JP2018534852A - デバイス間のセキュアアソシエーションのためのインターネット鍵交換(ike) - Google Patents
デバイス間のセキュアアソシエーションのためのインターネット鍵交換(ike) Download PDFInfo
- Publication number
- JP2018534852A JP2018534852A JP2018518726A JP2018518726A JP2018534852A JP 2018534852 A JP2018534852 A JP 2018534852A JP 2018518726 A JP2018518726 A JP 2018518726A JP 2018518726 A JP2018518726 A JP 2018518726A JP 2018534852 A JP2018534852 A JP 2018534852A
- Authority
- JP
- Japan
- Prior art keywords
- esp
- ipsec
- ike
- processor
- authentication sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
態様は、チャイルドセキュリティアソシエーションの作成なしに、認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)の両方に基づいて、第1のデバイスと第2のデバイスとの間のIPsecセキュリティアソシエーション(SA)を作成するために、インターネット鍵交換(IKE)を実行することに関係し得る。次いで、情報交換が、IPsec SAに基づいて、第1のデバイスと第2のデバイスとの間で可能にされ得る。
Description
関連出願の相互参照
本出願は、その内容全体がすべての目的のために参照により本明細書に組み込まれる、2015年11月3日に出願した「Internet Key Exchange (IKE) for Secure Association Between Devices」という名称の米国仮特許出願第62/250,351号、および、2016年2月10日に出願した、同じく「Internet Key Exchange (IKE) for Secure Association Between Devices」という名称の米国特許出願第15/040,841号の優先権を主張する。
本出願は、その内容全体がすべての目的のために参照により本明細書に組み込まれる、2015年11月3日に出願した「Internet Key Exchange (IKE) for Secure Association Between Devices」という名称の米国仮特許出願第62/250,351号、および、2016年2月10日に出願した、同じく「Internet Key Exchange (IKE) for Secure Association Between Devices」という名称の米国特許出願第15/040,841号の優先権を主張する。
本発明は、デバイス間のセキュアアソシエーションのためのインターネット鍵交換に関する。
インターネットプロトコルセキュリティ(IPsec)は、IP通信のための透過的なセキュリティサービスを提供し、TCP/IP通信を改ざんおよび盗聴から保護し、ネットワーク攻撃から保護する。IPsecは、アクセス制御、コネクションレス完全性、データ発信元認証、アンチリプレイサービス、および機密性を提供する。IPsecは、インターネット鍵交換(IKE)と、認証および暗号化のためのアルゴリズムとを含み得る、IPデータセキュリティのための一連のプロトコルを備え得る。パケット送信のためにIPsecを使用する2つのエンドは、IPsecピアと呼ばれることがある。これらの2つのピアの間の接続は、IPsecトンネルまたはIPsec接続と呼ばれることがある。
IPsecは、セキュリティアソシエーション(SA)を使用して、2つのピアの間でパケットを保護する。SAは、セキュリティプロトコルと、カプセル化モードと、暗号化アルゴリズムと、共有鍵と、鍵有効期間とを含む、要素のセットである。SAは、手動で(マニュアル)、またはIKEネゴシエーションを通して作成され得る。2つのネットワークノードまたはデバイスなど、IPsecピアのペアは、IKEネゴシエーションを実行して、セキュリティプロトコルをネゴシエートし、IPsec認証および暗号鍵を交換し、ネゴシエートされた鍵を管理する。
IPセキュリティプロトコルのより最近のバージョンは、エンドツーエンドセキュリティソリューションのためのIPsecプロトコルに基づいた、オプションの認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)とをサポートするためのオプションを含む。AHは、ソースIPアドレスと宛先IPアドレスとを含むパケット全体のための認証および完全性保護を提供する。ESPは、ペイロードを暗号化することによって機密性を提供し、パケット全体のためではなく、ペイロードのための認証および完全性保護をオプションで与えることができる。これらのヘッダのための構成は、典型的にはインターネット鍵交換(IKE)を介して行われる。しかしながら、最新のIPセキュリティプロトコルは、AHオプションとESPオプションの両方のためのサポートが制限されている。
