JP2017188800A - Communication device, control method thereof, and program - Google Patents
Communication device, control method thereof, and program Download PDFInfo
- Publication number
- JP2017188800A JP2017188800A JP2016076729A JP2016076729A JP2017188800A JP 2017188800 A JP2017188800 A JP 2017188800A JP 2016076729 A JP2016076729 A JP 2016076729A JP 2016076729 A JP2016076729 A JP 2016076729A JP 2017188800 A JP2017188800 A JP 2017188800A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- information
- processing
- transmission
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、セキュリティ通信技術に関連する。具体的には、相互接続性を向上することができるIPsecによるセキュリティ通信技術に関する。 The present invention relates to security communication technology. More specifically, the present invention relates to a security communication technology using IPsec that can improve interoperability.
近年、ネットワークを介してデータを送受信する際のセキュリティ確保の必要性が高まっている。IPsec(Security Architecture for Internet Protocol)は、IPネットワーク上を流れるデータのセキュリティを確保するプロトコルで、IPパケット単位でデータの機密性の確保や、データの完全性、送信元の認証を行うことが可能である。 In recent years, there is an increasing need for ensuring security when data is transmitted and received over a network. IPsec (Security Architecture for Internet Protocol) is a protocol that ensures the security of data that flows over IP networks, and can ensure data confidentiality, data integrity, and source authentication in units of IP packets. It is.
IPsecによる暗号・認証機能を内蔵した通信装置は、論理的なコネクションにより暗号通信を行うことができる。この論理的なコネクションは、SA(Security Association)と呼ばれる。SAでは、鍵情報として、暗号通信で用いる暗号鍵情報や暗号化アルゴリズム、及び認証鍵や認証アルゴリズムなどの暗号化通信パラメータが管理される。また、このSAを管理・保持するデータベースは、SAD(Security Association Database)と呼ばれる。 A communication device with a built-in IPsec encryption / authentication function can perform encrypted communication through a logical connection. This logical connection is called SA (Security Association). In the SA, encryption key information and encryption algorithm used in encryption communication, and encryption communication parameters such as an authentication key and authentication algorithm are managed as key information. The database that manages and holds this SA is called SAD (Security Association Database).
IPsecを用いて暗号通信を行う通信装置は、IP(Internet Protocol)パケットを送信する場合、当該IPパケットのIPアドレスや通信プロトコル等により、SPD(Security Policy Database)から、通信を行うためのパケット処理の方法を記述したパケット処理情報であるSP(Security Policy)を特定する。通信装置は、この特定されたSPに基づいてIPsec処理に必要となるSAを特定する。続いて、通信装置は、この特定したSAを用いて暗号・認証処理を施したパケットを送信する。また、通信装置がIPパケットを受信する場合は、IPパケットのヘッダ情報により、SADからSAを特定する。通信装置は、特定したSAを用いて暗号(復号)・認証処理を行う。通信装置は、暗号(復号)・認証処理の結果得られたIPパケットのIPアドレスや通信プロトコル等により、SPDからSPを特定し、SPに指定されたポリシーに従って受信処理を行う。 When a communication device that performs encrypted communication using IPsec transmits an IP (Internet Protocol) packet, packet processing for performing communication from the SPD (Security Policy Database) according to the IP address or communication protocol of the IP packet. SP (Security Policy) that is packet processing information describing the above method is specified. The communication device specifies the SA required for the IPsec processing based on the specified SP. Subsequently, the communication apparatus transmits a packet subjected to encryption / authentication processing using the specified SA. When the communication device receives an IP packet, the SA is identified from the SAD by the header information of the IP packet. The communication device performs encryption (decryption) / authentication processing using the specified SA. The communication device identifies the SP from the SPD based on the IP address or communication protocol of the IP packet obtained as a result of the encryption (decryption) / authentication process, and performs the reception process according to the policy specified for the SP.
IPsecを用いて暗号通信を行う送信側と受信側の2つ通信装置は、IPsec通信を行う前にSAを確立しておく必要がある。SAを確立する方式としては、それぞれの通信装置において手動でSAの各種情報を設定する手動鍵設定方式がある。このほか、IKE(Internet Key Exchange Protocol)の折衝を用いる自動鍵交換方式がある。 The two communication devices on the transmission side and the reception side that perform encrypted communication using IPsec need to establish an SA before performing IPsec communication. As a method for establishing the SA, there is a manual key setting method for manually setting various SA information in each communication device. In addition, there is an automatic key exchange method using negotiation of IKE (Internet Key Exchange Protocol).
暗号アルゴリズムや共有鍵は、通信に先立ち交換される必要があり、また、共有鍵は、セキュリティのレベルを保つためにも、頻繁に変更する必要がある。そのため、これらの2つの方式のうち、手動鍵管理方式は、頻繁に鍵交換をするには手間が掛かり過ぎるため現実的ではないという問題点がある。それに対し、自動鍵管理方式は、頻繁に行う必要ある鍵交換を自動で行うため、手間が掛からず実用的と言える。 The encryption algorithm and the shared key need to be exchanged prior to communication, and the shared key needs to be changed frequently in order to maintain the security level. Therefore, of these two methods, the manual key management method has a problem that it is not practical because it takes too much time to exchange keys frequently. On the other hand, the automatic key management method automatically performs key exchange that needs to be performed frequently, so it can be said that it is practical without any effort.
自動鍵管理方式で共通鍵を生成する場合には、相手装置の認証のためにSPDにおける各SPに、事前共有鍵を設定する必要がある。しかし、SPDにおいて、同一の相手装置のアドレスが含まれるSPが複数存在する場合、当該相手装置と正常に通信できない場合があった。例えば、SPDにおいて、相手装置のIPアドレスだけが含まれるSPと、相手装置のIPを含む複数のアドレスが含まれるSPが混在する場合がある。各SPには使用の優先順位と事前共通鍵が設定されている。このような状況において、通信装置と相手装置それぞれにおいて、送信するパケットのIPアドレスと使用の優先順位を考慮して特定したSPに設定された事前共有鍵が異なる場合がある。この場合、IKEの折衝が失敗してしまうという問題があった。 When a common key is generated by the automatic key management method, it is necessary to set a pre-shared key for each SP in the SPD for authentication of the counterpart device. However, in SPD, when there are a plurality of SPs that include the address of the same counterpart device, there is a case where communication with the counterpart device cannot be performed normally. For example, in SPD, there may be a mixture of an SP that includes only the IP address of the partner device and an SP that includes a plurality of addresses including the IP of the partner device. Each SP has a priority of use and a pre-shared key. In such a situation, the pre-shared key set in the SP specified in consideration of the IP address of the packet to be transmitted and the priority of use may be different between the communication device and the partner device. In this case, there was a problem that IKE negotiations failed.
