/JP6228370B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07288870A (en) * | 1994-04-15 | 1995-10-31 | Kyocera Corp | Control system for portable telephone set |
JP2005354556A (en) * | 2004-06-14 | 2005-12-22 | Matsushita Electric Ind Co Ltd | Key exchanging device, system, and method, and encryption communication system |
JP2009060245A (en) * | 2007-08-30 | 2009-03-19 | Seiko Epson Corp | Communication control method, program and communication device |
JP2009081779A (en) * | 2007-09-27 | 2009-04-16 | Oki Semiconductor Co Ltd | Communication path establishing method and system |
JP2010028666A (en) * | 2008-07-23 | 2010-02-04 | Toshiba Corp | Electronic device and communication control method |
JP2011205435A (en) * | 2010-03-26 | 2011-10-13 | Casio Computer Co Ltd | Terminal and program |
Also Published As
Publication number | Publication date |
---|---|
JP6228370B2 (en) | 2017-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3635939B1 (en) | Seamless mobility and session continuity with tcp mobility option | |
EP3866434B1 (en) | Message sending method and network device | |
Jokela et al. | Using the encapsulating security payload (ESP) transport format with the host identity protocol (HIP) | |
JP5969689B2 (en) | Redundancy for real-time communication | |
US8843738B2 (en) | TLS abbreviated session identifier protocol | |
US9197616B2 (en) | Out-of-band session key information exchange | |
US9350711B2 (en) | Data transmission method, system, and apparatus | |
JP3629237B2 (en) | Node device and communication control method | |
US8782772B2 (en) | Multi-session secure tunnel | |
US20140095862A1 (en) | Security association detection for internet protocol security | |
WO2019114703A1 (en) | Secure communication method, apparatus and device | |
WO2010003335A1 (en) | Method, system and device for negotiating security association (sa) in ipv6 network | |
JP2010273225A (en) | Packet transmitting/receiving system, packet transmitting/receiving apparatus, and packet transmitting/receiving method | |
CN114095195B (en) | Method, network device, and non-transitory computer readable medium for adaptive control of secure socket layer proxy | |
CN109040059B (en) | Protected TCP communication method, communication device and storage medium | |
KR100948604B1 (en) | Security method of mobile internet protocol based server | |
US9467471B2 (en) | Encrypted communication apparatus and control method therefor | |
WO2010091579A1 (en) | Method and client for packet tranmission based on the virtual private network tunnel | |
JP2006352500A (en) | Processor and method for automatic key replacement processing | |
WO2012171379A1 (en) | Method, device and system for nat traversal of ipsec in ah mode | |
KR101971995B1 (en) | Method for decryping secure sockets layer for security | |
JP6228370B2 (en) | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM | |
JP2009060245A (en) | Communication control method, program and communication device | |
JP2008199420A (en) | Gateway device and authentication processing method | |
JP2012160941A (en) | Information processing device, information processing method and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160203 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160203 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170224 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170324 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170518 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170915 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171013 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6228370 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |