JP2017188800A - Communication device, control method thereof, and program - Google Patents

Communication device, control method thereof, and program Download PDF

Info

Publication number
JP2017188800A
JP2017188800A JP2016076729A JP2016076729A JP2017188800A JP 2017188800 A JP2017188800 A JP 2017188800A JP 2016076729 A JP2016076729 A JP 2016076729A JP 2016076729 A JP2016076729 A JP 2016076729A JP 2017188800 A JP2017188800 A JP 2017188800A
Authority
JP
Japan
Prior art keywords
packet
information
processing
transmission
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016076729A
Other languages
Japanese (ja)
Other versions
JP2017188800A5 (en
Inventor
邦洋 河田
Kunihiro Kawada
邦洋 河田
毅郎 中沢
Takero Nakazawa
毅郎 中沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2016076729A priority Critical patent/JP2017188800A/en
Publication of JP2017188800A publication Critical patent/JP2017188800A/en
Publication of JP2017188800A5 publication Critical patent/JP2017188800A5/ja
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To enable IPsec communication between communication devices having a different method of associating SP and SA.SOLUTION: A communication device being able to perform IPsec communication using packet processing information and key information searches for first packet processing information using information included in a transmission packet, encrypts the transmission packet using first key information associated with the first packet processing information to transmit to an opposite device, searches for second key information on the basis of the information included in the packet received from the opposite device, performs decoding or authentication processing on the received packet using the second key information, searches for second packet processing information using the information included in the received packet, and performs receiving processing on the processed packet based on a predetermined protocol. The communication device encrypts the transmission packet to transmit it to the opposite device according to whether or not the first key information is uniquely associated with the first packet processing information, and performs the receiving processing regardless of whether or not the second key information is uniquely associated with the second packet processing information.SELECTED DRAWING: Figure 1

Description

本発明は、セキュリティ通信技術に関連する。具体的には、相互接続性を向上することができるIPsecによるセキュリティ通信技術に関する。   The present invention relates to security communication technology. More specifically, the present invention relates to a security communication technology using IPsec that can improve interoperability.

近年、ネットワークを介してデータを送受信する際のセキュリティ確保の必要性が高まっている。IPsec(Security Architecture for Internet Protocol)は、IPネットワーク上を流れるデータのセキュリティを確保するプロトコルで、IPパケット単位でデータの機密性の確保や、データの完全性、送信元の認証を行うことが可能である。   In recent years, there is an increasing need for ensuring security when data is transmitted and received over a network. IPsec (Security Architecture for Internet Protocol) is a protocol that ensures the security of data that flows over IP networks, and can ensure data confidentiality, data integrity, and source authentication in units of IP packets. It is.

IPsecによる暗号・認証機能を内蔵した通信装置は、論理的なコネクションにより暗号通信を行うことができる。この論理的なコネクションは、SA(Security Association)と呼ばれる。SAでは、鍵情報として、暗号通信で用いる暗号鍵情報や暗号化アルゴリズム、及び認証鍵や認証アルゴリズムなどの暗号化通信パラメータが管理される。また、このSAを管理・保持するデータベースは、SAD(Security Association Database)と呼ばれる。   A communication device with a built-in IPsec encryption / authentication function can perform encrypted communication through a logical connection. This logical connection is called SA (Security Association). In the SA, encryption key information and encryption algorithm used in encryption communication, and encryption communication parameters such as an authentication key and authentication algorithm are managed as key information. The database that manages and holds this SA is called SAD (Security Association Database).

IPsecを用いて暗号通信を行う通信装置は、IP(Internet Protocol)パケットを送信する場合、当該IPパケットのIPアドレスや通信プロトコル等により、SPD(Security Policy Database)から、通信を行うためのパケット処理の方法を記述したパケット処理情報であるSP(Security Policy)を特定する。通信装置は、この特定されたSPに基づいてIPsec処理に必要となるSAを特定する。続いて、通信装置は、この特定したSAを用いて暗号・認証処理を施したパケットを送信する。また、通信装置がIPパケットを受信する場合は、IPパケットのヘッダ情報により、SADからSAを特定する。通信装置は、特定したSAを用いて暗号(復号)・認証処理を行う。通信装置は、暗号(復号)・認証処理の結果得られたIPパケットのIPアドレスや通信プロトコル等により、SPDからSPを特定し、SPに指定されたポリシーに従って受信処理を行う。   When a communication device that performs encrypted communication using IPsec transmits an IP (Internet Protocol) packet, packet processing for performing communication from the SPD (Security Policy Database) according to the IP address or communication protocol of the IP packet. SP (Security Policy) that is packet processing information describing the above method is specified. The communication device specifies the SA required for the IPsec processing based on the specified SP. Subsequently, the communication apparatus transmits a packet subjected to encryption / authentication processing using the specified SA. When the communication device receives an IP packet, the SA is identified from the SAD by the header information of the IP packet. The communication device performs encryption (decryption) / authentication processing using the specified SA. The communication device identifies the SP from the SPD based on the IP address or communication protocol of the IP packet obtained as a result of the encryption (decryption) / authentication process, and performs the reception process according to the policy specified for the SP.

IPsecを用いて暗号通信を行う送信側と受信側の2つ通信装置は、IPsec通信を行う前にSAを確立しておく必要がある。SAを確立する方式としては、それぞれの通信装置において手動でSAの各種情報を設定する手動鍵設定方式がある。このほか、IKE(Internet Key Exchange Protocol)の折衝を用いる自動鍵交換方式がある。   The two communication devices on the transmission side and the reception side that perform encrypted communication using IPsec need to establish an SA before performing IPsec communication. As a method for establishing the SA, there is a manual key setting method for manually setting various SA information in each communication device. In addition, there is an automatic key exchange method using negotiation of IKE (Internet Key Exchange Protocol).

暗号アルゴリズムや共有鍵は、通信に先立ち交換される必要があり、また、共有鍵は、セキュリティのレベルを保つためにも、頻繁に変更する必要がある。そのため、これらの2つの方式のうち、手動鍵管理方式は、頻繁に鍵交換をするには手間が掛かり過ぎるため現実的ではないという問題点がある。それに対し、自動鍵管理方式は、頻繁に行う必要ある鍵交換を自動で行うため、手間が掛からず実用的と言える。   The encryption algorithm and the shared key need to be exchanged prior to communication, and the shared key needs to be changed frequently in order to maintain the security level. Therefore, of these two methods, the manual key management method has a problem that it is not practical because it takes too much time to exchange keys frequently. On the other hand, the automatic key management method automatically performs key exchange that needs to be performed frequently, so it can be said that it is practical without any effort.

自動鍵管理方式で共通鍵を生成する場合には、相手装置の認証のためにSPDにおける各SPに、事前共有鍵を設定する必要がある。しかし、SPDにおいて、同一の相手装置のアドレスが含まれるSPが複数存在する場合、当該相手装置と正常に通信できない場合があった。例えば、SPDにおいて、相手装置のIPアドレスだけが含まれるSPと、相手装置のIPを含む複数のアドレスが含まれるSPが混在する場合がある。各SPには使用の優先順位と事前共通鍵が設定されている。このような状況において、通信装置と相手装置それぞれにおいて、送信するパケットのIPアドレスと使用の優先順位を考慮して特定したSPに設定された事前共有鍵が異なる場合がある。この場合、IKEの折衝が失敗してしまうという問題があった。   When a common key is generated by the automatic key management method, it is necessary to set a pre-shared key for each SP in the SPD for authentication of the counterpart device. However, in SPD, when there are a plurality of SPs that include the address of the same counterpart device, there is a case where communication with the counterpart device cannot be performed normally. For example, in SPD, there may be a mixture of an SP that includes only the IP address of the partner device and an SP that includes a plurality of addresses including the IP of the partner device. Each SP has a priority of use and a pre-shared key. In such a situation, the pre-shared key set in the SP specified in consideration of the IP address of the packet to be transmitted and the priority of use may be different between the communication device and the partner device. In this case, there was a problem that IKE negotiations failed.

この問題に対して、通信装置が新規に登録するSPに含まれるIPアドレスと、SPDに既存のSPに含まれる相手装置のIPアドレスが重複する場合、既存SPに含まれる事前共有鍵をコピーし、どちらのSPが使われても同一の事前共有鍵を使用する手法が提案されている(特許文献1参照)。   For this problem, if the IP address included in the SP newly registered by the communication device overlaps with the IP address of the partner device included in the existing SP in the SPD, copy the pre-shared key included in the existing SP. A method has been proposed in which the same pre-shared key is used regardless of which SP is used (see Patent Document 1).

特開2009−239692号公報JP 2009-233962 A

しかし、特許文献1に記載の手法では、通信相手の実装方法によっては、通信装置は、同一の相手装置に対して複数SP設定時にIPsec通信ができない場合がある。すなわち、当該手法によれば、通信装置が相手装置に対して、複数のSPを設定した場合、SPの事前共有鍵は同一となり、それぞれのSPのIKE折衝は成功する。しかし、それぞれのSPから生成されるSAの鍵情報は、事前共有鍵に加えて乱数から生成されるため、SP毎に異なる。   However, according to the technique described in Patent Document 1, depending on the communication partner mounting method, the communication device may not be able to perform IPsec communication when multiple SPs are set for the same partner device. That is, according to this method, when the communication device sets a plurality of SPs for the partner device, the pre-shared keys of the SPs are the same, and the IKE negotiation of each SP is successful. However, since the SA key information generated from each SP is generated from a random number in addition to the pre-shared key, it differs for each SP.