この問題に対して、通信装置が新規に登録するSPに含まれるIPアドレスと、SPDに既存のSPに含まれる相手装置のIPアドレスが重複する場合、既存SPに含まれる事前共有鍵をコピーし、どちらのSPが使われても同一の事前共有鍵を使用する手法が提案されている(特許文献1参照)。 For this problem, if the IP address included in the SP newly registered by the communication device overlaps with the IP address of the partner device included in the existing SP in the SPD, copy the pre-shared key included in the existing SP. A method has been proposed in which the same pre-shared key is used regardless of which SP is used (see Patent Document 1).
しかし、特許文献1に記載の手法では、通信相手の実装方法によっては、通信装置は、同一の相手装置に対して複数SP設定時にIPsec通信ができない場合がある。すなわち、当該手法によれば、通信装置が相手装置に対して、複数のSPを設定した場合、SPの事前共有鍵は同一となり、それぞれのSPのIKE折衝は成功する。しかし、それぞれのSPから生成されるSAの鍵情報は、事前共有鍵に加えて乱数から生成されるため、SP毎に異なる。 However, according to the technique described in Patent Document 1, depending on the communication partner mounting method, the communication device may not be able to perform IPsec communication when multiple SPs are set for the same partner device. That is, according to this method, when the communication device sets a plurality of SPs for the partner device, the pre-shared keys of the SPs are the same, and the IKE negotiation of each SP is successful. However, since the SA key information generated from each SP is generated from a random number in addition to the pre-shared key, it differs for each SP.
一方で、SPとSAの関連付けがRFCに準拠している通信機器と、準拠していない通信機器がそれぞれ市場に存在する。なお、RFCは、IETF(Internet Engineering Task Force)による技術仕様である。RFCに準拠しない機器は、同一の相手装置に対して複数のSPが設定されている場合においても、セキュリティプロトコル、IPsecモード、宛先IPアドレスが一致すれば一つのSAを複数のSPで共有する。RFCに準拠する機器は、同一相手装置に対して複数のSPが設定されている場合、SP毎にSAを作成し、使用する。そのため、RFCに準拠する機器と準拠しない機器との間でIPsec通信が行われた場合、IKE折衝に成功するものの、使用するSAの違いによりIPsec通信に失敗し得るという課題があった。 On the other hand, there are communication devices in the market where communication between SP and SA is compliant with RFC, and communication devices that are not compliant. RFC is a technical specification by IETF (Internet Engineering Task Force). Even if a plurality of SPs are set for the same counterpart device, a device that does not comply with RFC shares one SA with a plurality of SPs if the security protocol, the IPsec mode, and the destination IP address match. When a plurality of SPs are set for the same counterpart device, a device compliant with RFC creates and uses an SA for each SP. Therefore, when IPsec communication is performed between a device that conforms to RFC and a device that does not comply, there is a problem that although the IKE negotiation is successful, the IPsec communication may fail due to a difference in SA to be used.
上記課題を鑑み、本発明は、SPとSAの関連付けの方式が異なる通信装置間においてIPsec通信を可能にすることを目的とする。 In view of the above problems, an object of the present invention is to enable IPsec communication between communication apparatuses having different SP and SA association methods.
上記目的を達成するための一手段として、本発明の通信装置は以下の構成を有する。すなわち、パケット処理情報と鍵情報を用いてIPsec通信を行うことが可能な通信装置であって、送信パケットに含まれる情報を用いて第1のパケット処理情報を検索する第1の検索手段と、前記第1のパケット処理情報に関連付けられた第1の鍵情報を用いて前記送信パケットを暗号化して相手装置に送信する送信手段と、前記相手装置から受信したパケットに含まれる情報に基づいて第2の鍵情報を検索する第2の検索手段と、前記第2の鍵情報を用いて、前記受信したパケットに対して復号もしくは認証処理を行う処理手段と、前記受信したパケットに含まれる情報を用いて第2のパケット処理情報を探索する第3の検索手段と、前記処理手段による処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理手段と、を有し、前記送信手段は、前記第1の鍵情報が前記第1のパケット処理情報に一意に関連付けられているか否かに応じて、前記送信パケットを暗号化して前記相手装置に送信し、前記プロトコル処理手段は、前記第2の鍵情報が前記第2のパケット処理情報に一意に関連付けられているか否かに関わらず前記受信処理を行うことを特徴とする。 As a means for achieving the above object, the communication apparatus of the present invention has the following configuration. That is, a communication device capable of performing IPsec communication using packet processing information and key information, and a first search means for searching for first packet processing information using information included in a transmission packet; Based on information included in a packet received from the counterpart device, transmission means for encrypting the transmission packet using the first key information associated with the first packet processing information and transmitting the encrypted packet to the counterpart device Second search means for searching for the key information of 2; processing means for performing decryption or authentication processing on the received packet using the second key information; and information contained in the received packet. A third search means for searching for second packet processing information using the protocol, and a protocol for performing a reception process based on a predetermined protocol for the packet processed by the processing means. Processing means, wherein the transmission means encrypts the transmission packet according to whether or not the first key information is uniquely associated with the first packet processing information. The protocol processing means performs the reception process regardless of whether or not the second key information is uniquely associated with the second packet processing information.
本発明によれば、SPとSAの関連付けの方式が異なる通信装置間においてIPsec通信が可能となる。 According to the present invention, it is possible to perform IPsec communication between communication apparatuses having different SP and SA association methods.
以下、添付の図面を参照して、本発明をその実施形態に基づいて詳細に説明する。なお、以下の実施形態において示す構成は一例に過ぎず、本発明は図示された構成に限定されるものではない。 Hereinafter, the present invention will be described in detail based on the embodiments with reference to the accompanying drawings. The configurations shown in the following embodiments are merely examples, and the present invention is not limited to the illustrated configurations.
[第1実施形態]
図1は、第1実施形態における通信装置101の構成例を示す図である。通信装置101は、アプリケーション処理部105、IKE(Internet Key Exchange Protocol)処理部106、ネットワークプロトコル処理部104、ネットワークインタフェース部103、IPsec処理部107を有する。また、IPsec処理部107は、IPsecプロトコル処理部112、暗号・認証処理部108、SA管理部110、SP管理部109、タイマー部113、SP/SA更新管理部111を有する。
[First Embodiment]
FIG. 1 is a diagram illustrating a configuration example of a
通信装置101は、ネットワークインタフェース部103を介してネットワーク102に接続され、データパケットの送受信を行うことにより、他の通信装置と通信が可能である。ネットワークプロトコル処理部104は、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)、IP等のネットワークプロトコルに基づいた処理を行う。ネットワークインタフェース部103を介して受信したパケットはネットワークプロトコル処理部104でMAC、IPプロトコル処理が行われ、IPsec処理部107でIPsec受信処理が行われる。IPsec受信処理が行われたパケットは、アプリケーション処理部105でアプリケーション処理が行われる。また、受信したパケットがIKEパケットであった場合は、IKE処理部106でIKE処理が行われる。
The
アプリケーション処理部105及びIKE処理部106は、通信相手となる相手装置へパケットを送信する場合、ネットワークプロトコル処理部104に送信要求を行う。これに応じて、ネットワークプロトコル処理部104は、TCP、UDP、IP等のプロトコル処理を行う。IPsec処理部107は、プロトコル処理が行われたパケットに対してIPsec処理を行い、ネットワークインタフェース部103を介してIPsec処理が行われたパケットを送信する。
The
IPsecプロトコル処理部112は、ESP、AHといったIPsecプロトコルに基づいた処理を行う。また、IPsecプロトコル処理部112は、送受信パケットのポリシーを特定するために、SP管理部109に対してSPの検索要求を行う。また、IPsecプロトコル処理部112は、暗号・認証処理で必要となるSAを特定するために、SA管理部110に対してSAの検索要求を行う。また、IPsecプロトコル処理部112は、バイト数による有効期限のカウントを行い、SA管理部110に対して有効期限カウントの更新要求を行う。
The IPsec
暗号・認証処理部108は、SAの暗号アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵等に基づいて暗号、復号、認証処理を行う。SP/SA更新管理部111は、IKE処理部からの不図示のメモリにおけるSP、SAの登録、更新、削除、参照処理を制御し、SA管理部110、SP管理部109に対して必要な要求を行う。また、パケット送信時にIPsecプロトコル処理部112がSA管理部110にSA検索要求を行った結果、所望のSAが無かった場合は、SP/SA更新管理部111は、IPsecプロトコル処理部112からSA折衝要求を受付、IKE処理部106に対して当該要求を通知する。また、SP/SA更新管理部111は、SA管理部110からソフト有効期限切れの通知を受けた場合も、IKE処理部106に対してSA折衝要求を行う。タイマー部113は、SA管理部110、SP/SA更新管理部111からの設定により指定された時間が経過したことをSP/SA更新管理部111に通知する。SA管理部110は、SADを保持し、要求された処理に基づいてSADに対する操作を行い、処理結果を返す。また、SP管理部109は、SPDを保持し、要求された処理に基づいて操作を行い、処理結果を返す。
The encryption /
なお、図1に示す各機能ブロックは、それぞれハードウェア又はソフトウェアによって構成される。ソフトウェアとして構成される場合には、各機能を実現するためのコンピュータプログラムが記憶部(不図示)に記憶され、通信装置101が備えるCPU(Central Processing Unit、不図示)が当該プログラムを実行することによって該機能が実現される。
Each functional block shown in FIG. 1 is configured by hardware or software. When configured as software, a computer program for realizing each function is stored in a storage unit (not shown), and a CPU (Central Processing Unit, not shown) included in the
次に、本実施形態におけるパケット送信処理について図2を参照して説明する。図2は、本実施形態における通信装置101のパケット送信処理フローを示した図である。ステップS201において、アプリケーション処理部105は、送信対象のデータに対してアプリケーション送信処理を行う。続いて、アプリケーション処理部105は、ネットワークプロトコル処理部104に対してデータの送信要求を行う。なお、IKE処理部106がIKEパケットを送信する際は、IKE処理部106は、ネットワークプロトコル処理部104に対して送信要求を行う。
Next, packet transmission processing in the present embodiment will be described with reference to FIG. FIG. 2 is a diagram showing a packet transmission processing flow of the
ステップS202において、ネットワークプロトコル処理部104は、アプリケーション処理部105よりデータの送信要求を受け付ける。続いて、ネットワークプロトコル処理部104は、アプリケーション処理部105によりアプリケーション送信処理が施されたデータに対して、TCPまたはUDPのトランスポート層プロトコル処理およびIPプロトコル処理を行い、IPパケットを作成する。ネットワークプロトコル処理部104は、作成したIPパケットをIPsec処理部107へ通知する。
In step S202, the network
ステップS203において、IPsec処理部107のIPsecプロトコル処理部112は、ネットワークプロトコル処理部104からIPパケットを受け取る。IPsecプロトコル処理部112は、受け取ったIPパケットのIPアドレスやトランスポート層プロトコル種別、ポート番号等のパケット情報を指定したSP検索処理要求を、SP管理部109に対して行う。SP検索処理要求を受け付けたSP管理部109は、SPDに、指定されたパケット情報に対応するSPが登録されているかを検索し、検索結果をIPsecプロトコル処理部112に通知する。
In step S <b> 203, the IPsec
ステップS204において、IPsecプロトコル処理部112は、SP管理部109から通知された検索結果を判定する。指定されたパケット情報に対応する(所望の)SPがあり、かつ、該SPに指定されたポリシーがIPsec適用(Apply IPsec)であった場合は(ステップS204のYes)、IPsecプロトコル処理部112は、当該SPを特定し、処理はステップS205へ進む。指定されたパケット情報に対応するSPがなかった場合、もしくは、指定されたパケット情報に対応するSPに指定されたポリシーがIPsec適用外であった場合は(ステップS204のNo)、処理はステップS219へ進む。
In step S204, the IPsec
ステップS219において、IPsecプロトコル処理部112は、通信装置101における、SPが見つからなかった場合のポリシーを確認する。当該ポリシーが破棄(Discard)であれば(ステップS219のYes)、IPsecプロトコル処理部112は、パケットを破棄して処理は終了する。当該ポリシーが通過(Bypass IPsec)であった場合は(ステップS219のYes)、処理はステップS213へ進む。
In step S219, the IPsec
ステップS205において、IPsecプロトコル処理部112は、SPに関連付けられたSAの情報と上述のパケット情報に対応するSAが登録されているかを検索し、検索結果をIPsecプロトコル処理部112に通知する。ステップS206において、IPsecプロトコル処理部112は、SA管理部110から通知された結果を判定する。SAの情報とパケット情報に対応する(所望の)SAが有った場合は(ステップS206のYes)、当該SAを特定し、処理はステップS207へ進む。そのようなSAが無かった場合は(ステップS205のNo)、処理はステップS217へ進む。ステップS217において、IPsec処理部107はSA要求処理を行う。ステップS217の処理の後、ステップS218において、IPsecプロトコル処理部112は、送信パケットを破棄して終了する。
In step S205, the IPsec
