JP2014168204A - Communication device, communication method, and program - Google Patents

Communication device, communication method, and program Download PDF

Info

Publication number
JP2014168204A
JP2014168204A JP2013040032A JP2013040032A JP2014168204A JP 2014168204 A JP2014168204 A JP 2014168204A JP 2013040032 A JP2013040032 A JP 2013040032A JP 2013040032 A JP2013040032 A JP 2013040032A JP 2014168204 A JP2014168204 A JP 2014168204A
Authority
JP
Japan
Prior art keywords
session
signal
packet
security
ike
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013040032A
Other languages
Japanese (ja)
Other versions
JP2014168204A5 (en
JP6228370B2 (en
Inventor
Akihisa Kinoshita
暁央 木下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2013040032A priority Critical patent/JP6228370B2/en
Publication of JP2014168204A publication Critical patent/JP2014168204A/en
Publication of JP2014168204A5 publication Critical patent/JP2014168204A5/ja
Application granted granted Critical
Publication of JP6228370B2 publication Critical patent/JP6228370B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To reduce an amount of packets to be discarded, with a low processing amount.SOLUTION: When a signal to be transmitted using a session whose security is not secured is generated, a communication device holds the signal in association with the session. When processing for securing security of the session associated with the signal is completed, the communication device transmits the signal to a partner device.

Description

本発明はセキュリティを確保した通信のための技術に関する。   The present invention relates to a technique for communication with security.

近年、ネットワーク上におけるセキュリティの重要性が高まってきており、特に、暗号化通信によるセキュリティの確保の重要性が高まってきている。現在、セキュリティプロトコルとして幾つかのプロトコルが存在し、IPsec(Security Architecture for Internet Protocol)がその中に含まれる。IPsecは、AH(Authentication Header)プロトコルとESP(Encapsulating Security Payload)プロトコルとを含む。AHプロトコルは、送信元の認証とデータの完全性保証を提供する機能であり、ESPプロトコルはIPパケットの機密性の確保と安全性保証と送信元の認証を提供する機能である。IPsecは、IPレベル(OSI参照モデルではネットワーク層)で実現されるセキュリティプロトコルであるため、IPパケット単位でAH及びESPのIPsec処理が行われる。   In recent years, the importance of security on networks has increased, and in particular, the importance of ensuring security by encrypted communication has increased. At present, there are several protocols as security protocols, including IPsec (Security Architecture for Internet Protocol). IPsec includes an AH (Authentication Header) protocol and an ESP (Encapsulating Security Payload) protocol. The AH protocol is a function that provides source authentication and data integrity guarantee, and the ESP protocol is a function that provides IP packet confidentiality, security guarantee, and sender authentication. Since IPsec is a security protocol implemented at the IP level (network layer in the OSI reference model), AH and ESP IPsec processing is performed in units of IP packets.

なお、IPsecの処理では、通信装置は、AHやESPで使用するアルゴリズム、鍵等のパラメータを持つIPsec SA(Security Association)を使用する(非特許文献1参照)。また、通信装置は、IPsecにおいて、鍵管理プロトコルであるIKEを利用した相手方装置との鍵交換により、IPsec SAを確立する(非特許文献2参照)。   In the IPsec processing, the communication device uses IPsec SA (Security Association) having parameters such as algorithms and keys used in AH and ESP (see Non-Patent Document 1). Further, the communication apparatus establishes IPsec SA in IPsec by exchanging keys with a counterpart apparatus using IKE which is a key management protocol (see Non-Patent Document 2).

通信装置は、IPsecによるIPパケットの送信を開始する際にIPsec SAが確立されていない場合は、IKE(Internet Key Exchange)を用いてIPsec SAを構築する。このとき、通信装置は、自らがIKE要求を相手方装置へ発行することとなるため、イニシエータ(Initiator)として相手方装置との間でIPsec SAを確立する。なお、通信装置は、IPsec SAを確立するまでは、IPsecの処理を行うことはできない。ここで、IPsecの処理を行うことができない場合のIPパケットの処理方式には、IPsec SAが確立されるまでの期間において、IPパケットを破棄する方式とIPパケットをキューに格納する方式(特許文献1参照)とがある。   When the IPsec SA is not established when starting the transmission of the IP packet by IPsec, the communication apparatus constructs the IPsec SA using IKE (Internet Key Exchange). At this time, since the communication device itself issues an IKE request to the counterpart device, it establishes an IPsec SA with the counterpart device as an initiator. Note that the communication device cannot perform IPsec processing until IPsec SA is established. Here, as a method of processing an IP packet when IPsec processing cannot be performed, a method of discarding an IP packet and a method of storing an IP packet in a queue during a period until IPsec SA is established (Patent Document) 1).

特開2009−60245号公報JP 2009-60245 A

IPsec(RFC2401、RFC2402、RFC2406)IPsec (RFC2401, RFC2402, RFC2406) IKE(RFC2408、RFC2409)IKE (RFC2408, RFC2409)

しかしながら、IPパケットを破棄する方式は、IPsec SAが確立されるまでの期間、パケットロスの状態になるため、再送の発生による通信の遅延や通信データの欠落が発生するという課題があった。   However, the method for discarding the IP packet has a problem that a packet loss occurs during the period until the IPsec SA is established, which causes a communication delay due to retransmission and a loss of communication data.

一方、IPパケットをキューに格納する方式は、IPsec機能がIKE機能へIPsec SA確立要求行い、IKE機能がその要求に応じてイニシエータとしてIKE処理を行い、IPsec SAを確立する。IPsec機能はIKE機能からのIPsec SA確立通知を受け取った後、確立したIPsec SAに対応するIPパケットをキューから取り出してIPsec処理を行った上でIPパケットの送信を行う。したがって、IPsec SAの確立後、キューから確立したIPsec SAに対応するIPパケットを探索するための、一定の処理量及び処理時間が要求されるという課題があった。   On the other hand, in the method of storing IP packets in a queue, the IPsec function makes an IPsec SA establishment request to the IKE function, and the IKE function performs an IKE process as an initiator in response to the request to establish an IPsec SA. After receiving the IPsec SA establishment notification from the IKE function, the IPsec function takes out an IP packet corresponding to the established IPsec SA from the queue, performs an IPsec process, and then transmits the IP packet. Therefore, after establishing the IPsec SA, there is a problem that a certain amount of processing and processing time are required to search for an IP packet corresponding to the IPsec SA established from the queue.

また、相手方装置がイニシエータとして、そして通信装置がレスポンダ(Responder)として実行されるIKE処理と、その逆の役割によるIKE処理とが同時に実行される場合がある。ここで、通信装置では、イニシエータとして実行したIKE処理が失敗すると、IPsec機能がIPsec SA確立失敗通知を受け取り、キューに格納したIPパケットが削除される。このため、通信装置がレスポンダとして実行したIKE処理が成功し、レスポンダによって使用できるIPsec SAが確立している場合であっても、IPパケットが削除され、送信されなくなってしまう、という課題があった。   In some cases, an IKE process executed by the counterpart apparatus as an initiator and a communication apparatus as a responder, and an IKE process by the opposite role are executed simultaneously. Here, in the communication apparatus, when the IKE process executed as the initiator fails, the IPsec function receives an IPsec SA establishment failure notification, and the IP packet stored in the queue is deleted. For this reason, even if the IKE process executed by the communication device as a responder succeeds and an IPsec SA that can be used by the responder is established, there is a problem that the IP packet is deleted and cannot be transmitted. .