一方で、SPとSAの関連付けがRFCに準拠している通信機器と、準拠していない通信機器がそれぞれ市場に存在する。なお、RFCは、IETF(Internet Engineering Task Force)による技術仕様である。RFCに準拠しない機器は、同一の相手装置に対して複数のSPが設定されている場合においても、セキュリティプロトコル、IPsecモード、宛先IPアドレスが一致すれば一つのSAを複数のSPで共有する。RFCに準拠する機器は、同一相手装置に対して複数のSPが設定されている場合、SP毎にSAを作成し、使用する。そのため、RFCに準拠する機器と準拠しない機器との間でIPsec通信が行われた場合、IKE折衝に成功するものの、使用するSAの違いによりIPsec通信に失敗し得るという課題があった。   On the other hand, there are communication devices in the market where communication between SP and SA is compliant with RFC, and communication devices that are not compliant. RFC is a technical specification by IETF (Internet Engineering Task Force). Even if a plurality of SPs are set for the same counterpart device, a device that does not comply with RFC shares one SA with a plurality of SPs if the security protocol, the IPsec mode, and the destination IP address match. When a plurality of SPs are set for the same counterpart device, a device compliant with RFC creates and uses an SA for each SP. Therefore, when IPsec communication is performed between a device that conforms to RFC and a device that does not comply, there is a problem that although the IKE negotiation is successful, the IPsec communication may fail due to a difference in SA to be used.

上記課題を鑑み、本発明は、SPとSAの関連付けの方式が異なる通信装置間においてIPsec通信を可能にすることを目的とする。   In view of the above problems, an object of the present invention is to enable IPsec communication between communication apparatuses having different SP and SA association methods.

上記目的を達成するための一手段として、本発明の通信装置は以下の構成を有する。すなわち、パケット処理情報と鍵情報を用いてIPsec通信を行うことが可能な通信装置であって、送信パケットに含まれる情報を用いて第1のパケット処理情報を検索する第1の検索手段と、前記第1のパケット処理情報に関連付けられた第1の鍵情報を用いて前記送信パケットを暗号化して相手装置に送信する送信手段と、前記相手装置から受信したパケットに含まれる情報に基づいて第2の鍵情報を検索する第2の検索手段と、前記第2の鍵情報を用いて、前記受信したパケットに対して復号もしくは認証処理を行う処理手段と、前記受信したパケットに含まれる情報を用いて第2のパケット処理情報を探索する第3の検索手段と、前記処理手段による処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理手段と、を有し、前記送信手段は、前記第1の鍵情報が前記第1のパケット処理情報に一意に関連付けられているか否かに応じて、前記送信パケットを暗号化して前記相手装置に送信し、前記プロトコル処理手段は、前記第2の鍵情報が前記第2のパケット処理情報に一意に関連付けられているか否かに関わらず前記受信処理を行うことを特徴とする。   As a means for achieving the above object, the communication apparatus of the present invention has the following configuration. That is, a communication device capable of performing IPsec communication using packet processing information and key information, and a first search means for searching for first packet processing information using information included in a transmission packet; Based on information included in a packet received from the counterpart device, transmission means for encrypting the transmission packet using the first key information associated with the first packet processing information and transmitting the encrypted packet to the counterpart device Second search means for searching for the key information of 2; processing means for performing decryption or authentication processing on the received packet using the second key information; and information contained in the received packet. A third search means for searching for second packet processing information using the protocol, and a protocol for performing a reception process based on a predetermined protocol for the packet processed by the processing means. Processing means, wherein the transmission means encrypts the transmission packet according to whether or not the first key information is uniquely associated with the first packet processing information. The protocol processing means performs the reception process regardless of whether or not the second key information is uniquely associated with the second packet processing information.

本発明によれば、SPとSAの関連付けの方式が異なる通信装置間においてIPsec通信が可能となる。   According to the present invention, it is possible to perform IPsec communication between communication apparatuses having different SP and SA association methods.

第1及び第2実施形態における通信装置の構成を示した図。The figure which showed the structure of the communication apparatus in 1st and 2nd embodiment. 第1実施形態における通信装置のパケット送信処理フローを示した図。The figure which showed the packet transmission processing flow of the communication apparatus in 1st Embodiment. 第1実施形態における通信装置のパケット受信処理フローを示した図。The figure which showed the packet reception processing flow of the communication apparatus in 1st Embodiment. 第1及び第2実施形態におけるSA折衝要求処理フローを示した図。The figure which showed the SA negotiation request | requirement processing flow in 1st and 2nd embodiment. 第1及び第2実施形態におけるSP登録処理フローを示した図。The figure which showed the SP registration process flow in 1st and 2nd embodiment. 第1実施形態におけるSA登録処理フローを示した図。The figure which showed the SA registration processing flow in 1st Embodiment. 第2実施形態における通信装置のパケット送信処理フローを示した図。The figure which showed the packet transmission processing flow of the communication apparatus in 2nd Embodiment. 第2実施形態における通信装置のパケット受信処理フローを示した図。The figure which showed the packet reception processing flow of the communication apparatus in 2nd Embodiment. 第2実施形態におけるSA登録処理フローを示した図。The figure which showed the SA registration processing flow in 2nd Embodiment.

以下、添付の図面を参照して、本発明をその実施形態に基づいて詳細に説明する。なお、以下の実施形態において示す構成は一例に過ぎず、本発明は図示された構成に限定されるものではない。   Hereinafter, the present invention will be described in detail based on the embodiments with reference to the accompanying drawings. The configurations shown in the following embodiments are merely examples, and the present invention is not limited to the illustrated configurations.

[第1実施形態]
図1は、第1実施形態における通信装置101の構成例を示す図である。通信装置101は、アプリケーション処理部105、IKE(Internet Key Exchange Protocol)処理部106、ネットワークプロトコル処理部104、ネットワークインタフェース部103、IPsec処理部107を有する。また、IPsec処理部107は、IPsecプロトコル処理部112、暗号・認証処理部108、SA管理部110、SP管理部109、タイマー部113、SP/SA更新管理部111を有する。 [First Embodiment]
FIG. 1 is a diagram illustrating a configuration example of a communication device 101 according to the first embodiment. The communication apparatus 101 includes an application processing unit 105, an IKE (Internet Key Exchange Protocol) processing unit 106, a network protocol processing unit 104, a network interface unit 103, and an IPsec processing unit 107. The IPsec processing unit 107 includes an IPsec protocol processing unit 112, an encryption / authentication processing unit 108, an SA management unit 110, an SP management unit 109, a timer unit 113, and an SP / SA update management unit 111.

通信装置101は、ネットワークインタフェース部103を介してネットワーク102に接続され、データパケットの送受信を行うことにより、他の通信装置と通信が可能である。ネットワークプロトコル処理部104は、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)、IP等のネットワークプロトコルに基づいた処理を行う。ネットワークインタフェース部103を介して受信したパケットはネットワークプロトコル処理部104でMAC、IPプロトコル処理が行われ、IPsec処理部107でIPsec受信処理が行われる。IPsec受信処理が行われたパケットは、アプリケーション処理部105でアプリケーション処理が行われる。また、受信したパケットがIKEパケットであった場合は、IKE処理部106でIKE処理が行われる。   The communication device 101 is connected to the network 102 via the network interface unit 103 and can communicate with other communication devices by transmitting and receiving data packets. The network protocol processing unit 104 performs processing based on a network protocol such as TCP (Transmission Control Protocol), UDP (User Datagram Protocol), or IP. A packet received via the network interface unit 103 is subjected to MAC and IP protocol processing by the network protocol processing unit 104, and IPsec reception processing is performed by the IPsec processing unit 107. The application processing unit 105 performs application processing on the packet that has undergone IPsec reception processing. If the received packet is an IKE packet, the IKE processing unit 106 performs IKE processing.

アプリケーション処理部105及びIKE処理部106は、通信相手となる相手装置へパケットを送信する場合、ネットワークプロトコル処理部104に送信要求を行う。これに応じて、ネットワークプロトコル処理部104は、TCP、UDP、IP等のプロトコル処理を行う。IPsec処理部107は、プロトコル処理が行われたパケットに対してIPsec処理を行い、ネットワークインタフェース部103を介してIPsec処理が行われたパケットを送信する。   The application processing unit 105 and the IKE processing unit 106 make a transmission request to the network protocol processing unit 104 when transmitting a packet to a partner device serving as a communication partner. In response to this, the network protocol processing unit 104 performs protocol processing such as TCP, UDP, and IP. The IPsec processing unit 107 performs an IPsec process on the packet on which the protocol processing has been performed, and transmits the packet on which the IPsec processing has been performed via the network interface unit 103.

IPsecプロトコル処理部112は、ESP、AHといったIPsecプロトコルに基づいた処理を行う。また、IPsecプロトコル処理部112は、送受信パケットのポリシーを特定するために、SP管理部109に対してSPの検索要求を行う。また、IPsecプロトコル処理部112は、暗号・認証処理で必要となるSAを特定するために、SA管理部110に対してSAの検索要求を行う。また、IPsecプロトコル処理部112は、バイト数による有効期限のカウントを行い、SA管理部110に対して有効期限カウントの更新要求を行う。   The IPsec protocol processing unit 112 performs processing based on the IPsec protocol such as ESP and AH. In addition, the IPsec protocol processing unit 112 makes an SP search request to the SP management unit 109 in order to specify a policy of transmission / reception packets. In addition, the IPsec protocol processing unit 112 makes an SA search request to the SA management unit 110 in order to specify an SA required for encryption / authentication processing. In addition, the IPsec protocol processing unit 112 counts the expiration date based on the number of bytes, and requests the SA management unit 110 to update the expiration date count.