ここで、図4を用いてステップS217のSA折衝要求処理について説明する。図4は、本実施形態におけるSA折衝要求処理フローを示した図である。IPsecプロトコル処理部112は、SA折衝要求をSP/SA更新管理部111に対して行う。SP/SA更新管理部111は、SA折衝要求を受け付けると、ステップS401において、すでにSA要求を行っているかを確認するため仮SAを検索する。なお、SP/SA更新管理部111は、仮SAを、SA要求を行う際に作成して保持し、SA折衝が完了した際に削除する。また、一定時間経過してもSA要求が完了しない場合は、SP/SA更新管理部111は、タイムアウトしたと判断して、仮SAを削除する。ステップS402において、仮SAと同じSAが既に登録されていた場合は(ステップS402のYes)、SP/SA更新管理部111は、SA要求がすでに行われていると判断し、SA要求を破棄して終了する。仮SAと同じSAが既に登録されていなかった場合は(ステップS402のNo)、処理はステップS403へ進む。
Here, the SA negotiation request processing in step S217 will be described with reference to FIG. FIG. 4 is a diagram showing a SA negotiation request processing flow in the present embodiment. The IPsec
ステップS403において、SP/SA更新管理部111は、IKE処理部106に対してSA要求を通知する。ここで、SP/SA更新管理部111は、SP(ステップS204で特定されたSP)が持つSPの識別情報であるSP識別子を付したSA要求を通知する。SA要求を受け取ったIKE処理部106は、IKEプロトコルに基づいてSA折衝を相手装置と行う。具体的には、IKE処理部106は、IKEパケットの送受信を介して、相手装置とSA折衝を行う。ステップS404において、SP/SA更新管理部111は、SA要求をした仮SAのタイマーとなるタイマー処理要求をタイマー部113に対して行い処理を終了する。なお、タイマー部113は仮SAタイマーがタイムアウトするとSP/SA更新管理部111に対して通知する。通知を受けたSP/SA更新管理部111は、仮SAを削除する。
In step S403, the SP / SA
図2に戻って、パケット送信処理の説明を続ける。ステップS207において、IPsecプロトコル処理部112は、ステップS204で特定されたSPが持つSP識別子と、ステップS206で特定されたSAが持つSP識別子とが一致するか判定する。すなわち、IPsecプロトコル処理部112は、SPとSAとが一意に(すなわち、一対一のみに)関連付けれているか否かを判定する。両者が一致する場合は(ステップS207のYes)、処理はステップS208へ進む。両者が一致しない場合は(ステップS207のNo)、処理はステップS217へ進む。
Returning to FIG. 2, the description of the packet transmission process will be continued. In step S207, the IPsec
ステップS208において、IPsecプロトコル処理部112は、ステップS204で特定されたSAに指定されたESPまたはAHのIPsecプロトコル処理を行う。ステップS209において、IPsecプロトコル処理部112は、IPsecプロトコル処理の中での暗号、認証処理を暗号・認証処理部108へ要求する。暗号・認証処理部108は、要求を受け付けると、暗号鍵、暗号アルゴリズム及び認証鍵、認証アルゴリズム等のSA情報に基づいて、暗号、認証処理を行う。ステップS210において、IPsecプロトコル処理部112は、使用したSAのバイト数による有効期限のカウント値を更新し、SA管理部110にカウント値の更新要求を行う。SA管理部110は、カウント値の更新要求を受け付けると、当該SAのバイト数カウンタを更新する。
In step S208, the IPsec
ステップS211において、SA管理部110は、ソフト有効期限(SAを更新するための期限)が切れたかを確認する。ソフト有効期限が切れた場合は(ステップS211のYes)、処理はステップS215に進む。それ以外の場合(ソフト有効期限が切れていないかもしくは、すでに切れていた場合)は(ステップS211のNo)、処理はS212へ進む。ステップS215において、IPsec処理部107は、SA折衝要求処理行う。ステップS15におけるSA要求処理はステップS217のSA折衝要求処理と共通の処理であるため、説明を省略する。ステップS212において、SA管理部110は、ハード有効期限(SAを無効とするための期限)が切れたかを確認する。ハード有効期限が切れた場合は(ステップS212のYes)、処理はステップS216に進む。ハード有効期限が切れていない場合は(ステップS212のNo)、処理はステップS213へ進む。
In step S211, the
ステップS216において、IPsecプロトコル処理部112は、ハード有効期限が切れたことをSP/SA更新管理部111に対し通知する。ハード有効期限切れの通知を受けたSP/SA更新管理部111は、IKE処理部106にハード有効期限切れを通知する。また、SP/SA更新管理部111は、SA管理部110に対してハード有効期限切れのSAの削除要求を行い、SA管理部110はSADから当該SAを削除する。ステップS213において、ネットワークプロトコル処理部104は、パケットに対して、フラグメント処理等のIPプロトコル処理、MACヘッダ処理を行う。その後、ネットワークプロトコル処理部104は、ネットワークインタフェース部103にパケットの送信要求を行う。ステップS214において、ネットワークインタフェース部103は、ネットワークへパケットを送信して処理を終了する。
In step S216, the IPsec
次に、本実施形態におけるパケット受信処理について図3を参照して説明する。図3は、本実施形態における通信装置101のパケット受信処理フローを示した図である。ステップS301において、ネットワークインタフェース部103は、ネットワーク102から受信すべきパケットを検知すると、当該パケットを受信してネットワークプロトコル処理部104へ通知する。ステップS302において、ネットワークプロトコル処理部104は、受信パケットのヘッダ解析を行い、MAC、IPプロトコル処理を行う。ステップS303において、ネットワークプロトコル処理部104は、受信パケットをIPsec処理部107へと通知する。IPsec処理部107のIPsecプロトコル処理部112は、受信パケットのヘッダ解析を行い、IPsecパケットであるか判断する。受信パケットがIPsecパケットであった場合は(ステップS303のYes)、処理はステップS304へ進む。受信パケットがIPsecパケットでなかった場合は(ステップS303のNo)、処理はステップS311へ進む。
Next, packet reception processing in this embodiment will be described with reference to FIG. FIG. 3 is a diagram showing a packet reception processing flow of the
ステップS304において、IPsecプロトコル処理部112は、受信したIPsecパケットのIPアドレスやIPsecプロトコル種別、IPsecヘッダ等のパケット情報を指定したSA検索処理要求を、SA管理部110に対して行う。SA検索処理要求を受け付けたSA管理部110は、SADに指定したパケット情報に対応するSAが登録されているかを検索し、検索結果をIPsecプロトコル処理部112に通知する。ステップS305において、IPsecプロトコル処理部112は、検索結果を判定する。パケット情報に対応する(所望の)SA見つからなかった場合(ステップS305のNo)、処理はステップS321へ進み、そのようなSAが見つかった場合は(ステップS305のYes)処理はステップS306へ進む。
In step S304, the IPsec
ステップS306において、IPsecプロトコル処理部112は、検索の結果得られたSAを用いてESPまたはAHのIPsecプロトコル処理を行う。ステップS307において、IPsecプロトコル処理部112は、IPsecプロトコル処理の中で復号・認証処理を暗号・認証処理部108に要求する。暗号・認証処理部108は、要求を受け付けると、暗号鍵、暗号アルゴリズム及び認証鍵、認証アルゴリズム等のSA情報に基づいて、復号・認証処理を行う。ここで、暗号・認証処理部108は、要求に従って、復号処理のみを行ってもよい。ステップS308において、IPsecプロトコル処理部112は、使用したSAのバイト数による有効期限のカウント値を更新し、SA管理部110にカウント値の更新要求を行う。SA管理部110は、カウント値の更新要求を受け付けると、使用したSAのバイト数カウンタを更新する。ステップS309において、SA管理部110は、ソフト有効期限が切れたかを確認する。ソフト有効期限が切れた場合は(ステップS309のNo)、処理はステップS318へ進む。それ以外の場合(ソフト有効期限が切れていないかもしくは、すでに切れていた場合)は(ステップS309のYes)、処理はステップS310へ進む。
In step S306, the IPsec
ステップS318において、IPsec処理部107は、SA折衝要求処理を行う。ステップS318におけるSA折衝要求処理は、ステップS217のSA折衝要求処理と共通の処理であるため、説明を省略する。ステップS310において、SA管理部110は、ハード有効期限が切れたかを確認する。ハード有効期限が切れた場合は(ステップS310のYes)ステップS319へ進む。ハード有効期限が切れていない場合は(ステップS310のNo)、処理はステップS311へ進む。