本発明は上記課題に鑑みなされたものであり、上述の課題の少なくとも1つを解消することを目的とする。   The present invention has been made in view of the above problems, and an object thereof is to solve at least one of the above problems.

上記目的を達成するため、本発明による通信装置は、セキュリティが確保されていないセッションについて、送信すべき信号が生じた場合、当該セッションと関連付けて当該信号を保持する保持手段と、前記信号に関連付けられているセッションについてのセキュリティ確保のための処理が完了した場合に、前記信号を相手方装置へ送信する送信手段と、を有する。   In order to achieve the above object, when a signal to be transmitted is generated for a session for which security is not ensured, the communication device according to the present invention associates the session with the holding means for retaining the signal in association with the session. Transmitting means for transmitting the signal to the counterpart device when the process for ensuring the security of the session being completed is completed.

本発明によれば、低処理量で、破棄されるパケットの量を低減することができる。   According to the present invention, the amount of discarded packets can be reduced with a low processing amount.

通信装置の機能構成例を示すブロック図。The block diagram which shows the function structural example of a communication apparatus. IPsec処理部がIKE処理部に対して行うSA確立要求の処理を示すフローチャート。The flowchart which shows the process of the SA establishment request | requirement which an IPsec process part performs with respect to an IKE process part. IKE処理部のPhase1セッションの処理を示すフローチャート。The flowchart which shows the process of Phase1 session of an IKE process part. IKE処理部のPhase2セッションの処理を示すフローチャート。The flowchart which shows the process of Phase2 session of an IKE process part. イニシエータ及びレスポンダとしての同時鍵交換時にイニシエータが失敗し、レスポンダが成功した際の処理を示すフローチャート。The flowchart which shows a process when an initiator fails at the time of simultaneous key exchange as an initiator and a responder, and a responder succeeds.

以下、本発明の実施の形態について図面に基づき説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

<<実施形態1>>
本実施形態では、IPsec通信時に通信セッションについてSAが確立されていない場合、IKEによりSAが確立されるまでその通信セッションと関連付けてIPパケットを保持し、SA確立後にIKEが代理送信を行う。図1は、本実施形態に係る通信装置の機能構成例を示すブロック図である。 << Embodiment 1 >>
In the present embodiment, when the SA is not established for the communication session during IPsec communication, the IP packet is held in association with the communication session until the SA is established by the IKE, and the IKE performs proxy transmission after the SA is established. FIG. 1 is a block diagram illustrating a functional configuration example of a communication apparatus according to the present embodiment.

図1において、通信装置は、プロトコル処理部101、IPsec処理機能部102、IKE処理機能部103、及びネットワークインタフェース部104を有する。なお、IPsec処理機能部102は、例えば、SP管理部201、SA管理部202、及びIPsec処理部203を有する。なお、SPは、Security Policyの略である。また、IKE処理機能部103は、例えば、IKE Policy管理部301、Phase1(ISAKMP SA)管理部302、Phase2管理部303、及びIKE処理部304を有する。   In FIG. 1, the communication apparatus includes a protocol processing unit 101, an IPsec processing function unit 102, an IKE processing function unit 103, and a network interface unit 104. Note that the IPsec processing function unit 102 includes, for example, an SP management unit 201, an SA management unit 202, and an IPsec processing unit 203. Note that SP is an abbreviation for Security Policy. The IKE processing function unit 103 includes, for example, an IKE Policy management unit 301, a Phase 1 (ISAKMP SA) management unit 302, a Phase 2 management unit 303, and an IKE processing unit 304.

プロトコル処理部101は、OSI参照モデルにおけるネットワーク層以上の上位層の処理を行う機能部であり、ネットワークを介して通信をするための処理を行う。プロトコル処理部101は、ネットワークインタフェース部104へIPパケットを渡す。   The protocol processing unit 101 is a functional unit that performs processing of higher layers above the network layer in the OSI reference model, and performs processing for communication via the network. The protocol processing unit 101 passes the IP packet to the network interface unit 104.

IPsec処理機能部102は、プロトコル処理部101から受け取ったIPパケットに対してIPsecの適用処理を行い、IPsec適用後のIPパケットをプロトコル処理部101に渡す。   The IPsec processing function unit 102 performs an IPsec application process on the IP packet received from the protocol processing unit 101, and passes the IP packet after the IPsec application to the protocol processing unit 101.

IKE処理機能部103は、IPsec処理機能部102からの要求、又は通信の相手方装置からの要求により、通信相手とSA確立のための鍵交換処理を行う。そして、IKE処理機能部103は、プロトコル処理部101に対して、鍵交換処理における信号の送信時にはISAKMPメッセージを渡し、信号の受信時にはISAKMPメッセージを受け取る。   The IKE processing function unit 103 performs key exchange processing for SA establishment with the communication partner in response to a request from the IPsec processing function unit 102 or a request from the communication partner device. Then, the IKE processing function unit 103 passes the ISAKMP message to the protocol processing unit 101 when transmitting a signal in the key exchange process, and receives the ISAKMP message when receiving the signal.

ネットワークインタフェース部104は、OSI参照モデルにおけるデータリンク層と物理層の処理を行う機能部であり、IPパケットをネットワーク上へ送信する。   The network interface unit 104 is a functional unit that performs processing of the data link layer and the physical layer in the OSI reference model, and transmits IP packets onto the network.

なお、以下に示す暗号化通信方式において用いられるIPパケットデータは、インターネット上で送受信される1単位のデータである。なお、以下では、IPパケットデータの組成手法については説明を省略するが、IPパケットデータは、一般的な手法を用いて組成することができる。   Note that the IP packet data used in the following encrypted communication method is a unit of data transmitted and received on the Internet. In the following, description of the composition method of the IP packet data is omitted, but the IP packet data can be composed using a general method.

また、暗号化通信を始める前に必要となる鍵交換は、IKEまたはSSLといった方法を利用して行うものとし、詳細な説明を省略する。   The key exchange required before starting encrypted communication is performed using a method such as IKE or SSL, and detailed description thereof is omitted.

次に、IPsec処理機能部102について説明する。SP管理部201は、実際にIPsecによるセキュリティ処理を適用するかどうかについての情報が登録されるSPD(Security Policy Database)を管理する。SA管理部202は、IPパケットに対して行うIPsec処理に関する情報(IPsec SA)が格納されるSAD(Security Association Database)を管理する。なお、SP管理部201とSA管理部202は、通常のIPsecを利用した暗号化通信において利用されるものと同様であるため、詳細な説明は省略する。   Next, the IPsec processing function unit 102 will be described. The SP management unit 201 manages an SPD (Security Policy Database) in which information on whether or not to actually apply IPsec security processing is registered. The SA management unit 202 manages a Security Association Database (SAD) in which information (IPsec SA) related to IPsec processing performed on an IP packet is stored. The SP management unit 201 and the SA management unit 202 are the same as those used in encrypted communication using normal IPsec, and thus detailed description thereof is omitted.