暗号・認証処理部108は、SAの暗号アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵等に基づいて暗号、復号、認証処理を行う。SP/SA更新管理部111は、IKE処理部からの不図示のメモリにおけるSP、SAの登録、更新、削除、参照処理を制御し、SA管理部110、SP管理部109に対して必要な要求を行う。また、パケット送信時にIPsecプロトコル処理部112がSA管理部110にSA検索要求を行った結果、所望のSAが無かった場合は、SP/SA更新管理部111は、IPsecプロトコル処理部112からSA折衝要求を受付、IKE処理部106に対して当該要求を通知する。また、SP/SA更新管理部111は、SA管理部110からソフト有効期限切れの通知を受けた場合も、IKE処理部106に対してSA折衝要求を行う。タイマー部113は、SA管理部110、SP/SA更新管理部111からの設定により指定された時間が経過したことをSP/SA更新管理部111に通知する。SA管理部110は、SADを保持し、要求された処理に基づいてSADに対する操作を行い、処理結果を返す。また、SP管理部109は、SPDを保持し、要求された処理に基づいて操作を行い、処理結果を返す。   The encryption / authentication processing unit 108 performs encryption, decryption, and authentication processing based on the SA encryption algorithm, encryption key, authentication algorithm, authentication key, and the like. The SP / SA update management unit 111 controls SP, SA registration, update, deletion, and reference processing in a memory (not shown) from the IKE processing unit, and requests necessary for the SA management unit 110 and the SP management unit 109. I do. Also, as a result of the IPsec protocol processing unit 112 sending an SA search request to the SA management unit 110 during packet transmission, if there is no desired SA, the SP / SA update management unit 111 receives the SA negotiation from the IPsec protocol processing unit 112. The request is accepted, and the request is notified to the IKE processing unit 106. The SP / SA update management unit 111 also makes an SA negotiation request to the IKE processing unit 106 even when the software expiration date notification is received from the SA management unit 110. The timer unit 113 notifies the SP / SA update management unit 111 that the time specified by the settings from the SA management unit 110 and the SP / SA update management unit 111 has elapsed. The SA management unit 110 holds the SAD, performs an operation on the SAD based on the requested processing, and returns a processing result. The SP management unit 109 holds the SPD, performs an operation based on the requested process, and returns a process result.

なお、図1に示す各機能ブロックは、それぞれハードウェア又はソフトウェアによって構成される。ソフトウェアとして構成される場合には、各機能を実現するためのコンピュータプログラムが記憶部(不図示)に記憶され、通信装置101が備えるCPU(Central Processing Unit、不図示)が当該プログラムを実行することによって該機能が実現される。   Each functional block shown in FIG. 1 is configured by hardware or software. When configured as software, a computer program for realizing each function is stored in a storage unit (not shown), and a CPU (Central Processing Unit, not shown) included in the communication device 101 executes the program. This function is realized by.

次に、本実施形態におけるパケット送信処理について図2を参照して説明する。図2は、本実施形態における通信装置101のパケット送信処理フローを示した図である。ステップS201において、アプリケーション処理部105は、送信対象のデータに対してアプリケーション送信処理を行う。続いて、アプリケーション処理部105は、ネットワークプロトコル処理部104に対してデータの送信要求を行う。なお、IKE処理部106がIKEパケットを送信する際は、IKE処理部106は、ネットワークプロトコル処理部104に対して送信要求を行う。   Next, packet transmission processing in the present embodiment will be described with reference to FIG. FIG. 2 is a diagram showing a packet transmission processing flow of the communication apparatus 101 in the present embodiment. In step S201, the application processing unit 105 performs application transmission processing on the transmission target data. Subsequently, the application processing unit 105 makes a data transmission request to the network protocol processing unit 104. When the IKE processing unit 106 transmits an IKE packet, the IKE processing unit 106 makes a transmission request to the network protocol processing unit 104.

ステップS202において、ネットワークプロトコル処理部104は、アプリケーション処理部105よりデータの送信要求を受け付ける。続いて、ネットワークプロトコル処理部104は、アプリケーション処理部105によりアプリケーション送信処理が施されたデータに対して、TCPまたはUDPのトランスポート層プロトコル処理およびIPプロトコル処理を行い、IPパケットを作成する。ネットワークプロトコル処理部104は、作成したIPパケットをIPsec処理部107へ通知する。   In step S202, the network protocol processing unit 104 receives a data transmission request from the application processing unit 105. Subsequently, the network protocol processing unit 104 performs TCP or UDP transport layer protocol processing and IP protocol processing on the data subjected to the application transmission processing by the application processing unit 105 to create an IP packet. The network protocol processing unit 104 notifies the created IP packet to the IPsec processing unit 107.

ステップS203において、IPsec処理部107のIPsecプロトコル処理部112は、ネットワークプロトコル処理部104からIPパケットを受け取る。IPsecプロトコル処理部112は、受け取ったIPパケットのIPアドレスやトランスポート層プロトコル種別、ポート番号等のパケット情報を指定したSP検索処理要求を、SP管理部109に対して行う。SP検索処理要求を受け付けたSP管理部109は、SPDに、指定されたパケット情報に対応するSPが登録されているかを検索し、検索結果をIPsecプロトコル処理部112に通知する。   In step S <b> 203, the IPsec protocol processing unit 112 of the IPsec processing unit 107 receives an IP packet from the network protocol processing unit 104. The IPsec protocol processing unit 112 makes an SP search processing request specifying the packet information such as the IP address, transport layer protocol type, and port number of the received IP packet to the SP management unit 109. Receiving the SP search processing request, the SP management unit 109 searches the SPD for an SP corresponding to the specified packet information, and notifies the IPsec protocol processing unit 112 of the search result.

ステップS204において、IPsecプロトコル処理部112は、SP管理部109から通知された検索結果を判定する。指定されたパケット情報に対応する(所望の)SPがあり、かつ、該SPに指定されたポリシーがIPsec適用(Apply IPsec)であった場合は(ステップS204のYes)、IPsecプロトコル処理部112は、当該SPを特定し、処理はステップS205へ進む。指定されたパケット情報に対応するSPがなかった場合、もしくは、指定されたパケット情報に対応するSPに指定されたポリシーがIPsec適用外であった場合は(ステップS204のNo)、処理はステップS219へ進む。   In step S204, the IPsec protocol processing unit 112 determines the search result notified from the SP management unit 109. If there is a (desired) SP corresponding to the specified packet information and the policy specified for the SP is Apply IPsec (Yes in step S204), the IPsec protocol processing unit 112 The SP is specified, and the process proceeds to step S205. If there is no SP corresponding to the designated packet information, or if the policy designated in the SP corresponding to the designated packet information is not applicable to IPsec (No in step S204), the process proceeds to step S219. Proceed to

ステップS219において、IPsecプロトコル処理部112は、通信装置101における、SPが見つからなかった場合のポリシーを確認する。当該ポリシーが破棄(Discard)であれば(ステップS219のYes)、IPsecプロトコル処理部112は、パケットを破棄して処理は終了する。当該ポリシーが通過(Bypass IPsec)であった場合は(ステップS219のYes)、処理はステップS213へ進む。   In step S219, the IPsec protocol processing unit 112 checks the policy when the SP is not found in the communication apparatus 101. If the policy is a discard (Discard) (Yes in step S219), the IPsec protocol processing unit 112 discards the packet and the process ends. If the policy is pass (Bypass IPsec) (Yes in step S219), the process proceeds to step S213.

ステップS205において、IPsecプロトコル処理部112は、SPに関連付けられたSAの情報と上述のパケット情報に対応するSAが登録されているかを検索し、検索結果をIPsecプロトコル処理部112に通知する。ステップS206において、IPsecプロトコル処理部112は、SA管理部110から通知された結果を判定する。SAの情報とパケット情報に対応する(所望の)SAが有った場合は(ステップS206のYes)、当該SAを特定し、処理はステップS207へ進む。そのようなSAが無かった場合は(ステップS205のNo)、処理はステップS217へ進む。ステップS217において、IPsec処理部107はSA要求処理を行う。ステップS217の処理の後、ステップS218において、IPsecプロトコル処理部112は、送信パケットを破棄して終了する。   In step S205, the IPsec protocol processing unit 112 searches whether the SA information associated with the SP and the SA corresponding to the packet information described above are registered, and notifies the IPsec protocol processing unit 112 of the search result. In step S206, the IPsec protocol processing unit 112 determines the result notified from the SA management unit 110. If there is a (desired) SA corresponding to the SA information and packet information (Yes in step S206), the SA is specified, and the process proceeds to step S207. If there is no such SA (No in step S205), the process proceeds to step S217. In step S217, the IPsec processing unit 107 performs SA request processing. After the processing of step S217, in step S218, the IPsec protocol processing unit 112 discards the transmission packet and ends.

ここで、図4を用いてステップS217のSA折衝要求処理について説明する。図4は、本実施形態におけるSA折衝要求処理フローを示した図である。IPsecプロトコル処理部112は、SA折衝要求をSP/SA更新管理部111に対して行う。SP/SA更新管理部111は、SA折衝要求を受け付けると、ステップS401において、すでにSA要求を行っているかを確認するため仮SAを検索する。なお、SP/SA更新管理部111は、仮SAを、SA要求を行う際に作成して保持し、SA折衝が完了した際に削除する。また、一定時間経過してもSA要求が完了しない場合は、SP/SA更新管理部111は、タイムアウトしたと判断して、仮SAを削除する。ステップS402において、仮SAと同じSAが既に登録されていた場合は(ステップS402のYes)、SP/SA更新管理部111は、SA要求がすでに行われていると判断し、SA要求を破棄して終了する。仮SAと同じSAが既に登録されていなかった場合は(ステップS402のNo)、処理はステップS403へ進む。   Here, the SA negotiation request processing in step S217 will be described with reference to FIG. FIG. 4 is a diagram showing a SA negotiation request processing flow in the present embodiment. The IPsec protocol processing unit 112 makes an SA negotiation request to the SP / SA update management unit 111. When the SP / SA update management unit 111 receives the SA negotiation request, in step S401, the SP / SA update management unit 111 searches for a temporary SA to confirm whether the SA request has already been made. The SP / SA update management unit 111 creates and holds a temporary SA when making an SA request, and deletes it when the SA negotiation is completed. If the SA request is not completed even after a predetermined time has elapsed, the SP / SA update management unit 111 determines that a timeout has occurred and deletes the temporary SA. In step S402, if the same SA as the temporary SA has already been registered (Yes in step S402), the SP / SA update management unit 111 determines that the SA request has already been made, and discards the SA request. To finish. If the same SA as the temporary SA has not been registered (No in step S402), the process proceeds to step S403.