In step S318, the
ステップS319において、IPsecプロトコル処理部112は、ハード有効期限が切れたことをSP/SA更新管理部111に対して通知する。ハード有効期限切れの通知を受けたSP/SA更新管理部111は、IKE処理部106にハード有効期限切れを通知する。また、SP/SA更新管理部111は、SA管理部110に対してハード有効期限切れのSAの削除要求を行い、SA管理部110はSADから当該SAを削除する。ステップS311において、IPsecプロトコル処理部112は、受信したIPパケットのIPアドレスやトランスポート層プロトコル種別、ポート番号等のパケット情報を指定したSP検索要求を、SP管理部109に対して行う。SP検索処理要求を受け付けたSP管理部109は、SPDに、指定されたパケット情報に対応する(所望の)SPが登録されているかを検索し、検索結果をIPsecプロトコル処理部112に通知する。
In step S319, the IPsec
ステップS312において、IPsecプロトコル処理部112は、SP管理部109から通知された検索結果を判定する。パケット情報に対応するSPがあり、かつ、当該SPに指定されたポリシーがIPsec適用であった場合は(ステップS312のYes)、処理はステップS313へ進む。パケット情報に対応するSPが無かった場合もしくは、パケット情報に対応するSPに指定されたポリシーがIPsec適用以外であった場合は(ステップS312のNo)、処理はステップS318へ進む。
In step S312, the IPsec
ステップS318において、IPsecプロトコル処理部112は、通信装置における、SPが見つからなかった場合のポリシーを確認する。当該ポリシーが破棄(Discard)であれば(ステップS318のYes)、処理はステップS319へ進み、IPsecプロトコル処理部112は、パケットを破棄して処理は終了する。当該ポリシーが通過(BypassIPsec)であった場合は(ステップS318のNo)、処理はステップS314へ進む。
In step S318, the IPsec
ステップS313において、IPsecプロトコル処理部112は、ステップS304の探索の結果得られたSAで示されるIPSecのポリシー(トンネルモードかトランスポートモードか、および、セキュリティプロトコルがAHであるかESPであるか)が、ステップS311の探索の結果得られたSPで示されるIPSecのポリシーと一致するかを確認する。両ポリシーが一致しない場合(ステップS313のNo)、処理はステップS319へ進み、IPsecプロトコル処理部112は、パケットを破棄して終了する。両ポリシーが一致する場合(ステップS313のYes)、処理はステップS314へ進む。ステップS314において、IPsecプロトコル処理部112は、IPsec処理が完了したIPパケットのヘッダ解析を行い、IPプロトコル処理を行う。その後、IPsecプロトコル処理部112は、IP上位プロトコルヘッダを解析してTCPやUDPといったトランスポート層プロトコル処理を行う。IPsecプロトコル処理部112は、トランスポート層プロトコル処理を終えたパケットデータを、アプリケーション処理部105へ通知する。
In step S313, the IPsec
ステップS315において、アプリケーション処理部105は、受信したデータに対してアプリケーション受信処理を行う。なお、受信したパケットがIKEパケットであった場合、ネットワークプロトコル処理部104はIKE処理部106へと通知を行い、IKE処理部106はIKEプロトコル処理を行う。
In step S315, the
このように、本実施形態におけるパケット送信処理では、SPとSAとが一意に関連付けられている場合に送信処理が実施されるのに対し、パケット受信処理では、SPとSAとが一意に関連付けられていない場合であっても受信処理が実施される。 As described above, in the packet transmission process in the present embodiment, the transmission process is performed when the SP and the SA are uniquely associated, whereas in the packet reception process, the SP and the SA are uniquely associated. Even if not, the reception process is performed.
次に、SP登録処理とSA登録処理について、図5と図6を参照して説明する。図5は、本実施形態におけるSP登録処理フローを示した図である。ステップS501において、SP/SA更新管理部111は、SP管理部109に対して登録しようとするSPのセレクタ(IPアドレスやプロトコル等)と同一セレクタを有するSPが既にSPDに存在しないか検索するための要求を行う。SP管理部109は、SPDにセレクタが一致するSPが登録されているかを検索し、検索結果をSP/SA更新管理部111に通知する。ステップS502において、SP/SA更新管理部111は、SP管理部109から通知された結果を判定する。セレクタが同一のSPがSPDに存在している場合は(S502のYes)、処理は終了する。セレクタが同一のSPDが存在しない場合は(S502のNo)、処理はステップS503へ進む。
Next, the SP registration process and the SA registration process will be described with reference to FIGS. FIG. 5 is a diagram showing an SP registration processing flow in the present embodiment. In step S501, the SP / SA
ステップS503において、SP/SA更新管理部111は、新規追加するSPに対してSPD内で一意となるSP識別子を付与する。ステップS504において、SP/SA更新管理部111はSP管理部109に対して新規SPの追加要求を行う。SP管理部109は、新規SP追加要求を受け付けるとSPDに新規SPを登録して処理を終了する。
In step S503, the SP / SA
図6は、本実施形態におけるSA登録処理フローを示した図である。ステップS601において、IKE処理部106は、新規に登録するSAに対してSA要求時にSP/SA更新管理部111から通知されたSP識別子(図4のステップS403)を付与する。ステップS602において、SP/SA更新管理部111は、登録を行うSAに対応する仮SAがあるかを検索する。登録を行うSAに対応する仮SAがあった場合は、当該仮SAのタイマーを停止する要求をタイマー部113に対して行う。その後、SP/SA更新管理部111は、該当仮SAを削除する。登録を行うSAに対応する仮SAがなかった場合は、SP/SA更新管理部111は、特段の処理を行わない。ステップS603において、SP/SA更新管理部111は、SA管理部110に対して新規SAの追加要求を行う。SA管理部110は、新規SA追加要求を受け付けるとSADに新規SAを登録して処理を終了する。
FIG. 6 is a diagram showing an SA registration processing flow in the present embodiment. In step S601, the
本実施形態によれば、通信装置が、同一の相手装置に対して複数のSPを設定して通信を行う際に、送信時は、SPDを検索してヒットしたSPから生成されたSAのみを使用して送信する。一方で、通信装置は、受信時は、SPから生成されたSAのみを使用するか否かを選択できる。これにより、相手装置に対して複数のSPが設定された場合であっても、通信装置は、SPとSAの関連付け方式が異なる相手装置と、ユーザによる特別な設定を必要とせずに、IPsec通信を行うことが可能となる。 According to this embodiment, when a communication device performs communication by setting a plurality of SPs for the same counterpart device, at the time of transmission, only the SA generated from the SP that has been hit by searching the SPD is searched. Use to send. On the other hand, at the time of reception, the communication device can select whether to use only the SA generated from the SP. As a result, even if multiple SPs are set for the partner device, the communication device can communicate with the partner device that has a different SP and SA association method without requiring special settings by the user. Can be performed.