IPsec処理部203は、プロトコル処理部101から受け取ったIPパケットに対してIPsecを適用する。IPsec処理部203は、送信時の処理において、IPパケットに対してIPsecを適用するかどうかを判定する。このため、IPsec処理部203は、まず、IPパケットの送信元IPアドレス、宛先IPアドレス、プロトコル、ポート番号などの情報に基づき、SP管理部201で管理されているSPDからIPパケットに対応するSPを検索する。そして、IPパケットに対応するSPが「破棄」を示す場合には、IPsec処理部203はそのIPパケットを破棄する。また、IPパケットに対応するSPが「IPsecを適用しない」旨を示す場合は、IPsec処理部203は、IPsecを適用せずに、そのIPパケットをプロトコル処理部101に渡す。   The IPsec processing unit 203 applies IPsec to the IP packet received from the protocol processing unit 101. The IPsec processing unit 203 determines whether or not to apply IPsec to the IP packet in the transmission process. For this reason, the IPsec processing unit 203 first starts the SP corresponding to the IP packet from the SPD managed by the SP management unit 201 based on information such as the source IP address, destination IP address, protocol, and port number of the IP packet. Search for. When the SP corresponding to the IP packet indicates “discard”, the IPsec processing unit 203 discards the IP packet. When the SP corresponding to the IP packet indicates that “IPsec is not applied”, the IPsec processing unit 203 passes the IP packet to the protocol processing unit 101 without applying IPsec.

一方、IPパケットに対応するSPが「IPsecを適用する」旨を示す場合は、IPsec処理部203は、SA管理部202で管理されているSADから、そのIPパケットに対応するSAを検索する。そして、そのIPパケットに対応するSAが確立されている場合は、IPsec処理部203は、SAに記載されているアルゴリズムや鍵を利用して、そのIPパケットに対する暗号化処理を実行する。そして、暗号化処理後のIPパケットはプロトコル処理部101に渡される。IPパケットに対応するSAが確立されていない場合は、IPsec処理部203は、そのIPパケットをIKE処理機能部103に渡し、SA確立要求を行う。   On the other hand, when the SP corresponding to the IP packet indicates that “IPsec is applied”, the IPsec processing unit 203 searches the SAD managed by the SA management unit 202 for the SA corresponding to the IP packet. When the SA corresponding to the IP packet is established, the IPsec processing unit 203 executes an encryption process for the IP packet using an algorithm and a key described in the SA. Then, the IP packet after encryption processing is passed to the protocol processing unit 101. If the SA corresponding to the IP packet has not been established, the IPsec processing unit 203 passes the IP packet to the IKE processing function unit 103 and makes an SA establishment request.

IPsec処理部203は、受信時の処理において、受信したIPパケットに対してIPsecが適用されているかどうかを判定する。そして、そのIPパケットにIPsecが適用されていない場合は、IPsec処理部203は、SP管理部201に管理されているSPDからSPを検索する。そして、受信したIPパケットに対応するSPが「破棄」を示す場合は、IPsec処理部203は、そのIPパケットを破棄する。また受信したIPパケットに対応するSPが「IPsecを適用する」旨を示す場合は、この受信したIPパケットにはIPsecが適用されていないため、IPsec処理部203はこのIPパケットを破棄する。また受信したIPパケットに対応するSPが「IPsecを適用しない」旨を示す場合は、IPsec処理部203は、受信したIPパケットと条件が一致するため、プロトコル処理部101にIPパケットを渡す。   The IPsec processing unit 203 determines whether IPsec is applied to the received IP packet in the reception process. If IPsec is not applied to the IP packet, the IPsec processing unit 203 searches the SP from the SPD managed by the SP management unit 201. When the SP corresponding to the received IP packet indicates “discard”, the IPsec processing unit 203 discards the IP packet. When the SP corresponding to the received IP packet indicates that “IPsec is applied”, since IPsec is not applied to the received IP packet, the IPsec processing unit 203 discards the IP packet. When the SP corresponding to the received IP packet indicates that “IPsec is not applied”, the IPsec processing unit 203 passes the IP packet to the protocol processing unit 101 because the conditions match the received IP packet.

受信したIPパケットに対してIPsecが適用されている場合、IPsec処理部203は、まず、SA管理部202に管理されているSADから、そのIPパケットに対応するSAを検索する。そして、IPsec処理部203は、SAに記載されているアルゴリズムや鍵を利用して、そのIPパケットに対して復号化処理を実行する。次に、IPsec処理部203は、復号化処理が行われた後に、SPDからそのIPパケットに対応するSPを検索する。そして、IPsec処理部203は、検索により得たSPの内容と、受信したIPパケットに適用されているセキュリティ処理とが一致しているかどうかを判定する。そして、IPsec処理部203は、これらが一致していない場合はそのIPパケットを破棄し、これらが一致している場合はプロトコル処理部101にそのIPパケットを渡す。   When IPsec is applied to the received IP packet, the IPsec processing unit 203 first searches the SAD managed by the SA management unit 202 for the SA corresponding to the IP packet. Then, the IPsec processing unit 203 performs a decryption process on the IP packet using an algorithm and a key described in SA. Next, after the decryption process is performed, the IPsec processing unit 203 searches the SPD corresponding to the IP packet from the SPD. Then, the IPsec processing unit 203 determines whether or not the contents of the SP obtained by the search match the security processing applied to the received IP packet. The IPsec processing unit 203 discards the IP packet if they do not match, and passes the IP packet to the protocol processing unit 101 if they match.

次に、IKE処理機能部103について図1に基づき説明する。IKE Policy管理部301は、IKEがPhase1セッションにおいて通信相手とISAKMP SAを確立するための情報が登録されるIKE Policyを管理する。   Next, the IKE processing function unit 103 will be described with reference to FIG. The IKE Policy management unit 301 manages an IKE Policy in which information for establishing an ISAKMP SA with a communication partner in the Phase 1 session is registered.

Phase1管理部302は、IKE Policy管理部301に格納されている情報により相手方装置とのネゴシエーションを行ったPhase1セッション中の情報を格納する。そして、Phase1管理部302は、Phase1セッション終了時に、Phase1セッション情報により確立されたISAKMP SAを格納する。   The Phase 1 management unit 302 stores information in the Phase 1 session that has been negotiated with the counterpart device based on the information stored in the IKE Policy management unit 301. Then, the Phase 1 management unit 302 stores the ISAKMP SA established by the Phase 1 session information when the Phase 1 session ends.

Phase2管理部303は、SP管理部201に格納されている情報を用いて相手方装置とネゴシエーションを行ったPhase2セッション中の情報を格納する。また、Phase2管理部303は、Phase2セッション情報においてSAが確立されていないことに起因してIPsec処理部203がIPsecを適用できなかったIPパケットを保持する。   The Phase 2 management unit 303 stores information in the Phase 2 session that has been negotiated with the counterpart device using the information stored in the SP management unit 201. In addition, the Phase 2 management unit 303 holds an IP packet for which the IPsec processing unit 203 cannot apply IPsec because the SA is not established in the Phase 2 session information.