態様は、チャイルドセキュリティアソシエーションの作成なしに、認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)の両方に基づいて、第1のデバイスと第2のデバイスとの間のIPsecセキュリティアソシエーション(SA)を作成するために、インターネット鍵交換(IKE)を実行することに関係し得る。次いで、情報交換が、IPsec SAに基づいて、第1のデバイスと第2のデバイスとの間で可能にされ得る。
「例示的」または「例」という語は、本明細書では、「例、事例、または例示としての役割を果たすこと」を意味するために使用される。「例示的」または「例」として本明細書において説明する任意の態様または実施形態は、必ずしも、他の態様または実施形態よりも好ましいか、または有利であると解釈されるべきでない。
本明細書で使用する「デバイス」、「ピア」、「コンピューティングシステム」、または「コンピューティングデバイス」という用語は、互換的に使用されることがあり、限定はしないが、ラップトップコンピュータ、デスクトップコンピュータ、パーソナルコンピュータ、サーバ、タブレット、スマートフォン、テレビジョン、家電製品、セルラー電話、ウォッチ、ウェアラブルデバイス、モノのインターネット(IoT)デバイス、パーソナルテレビジョンデバイス、携帯情報端末(PDA)、パームトップコンピュータ、ワイヤレス電子メール受信機、マルチメディアインターネット対応セルラー電話、全地球測位システム(GPS)受信機、ワイヤレスゲームコントローラ、車両(たとえば、自動車)内受信機、インタラクティブゲームデバイス、ノートブック、スマートブック、ネットブック、モバイルテレビジョンデバイス、システムオンチップ(SoC)、または任意のタイプのコンピューティングデバイスもしくはデータ処理装置を含む、任意の形態のコンピューティングデバイスを指すことがある。
以下で詳細に説明するように、インターネット鍵交換(IKE)を実行するために、リンク151を通して互いと通信(たとえば、ピアツーピア通信)中であり得る、2つの例示的なデバイス100および105が、図1において示されている。デバイス100および105は、各々、バス101を介して電気的に結合され得る(または場合によっては、適宜に、通信中であり得る)ハードウェア要素を備え得る。ハードウェア要素は、限定はしないが、1つもしくは複数の汎用プロセッサおよび/または1つもしくは複数の専用プロセッサ(デジタル信号処理チップ、グラフィックス加速プロセッサなど)を含む、1つまたは複数のプロセッサ102と、1つまたは複数の入力デバイス115(たとえば、キーボード、キーパッド、タッチスクリーン、マウスなど)と、1つまたは複数の出力デバイス122(たとえば、ディスプレイデバイス、スピーカー、プリンタなど)とを含み得る。加えて、デバイス100および105は、多種多様なセンサを含み得る。センサは、クロック、周辺光センサ(ALS)、生体センサ(たとえば、血圧モニタなど)、加速度計、ジャイロスコープ、磁力計、配向センサ、指紋センサ、気象センサ(たとえば、温度、風、湿度、気圧など)、全地球測位センサ(GPS)、赤外線(IR)センサ、近接度センサ、ニアフィールド通信(NFC)センサ、マイクロフォン、カメラ、または任意のタイプのセンサを含み得る。
デバイス100および105は、1つまたは複数の非一時的記憶デバイス125をさらに含み(かつ/または、それと通信中であり)得、非一時的記憶デバイス125は、限定はしないが、ローカルおよび/またはネットワークアクセス可能ストレージを備え得、かつ/あるいは、限定はしないが、ディスクドライブ、ドライブアレイ、光記憶デバイス、プログラム可能、フラッシュ更新可能であり得るランダムアクセスメモリ(「RAM」)および/または読取り専用メモリ(「ROM」)などの固体記憶デバイスなどを含み得る。そのような記憶デバイスは、限定はしないが、様々なファイルシステム、データベース構造などを含む、任意の適切なデータストアを実装するように構成され得る。
デバイス100および105はまた、通信サブシステムおよび/またはインターフェース130を含み得、通信サブシステムおよび/またはインターフェース130は、限定はしないが、モデム、ネットワークカード(ワイヤレスもしくはワイヤード)、ワイヤレス通信デバイスおよび/またはチップセット(Bluetooth(登録商標)デバイス、802.11デバイス、Wi-Fiデバイス、WiMaxデバイス、セルラー通信デバイスなど)などを含み得る。通信サブシステムおよび/またはインターフェース130は、適切なリンク151(ワイヤレスまたはワイヤード)を通して、好適なネットワーク、デバイス、コンピュータシステムを通してなど、データがデバイス100とデバイス105との間で交換されることを可能にし得る。