[第2実施形態]
第1実施形態では、複数のSPの設定時に、相手装置におけるSPとSAの関連付け方式の差異に関わらずIPsec通信可能となる方法を示した。以下に示す第2実施形態では、IKEのベンダIDペイロードによって相手装置毎にSPとSAの関連付けを変更する手法である。本実施形態における通信装置101の構成(図1)、SA折衝要求処理(図4)、SP登録処理フロー(図5)は、それぞれ第1実施形態において説明したものと共通するため、説明を省略する。
[Second Embodiment]
In the first embodiment, a method has been described in which IPsec communication can be performed when a plurality of SPs are set regardless of differences in SP and SA association methods in the partner apparatus. The second embodiment described below is a method of changing the association between SP and SA for each counterpart device by using an IKE vendor ID payload. The configuration of the communication apparatus 101 (FIG. 1), the SA negotiation request process (FIG. 4), and the SP registration process flow (FIG. 5) in this embodiment are the same as those described in the first embodiment, and thus description thereof is omitted. To do.
本実施形態におけるパケット送信処理について図7を参照して説明する。図7は、本実施形態における通信装置101のパケット送信処理フローを示した図である。ステップS701からS706、S708からS720の処理は、図2におけるステップS201からステップS219までの処理と共通であるため、説明を省略し、ステップS707の処理について説明する。
The packet transmission process in this embodiment will be described with reference to FIG. FIG. 7 is a diagram showing a packet transmission processing flow of the
ステップS707において、IPsecプロトコル処理部112は、該当するSAにSP識別子が付与されているか判定する。SAにSP識別子が付与されていない場合は(ステップS707のNo)処理はステップS709に進み、IPsecプロトコル処理部112は、IPsecプロトコル処理を行う。SAにSP識別子が付与されている場合は(ステップS707のYes)、処理はステップS708に進み、IPsecプロトコル処理部112は、SPとSAのSP識別子判定を行う。
In step S707, the IPsec
次に、本実施形態におけるパケット受信処理について図8を参照して説明する。図8は、本実施形態における通信装置101のパケット受信処理フローを示した図である。ステップS801からS812、S814からS821の処理は、図3におけるステップS301からS312、S314からS321までの処理と共通であるため、説明を省略し、ステップS813の処理について説明する。
Next, packet reception processing in this embodiment will be described with reference to FIG. FIG. 8 is a diagram showing a packet reception processing flow of the
ステップS813において、IPsecプロトコル処理部112は、SAにSP識別子が付与されているか判定する。SAにSP識別子が付与されていない場合は(ステップS813のNo)、処理はステップS815に進み、IPsecプロトコル処理部112は、SAマッチング処理を行う。SAにSP識別子が付与されている場合は(ステップS813のYes)、処理はステップS814に進み、IPsecプロトコル処理部112は、SPとSAのSP識別子判定を行う。
In step S813, the IPsec
図9は、本実施形態におけるSA登録処理を示した図である。ステップS907およびステップS908の処理は、図6におけるステップS602およびステップS603と共通であるため、説明を省略する。 FIG. 9 is a diagram showing SA registration processing in the present embodiment. Since the processes in step S907 and step S908 are the same as those in step S602 and step S603 in FIG.
ステップS901において、IKE処理部106は、SA折衝時に通信相手から受信したIKEパケット中にベンダIDペイロードが1つのみ付与されているか判定する。なお、ベンダIDペイロードには、一意となるベンダIDの値が含まれている。受信したIKEパケット中にベンダIDペイロードが1つも付与されていない場合(ステップS901のNo)、処理はステップS906に進む。また、受信したIKEパケット中にベンダIDペイロードが2つ以上付与されている場合も、IKE処理部106はどのベンダIDの値を判定すべきかがわからないため、処理はステップS906に進む。一方、受信したIKEパケット中にベンダIDペイロードが1のみ付与されている場合は(ステップS901のYes)、処理はステップS902に進む。
In step S901, the
ステップS902において、IKE処理部106は、ベンダIDペイロードからSPとSAの関連付け方式を判定可能か判定する。具体的には、IKE処理部106は、ベンダIDペイロードに含まれるベンダIDの値を用いて、SPとSAの関連付け方式が所定の仕様に準拠した方式か否かを判定可能か、を判定する。なお、本実施形態では、当該所定の仕様とは、IETF(Internet Engineering Task Force)による技術仕様であるRFCとする。IKE処理部106は、ベンダIDの値とRFCへの準拠/非準拠との対応を示すリストを保持しており、ベンダIDペイロードで示されるベンダIDの値が当該リストに存在するか否かを判定する。ベンダIDペイロードで示されるベンダIDの値が当該リストに存在しない場合は、IKE処理部106は、SPとSAの関連付け方式を判定不可能であり、(ステップS902のNo)、処理はステップS906に進む。ベンダIDペイロードで示されるベンダIDの値が当該リストに存在する場合は、IKE処理部106は、SPとSAの関連付け方式を判定可能であり、(ステップS902のYes)、処理はステップS903へ進む。
In step S902, the
ステップS906において、IKE処理部106は、新規に登録する送信用SAに対して、SA要求時にSP/SA更新管理部111から通知されたSP識別子を付与する。しかし、IKE処理部106は、新規に登録する受信用SAにはSPの識別子を付与しない。ステップS903において、IKE処理部106は、上述のリストにおいてベンダIDペイロードで示されるベンダIDの値を参照し、SPとSAの関連付け方式がRFCに準拠した方式か否かを判定する。RFCに準拠したSPとSAの関連付け方式の場合は(ステップS903のYes)、ステップS904に進む。RFCに準拠しない関連方式の場合は(ステップS903のNo)、ステップS905に進む。
In step S906, the
ステップS904において、IKE処理部106は、新規に登録する送信用SA及び受信用SA対してSA要求時にSP/SA更新管理部111から通知されたSP識別子を付与する。ステップS905において、IKE処理部106は、新規に登録する送信用SA及び受信用SAに対してSPの識別子を付与しない。これらの所定により、SPとSAの関連付けの方式がRFCに準拠した方式である場合には、SAに当該SAに関連付けられたSPの識別子が付与され、SPとSAの関連付けの方式がRFCに準拠した方式でない場合には、SAに当該SAに関連付けられたSPの識別子が付与されないこととなる。
In step S904, the
本実施形態によれば、相手装置におけるSPとSAの対応付け方式がRFC準拠かRFC非準拠かに応じて、通信装置101のSPとSA対応付け方式を切り替えることが可能となる。これにより、第1実施形態に示した効果に加えて、RFC非準拠の相手装置に対して複数のSPを設定して通信行う際に、通信装置は、必要最小限のSAのみを折衝すればよく、通信に使われないSAの登録によるリソース消費を抑制することができる。
According to this embodiment, it is possible to switch the SP and SA association method of the
以上、本発明の実施形態について説明した。本発明は、SPとSAを用いるIPSec通信を例として説明したが、SPに替えて、通信を行うための他のパケット処理の方法を記述したパケット処理情報、SAに替えて、他の鍵情報を用いることも可能である。すなわち、そのような通信を行うための他のパケット処理の方法を記述したパケット処理情報と他の鍵情報を用いた通信にたいしても、本実施形態を適用可能である。 The embodiment of the present invention has been described above. Although the present invention has been described by taking IPSec communication using SP and SA as an example, packet processing information describing other packet processing methods for performing communication instead of SP, and other key information instead of SA It is also possible to use. In other words, the present embodiment is applicable to communication using packet processing information describing other packet processing methods for performing such communication and other key information.