ステップS403において、SP/SA更新管理部111は、IKE処理部106に対してSA要求を通知する。ここで、SP/SA更新管理部111は、SP(ステップS204で特定されたSP)が持つSPの識別情報であるSP識別子を付したSA要求を通知する。SA要求を受け取ったIKE処理部106は、IKEプロトコルに基づいてSA折衝を相手装置と行う。具体的には、IKE処理部106は、IKEパケットの送受信を介して、相手装置とSA折衝を行う。ステップS404において、SP/SA更新管理部111は、SA要求をした仮SAのタイマーとなるタイマー処理要求をタイマー部113に対して行い処理を終了する。なお、タイマー部113は仮SAタイマーがタイムアウトするとSP/SA更新管理部111に対して通知する。通知を受けたSP/SA更新管理部111は、仮SAを削除する。   In step S403, the SP / SA update management unit 111 notifies the IKE processing unit 106 of an SA request. Here, the SP / SA update management unit 111 notifies the SA request with the SP identifier, which is the SP identification information of the SP (the SP identified in step S204). Receiving the SA request, the IKE processing unit 106 performs SA negotiation with the counterpart device based on the IKE protocol. Specifically, the IKE processing unit 106 negotiates SA with the counterpart device through transmission / reception of the IKE packet. In step S404, the SP / SA update management unit 111 makes a timer processing request to the timer unit 113 as a timer for the temporary SA that has requested the SA, and ends the processing. The timer unit 113 notifies the SP / SA update management unit 111 when the temporary SA timer times out. Upon receiving the notification, the SP / SA update management unit 111 deletes the temporary SA.

図2に戻って、パケット送信処理の説明を続ける。ステップS207において、IPsecプロトコル処理部112は、ステップS204で特定されたSPが持つSP識別子と、ステップS206で特定されたSAが持つSP識別子とが一致するか判定する。すなわち、IPsecプロトコル処理部112は、SPとSAとが一意に(すなわち、一対一のみに)関連付けれているか否かを判定する。両者が一致する場合は(ステップS207のYes)、処理はステップS208へ進む。両者が一致しない場合は(ステップS207のNo)、処理はステップS217へ進む。   Returning to FIG. 2, the description of the packet transmission process will be continued. In step S207, the IPsec protocol processing unit 112 determines whether the SP identifier included in the SP identified in step S204 matches the SP identifier included in the SA identified in step S206. That is, the IPsec protocol processing unit 112 determines whether the SP and the SA are uniquely associated (that is, only one-to-one). If they match (Yes in step S207), the process proceeds to step S208. If the two do not match (No in step S207), the process proceeds to step S217.

ステップS208において、IPsecプロトコル処理部112は、ステップS204で特定されたSAに指定されたESPまたはAHのIPsecプロトコル処理を行う。ステップS209において、IPsecプロトコル処理部112は、IPsecプロトコル処理の中での暗号、認証処理を暗号・認証処理部108へ要求する。暗号・認証処理部108は、要求を受け付けると、暗号鍵、暗号アルゴリズム及び認証鍵、認証アルゴリズム等のSA情報に基づいて、暗号、認証処理を行う。ステップS210において、IPsecプロトコル処理部112は、使用したSAのバイト数による有効期限のカウント値を更新し、SA管理部110にカウント値の更新要求を行う。SA管理部110は、カウント値の更新要求を受け付けると、当該SAのバイト数カウンタを更新する。   In step S208, the IPsec protocol processing unit 112 performs the ESP or AH IPsec protocol processing specified in the SA specified in step S204. In step S209, the IPsec protocol processing unit 112 requests the encryption / authentication processing unit 108 to perform encryption and authentication processing in the IPsec protocol processing. When receiving the request, the encryption / authentication processing unit 108 performs encryption and authentication processing based on SA information such as an encryption key, an encryption algorithm and an authentication key, and an authentication algorithm. In step S210, the IPsec protocol processing unit 112 updates the count value of the expiration date based on the number of used SA bytes, and requests the SA management unit 110 to update the count value. Upon receiving a count value update request, the SA management unit 110 updates the SA byte count counter.

ステップS211において、SA管理部110は、ソフト有効期限(SAを更新するための期限)が切れたかを確認する。ソフト有効期限が切れた場合は(ステップS211のYes)、処理はステップS215に進む。それ以外の場合(ソフト有効期限が切れていないかもしくは、すでに切れていた場合)は(ステップS211のNo)、処理はS212へ進む。ステップS215において、IPsec処理部107は、SA折衝要求処理行う。ステップS15におけるSA要求処理はステップS217のSA折衝要求処理と共通の処理であるため、説明を省略する。ステップS212において、SA管理部110は、ハード有効期限(SAを無効とするための期限)が切れたかを確認する。ハード有効期限が切れた場合は(ステップS212のYes)、処理はステップS216に進む。ハード有効期限が切れていない場合は(ステップS212のNo)、処理はステップS213へ進む。   In step S211, the SA management unit 110 confirms whether the software expiration date (time limit for updating the SA) has expired. If the software expiration date has expired (Yes in step S211), the process proceeds to step S215. In other cases (when the software expiration date has not expired or has already expired) (No in step S211), the process proceeds to S212. In step S215, the IPsec processing unit 107 performs SA negotiation request processing. Since the SA request process in step S15 is the same process as the SA negotiation request process in step S217, the description thereof is omitted. In step S212, the SA management unit 110 confirms whether the hardware expiration date (time limit for invalidating the SA) has expired. If the hardware expiration date has expired (Yes in step S212), the process proceeds to step S216. If the hardware expiration date has not expired (No in step S212), the process proceeds to step S213.

ステップS216において、IPsecプロトコル処理部112は、ハード有効期限が切れたことをSP/SA更新管理部111に対し通知する。ハード有効期限切れの通知を受けたSP/SA更新管理部111は、IKE処理部106にハード有効期限切れを通知する。また、SP/SA更新管理部111は、SA管理部110に対してハード有効期限切れのSAの削除要求を行い、SA管理部110はSADから当該SAを削除する。ステップS213において、ネットワークプロトコル処理部104は、パケットに対して、フラグメント処理等のIPプロトコル処理、MACヘッダ処理を行う。その後、ネットワークプロトコル処理部104は、ネットワークインタフェース部103にパケットの送信要求を行う。ステップS214において、ネットワークインタフェース部103は、ネットワークへパケットを送信して処理を終了する。   In step S216, the IPsec protocol processing unit 112 notifies the SP / SA update management unit 111 that the hardware expiration date has expired. The SP / SA update management unit 111 that has received the notification of the hardware expiration date notifies the IKE processing unit 106 of the hardware expiration date. Also, the SP / SA update management unit 111 requests the SA management unit 110 to delete the hard expired SA, and the SA management unit 110 deletes the SA from the SAD. In step S213, the network protocol processing unit 104 performs IP protocol processing such as fragment processing and MAC header processing on the packet. Thereafter, the network protocol processing unit 104 sends a packet transmission request to the network interface unit 103. In step S214, the network interface unit 103 transmits a packet to the network and ends the process.

次に、本実施形態におけるパケット受信処理について図3を参照して説明する。図3は、本実施形態における通信装置101のパケット受信処理フローを示した図である。ステップS301において、ネットワークインタフェース部103は、ネットワーク102から受信すべきパケットを検知すると、当該パケットを受信してネットワークプロトコル処理部104へ通知する。ステップS302において、ネットワークプロトコル処理部104は、受信パケットのヘッダ解析を行い、MAC、IPプロトコル処理を行う。ステップS303において、ネットワークプロトコル処理部104は、受信パケットをIPsec処理部107へと通知する。IPsec処理部107のIPsecプロトコル処理部112は、受信パケットのヘッダ解析を行い、IPsecパケットであるか判断する。受信パケットがIPsecパケットであった場合は(ステップS303のYes)、処理はステップS304へ進む。受信パケットがIPsecパケットでなかった場合は(ステップS303のNo)、処理はステップS311へ進む。   Next, packet reception processing in this embodiment will be described with reference to FIG. FIG. 3 is a diagram showing a packet reception processing flow of the communication apparatus 101 in the present embodiment. In step S301, when the network interface unit 103 detects a packet to be received from the network 102, the network interface unit 103 receives the packet and notifies the network protocol processing unit 104 of the packet. In step S302, the network protocol processing unit 104 performs header analysis of the received packet and performs MAC and IP protocol processing. In step S303, the network protocol processing unit 104 notifies the received packet to the IPsec processing unit 107. The IPsec protocol processing unit 112 of the IPsec processing unit 107 analyzes the header of the received packet and determines whether it is an IPsec packet. If the received packet is an IPsec packet (Yes in step S303), the process proceeds to step S304. If the received packet is not an IPsec packet (No in step S303), the process proceeds to step S311.

ステップS304において、IPsecプロトコル処理部112は、受信したIPsecパケットのIPアドレスやIPsecプロトコル種別、IPsecヘッダ等のパケット情報を指定したSA検索処理要求を、SA管理部110に対して行う。SA検索処理要求を受け付けたSA管理部110は、SADに指定したパケット情報に対応するSAが登録されているかを検索し、検索結果をIPsecプロトコル処理部112に通知する。ステップS305において、IPsecプロトコル処理部112は、検索結果を判定する。パケット情報に対応する(所望の)SA見つからなかった場合(ステップS305のNo)、処理はステップS321へ進み、そのようなSAが見つかった場合は(ステップS305のYes)処理はステップS306へ進む。   In step S304, the IPsec protocol processing unit 112 sends an SA search processing request specifying packet information such as the IP address, IPsec protocol type, and IPsec header of the received IPsec packet to the SA management unit 110. The SA management unit 110 that has received the SA search processing request searches whether the SA corresponding to the packet information specified in the SAD is registered, and notifies the IPsec protocol processing unit 112 of the search result. In step S305, the IPsec protocol processing unit 112 determines the search result. If the (desired) SA corresponding to the packet information is not found (No in step S305), the process proceeds to step S321. If such an SA is found (Yes in step S305), the process proceeds to step S306.