いくつかの実施形態では、デバイス100および105は、上記で説明したように、RAMデバイスまたはROMデバイスを含み得る、ワーキングメモリ135をさらに備え得る。デバイス100および105は、オペレーティングシステム140、アプリケーション145、デバイスドライバ、実行可能ライブラリ、および/または他のコードを含む、ワーキングメモリ135内に現在位置するように示されているファームウェア要素、ソフトウェア要素を含み得る。一実施形態では、本明細書で説明するような実施形態を実装するために、方法を実装し、かつ/またはシステムを構成するように、アプリケーションが設計され得る。単に例として、以下で論じる方法に関連して説明する1つまたは複数の手順は、デバイス(および/または、デバイス内のプロセッサ)によって実行可能なコードおよび/または命令として実装され得、一態様では、次いで、そのようなコードおよび/または命令は、本明細書で説明する実施形態によれば、説明する方法に従って1つまたは複数の動作を実行するように、デバイス100または105を構成し、かつ/または適合させるために使用され得る。
これらの命令および/またはコードのセットは、上記で説明した記憶デバイス125などの非一時的コンピュータ可読記憶媒体上に記憶され得る。場合によっては、記憶媒体は、デバイス100および105などのコンピュータシステム内に組み込まれ得る。他の実施形態では、記憶媒体は、デバイスとは別個であり得(たとえば、コンパクトディスクなどのリムーバブル媒体)、かつ/または、インストールパッケージにおいて提供され得るので、記憶媒体は、記憶された命令/コードを用いてコンピューティングデバイスをプログラムし、構成し、かつ/または適合させるために使用され得る。これらの命令は、デバイス100および105によって実行可能である実行可能コードの形態をとる場合があり、かつ/あるいは、(たとえば、様々な一般的に利用可能なコンパイラ、インストールプログラム、圧縮/解凍ユーティリティなどのうちのいずれかを使用して)コンパイルならびに/またはデバイス100および105へのインストールに際して、そのときに実行可能コードの形態をとる、ソースおよび/またはインストール可能なコードの形態をとる場合がある。
特定の要件に従って、かなりの変更を行ってもよいことは、当業者には明らかであろう。たとえば、本明細書で説明する実施形態を実装するために、カスタマイズされたハードウェアが使用されることもあり、かつ/または、特定の要素が、ハードウェア、ファームウェア、ソフトウェア、もしくはそれらの組合せにおいて実装されることがある。さらに、ネットワーク入力/出力デバイスなどの他のコンピューティングデバイスへの接続が用いられることがある。
態様は、デバイス100とデバイス105との間のセキュアアソシエーションのためのインターネット鍵交換(IKE)に関係し得る。一態様では、第1のデバイス100と第2のデバイス105との間のIPsecセキュリティアソシエーション(SA)を作成するためのインターネット鍵交換(IKE)は、チャイルドセキュリティアソシエーションの作成なしに、リンク151を介して、認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)の両方に基づいて実行され得る。次いで、情報交換が、リンク151を介してSAに基づいて、第1のデバイス100と第2のデバイス105との間で可能にされ得る。一例として、第1のデバイス100のプロセッサ102は、以下でより詳細に説明するように、AHとESPの両方に基づいて、(インターフェース130およびリンク151を介して)第2のデバイス105とともに、IKEベースのSAを実行するように構成され得る。さらに、第2のデバイス105のプロセッサ102は、IKEベースのSAプロセスが成功し、IPsec SAに基づいて第1のデバイス100と第2のデバイス105との間で情報が交換され得るように、インターフェース130を介した第1のデバイスとの対話に基づいて、第1のデバイス100とともにIKEベースのSAプロセスを実行するように構成され得る。様々な例について、以下で説明する。
SAを介したIPセキュリティ(IPsec)サービスは、機密性と、データの完全性と、アクセス制御と、データソース認証とをIPデータグラムに提供する。一例として、これらのタイプのサービスは、第1のデバイス100のIPデータグラムと第2のデバイス105のIPデータグラムとの間で、共有状態を維持することによって提供され得る。この状態は、IPデータグラムに提供される特定のサービスと、サービスを提供するためにどの暗号アルゴリズムが使用されるかと、暗号アルゴリズムへの入力として使用される鍵とを定義する。インターネット鍵交換(IKE)プロトコルは、この共有状態を確立するために使用され得る。IKEプロトコルは、2つのパーティ(たとえば、第1のデバイス100および第2のデバイス105)の間で相互認証を実行し、また、IPsec SAを効率的に確立するため、および、それらが搬送するトラフィックを保護するためにSAによって使用されるべき暗号アルゴリズムのセットを確立するために使用され得る、共有秘密情報を含む、IKEセキュリティアソシエーション(SA)を確立する。一例として、イニシエータが、SAを保護するために使用される暗号アルゴリズムのセットを提案する。インターネット鍵交換セキュリティアソシエーションは、「IKE_SA」と呼ばれることがある。すべてのIKE通信は、要求および応答という、メッセージのペアからなり得る。このペアは、交換として知られる。