[その他の実施形態]
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
[Other Embodiments]
The present invention supplies a program that realizes one or more functions of the above-described embodiments to a system or apparatus via a network or a storage medium, and one or more processors in a computer of the system or apparatus read and execute the program This process can be realized. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.
101 通信装置、102 ネットワーク、103 ネットワークインタフェース部、104 ネットワークプロトコル処理部、105 アプリケーション処理部105、106IKE処理部、107 IPsec処理部、108 暗号・認証部、109 SP管理部、110 SA管理部、111 SP/SA更新管理部、112 IPsecプロトコル処理部、113 タイマ部
101
Claims (14)
送信パケットに含まれる情報を用いて第1のパケット処理情報を検索する第1の検索手段と、
前記第1のパケット処理情報に関連付けられた第1の鍵情報を用いて前記送信パケットを暗号化して相手装置に送信する送信手段と、
前記相手装置から受信したパケットに含まれる情報に基づいて第2の鍵情報を検索する第2の検索手段と、
前記第2の鍵情報を用いて、前記受信したパケットに対して復号もしくは認証処理を行う処理手段と、
前記受信したパケットに含まれる情報を用いて第2のパケット処理情報を探索する第3の検索手段と、
前記処理手段による処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理手段と、
を有し、
前記送信手段は、前記第1の鍵情報が前記第1のパケット処理情報に一意に関連付けられているか否かに応じて、前記送信パケットを暗号化して前記相手装置に送信し、
前記プロトコル処理手段は、前記第2の鍵情報が前記第2のパケット処理情報に一意に関連付けられているか否かに関わらず前記受信処理を行うことを特徴とする通信装置。 A communication device capable of performing IPsec communication using packet processing information and key information,
First search means for searching for first packet processing information using information included in a transmission packet;
Transmission means for encrypting the transmission packet using the first key information associated with the first packet processing information and transmitting it to the counterpart device;
Second search means for searching for second key information based on information contained in a packet received from the counterpart device;
Processing means for performing decryption or authentication processing on the received packet using the second key information;
Third search means for searching for second packet processing information using information contained in the received packet;
Protocol processing means for performing reception processing based on a predetermined protocol for the packet processed by the processing means;
Have
The transmission means encrypts the transmission packet and transmits it to the counterpart device according to whether or not the first key information is uniquely associated with the first packet processing information,
The communication apparatus, wherein the protocol processing means performs the reception process regardless of whether the second key information is uniquely associated with the second packet processing information.
前記送信手段は、前記第1の鍵情報に付与されたパケット処理情報の識別情報と、前記第1のパケット処理情報の識別情報とが一致するか否かに応じて、前記送信パケットを暗号化して前記相手装置に送信することを特徴とする請求項1または2に記載の通信装置。 Each of the first packet processing information and the second packet processing information is registered with identification information, and each of the first key information and the second key information is assigned identification information of the packet processing information. Has been registered,
The transmission means encrypts the transmission packet according to whether or not the identification information of the packet processing information given to the first key information matches the identification information of the first packet processing information. The communication apparatus according to claim 1, wherein the communication apparatus transmits the data to the partner apparatus.
前記第2の判定手段により前記パケット処理情報と鍵情報の関連付けの方式が特定の仕様に準拠した方式と判定された場合、前記第1のパケット処理情報と前記第2のパケット処理情報のそれぞれについて識別情報を付与して登録すると共に、前記第1の鍵情報と前記第2の鍵情報のそれぞれについてパケット処理情報の識別情報を付与して登録する登録手段と、
を更に有することを特徴とする請求項3に記載の通信装置。 Second determination means for determining a method of associating packet processing information and key information in the counterpart device;
When the second determination means determines that the method for associating the packet processing information with the key information is a method compliant with a specific specification, each of the first packet processing information and the second packet processing information A registration unit for adding and registering identification information of packet processing information for each of the first key information and the second key information;
The communication device according to claim 3, further comprising:
送信パケットに含まれる情報を用いて第1のパケット処理情報を検索する第1の検索工程と、
前記第1のパケット処理情報に関連付けられた第1の鍵情報を用いて前記送信パケットを暗号化して相手装置に送信する送信工程と、
前記相手装置から受信したパケットに含まれる情報に基づいて、第2の鍵情報を検索する第2の検索工程と、
前記第2の鍵情報を用いて、前記受信したパケットに対して復号もしくは認証処理を行う処理工程と、
前記受信したパケットに含まれる情報を用いて第2のパケット処理情報を探索する第3の検索工程と、
前記処理工程における処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理工程と、
を有し、
前記送信工程では、前記第1の鍵情報が前記第1のパケット処理情報に一意に関連付けられているか否かに応じて、前記送信パケットが暗号化さして前記相手装置に送信され、
前記プロトコル処理工程では、前記第2の鍵情報が前記第2のパケット処理情報に一意に関連付けられているか否かに関わらず前記受信処理が行われることを特徴とする通信装置の制御方法。 A method for controlling a communication device capable of performing IPsec communication using packet processing information and key information registered in a memory,
A first search step of searching for first packet processing information using information included in the transmission packet;
A transmission step of encrypting the transmission packet using the first key information associated with the first packet processing information and transmitting the encrypted transmission packet to the counterpart device;
A second search step of searching for second key information based on information included in the packet received from the counterpart device;
A processing step of performing decryption or authentication processing on the received packet using the second key information;
A third search step of searching for second packet processing information using information included in the received packet;
A protocol processing step of performing reception processing based on a predetermined protocol for the packet that has been processed in the processing step;
Have
In the transmission step, the transmission packet is encrypted and transmitted to the counterpart device according to whether or not the first key information is uniquely associated with the first packet processing information,
In the protocol processing step, the reception process is performed regardless of whether or not the second key information is uniquely associated with the second packet processing information.