ステップS306において、IPsecプロトコル処理部112は、検索の結果得られたSAを用いてESPまたはAHのIPsecプロトコル処理を行う。ステップS307において、IPsecプロトコル処理部112は、IPsecプロトコル処理の中で復号・認証処理を暗号・認証処理部108に要求する。暗号・認証処理部108は、要求を受け付けると、暗号鍵、暗号アルゴリズム及び認証鍵、認証アルゴリズム等のSA情報に基づいて、復号・認証処理を行う。ここで、暗号・認証処理部108は、要求に従って、復号処理のみを行ってもよい。ステップS308において、IPsecプロトコル処理部112は、使用したSAのバイト数による有効期限のカウント値を更新し、SA管理部110にカウント値の更新要求を行う。SA管理部110は、カウント値の更新要求を受け付けると、使用したSAのバイト数カウンタを更新する。ステップS309において、SA管理部110は、ソフト有効期限が切れたかを確認する。ソフト有効期限が切れた場合は(ステップS309のNo)、処理はステップS318へ進む。それ以外の場合(ソフト有効期限が切れていないかもしくは、すでに切れていた場合)は(ステップS309のYes)、処理はステップS310へ進む。   In step S306, the IPsec protocol processing unit 112 performs ESP or AH IPsec protocol processing using the SA obtained as a result of the search. In step S307, the IPsec protocol processing unit 112 requests the encryption / authentication processing unit 108 to perform decryption / authentication processing during the IPsec protocol processing. When receiving the request, the encryption / authentication processing unit 108 performs a decryption / authentication process based on SA information such as an encryption key, an encryption algorithm, an authentication key, and an authentication algorithm. Here, the encryption / authentication processing unit 108 may perform only the decryption process according to the request. In step S308, the IPsec protocol processing unit 112 updates the count value of the expiration date based on the number of used SA bytes, and requests the SA management unit 110 to update the count value. Upon receiving the count value update request, the SA management unit 110 updates the used SA byte counter. In step S309, the SA management unit 110 confirms whether the software expiration date has expired. If the software expiration date has expired (No in step S309), the process proceeds to step S318. In other cases (when the software expiration date has not expired or has already expired) (Yes in step S309), the process proceeds to step S310.

ステップS318において、IPsec処理部107は、SA折衝要求処理を行う。ステップS318におけるSA折衝要求処理は、ステップS217のSA折衝要求処理と共通の処理であるため、説明を省略する。ステップS310において、SA管理部110は、ハード有効期限が切れたかを確認する。ハード有効期限が切れた場合は(ステップS310のYes)ステップS319へ進む。ハード有効期限が切れていない場合は(ステップS310のNo)、処理はステップS311へ進む。   In step S318, the IPsec processing unit 107 performs SA negotiation request processing. The SA negotiation request process in step S318 is a process common to the SA negotiation request process in step S217, and thus description thereof is omitted. In step S310, the SA management unit 110 confirms whether the hardware expiration date has expired. If the hardware expiration date has expired (Yes in step S310), the process proceeds to step S319. If the hardware expiration date has not expired (No in step S310), the process proceeds to step S311.

ステップS319において、IPsecプロトコル処理部112は、ハード有効期限が切れたことをSP/SA更新管理部111に対して通知する。ハード有効期限切れの通知を受けたSP/SA更新管理部111は、IKE処理部106にハード有効期限切れを通知する。また、SP/SA更新管理部111は、SA管理部110に対してハード有効期限切れのSAの削除要求を行い、SA管理部110はSADから当該SAを削除する。ステップS311において、IPsecプロトコル処理部112は、受信したIPパケットのIPアドレスやトランスポート層プロトコル種別、ポート番号等のパケット情報を指定したSP検索要求を、SP管理部109に対して行う。SP検索処理要求を受け付けたSP管理部109は、SPDに、指定されたパケット情報に対応する(所望の)SPが登録されているかを検索し、検索結果をIPsecプロトコル処理部112に通知する。   In step S319, the IPsec protocol processing unit 112 notifies the SP / SA update management unit 111 that the hardware expiration date has expired. The SP / SA update management unit 111 that has received the notification of the hardware expiration date notifies the IKE processing unit 106 of the hardware expiration date. Also, the SP / SA update management unit 111 requests the SA management unit 110 to delete the hard expired SA, and the SA management unit 110 deletes the SA from the SAD. In step S311, the IPsec protocol processing unit 112 makes an SP search request specifying packet information such as the IP address, transport layer protocol type, and port number of the received IP packet to the SP management unit 109. Upon receiving the SP search processing request, the SP management unit 109 searches the SPD for whether a (desired) SP corresponding to the designated packet information is registered, and notifies the IPsec protocol processing unit 112 of the search result.

ステップS312において、IPsecプロトコル処理部112は、SP管理部109から通知された検索結果を判定する。パケット情報に対応するSPがあり、かつ、当該SPに指定されたポリシーがIPsec適用であった場合は(ステップS312のYes)、処理はステップS313へ進む。パケット情報に対応するSPが無かった場合もしくは、パケット情報に対応するSPに指定されたポリシーがIPsec適用以外であった場合は(ステップS312のNo)、処理はステップS318へ進む。   In step S312, the IPsec protocol processing unit 112 determines the search result notified from the SP management unit 109. If there is an SP corresponding to the packet information and the policy specified for the SP is IPsec application (Yes in step S312), the process proceeds to step S313. If there is no SP corresponding to the packet information, or if the policy specified for the SP corresponding to the packet information is other than IPsec application (No in step S312), the process proceeds to step S318.

ステップS318において、IPsecプロトコル処理部112は、通信装置における、SPが見つからなかった場合のポリシーを確認する。当該ポリシーが破棄(Discard)であれば(ステップS318のYes)、処理はステップS319へ進み、IPsecプロトコル処理部112は、パケットを破棄して処理は終了する。当該ポリシーが通過(BypassIPsec)であった場合は(ステップS318のNo)、処理はステップS314へ進む。   In step S318, the IPsec protocol processing unit 112 confirms the policy when the SP is not found in the communication apparatus. If the policy is “Discard” (Yes in step S318), the process proceeds to step S319, and the IPsec protocol processing unit 112 discards the packet and the process ends. If the policy is pass (BypassIPsec) (No in step S318), the process proceeds to step S314.

ステップS313において、IPsecプロトコル処理部112は、ステップS304の探索の結果得られたSAで示されるIPSecのポリシー(トンネルモードかトランスポートモードか、および、セキュリティプロトコルがAHであるかESPであるか)が、ステップS311の探索の結果得られたSPで示されるIPSecのポリシーと一致するかを確認する。両ポリシーが一致しない場合(ステップS313のNo)、処理はステップS319へ進み、IPsecプロトコル処理部112は、パケットを破棄して終了する。両ポリシーが一致する場合(ステップS313のYes)、処理はステップS314へ進む。ステップS314において、IPsecプロトコル処理部112は、IPsec処理が完了したIPパケットのヘッダ解析を行い、IPプロトコル処理を行う。その後、IPsecプロトコル処理部112は、IP上位プロトコルヘッダを解析してTCPやUDPといったトランスポート層プロトコル処理を行う。IPsecプロトコル処理部112は、トランスポート層プロトコル処理を終えたパケットデータを、アプリケーション処理部105へ通知する。   In step S313, the IPsec protocol processing unit 112 determines the IPSec policy (tunnel mode or transport mode and whether the security protocol is AH or ESP) indicated by the SA obtained as a result of the search in step S304. Confirms whether it matches the IPSec policy indicated by the SP obtained as a result of the search in step S311. If the two policies do not match (No in step S313), the process proceeds to step S319, and the IPsec protocol processing unit 112 ends the packet discarding. If both policies match (Yes in step S313), the process proceeds to step S314. In step S314, the IPsec protocol processing unit 112 performs header analysis of the IP packet for which the IPsec processing has been completed, and performs IP protocol processing. Thereafter, the IPsec protocol processing unit 112 analyzes the IP upper protocol header and performs transport layer protocol processing such as TCP and UDP. The IPsec protocol processing unit 112 notifies the application processing unit 105 of the packet data that has been subjected to the transport layer protocol processing.

ステップS315において、アプリケーション処理部105は、受信したデータに対してアプリケーション受信処理を行う。なお、受信したパケットがIKEパケットであった場合、ネットワークプロトコル処理部104はIKE処理部106へと通知を行い、IKE処理部106はIKEプロトコル処理を行う。   In step S315, the application processing unit 105 performs application reception processing on the received data. If the received packet is an IKE packet, the network protocol processing unit 104 notifies the IKE processing unit 106, and the IKE processing unit 106 performs IKE protocol processing.

このように、本実施形態におけるパケット送信処理では、SPとSAとが一意に関連付けられている場合に送信処理が実施されるのに対し、パケット受信処理では、SPとSAとが一意に関連付けられていない場合であっても受信処理が実施される。   As described above, in the packet transmission process in the present embodiment, the transmission process is performed when the SP and the SA are uniquely associated, whereas in the packet reception process, the SP and the SA are uniquely associated. Even if not, the reception process is performed.

次に、SP登録処理とSA登録処理について、図5と図6を参照して説明する。図5は、本実施形態におけるSP登録処理フローを示した図である。ステップS501において、SP/SA更新管理部111は、SP管理部109に対して登録しようとするSPのセレクタ(IPアドレスやプロトコル等)と同一セレクタを有するSPが既にSPDに存在しないか検索するための要求を行う。SP管理部109は、SPDにセレクタが一致するSPが登録されているかを検索し、検索結果をSP/SA更新管理部111に通知する。ステップS502において、SP/SA更新管理部111は、SP管理部109から通知された結果を判定する。セレクタが同一のSPがSPDに存在している場合は(S502のYes)、処理は終了する。セレクタが同一のSPDが存在しない場合は(S502のNo)、処理はステップS503へ進む。   Next, the SP registration process and the SA registration process will be described with reference to FIGS. FIG. 5 is a diagram showing an SP registration processing flow in the present embodiment. In step S501, the SP / SA update management unit 111 searches the SPD for an SP having the same selector as the SP selector (IP address, protocol, etc.) to be registered with the SP management unit 109. Make a request. The SP management unit 109 searches whether an SP whose selector matches the SPD is registered, and notifies the SP / SA update management unit 111 of the search result. In step S502, the SP / SA update management unit 111 determines the result notified from the SP management unit 109. If an SP with the same selector exists in the SPD (Yes in S502), the process ends. If there is no SPD with the same selector (No in S502), the process proceeds to step S503.