IKE処理部304は、IPsec処理部203からのSA確立要求を受けると、イニシエータとしてIKE処理を実行する。IKE処理部304は、そのときに、SAが確立されていないため送信できなかったIPパケットをIPsec処理部203から受け取り、Phase2管理部303のPhase2セッション情報にそのIPパケットを登録する。また、IKE処理部304は、相手方装置からIKE要求を発行した鍵交換における、レスポンダとしてのIKE処理も実行する。   When the IKE processing unit 304 receives an SA establishment request from the IPsec processing unit 203, the IKE processing unit 304 executes IKE processing as an initiator. At this time, the IKE processing unit 304 receives an IP packet that could not be transmitted because the SA has not been established from the IPsec processing unit 203 and registers the IP packet in the Phase 2 session information of the Phase 2 management unit 303. The IKE processing unit 304 also executes an IKE process as a responder in key exchange in which an IKE request is issued from the counterpart apparatus.

IKE処理では、IKE Policy管理部301に格納された情報によりPhase1セッションを行ってISAKMP SAが確立され、確立したISAKMP SAは、Phase1管理部302に格納される。Phase1セッション終了後、IKE処理では、ISAKMP SAを用いて暗号化したPhase2セッションによりSAが確立され、確立したSAはSA管理部202に格納される。IKE処理部304は、Phase2セッション情報にSAが確立されていないため送信できなかったIPパケットが登録されている場合は、SAのSA管理部202への格納後に、そのIPパケットの代理送信処理を実行する。なお、代理送信処理とは、IPsec処理機能部102(IPsec処理部203)に代わって、IKE処理機能部103(IKE処理部304)がプロトコル処理部101を介してIPパケットを送信する処理である。   In the IKE process, an ISAKMP SA is established by performing a Phase 1 session based on information stored in the IKE Policy management unit 301, and the established ISAKMP SA is stored in the Phase 1 management unit 302. After the Phase 1 session is completed, in the IKE process, the SA is established by the Phase 2 session encrypted using the ISAKMP SA, and the established SA is stored in the SA management unit 202. If an IP packet that could not be transmitted because the SA is not established in the Phase 2 session information, the IKE processing unit 304 performs proxy transmission processing of the IP packet after storing the SA in the SA management unit 202. Run. The proxy transmission process is a process in which the IKE processing function unit 103 (IKE processing unit 304) transmits an IP packet via the protocol processing unit 101 instead of the IPsec processing function unit 102 (IPsec processing unit 203). .

次に、IPsec処理部203がIKE処理部304に対して行うSA確立要求の流れを、図2のフローチャートに基づいて説明する。IPsec処理部203は、まず、S401において、プロトコル処理部101から受け取ったIPパケットの情報に基づいて、SP管理部201に管理されているSPDから、そのIPパケットに対応するSPを検索する。ここで、IPパケットの情報は、例えば、IPパケットの送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先のポート番号の情報を含む。   Next, the flow of the SA establishment request performed by the IPsec processing unit 203 to the IKE processing unit 304 will be described based on the flowchart of FIG. First, in step S401, the IPsec processing unit 203 searches for an SP corresponding to the IP packet from the SPD managed by the SP management unit 201 based on the IP packet information received from the protocol processing unit 101. Here, the IP packet information includes, for example, IP packet source and destination IP addresses, protocol numbers, and source and destination port numbers.

続いて、IPsec処理部203は、S402において、SP管理部に管理されているSPDにおいて、IPパケットに対応するSPが存在するか否かを判定する。そしてSPが存在しない場合は、IPsec処理を適用する必要がないため、IPsec処理部203は、IPパケットをプロトコル処理部101に受け渡して処理を終了する。一方、SPが存在する場合は、IPsec処理部203は、処理をS403へ進め、IPパケットの情報に基づいて、SA管理部202に管理されているSADから、そのIPパケットに対応するSAを検索する。   Subsequently, in S402, the IPsec processing unit 203 determines whether there is an SP corresponding to the IP packet in the SPD managed by the SP management unit. If there is no SP, the IPsec processing unit 203 passes the IP packet to the protocol processing unit 101 and ends the processing because it is not necessary to apply the IPsec processing. On the other hand, if the SP exists, the IPsec processing unit 203 advances the processing to S403, and searches the SA corresponding to the IP packet from the SAD managed by the SA management unit 202 based on the IP packet information. To do.

そして、IPsec処理部203は、S404において、IPパケットに対応するSAが存在する場合は処理をS406へ進め、その対応するSAに基づいてそのIPパケットにIPsec処理を適用する。そして、IPsec処理の適用後のIPパケットは、プロトコル処理部101へ渡される。一方、IPsec処理部203は、IPパケットに対応するSAが存在しない場合は、処理をS405へ進め、そのIPパケットをIKE処理機能部103へ渡してSA確立要求を行う。なお、この場合のIPパケットは、SAが存在しないことによりIPsecを適用できなかったIPパケットである。   In step S404, if there is an SA corresponding to the IP packet, the IPsec processing unit 203 advances the process to step S406, and applies the IPsec processing to the IP packet based on the corresponding SA. Then, the IP packet after application of the IPsec processing is passed to the protocol processing unit 101. On the other hand, if the SA corresponding to the IP packet does not exist, the IPsec processing unit 203 advances the processing to S405, passes the IP packet to the IKE processing function unit 103, and makes an SA establishment request. Note that the IP packet in this case is an IP packet to which IPsec cannot be applied because there is no SA.

IPsec処理部203がIKE処理機能部103へSA確立要求を行うと、続いて、IKE処理部304がIKE処理のPhase1セッションを実行する。IKE処理部304において処理されるIKE処理のPhase1セッションの動作について、図3のフローチャートを用いて説明する。   When the IPsec processing unit 203 makes an SA establishment request to the IKE processing function unit 103, the IKE processing unit 304 subsequently executes a Phase 1 session of the IKE processing. The operation of the Phase 1 session of the IKE process processed in the IKE processing unit 304 will be described with reference to the flowchart of FIG.

IKE処理部304は、IPsec処理部203がSA確立要求を実行したことに応じて、IKE処理を開始する。まず、IKE処理部304は、S501において、IPsec処理部203から受け取ったIPパケットの情報に基づいて、そのIPパケットに対応するPhase2セッション情報がPhase2管理部303に存在するかを確認する。IKE処理部304は、IPパケットに対応するPhase2セッション情報が存在する場合は処理をS502へ進め、発見されたPhase2セッション情報にそのIPパケットを登録し、処理を終了する。IPパケットに対応するPhase2セッション情報が存在しない場合は、IKE処理部304は、処理をS503へ進める。   The IKE processing unit 304 starts the IKE process in response to the IPsec processing unit 203 executing the SA establishment request. First, in step S <b> 501, the IKE processing unit 304 confirms whether the Phase 2 session information corresponding to the IP packet exists in the Phase 2 management unit 303 based on the information of the IP packet received from the IPsec processing unit 203. If there is Phase 2 session information corresponding to the IP packet, the IKE processing unit 304 advances the process to S502, registers the IP packet in the discovered Phase 2 session information, and ends the process. If there is no Phase 2 session information corresponding to the IP packet, the IKE processing unit 304 advances the process to S503.