送信パケットに含まれる情報から特定される第1のSPの識別情報と同じ識別情報を有する第1のSAを用いて前記送信パケットを暗号化して相手装置に送信する送信手段と、
前記相手装置から受信したパケットに含まれる情報から特定される第2のSAを用いて前記受信したパケットに対して復号もしくは認証処理を行う処理手段と、
前記受信したパケットに含まれる情報から特定される第2のSPの識別情報が、前記第2のSAに付与されたSPの識別情報と異なるか否かに関わらず、前記処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理手段と、
を有ることを特徴とする通信装置。 A communication device capable of performing IPsec communication using SP (Security Policy) and SA (Security Association) registered in a memory,
Transmission means for encrypting the transmission packet using the first SA having the same identification information as the identification information of the first SP specified from the information included in the transmission packet, and transmitting it to the counterpart device;
Processing means for performing decryption or authentication processing on the received packet using a second SA specified from information included in the packet received from the counterpart device;
The packet subjected to the processing regardless of whether or not the identification information of the second SP specified from the information included in the received packet is different from the identification information of the SP assigned to the second SA Protocol processing means for performing a receiving process based on a predetermined protocol,
A communication device characterized by comprising:
相手装置がIETF(Internet Engineering Task Force)による技術仕様であるRFCに準拠した仕様である場合に、送信パケットに含まれる情報から特定される第1のSPの識別情報と同じ識別情報を有する第1のSAを用いて前記送信パケットを暗号化して送信する送信手段と、
前記相手装置から受信したパケットに含まれる情報から特定される第2のSAを用いて前記受信したパケットに対して復号もしくは認証処理を行う処理手段と、
前記受信したパケットに含まれる情報から特定される第2のSPの識別情報が、前記第2のSAに付与されたSPの識別情報が同じ場合に、前記処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理手段と、
を有することを特徴とする通信装置。 A communication device capable of performing IPsec communication using SP (Security Policy) and SA (Security Association) registered in a memory,
A first having the same identification information as the identification information of the first SP specified from the information included in the transmission packet when the counterpart device is a specification compliant with RFC, which is a technical specification by IETF (Internet Engineering Task Force). Transmitting means for encrypting and transmitting the transmission packet using SA of
Processing means for performing decryption or authentication processing on the received packet using a second SA specified from information included in the packet received from the counterpart device;
When the identification information of the second SP specified from the information included in the received packet is the same as the identification information of the SP assigned to the second SA, a predetermined value is set for the packet subjected to the processing. Protocol processing means for performing reception processing based on the protocol;
A communication apparatus comprising:
相手装置がIETF(Internet Engineering Task Force)による技術仕様であるRFCに準拠した仕様でない場合に、送信パケットに含まれる情報から特定される第1のSPの識別情報と同じ識別情報を有するか否かに関わらず、前記第1のSPに関連付けられた第1のSAを用いて前記送信パケットを暗号化して送信する送信手段と、
前記相手装置から受信したパケットに含まれる情報から特定される第2のSAを用いて前記受信したパケットに対して復号もしくは認証処理を行う処理手段と、
前記処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理手段と、
を有することを特徴とする通信装置。 A communication device capable of performing IPsec communication using SP (Security Policy) and SA (Security Association) registered in a memory,
Whether or not the counterpart device has the same identification information as the identification information of the first SP specified from the information included in the transmission packet when the specification is not compliant with RFC which is a technical specification by IETF (Internet Engineering Task Force) Regardless of the transmission means for encrypting and transmitting the transmission packet using the first SA associated with the first SP;
Processing means for performing decryption or authentication processing on the received packet using a second SA specified from information included in the packet received from the counterpart device;
Protocol processing means for performing reception processing based on a predetermined protocol for the packet subjected to the processing;
A communication apparatus comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016076729A JP2017188800A (en) | 2016-04-06 | 2016-04-06 | Communication device, control method thereof, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016076729A JP2017188800A (en) | 2016-04-06 | 2016-04-06 | Communication device, control method thereof, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017188800A true JP2017188800A (en) | 2017-10-12 |
JP2017188800A5 JP2017188800A5 (en) | 2019-03-07 |
Family
ID=60046641
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016076729A Pending JP2017188800A (en) | 2016-04-06 | 2016-04-06 | Communication device, control method thereof, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017188800A (en) |
-
2016
- 2016-04-06 JP JP2016076729A patent/JP2017188800A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11038846B2 (en) | Internet protocol security tunnel maintenance method, apparatus, and system | |
US10178181B2 (en) | Interposer with security assistant key escrow | |
US7234063B1 (en) | Method and apparatus for generating pairwise cryptographic transforms based on group keys | |
CN107659406B (en) | Resource operation method and device | |
JP4707992B2 (en) | Encrypted communication system | |
JP2020080530A (en) | Data processing method, device, terminal, and access point computer | |
WO2016061819A1 (en) | Resource access method and apparatus | |
US11316907B2 (en) | System and method for secure communication channel establishment | |
CN110191052B (en) | Cross-protocol network transmission method and system | |
EP3609149A1 (en) | Method and apparatus for security management in 5g networks | |
JP2010539839A (en) | Security method in server-based mobile Internet protocol system | |
JP2014140132A (en) | Communication device, control method therefor, and program | |
JP4602894B2 (en) | Computer system and computer | |
EP3661244A1 (en) | Key negotiation and provisioning for devices in a network | |
JP2006245831A (en) | Communication method, communication system, authentication server and mobile | |
Sitenkov | Access control in the internet of things | |
JP2017188800A (en) | Communication device, control method thereof, and program | |
CN107547478B (en) | Message transmission method, device and system | |
KR101730405B1 (en) | Method of managing network route and network entity enabling the method | |
Pittoli et al. | Security architectures in constrained environments: A survey | |
JPH11243388A (en) | Cipher communication system | |
JP6752578B2 (en) | Communication equipment, control methods and programs for communication equipment | |
KR20150060050A (en) | Network device and method of forming tunnel of network device | |
JP2019046078A (en) | Relay apparatus, server, data communication system, and data communication method | |
JP2008072242A (en) | Network apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190121 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190121 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191224 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200207 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200402 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200522 |