ステップS503において、SP/SA更新管理部111は、新規追加するSPに対してSPD内で一意となるSP識別子を付与する。ステップS504において、SP/SA更新管理部111はSP管理部109に対して新規SPの追加要求を行う。SP管理部109は、新規SP追加要求を受け付けるとSPDに新規SPを登録して処理を終了する。   In step S503, the SP / SA update management unit 111 assigns an SP identifier that is unique within the SPD to the newly added SP. In step S504, the SP / SA update management unit 111 requests the SP management unit 109 to add a new SP. Upon receiving a new SP addition request, the SP management unit 109 registers the new SP in the SPD and ends the process.

図6は、本実施形態におけるSA登録処理フローを示した図である。ステップS601において、IKE処理部106は、新規に登録するSAに対してSA要求時にSP/SA更新管理部111から通知されたSP識別子(図4のステップS403)を付与する。ステップS602において、SP/SA更新管理部111は、登録を行うSAに対応する仮SAがあるかを検索する。登録を行うSAに対応する仮SAがあった場合は、当該仮SAのタイマーを停止する要求をタイマー部113に対して行う。その後、SP/SA更新管理部111は、該当仮SAを削除する。登録を行うSAに対応する仮SAがなかった場合は、SP/SA更新管理部111は、特段の処理を行わない。ステップS603において、SP/SA更新管理部111は、SA管理部110に対して新規SAの追加要求を行う。SA管理部110は、新規SA追加要求を受け付けるとSADに新規SAを登録して処理を終了する。   FIG. 6 is a diagram showing an SA registration processing flow in the present embodiment. In step S601, the IKE processing unit 106 assigns the SP identifier (step S403 in FIG. 4) notified from the SP / SA update management unit 111 at the time of SA request to the newly registered SA. In step S602, the SP / SA update management unit 111 searches for a temporary SA corresponding to the SA to be registered. If there is a temporary SA corresponding to the SA to be registered, a request to stop the timer of the temporary SA is made to the timer unit 113. Thereafter, the SP / SA update management unit 111 deletes the corresponding temporary SA. If there is no temporary SA corresponding to the SA to be registered, the SP / SA update management unit 111 does not perform special processing. In step S603, the SP / SA update management unit 111 requests the SA management unit 110 to add a new SA. When the SA management unit 110 receives a new SA addition request, the SA management unit 110 registers the new SA in the SAD and ends the process.

本実施形態によれば、通信装置が、同一の相手装置に対して複数のSPを設定して通信を行う際に、送信時は、SPDを検索してヒットしたSPから生成されたSAのみを使用して送信する。一方で、通信装置は、受信時は、SPから生成されたSAのみを使用するか否かを選択できる。これにより、相手装置に対して複数のSPが設定された場合であっても、通信装置は、SPとSAの関連付け方式が異なる相手装置と、ユーザによる特別な設定を必要とせずに、IPsec通信を行うことが可能となる。   According to this embodiment, when a communication device performs communication by setting a plurality of SPs for the same counterpart device, at the time of transmission, only the SA generated from the SP that has been hit by searching the SPD is searched. Use to send. On the other hand, at the time of reception, the communication device can select whether to use only the SA generated from the SP. As a result, even if multiple SPs are set for the partner device, the communication device can communicate with the partner device that has a different SP and SA association method without requiring special settings by the user. Can be performed.

[第2実施形態]
第1実施形態では、複数のSPの設定時に、相手装置におけるSPとSAの関連付け方式の差異に関わらずIPsec通信可能となる方法を示した。以下に示す第2実施形態では、IKEのベンダIDペイロードによって相手装置毎にSPとSAの関連付けを変更する手法である。本実施形態における通信装置101の構成(図1)、SA折衝要求処理(図4)、SP登録処理フロー(図5)は、それぞれ第1実施形態において説明したものと共通するため、説明を省略する。 [Second Embodiment]
In the first embodiment, a method has been described in which IPsec communication can be performed when a plurality of SPs are set regardless of differences in SP and SA association methods in the partner apparatus. The second embodiment described below is a method of changing the association between SP and SA for each counterpart device by using an IKE vendor ID payload. The configuration of the communication apparatus 101 (FIG. 1), the SA negotiation request process (FIG. 4), and the SP registration process flow (FIG. 5) in this embodiment are the same as those described in the first embodiment, and thus description thereof is omitted. To do.

本実施形態におけるパケット送信処理について図7を参照して説明する。図7は、本実施形態における通信装置101のパケット送信処理フローを示した図である。ステップS701からS706、S708からS720の処理は、図2におけるステップS201からステップS219までの処理と共通であるため、説明を省略し、ステップS707の処理について説明する。   The packet transmission process in this embodiment will be described with reference to FIG. FIG. 7 is a diagram showing a packet transmission processing flow of the communication apparatus 101 in the present embodiment. The processes in steps S701 to S706 and S708 to S720 are the same as the processes from step S201 to step S219 in FIG. 2, and thus the description thereof will be omitted and the process of step S707 will be described.

ステップS707において、IPsecプロトコル処理部112は、該当するSAにSP識別子が付与されているか判定する。SAにSP識別子が付与されていない場合は(ステップS707のNo)処理はステップS709に進み、IPsecプロトコル処理部112は、IPsecプロトコル処理を行う。SAにSP識別子が付与されている場合は(ステップS707のYes)、処理はステップS708に進み、IPsecプロトコル処理部112は、SPとSAのSP識別子判定を行う。   In step S707, the IPsec protocol processing unit 112 determines whether an SP identifier is assigned to the corresponding SA. If the SP identifier is not assigned to the SA (No in step S707), the process proceeds to step S709, and the IPsec protocol processing unit 112 performs the IPsec protocol process. When the SP identifier is assigned to the SA (Yes in step S707), the process proceeds to step S708, and the IPsec protocol processing unit 112 determines the SP identifier of the SP and the SA.

次に、本実施形態におけるパケット受信処理について図8を参照して説明する。図8は、本実施形態における通信装置101のパケット受信処理フローを示した図である。ステップS801からS812、S814からS821の処理は、図3におけるステップS301からS312、S314からS321までの処理と共通であるため、説明を省略し、ステップS813の処理について説明する。   Next, packet reception processing in this embodiment will be described with reference to FIG. FIG. 8 is a diagram showing a packet reception processing flow of the communication apparatus 101 in the present embodiment. The processes in steps S801 to S812 and S814 to S821 are the same as the processes in steps S301 to S312 and S314 to S321 in FIG. 3, and thus the description thereof will be omitted and the process of step S813 will be described.

ステップS813において、IPsecプロトコル処理部112は、SAにSP識別子が付与されているか判定する。SAにSP識別子が付与されていない場合は(ステップS813のNo)、処理はステップS815に進み、IPsecプロトコル処理部112は、SAマッチング処理を行う。SAにSP識別子が付与されている場合は(ステップS813のYes)、処理はステップS814に進み、IPsecプロトコル処理部112は、SPとSAのSP識別子判定を行う。   In step S813, the IPsec protocol processing unit 112 determines whether an SP identifier is assigned to the SA. If no SP identifier is assigned to the SA (No in step S813), the process proceeds to step S815, and the IPsec protocol processing unit 112 performs SA matching processing. If the SP identifier is assigned to the SA (Yes in step S813), the process proceeds to step S814, and the IPsec protocol processing unit 112 determines the SP identifier of the SP and SA.

図9は、本実施形態におけるSA登録処理を示した図である。ステップS907およびステップS908の処理は、図6におけるステップS602およびステップS603と共通であるため、説明を省略する。   FIG. 9 is a diagram showing SA registration processing in the present embodiment. Since the processes in step S907 and step S908 are the same as those in step S602 and step S603 in FIG.

ステップS901において、IKE処理部106は、SA折衝時に通信相手から受信したIKEパケット中にベンダIDペイロードが1つのみ付与されているか判定する。なお、ベンダIDペイロードには、一意となるベンダIDの値が含まれている。受信したIKEパケット中にベンダIDペイロードが1つも付与されていない場合(ステップS901のNo)、処理はステップS906に進む。また、受信したIKEパケット中にベンダIDペイロードが2つ以上付与されている場合も、IKE処理部106はどのベンダIDの値を判定すべきかがわからないため、処理はステップS906に進む。一方、受信したIKEパケット中にベンダIDペイロードが1のみ付与されている場合は(ステップS901のYes)、処理はステップS902に進む。   In step S901, the IKE processing unit 106 determines whether only one vendor ID payload is given in the IKE packet received from the communication partner during the SA negotiation. The vendor ID payload includes a unique vendor ID value. If no vendor ID payload is given in the received IKE packet (No in step S901), the process proceeds to step S906. Also, when two or more vendor ID payloads are added to the received IKE packet, the IKE processing unit 106 does not know which vendor ID value should be determined, and the process advances to step S906. On the other hand, when only 1 is provided as the vendor ID payload in the received IKE packet (Yes in step S901), the process proceeds to step S902.

ステップS902において、IKE処理部106は、ベンダIDペイロードからSPとSAの関連付け方式を判定可能か判定する。具体的には、IKE処理部106は、ベンダIDペイロードに含まれるベンダIDの値を用いて、SPとSAの関連付け方式が所定の仕様に準拠した方式か否かを判定可能か、を判定する。なお、本実施形態では、当該所定の仕様とは、IETF(Internet Engineering Task Force)による技術仕様であるRFCとする。IKE処理部106は、ベンダIDの値とRFCへの準拠/非準拠との対応を示すリストを保持しており、ベンダIDペイロードで示されるベンダIDの値が当該リストに存在するか否かを判定する。ベンダIDペイロードで示されるベンダIDの値が当該リストに存在しない場合は、IKE処理部106は、SPとSAの関連付け方式を判定不可能であり、(ステップS902のNo)、処理はステップS906に進む。ベンダIDペイロードで示されるベンダIDの値が当該リストに存在する場合は、IKE処理部106は、SPとSAの関連付け方式を判定可能であり、(ステップS902のYes)、処理はステップS903へ進む。   In step S902, the IKE processing unit 106 determines whether the SP / SA association method can be determined from the vendor ID payload. Specifically, the IKE processing unit 106 determines whether it is possible to determine whether or not the SP / SA association method conforms to a predetermined specification by using the value of the vendor ID included in the vendor ID payload. . In the present embodiment, the predetermined specification is RFC that is a technical specification according to IETF (Internet Engineering Task Force). The IKE processing unit 106 holds a list indicating the correspondence between the vendor ID value and the compliance / non-compliance with the RFC, and determines whether the vendor ID value indicated by the vendor ID payload exists in the list. judge. If the value of the vendor ID indicated by the vendor ID payload does not exist in the list, the IKE processing unit 106 cannot determine the association method of SP and SA (No in step S902), and the process proceeds to step S906. move on. When the value of the vendor ID indicated by the vendor ID payload exists in the list, the IKE processing unit 106 can determine the association method of SP and SA (Yes in step S902), and the process proceeds to step S903. .