S503では、IKE処理部304は、IPsec処理部より受け取ったIPパケットの情報に基づいてPhase2セッション情報を生成して、生成したPhase2セッション情報にそのIPパケットを登録する。また、IKE処理部304は、Phase2管理部303にPhase2セッション情報の登録を行い、処理をS504へ進める。なお、ここでのIPパケットの情報は、例えば、送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先のポート番号の情報を含む。   In step S503, the IKE processing unit 304 generates Phase 2 session information based on the IP packet information received from the IPsec processing unit, and registers the IP packet in the generated Phase 2 session information. In addition, the IKE processing unit 304 registers the Phase 2 session information in the Phase 2 management unit 303, and advances the processing to S504. Note that the IP packet information here includes, for example, information on the IP addresses of the transmission source and destination, the protocol number, and the port numbers of the transmission source and destination.

IKE処理部304は、S504において、送信元と宛先IPアドレスの情報を基にIKE Policy管理部301からIPパケットに対応するIKE Policyを検索し、処理をS505へ進める。S505では、IKE処理部304は、IPパケットに対応するIKE Policyが存在するかどうかを判定し、そのようなIKE Policy存在しない場合は、処理をS507へ進める。この場合、IKE処理部304は、IKE Policyが存在しないため、Phase1セッションの開始ができない。このため、IKE処理部304は、S507において、生成したPhase2セッション情報と、受け取ったIPパケットとを削除し、処理を終了する。   In step S504, the IKE processing unit 304 searches the IKE Policy management unit 301 for the IKE Policy corresponding to the IP packet based on the information on the transmission source and the destination IP address, and advances the processing to S505. In S505, the IKE processing unit 304 determines whether there is an IKE Policy corresponding to the IP packet. If no such IKE Policy exists, the process proceeds to S507. In this case, the IKE processing unit 304 cannot start the Phase 1 session because there is no IKE Policy. Therefore, in step S507, the IKE processing unit 304 deletes the generated Phase 2 session information and the received IP packet, and ends the process.

一方、IPパケットに対応するIKE Policyが存在する場合は、IKE処理部304は、処理をS506へ進める。S506においては、IKE処理部304は、送信元と宛先のIPアドレスの情報に基づいて、Phase1セッション情報を生成してPhase1管理部302に登録し、Phase1セッションを実行する。そして、IKE処理部304は、S508において、Phase1セッションが正常に終了したかを確認し、正常に終了しなかった場合は、処理をS509へ進める。S509では、IKE処理部304は、生成したPhase1セッション情報を削除する。   On the other hand, if there is an IKE Policy corresponding to the IP packet, the IKE processing unit 304 advances the process to S506. In step S506, the IKE processing unit 304 generates Phase 1 session information based on the information on the source and destination IP addresses, registers the information in the Phase 1 management unit 302, and executes the Phase 1 session. In step S508, the IKE processing unit 304 checks whether the Phase 1 session has ended normally. If the Phase 1 session has not ended normally, the process proceeds to step S509. In step S509, the IKE processing unit 304 deletes the generated Phase 1 session information.

一方、S509においては、送信元と宛先のIPアドレスが同一の、セッション中のPhase1セッション情報がPhase1管理部に存在する場合は、生成されたPhase2セッション情報とIPパケットは削除されない。同様に、送信元と宛先のIPアドレス、プロトコル番号、及び送信元と宛先のポート番号が同一の、セッション中のPhase2セッション情報がPhase2管理部に存在する場合、生成されたPhase2セッション情報とIPパケットは削除されない。すなわち、これらの場合は、生成されたPhase2セッション情報とIPパケットは削除されず、Phase2管理部に残される。セッション中のPhase1セッション情報又はPhase2セッション情報が存在しない場合は、IKE処理部304は、生成したPhase2セッション情報と受け取ったIPパケットとを削除し、処理を終了する。   On the other hand, in S509, when the Phase 1 session information in the session having the same source and destination IP addresses exists in the Phase 1 management unit, the generated Phase 2 session information and the IP packet are not deleted. Similarly, when Phase 2 session information in the session having the same source and destination IP addresses, protocol numbers, and source and destination port numbers exists in the Phase 2 management unit, the generated Phase 2 session information and IP packet Is not deleted. That is, in these cases, the generated Phase 2 session information and the IP packet are not deleted, and are left in the Phase 2 management unit. If there is no Phase 1 session information or Phase 2 session information in the session, the IKE processing unit 304 deletes the generated Phase 2 session information and the received IP packet, and ends the process.

一方、S508において、Phase1セッションが正常に終了すると、続いて、IKE処理部304は、IKE処理のPhase2セッションを実行する。続いて、IKE処理部304において処理されるIKE処理のPhase2セッションの動作について、図4のフローチャートを用いて説明する。   On the other hand, when the Phase 1 session ends normally in S508, the IKE processing unit 304 subsequently executes the Phase 2 session of the IKE process. Next, the operation of the Phase 2 session of the IKE process processed by the IKE processing unit 304 will be described with reference to the flowchart of FIG.

IKE処理部304は、Phase1セッションが成功したことに応じて、Phase2セッション処理を開始する。IKE処理部304は、まず、S601において、送信元と宛先のIPアドレスの情報に基づいて、Phase2管理部303からPhase2セッション情報を取得する。続いて、IKE処理部304は、S602において、送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先ポート番号の情報に基づいて、SP管理部201よりIPパケットに対応するSPを検索する。そして、IKE処理部304は、S603において、IPパケットに対応するSPが存在するかどうかを確認し、存在しない場合は処理をS605へ進め、Phase2セッション情報とIPパケットとを削除して処理を終了する。   The IKE processing unit 304 starts Phase 2 session processing in response to the successful Phase 1 session. In step S <b> 601, the IKE processing unit 304 first acquires Phase 2 session information from the Phase 2 management unit 303 based on information on the source and destination IP addresses. In step S602, the IKE processing unit 304 searches the SP corresponding to the IP packet from the SP management unit 201 based on the information on the source and destination IP addresses, the protocol number, and the source and destination port numbers. In step S603, the IKE processing unit 304 checks whether there is an SP corresponding to the IP packet. If not, the IKE processing unit 304 proceeds to step S605, deletes the Phase 2 session information and the IP packet, and ends the processing. To do.

一方、IPパケットに対応するSPが存在する場合は、IKE処理部304は、S604において、Phase2セッションを実行して、処理をS606へ進める。S606では、IKE処理部304は、Phase2セッションが成功したかを判定し、失敗した場合は処理をS607へ進め、成功した場合は処理をS608に進める。S607では、送信元と宛先のIPアドレスが同一の、セッション中のPhase1セッション情報がPhase1管理部に存在する場合は、生成されたPhase2セッション情報とIPパケットは削除されない。同様に、送信元と宛先のIPアドレス、プロトコル番号、及び送信元と宛先のポート番号が同一の、セッション中のPhase2セッション情報がPhase2管理部に存在する場合、生成されたPhase2セッション情報とIPパケットは削除されない。すなわち、これらの場合、生成されたPhase2セッション情報とIPパケットは削除されずにPhase2管理部に残される。一方、IKE処理部304は、セッション中のPhase1セッション情報又はPhase2セッション情報が存在しない場合は、生成したPhase2セッション情報と受け取ったIPパケットとを削除し、処理を終了する。   On the other hand, if there is an SP corresponding to the IP packet, the IKE processing unit 304 executes a Phase 2 session in S604 and advances the process to S606. In step S606, the IKE processing unit 304 determines whether the Phase 2 session has been successful. If the phase 2 session has failed, the process proceeds to step S607, and if successful, the process proceeds to step S608. In S607, when the Phase 1 session information in the session having the same source and destination IP addresses exists in the Phase 1 management unit, the generated Phase 2 session information and the IP packet are not deleted. Similarly, when Phase 2 session information in the session having the same source and destination IP addresses, protocol numbers, and source and destination port numbers exists in the Phase 2 management unit, the generated Phase 2 session information and IP packet Is not deleted. That is, in these cases, the generated Phase 2 session information and IP packet are not deleted and are left in the Phase 2 management unit. On the other hand, if there is no Phase 1 session information or Phase 2 session information in the session, the IKE processing unit 304 deletes the generated Phase 2 session information and the received IP packet, and ends the process.

S608では、IKE処理部304は、Phase2セッションにより確立されたSAがSA管理部202に登録された後に、IPパケットを代理送信するため、プロトコル処理部101にIPパケットを渡す。S609では送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先ポート番号の情報に基づいて、同じ相手方装置についてのPhase2セッション情報がPhase2管理部303に存在しないかチェックする。そして、IKE処理部304は、同じ相手方装置についてのPhase2セッション情報が存在しない場合は処理を終了する。同じ相手方装置についてのPhase2セッション情報が存在し、IPパケットがPhase2セッション情報に登録されている場合は、IKE処理部304は、処理をS608へ戻し、IPパケットの代理送信を実行する。S608とS609は同じ通信相手のPhase2セッション情報が存在する場合は繰り返し行う。   In step S <b> 608, the IKE processing unit 304 passes the IP packet to the protocol processing unit 101 in order to perform proxy transmission of the IP packet after the SA established by the Phase 2 session is registered in the SA management unit 202. In step S609, based on the information on the source and destination IP addresses, the protocol number, and the source and destination port numbers, it is checked whether Phase2 session information about the same counterpart device exists in the Phase2 management unit 303. Then, the IKE processing unit 304 ends the process when there is no Phase 2 session information for the same counterpart device. If Phase 2 session information for the same counterpart device exists and the IP packet is registered in the Phase 2 session information, the IKE processing unit 304 returns the process to S608 and executes proxy transmission of the IP packet. S608 and S609 are repeated when there is Phase2 session information of the same communication partner.

以上のように、本実施形態においては、通信セッション単位でセキュリティ確保のための処理(SAの確立、及びそのためのIKE処理)を行う。そして、その処理が完了しておらず、セキュリティが確保されていないセッションにおいて送信すべき信号(IPパケット)が生じると、IPパケットはセッションに関連付けられて保持される(Phase1セッション情報、Phase2セッション情報)。そして、そのIPパケットに関連付けられたセッションについてのセキュリティ確保のための処理が完了した後に、そのIPパケットが送信される。これにより、あるセッションについてSAの確立が完了した時点において、そのセッションに対してIPパケットが対応付けられている状態となるため、キューからIPパケットを検索する処理が不要となる。また、IPパケットは、SAの確立まで保持されるため、破棄されることがなくなり、パケットロスの状態となることがなくなり、その結果、通信データの再送または欠落が生じなくなる。   As described above, in the present embodiment, processing for ensuring security (SA establishment and IKE processing therefor) is performed for each communication session. When a signal (IP packet) to be transmitted is generated in a session in which the processing is not completed and security is not ensured, the IP packet is held in association with the session (Phase 1 session information, Phase 2 session information). ). Then, after the processing for ensuring security for the session associated with the IP packet is completed, the IP packet is transmitted. As a result, when the establishment of SA for a session is completed, an IP packet is associated with the session, so that the process of searching for an IP packet from the queue becomes unnecessary. Further, since the IP packet is held until the SA is established, it is not discarded and no packet loss occurs, and as a result, communication data is not retransmitted or lost.

<<実施形態2>>
本実施形態では、相手方装置との間で、イニシエータ及びレスポンダとして同時鍵交換が実行される際、Phase2セッションにおいてイニシエータとしての処理が失敗し、レスポンダとしての処理が成功した場合を検討する。この場合の、IKE処理部304によるIPパケットの代理送信処理について、図5のフローチャートを用いて以下説明する。 << Embodiment 2 >>
In the present embodiment, when simultaneous key exchange is executed as an initiator and a responder with a counterpart apparatus, a case where the process as the initiator fails in the Phase 2 session and the process as the responder succeeds is considered. The IP packet proxy transmission processing by the IKE processing unit 304 in this case will be described below with reference to the flowchart of FIG.

IKE処理部304は、まず、S701のIKE Policyに基づいてイニシエータ及びレスポンダとして、Phase1セッションを実行する。そして、IKE処理部304は、S702において、実行された鍵交換がイニシエータとして行われたものかレスポンダとして行われたものかをチェックし、イニシエータとして行われたものである場合は処理をS703へ進める。一方、実行された鍵交換がレスポンダとして行われたものである場合は、IKE処理部304は、処理をS704へ進める。S703では、IKE処理部304は、Phase2セッション情報を生成後、そのPhase2セッションに関連付けてIPパケットを登録し、処理をS704へ進める。   The IKE processing unit 304 first executes a Phase 1 session as an initiator and a responder based on the IKE Policy in S701. In step S702, the IKE processing unit 304 checks whether the executed key exchange has been performed as an initiator or a responder. If the key exchange has been performed as an initiator, the process proceeds to step S703. . On the other hand, if the executed key exchange is performed as a responder, the IKE processing unit 304 advances the process to S704. In S703, the IKE processing unit 304 generates Phase 2 session information, registers an IP packet in association with the Phase 2 session, and advances the process to S704.

IKE処理部304は、Phase1セッションがS704において正常終了すると、S705において、IPsec SPに基づいてPhase2セッションを開始する。続いて、S706において、IKE処理部304は、レスポンダとしてのPhase2セッションが成功したか失敗したかを判定し、失敗した場合は処理を終了し、成功した場合は、処理をS707へ進める。S707では、IKE処理部304は、同時鍵交換で失敗したイニシエータとしてのPhase2セッションが存在するかどうかを判定し、存在しない場合は処理を終了し、存在する場合は処理をS708へ進める。S708では、IKE処理部304は、見つかった同時鍵交換で失敗したイニシエータとしてのPhase2セッション情報にIPパケットが登録されている場合、そのIPパケットの代理送信を行い、処理を終了する。   When the Phase 1 session ends normally in S704, the IKE processing unit 304 starts the Phase 2 session based on the IPsec SP in S705. In step S706, the IKE processing unit 304 determines whether the phase 2 session as the responder is successful or unsuccessful. If unsuccessful, the processing ends. If successful, the process proceeds to step S707. In S707, the IKE processing unit 304 determines whether there is a Phase 2 session as an initiator that has failed in the simultaneous key exchange. If there is no Phase 2, the process ends. If it exists, the process proceeds to S708. In S708, if an IP packet is registered in the Phase 2 session information as the initiator that failed in the found simultaneous key exchange, the IKE processing unit 304 performs proxy transmission of the IP packet and ends the processing.