ステップS906において、IKE処理部106は、新規に登録する送信用SAに対して、SA要求時にSP/SA更新管理部111から通知されたSP識別子を付与する。しかし、IKE処理部106は、新規に登録する受信用SAにはSPの識別子を付与しない。ステップS903において、IKE処理部106は、上述のリストにおいてベンダIDペイロードで示されるベンダIDの値を参照し、SPとSAの関連付け方式がRFCに準拠した方式か否かを判定する。RFCに準拠したSPとSAの関連付け方式の場合は(ステップS903のYes)、ステップS904に進む。RFCに準拠しない関連方式の場合は(ステップS903のNo)、ステップS905に進む。   In step S906, the IKE processing unit 106 assigns the SP identifier notified from the SP / SA update management unit 111 to the newly registered transmission SA when the SA is requested. However, the IKE processing unit 106 does not give the SP identifier to the newly registered reception SA. In step S903, the IKE processing unit 106 refers to the value of the vendor ID indicated by the vendor ID payload in the above list, and determines whether or not the SP / SA association method is a method compliant with RFC. In the case of the association method of SP and SA compliant with RFC (Yes in step S903), the process proceeds to step S904. If the related method does not comply with RFC (No in step S903), the process proceeds to step S905.

ステップS904において、IKE処理部106は、新規に登録する送信用SA及び受信用SA対してSA要求時にSP/SA更新管理部111から通知されたSP識別子を付与する。ステップS905において、IKE処理部106は、新規に登録する送信用SA及び受信用SAに対してSPの識別子を付与しない。これらの所定により、SPとSAの関連付けの方式がRFCに準拠した方式である場合には、SAに当該SAに関連付けられたSPの識別子が付与され、SPとSAの関連付けの方式がRFCに準拠した方式でない場合には、SAに当該SAに関連付けられたSPの識別子が付与されないこととなる。   In step S904, the IKE processing unit 106 assigns the SP identifier notified from the SP / SA update management unit 111 at the time of the SA request to the newly registered transmission SA and reception SA. In step S905, the IKE processing unit 106 does not assign the SP identifier to the transmission SA and reception SA that are newly registered. If the SP-SA association method conforms to RFC according to these specifications, the SP identifier associated with the SA is assigned to the SA, and the SP-SA association method conforms to RFC. Otherwise, the SP identifier associated with the SA is not assigned to the SA.

本実施形態によれば、相手装置におけるSPとSAの対応付け方式がRFC準拠かRFC非準拠かに応じて、通信装置101のSPとSA対応付け方式を切り替えることが可能となる。これにより、第1実施形態に示した効果に加えて、RFC非準拠の相手装置に対して複数のSPを設定して通信行う際に、通信装置は、必要最小限のSAのみを折衝すればよく、通信に使われないSAの登録によるリソース消費を抑制することができる。   According to this embodiment, it is possible to switch the SP and SA association method of the communication apparatus 101 depending on whether the SP and SA association method in the counterpart device is RFC compliant or non-RFC compliant. As a result, in addition to the effects shown in the first embodiment, when communication is performed with a plurality of SPs set for a non-RFC compliant counterpart device, the communication device negotiates only the minimum necessary SA. Often, resource consumption due to registration of SAs not used for communication can be suppressed.

以上、本発明の実施形態について説明した。本発明は、SPとSAを用いるIPSec通信を例として説明したが、SPに替えて、通信を行うための他のパケット処理の方法を記述したパケット処理情報、SAに替えて、他の鍵情報を用いることも可能である。すなわち、そのような通信を行うための他のパケット処理の方法を記述したパケット処理情報と他の鍵情報を用いた通信にたいしても、本実施形態を適用可能である。   The embodiment of the present invention has been described above. Although the present invention has been described by taking IPSec communication using SP and SA as an example, packet processing information describing other packet processing methods for performing communication instead of SP, and other key information instead of SA It is also possible to use. In other words, the present embodiment is applicable to communication using packet processing information describing other packet processing methods for performing such communication and other key information.

[その他の実施形態]
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。 [Other Embodiments]
The present invention supplies a program that realizes one or more functions of the above-described embodiments to a system or apparatus via a network or a storage medium, and one or more processors in a computer of the system or apparatus read and execute the program This process can be realized. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.

101 通信装置、102 ネットワーク、103 ネットワークインタフェース部、104 ネットワークプロトコル処理部、105 アプリケーション処理部105、106IKE処理部、107 IPsec処理部、108 暗号・認証部、109 SP管理部、110 SA管理部、111 SP/SA更新管理部、112 IPsecプロトコル処理部、113 タイマ部 101 communication device 102 network 103 network interface unit 104 network protocol processing unit 105 application processing unit 105 IKE processing unit 107 IPsec processing unit 108 encryption / authentication unit 109 SP management unit 110 SA management unit 111 SP / SA update management unit, 112 IPsec protocol processing unit, 113 timer unit

Claims (14)