このように、本実施形態では、通信装置は、イニシエータとしてのIKE処理が失敗した場合であっても、レスポンダとしてのIKE処理が成功していれば、その成功したIKE処理によって交換した鍵を用いてセキュリティを確保することが可能となる。一方、通信装置は、イニシエータとしてIKE処理が成功していれば、IPsecによりセキュリティを確保して信号を送信することができる。このとき、レスポンダとしてIKE処理が失敗した場合でも、相手方装置が、その成功したIKE処理に基づくIPsecによりセキュリティを確保して信号を送信することができる。すなわち、IPパケットは、セッションに関連付けられて保持されるところ、そのセッションに関連付けられた複数のIKE処理のいずれかが成功さえすれば、IPsecによるセキュリティを確保した通信を行うことができる。この結果、1つのセッションに関連付けられた複数のIKE処理のうち、いずれかが成功すればよいため、IKE処理が失敗してパケットを破棄する確率を低減することができる。   As described above, in this embodiment, even if the IKE process as the initiator fails, the communication apparatus uses the key exchanged by the successful IKE process if the IKE process as the responder is successful. Security. On the other hand, if the IKE process is successful as an initiator, the communication device can transmit a signal while ensuring security by IPsec. At this time, even if the IKE process fails as a responder, the counterpart apparatus can transmit a signal while ensuring security by IPsec based on the successful IKE process. That is, an IP packet is held in association with a session, and as long as any one of a plurality of IKE processes associated with the session succeeds, communication with security secured by IPsec can be performed. As a result, any one of the plurality of IKE processes associated with one session only needs to be successful, so that the probability that the IKE process fails and the packet is discarded can be reduced.

なお、上述の2つの実施形態では、通信装置においてSAが確立されていない場合に送信すべきIPパケットが生じたことにより、イニシエータとしてIKE処理を実行する場合について説明したが、これに限られない。すなわち、SAが確立されていないセッションにおいて送信すべきIPパケットが生じたとしても、通信装置は、IKE処理を自らイニシエータとして開始する必要はない。例えば、送信すべきIPパケットの宛先である相手方装置が、既にイニシエータとしてIKE処理を実行している場合は、通信装置は、自らをレスポンダとしたIKE処理が完了するのを待ってもよい。そして、IPパケットは、進行中のIKE処理についてのセッションに関連付けられて保持され、IKE処理が完了した後に、IPsecによる暗号化を施された後に相手方装置へ送信されてもよい。すなわち、IPパケットは、通信装置が開始したIKE処理の完了後、又は相手方装置が開始したIKE処理の完了後のいずれかに送信されればよい。また、通信装置は、相手方装置がIKE処理を開始していない場合に限ってイニシエータとしてIKE処理を開始するようにしてもよいし、相手方装置がIKE処理を開始しているかによらず、自らをイニシエータとしたIKE処理を別途開始してもよい。   In the above-described two embodiments, the case where the IKE process is executed as an initiator due to the occurrence of an IP packet to be transmitted when the SA is not established in the communication apparatus has been described. However, the present invention is not limited to this. . That is, even if an IP packet to be transmitted occurs in a session for which SA is not established, the communication apparatus does not need to start the IKE process as an initiator. For example, when the counterpart apparatus that is the destination of the IP packet to be transmitted has already executed the IKE process as an initiator, the communication apparatus may wait for the IKE process with itself as a responder to be completed. Then, the IP packet may be held in association with the session for the IKE process in progress, and after the IKE process is completed, the IP packet may be encrypted and transmitted to the counterpart apparatus. That is, the IP packet may be transmitted either after completion of the IKE process started by the communication apparatus or after completion of the IKE process started by the counterpart apparatus. In addition, the communication device may start the IKE process as an initiator only when the counterpart device has not started the IKE process, or the communication device may start itself regardless of whether the counterpart device has started the IKE process. The IKE process using the initiator may be started separately.

<<その他の実施形態>>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。 << Other Embodiments >>
The present invention can also be realized by executing the following processing. That is, software (program) that realizes the functions of the above-described embodiments is supplied to a system or apparatus via a network or various storage media, and a computer (or CPU, MPU, etc.) of the system or apparatus reads the program. It is a process to be executed.

Claims (12)