パケット処理情報と鍵情報を用いてIPsec通信を行うことが可能な通信装置であって、
送信パケットに含まれる情報を用いて第1のパケット処理情報を検索する第1の検索手段と、
前記第1のパケット処理情報に関連付けられた第1の鍵情報を用いて前記送信パケットを暗号化して相手装置に送信する送信手段と、
前記相手装置から受信したパケットに含まれる情報に基づいて第2の鍵情報を検索する第2の検索手段と、
前記第2の鍵情報を用いて、前記受信したパケットに対して復号もしくは認証処理を行う処理手段と、
前記受信したパケットに含まれる情報を用いて第2のパケット処理情報を探索する第3の検索手段と、
前記処理手段による処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理手段と、
を有し、
前記送信手段は、前記第1の鍵情報が前記第1のパケット処理情報に一意に関連付けられているか否かに応じて、前記送信パケットを暗号化して前記相手装置に送信し、
前記プロトコル処理手段は、前記第2の鍵情報が前記第2のパケット処理情報に一意に関連付けられているか否かに関わらず前記受信処理を行うことを特徴とする通信装置。 A communication device capable of performing IPsec communication using packet processing information and key information,
First search means for searching for first packet processing information using information included in a transmission packet;
Transmission means for encrypting the transmission packet using the first key information associated with the first packet processing information and transmitting it to the counterpart device;
Second search means for searching for second key information based on information contained in a packet received from the counterpart device;
Processing means for performing decryption or authentication processing on the received packet using the second key information;
Third search means for searching for second packet processing information using information contained in the received packet;
Protocol processing means for performing reception processing based on a predetermined protocol for the packet processed by the processing means;
Have
The transmission means encrypts the transmission packet and transmits it to the counterpart device according to whether or not the first key information is uniquely associated with the first packet processing information,
The communication apparatus, wherein the protocol processing means performs the reception process regardless of whether the second key information is uniquely associated with the second packet processing information. 前記第1の鍵情報が前記第1のパケット処理情報に一意に関連付けられているか否かを判定する第1の判定手段をさらに有することを特徴とする請求項1に記載の通信装置。   The communication apparatus according to claim 1, further comprising a first determination unit that determines whether or not the first key information is uniquely associated with the first packet processing information. 前記第1のパケット処理情報と前記第2のパケット処理情報はそれぞれ識別情報を伴って登録されており、前記第1の鍵情報と前記第2の鍵情報はそれぞれパケット処理情報の識別情報が付与されて登録されており、
前記送信手段は、前記第1の鍵情報に付与されたパケット処理情報の識別情報と、前記第1のパケット処理情報の識別情報とが一致するか否かに応じて、前記送信パケットを暗号化して前記相手装置に送信することを特徴とする請求項1または2に記載の通信装置。 Each of the first packet processing information and the second packet processing information is registered with identification information, and each of the first key information and the second key information is assigned identification information of the packet processing information. Has been registered,
The transmission means encrypts the transmission packet according to whether or not the identification information of the packet processing information given to the first key information matches the identification information of the first packet processing information. The communication apparatus according to claim 1, wherein the communication apparatus transmits the data to the partner apparatus. 前記相手装置におけるパケット処理情報と鍵情報の関連付けの方式を判定する第2の判定手段と、
前記第2の判定手段により前記パケット処理情報と鍵情報の関連付けの方式が特定の仕様に準拠した方式と判定された場合、前記第1のパケット処理情報と前記第2のパケット処理情報のそれぞれについて識別情報を付与して登録すると共に、前記第1の鍵情報と前記第2の鍵情報のそれぞれについてパケット処理情報の識別情報を付与して登録する登録手段と、
を更に有することを特徴とする請求項3に記載の通信装置。 Second determination means for determining a method of associating packet processing information and key information in the counterpart device;
When the second determination means determines that the method for associating the packet processing information with the key information is a method compliant with a specific specification, each of the first packet processing information and the second packet processing information A registration unit for adding and registering identification information of packet processing information for each of the first key information and the second key information;
The communication device according to claim 3, further comprising: 前記第2の判定手段により前記パケット処理情報と鍵情報の関連付けの方式が特定の仕様に準拠した方式でないと判定された場合、前記登録手段は、前記前記第1のパケット処理情報と前記第2のパケット処理情報のそれぞれについて識別情報を付与して登録し、前記第1の鍵情報と前記第2の鍵情報のそれぞれについてはパケット処理情報の識別情報を付与することなく登録することを特徴とする請求項3に記載の通信装置。   If it is determined by the second determination means that the method of associating the packet processing information and the key information is not a method compliant with a specific specification, the registration means may include the first packet processing information and the second packet processing information. Each of the packet processing information is registered with identification information, and each of the first key information and the second key information is registered without adding identification information of the packet processing information. The communication device according to claim 3. 前記送信手段は、前記第1の鍵情報にパケット処理情報の識別情報が付与されていない場合であっても、前記送信パケットを暗号化して前記相手装置に送信することを特徴とする請求項4または5に記載の通信装置。   5. The transmission means encrypts the transmission packet and transmits it to the counterpart device even when packet processing information identification information is not attached to the first key information. Or the communication apparatus of 5. 前記プロトコル処理手段は、前記第2の鍵情報にパケット処理情報の識別情報が付与されていない場合であっても、前記受信処理を行うことを特徴とする請求項4または5に記載の通信装置。   6. The communication apparatus according to claim 4, wherein the protocol processing unit performs the reception processing even when packet processing information identification information is not added to the second key information. . 前記特定の仕様は、IETF(Internet Engineering Task Force)による技術仕様であるRFCであることを特徴とする請求項4から7のいずれか1項に記載の通信装置。   The communication device according to any one of claims 4 to 7, wherein the specific specification is RFC which is a technical specification according to IETF (Internet Engineering Task Force). 前記パケット処理情報と前記鍵情報はそれぞれ、IPsec通信におけるSP(Security Policy)とSA(Security Association)であることを特徴とする請求項1から8のいずれか1項に記載の通信装置。   9. The communication apparatus according to claim 1, wherein the packet processing information and the key information are SP (Security Policy) and SA (Security Association) in IPsec communication, respectively. メモリに登録されたパケット処理情報と鍵情報を用いてIPsec通信を行うことが可能な通信装置の制御方法であって、
送信パケットに含まれる情報を用いて第1のパケット処理情報を検索する第1の検索工程と、
前記第1のパケット処理情報に関連付けられた第1の鍵情報を用いて前記送信パケットを暗号化して相手装置に送信する送信工程と、
前記相手装置から受信したパケットに含まれる情報に基づいて、第2の鍵情報を検索する第2の検索工程と、
前記第2の鍵情報を用いて、前記受信したパケットに対して復号もしくは認証処理を行う処理工程と、
前記受信したパケットに含まれる情報を用いて第2のパケット処理情報を探索する第3の検索工程と、
前記処理工程における処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理工程と、
を有し、
前記送信工程では、前記第1の鍵情報が前記第1のパケット処理情報に一意に関連付けられているか否かに応じて、前記送信パケットが暗号化さして前記相手装置に送信され、
前記プロトコル処理工程では、前記第2の鍵情報が前記第2のパケット処理情報に一意に関連付けられているか否かに関わらず前記受信処理が行われることを特徴とする通信装置の制御方法。 A method for controlling a communication device capable of performing IPsec communication using packet processing information and key information registered in a memory,
A first search step of searching for first packet processing information using information included in the transmission packet;
A transmission step of encrypting the transmission packet using the first key information associated with the first packet processing information and transmitting the encrypted transmission packet to the counterpart device;
A second search step of searching for second key information based on information included in the packet received from the counterpart device;
A processing step of performing decryption or authentication processing on the received packet using the second key information;
A third search step of searching for second packet processing information using information included in the received packet;
A protocol processing step of performing reception processing based on a predetermined protocol for the packet that has been processed in the processing step;
Have
In the transmission step, the transmission packet is encrypted and transmitted to the counterpart device according to whether or not the first key information is uniquely associated with the first packet processing information,
In the protocol processing step, the reception process is performed regardless of whether or not the second key information is uniquely associated with the second packet processing information. コンピュータを、請求項1から9のいずれか1項に記載の通信装置として機能させるためのプログラム。   The program for functioning a computer as a communication apparatus of any one of Claim 1 to 9. メモリに登録されたSP(Security Policy)とSA(Security Association)を用いてIPsec通信を行うことが可能な通信装置であって、
送信パケットに含まれる情報から特定される第1のSPの識別情報と同じ識別情報を有する第1のSAを用いて前記送信パケットを暗号化して相手装置に送信する送信手段と、
前記相手装置から受信したパケットに含まれる情報から特定される第2のSAを用いて前記受信したパケットに対して復号もしくは認証処理を行う処理手段と、
前記受信したパケットに含まれる情報から特定される第2のSPの識別情報が、前記第2のSAに付与されたSPの識別情報と異なるか否かに関わらず、前記処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理手段と、
を有ることを特徴とする通信装置。 A communication device capable of performing IPsec communication using SP (Security Policy) and SA (Security Association) registered in a memory,
Transmission means for encrypting the transmission packet using the first SA having the same identification information as the identification information of the first SP specified from the information included in the transmission packet, and transmitting it to the counterpart device;
Processing means for performing decryption or authentication processing on the received packet using a second SA specified from information included in the packet received from the counterpart device;
The packet subjected to the processing regardless of whether or not the identification information of the second SP specified from the information included in the received packet is different from the identification information of the SP assigned to the second SA Protocol processing means for performing a receiving process based on a predetermined protocol,
A communication device characterized by comprising: メモリに登録されたSP(Security Policy)とSA(Security Association)を用いて、IPsec通信を行うことが可能な通信装置であって、
相手装置がIETF(Internet Engineering Task Force)による技術仕様であるRFCに準拠した仕様である場合に、送信パケットに含まれる情報から特定される第1のSPの識別情報と同じ識別情報を有する第1のSAを用いて前記送信パケットを暗号化して送信する送信手段と、
前記相手装置から受信したパケットに含まれる情報から特定される第2のSAを用いて前記受信したパケットに対して復号もしくは認証処理を行う処理手段と、
前記受信したパケットに含まれる情報から特定される第2のSPの識別情報が、前記第2のSAに付与されたSPの識別情報が同じ場合に、前記処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理手段と、
を有することを特徴とする通信装置。 A communication device capable of performing IPsec communication using SP (Security Policy) and SA (Security Association) registered in a memory,
A first having the same identification information as the identification information of the first SP specified from the information included in the transmission packet when the counterpart device is a specification compliant with RFC, which is a technical specification by IETF (Internet Engineering Task Force). Transmitting means for encrypting and transmitting the transmission packet using SA of
Processing means for performing decryption or authentication processing on the received packet using a second SA specified from information included in the packet received from the counterpart device;
When the identification information of the second SP specified from the information included in the received packet is the same as the identification information of the SP assigned to the second SA, a predetermined value is set for the packet subjected to the processing. Protocol processing means for performing reception processing based on the protocol;
A communication apparatus comprising: メモリに登録されたSP(Security Policy)とSA(Security Association)を用いてIPsec通信を行うことが可能な通信装置であって、
相手装置がIETF(Internet Engineering Task Force)による技術仕様であるRFCに準拠した仕様でない場合に、送信パケットに含まれる情報から特定される第1のSPの識別情報と同じ識別情報を有するか否かに関わらず、前記第1のSPに関連付けられた第1のSAを用いて前記送信パケットを暗号化して送信する送信手段と、
前記相手装置から受信したパケットに含まれる情報から特定される第2のSAを用いて前記受信したパケットに対して復号もしくは認証処理を行う処理手段と、
前記処理が行われたパケットに対して所定のプロトコルに基づいた受信処理を行うプロトコル処理手段と、
を有することを特徴とする通信装置。 A communication device capable of performing IPsec communication using SP (Security Policy) and SA (Security Association) registered in a memory,
Whether or not the counterpart device has the same identification information as the identification information of the first SP specified from the information included in the transmission packet when the specification is not compliant with RFC which is a technical specification by IETF (Internet Engineering Task Force) Regardless of the transmission means for encrypting and transmitting the transmission packet using the first SA associated with the first SP;
Processing means for performing decryption or authentication processing on the received packet using a second SA specified from information included in the packet received from the counterpart device;
Protocol processing means for performing reception processing based on a predetermined protocol for the packet subjected to the processing;
A communication apparatus comprising:
JP2016076729A 2016-04-06 2016-04-06 Communication device, control method thereof, and program Pending JP2017188800A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016076729A JP2017188800A (en) 2016-04-06 2016-04-06 Communication device, control method thereof, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016076729A JP2017188800A (en) 2016-04-06 2016-04-06 Communication device, control method thereof, and program

Publications (2)

Publication Number Publication Date
JP2017188800A true JP2017188800A (en) 2017-10-12
JP2017188800A5 JP2017188800A5 (en) 2019-03-07

Family

ID=60046641

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016076729A Pending JP2017188800A (en) 2016-04-06 2016-04-06 Communication device, control method thereof, and program

Country Status (1)

Country Link
JP (1) JP2017188800A (en)

Similar Documents

Publication Publication Date Title
US11038846B2 (en) Internet protocol security tunnel maintenance method, apparatus, and system
US10178181B2 (en) Interposer with security assistant key escrow
US7234063B1 (en) Method and apparatus for generating pairwise cryptographic transforms based on group keys
CN107659406B (en) Resource operation method and device
JP4707992B2 (en) Encrypted communication system
JP2020080530A (en) Data processing method, device, terminal, and access point computer
WO2016061819A1 (en) Resource access method and apparatus
US11316907B2 (en) System and method for secure communication channel establishment
CN110191052B (en) Cross-protocol network transmission method and system
EP3609149A1 (en) Method and apparatus for security management in 5g networks
JP2010539839A (en) Security method in server-based mobile Internet protocol system
JP2014140132A (en) Communication device, control method therefor, and program
JP4602894B2 (en) Computer system and computer
EP3661244A1 (en) Key negotiation and provisioning for devices in a network
JP2006245831A (en) Communication method, communication system, authentication server and mobile
Sitenkov Access control in the internet of things
JP2017188800A (en) Communication device, control method thereof, and program
CN107547478B (en) Message transmission method, device and system
KR101730405B1 (en) Method of managing network route and network entity enabling the method
Pittoli et al. Security architectures in constrained environments: A survey
JPH11243388A (en) Cipher communication system
JP6752578B2 (en) Communication equipment, control methods and programs for communication equipment
KR20150060050A (en) Network device and method of forming tunnel of network device
JP2019046078A (en) Relay apparatus, server, data communication system, and data communication method
JP2008072242A (en) Network apparatus

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190121

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190121

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200207

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200402

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200522