セキュリティが確保されていないセッションについて、送信すべき信号が生じた場合、当該セッションと関連付けて当該信号を保持する保持手段と、
前記信号に関連付けられているセッションについてのセキュリティ確保のための処理が完了した場合に、前記信号を相手方装置へ送信する送信手段と、
を有することを特徴とする通信装置。 For a session for which security is not ensured, when a signal to be transmitted occurs, holding means for holding the signal in association with the session;
A transmission means for transmitting the signal to the counterpart device when processing for ensuring security for the session associated with the signal is completed;
A communication apparatus comprising: 前記セキュリティ確保のための処理は、前記相手方装置との間の鍵交換処理であり、
前記送信手段は、当該鍵交換処理が完了した後に、交換した鍵を用いて暗号化を施した後の前記信号を送信する、
ことを特徴とする請求項1に記載の通信装置。 The security ensuring process is a key exchange process with the counterpart device,
The transmission means transmits the signal after encryption using the exchanged key after the key exchange processing is completed.
The communication apparatus according to claim 1. セキュリティが確保されていないセッションにおいて送信すべき信号が生じた場合に、前記セキュリティ確保のための処理を開始する開始手段をさらに有し、
前記送信手段は、前記通信装置が開始した前記セキュリティ確保のための処理が完了した後に、当該処理に対応する前記セッションに関連付けられた前記信号を送信する、
ことを特徴とする請求項1又は2に記載の通信装置。 A start means for starting the process for ensuring security when a signal to be transmitted occurs in a session where security is not ensured;
The transmission unit transmits the signal associated with the session corresponding to the process after the process for ensuring security started by the communication apparatus is completed.
The communication apparatus according to claim 1 or 2, wherein 前記開始手段は、セキュリティが確保されていないセッションにおいて送信すべき信号が生じたときに、前記相手方装置が当該セッションに対応する前記セキュリティ確保のための処理を開始していない場合に、当該処理を開始する、
ことを特徴とする請求項3に記載の通信装置。 The starting means performs the processing when a signal to be transmitted is generated in a session where security is not secured and the counterpart device has not started processing for securing the security corresponding to the session. Start,
The communication apparatus according to claim 3. 前記送信手段は、セキュリティが確保されていないセッションにおいて送信すべき信号が生じたときに、前記相手方装置が当該セッションに対応する前記セキュリティ確保のための処理を開始していた場合、当該処理が完了するのを待って、当該セッションに関連付けられた前記信号を送信する、
ことを特徴とする請求項4に記載の通信装置。 When the transmission means generates a signal to be transmitted in a session in which security is not ensured, if the counterpart device has started the process for ensuring security corresponding to the session, the process is completed. Waiting to send the signal associated with the session,
The communication apparatus according to claim 4. 前記開始手段は、セキュリティが確保されていないセッションにおいて送信すべき信号が生じたときに、前記相手方装置が当該セッションに対応する前記セキュリティ確保のための処理を開始していた場合、当該処理を開始しない、
ことを特徴とする請求項5に記載の通信装置。 The start means starts the process when the counterpart apparatus has started the process for ensuring the security corresponding to the session when a signal to be transmitted is generated in the session where the security is not ensured. do not do,
The communication apparatus according to claim 5. 前記送信手段は、前記相手方装置が開始した前記セキュリティ確保のための処理が完了した後に、当該処理に対応する前記セッションに関連付けられた前記信号を送信する、
ことを特徴とする請求項1又は2に記載の通信装置。 The transmission means transmits the signal associated with the session corresponding to the processing after the processing for ensuring security started by the counterpart device is completed.
The communication apparatus according to claim 1 or 2, wherein 前記送信手段は、1つのセッションについて前記通信装置と前記相手方装置とが開始した前記セキュリティ確保のための処理のいずれかが完了した後に、当該セッションに関連付けられた前記信号を送信する、
ことを特徴とする請求項1又は2に記載の通信装置。 The transmission means transmits the signal associated with the session after one of the processes for ensuring security started by the communication device and the counterpart device for one session is completed.
The communication apparatus according to claim 1 or 2, wherein 前記保持手段は、前記セキュリティ確保のための処理が失敗した場合、当該処理に対応する前記セッションについての前記信号を削除する、
ことを特徴とする請求項1から8のいずれか1項に記載の通信装置。 When the process for ensuring security fails, the holding means deletes the signal for the session corresponding to the process,
The communication apparatus according to claim 1, wherein the communication apparatus is configured as described above. 前記送信手段は、前記セキュリティ確保のための処理が完了した後、当該処理に対応するセッションに関連付けられて保持されている信号がなくなるまで、当該信号の送信を繰り返す、
ことを特徴とする請求項1から9のいずれか1項に記載の通信装置。 The transmission unit repeats the transmission of the signal after the process for ensuring the security is completed until there is no signal held associated with the session corresponding to the process,
The communication apparatus according to any one of claims 1 to 9, wherein 通信装置における通信方法であって、
保持手段が、セキュリティが確保されていないセッションについて、送信すべき信号が生じた場合、当該セッションと関連付けて当該信号を保持する保持工程と、
送信手段が、前記信号に関連付けられているセッションについてのセキュリティ確保のための処理が完了した場合に、前記信号を相手方装置へ送信する送信工程と、
を有することを特徴とする通信方法。 A communication method in a communication device,
A holding step of holding a signal in association with the session when a signal to be transmitted is generated for a session for which security is not secured;
When the transmission means completes the process for ensuring security for the session associated with the signal, a transmission step of transmitting the signal to the counterpart device;
A communication method characterized by comprising: コンピュータを請求項1から10のいずれか1項に記載の通信装置が備える各手段として機能させるためのプログラム。   The program for functioning a computer as each means with which the communication apparatus of any one of Claim 1 to 10 is provided.
JP2013040032A 2013-02-28 2013-02-28 COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM Active JP6228370B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013040032A JP6228370B2 (en) 2013-02-28 2013-02-28 COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013040032A JP6228370B2 (en) 2013-02-28 2013-02-28 COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM

Publications (3)

Publication Number Publication Date
JP2014168204A true JP2014168204A (en) 2014-09-11
JP2014168204A5 JP2014168204A5 (en) 2016-03-24
JP6228370B2 JP6228370B2 (en) 2017-11-08

Family

ID=51617675

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013040032A Active JP6228370B2 (en) 2013-02-28 2013-02-28 COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM

Country Status (1)

Country Link
JP (1) JP6228370B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07288870A (en) * 1994-04-15 1995-10-31 Kyocera Corp Control system for portable telephone set
JP2005354556A (en) * 2004-06-14 2005-12-22 Matsushita Electric Ind Co Ltd Key exchanging device, system, and method, and encryption communication system
JP2009060245A (en) * 2007-08-30 2009-03-19 Seiko Epson Corp Communication control method, program and communication device
JP2009081779A (en) * 2007-09-27 2009-04-16 Oki Semiconductor Co Ltd Communication path establishing method and system
JP2010028666A (en) * 2008-07-23 2010-02-04 Toshiba Corp Electronic device and communication control method
JP2011205435A (en) * 2010-03-26 2011-10-13 Casio Computer Co Ltd Terminal and program

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07288870A (en) * 1994-04-15 1995-10-31 Kyocera Corp Control system for portable telephone set
JP2005354556A (en) * 2004-06-14 2005-12-22 Matsushita Electric Ind Co Ltd Key exchanging device, system, and method, and encryption communication system
JP2009060245A (en) * 2007-08-30 2009-03-19 Seiko Epson Corp Communication control method, program and communication device
JP2009081779A (en) * 2007-09-27 2009-04-16 Oki Semiconductor Co Ltd Communication path establishing method and system
JP2010028666A (en) * 2008-07-23 2010-02-04 Toshiba Corp Electronic device and communication control method
JP2011205435A (en) * 2010-03-26 2011-10-13 Casio Computer Co Ltd Terminal and program

Also Published As

Publication number Publication date
JP6228370B2 (en) 2017-11-08

Similar Documents

Publication Publication Date Title
EP3635939B1 (en) Seamless mobility and session continuity with tcp mobility option
EP3866434B1 (en) Message sending method and network device
Jokela et al. Using the encapsulating security payload (ESP) transport format with the host identity protocol (HIP)
JP5969689B2 (en) Redundancy for real-time communication
US8843738B2 (en) TLS abbreviated session identifier protocol
US9197616B2 (en) Out-of-band session key information exchange
US9350711B2 (en) Data transmission method, system, and apparatus
JP3629237B2 (en) Node device and communication control method
US8782772B2 (en) Multi-session secure tunnel
US20140095862A1 (en) Security association detection for internet protocol security
WO2019114703A1 (en) Secure communication method, apparatus and device
WO2010003335A1 (en) Method, system and device for negotiating security association (sa) in ipv6 network
JP2010273225A (en) Packet transmitting/receiving system, packet transmitting/receiving apparatus, and packet transmitting/receiving method
CN114095195B (en) Method, network device, and non-transitory computer readable medium for adaptive control of secure socket layer proxy
CN109040059B (en) Protected TCP communication method, communication device and storage medium
KR100948604B1 (en) Security method of mobile internet protocol based server
US9467471B2 (en) Encrypted communication apparatus and control method therefor
WO2010091579A1 (en) Method and client for packet tranmission based on the virtual private network tunnel
JP2006352500A (en) Processor and method for automatic key replacement processing
WO2012171379A1 (en) Method, device and system for nat traversal of ipsec in ah mode
KR101971995B1 (en) Method for decryping secure sockets layer for security
JP6228370B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM
JP2009060245A (en) Communication control method, program and communication device
JP2008199420A (en) Gateway device and authentication processing method
JP2012160941A (en) Information processing device, information processing method and program

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160203

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160203

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170324

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170518

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170915

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171013

R151 Written notification of patent or utility model registration

Ref document number: 6228370

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151