IKE_SAを確立するメッセージは、初期交換「IKE_SA_INIT」であり得る。次いで、IKE_SAは、「IKE_AUTH」交換(IKE認証交換を指す)をセキュアに実行して、IPsec SAを作成することができる。チャイルドIPsec SAを確立する後続の交換は、「CREATE_CHILD_SA」と呼ばれることがある。さらに、次いで、情報交換が発生し得る。通常の場合、最初に、IPsec SAを確立するために合計4つのメッセージを使用する、単一のIKE_SA_INIT交換、および単一のIKE_AUTH交換がある。IKE_SA_INIT交換は、いかなる他の交換タイプよりも前に完了されるべきである。次に、IKE_AUTH交換が完了されるべきである。この任意の数のCREATE_CHILD_SA交換および情報交換は、認証されたペアエンドポイント(たとえば、第1のデバイス100および第2のデバイス105(たとえば、ピア))の間で任意の順序で続き得る。説明するように、IKEメッセージフローは、典型的には、要求、および後に続く応答からなる。信頼性を保証することは、要求側の責任である。応答がタイムアウト間隔内に受信されない場合、要求側は、要求を再送信するか、または接続をやめる必要がある。IKEセッションの第1の要求/応答は、IKE_SAのセキュリティパラメータをネゴシエートし、ナンスおよびディフィーヘルマン値を送る。第2の要求応答、IKE_AUTHは、識別情報を送信し、2つの識別情報に対応する秘密の知識を証明し、IPsec SAをセットアップする。初期交換後のすべてのメッセージは、IKE交換の最初の2つのメッセージのネゴシエートされた暗号セットを使用して、暗号で保護される。後続の交換は、CREATE_CHILD_SAのために、および、第1のデバイス100と第2のデバイス105と(たとえば、ピア)の間で情報交換を実行するために使用され得る。
IPセキュリティプロトコルのより最近のバージョンは、エンドツーエンドセキュリティソリューションのためのIPsecプロトコルに基づいた、オプションの認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)とをサポートするためのオプションを含む。AHは、ソースIPアドレスと宛先IPアドレスとを含むパケット全体のための認証および完全性保護を提供する。ESPは、ペイロードを暗号化することによって機密性を提供し、パケット全体のためではなく、ペイロードのための認証および完全性保護をオプションで与えることができる。これらのヘッダのための構成は、典型的にはインターネット鍵交換(IKE)を介して行われる。しかしながら、最新のIKE実装形態は、現在、AHオプションとESPオプションの両方を可能にするとは限らない。
図2を簡単にさらに参照すると、デバイス100とデバイス105との間のIPsecセキュリティアソシエーション(SA)のためのインターネット鍵交換(IKE)を提供するためのプロセス200が示されている。ブロック202で、インターネット鍵交換(IKE)が、チャイルドセキュリティアソシエーションの作成なしに、リンク151を介して、認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)の両方に基づいて、第1のデバイス100と第2のデバイス105との間のIPsec SAを作成するために実行され得る。ブロック204で、次いで、情報交換が、リンク105を介してIPsec SAに基づいて、第1のデバイス100と第2のデバイス105との間で可能にされ得る。
前に説明したように、一例として、第1のデバイス100のプロセッサ102は、AHとESPの両方に基づいて、(インターフェース130およびリンク151を介して)第2のデバイス105とともに、IPsec SAを確立するために、IKEプロセスを実行するように構成され得る。さらに、第2のデバイス105のプロセッサ102は、IKEプロセスが成功し、第1のデバイス100と第2のデバイス105との間で情報が交換され得るように、インターフェース130を介した第1のデバイスとの対話に基づいて、第1のデバイス100とともにIKEプロセスを実行するように構成され得る。様々な例について、以下で説明する。
前に言及し、以下で言及する、変換タイプおよび有効モードの例には、暗号化アルゴリズム(ENCR:Encryption Algorithm)=IKEおよびESP、擬似ランダム関数(PRF:Pseudorandom Function)=IKE、完全性アルゴリズム(INTEG:Integrity Algorithm)=IKE、AH、ESPにおけるオプション、ならびにディフィーヘルマングループ(D-H)=IKE、AHおよびESPにおけるオプション、ならびに拡張シーケンス番号(ESN:Extended Sequence Number)=AHおよびESP初期段階が含まれる。各SAは、複数の提案を有し得るが、ただ1つの提案のみが応答側によって選定されることを諒解されたい。さらに、各提案は、複数の変換を有し得る。同じタイプの複数の変換は、オプションと考えられる。使用されるべきSAは、セキュリティポリシーインジケータ(SPI)番号によって識別され得る。IKEは、IPsec SAデータベース(SAD)とSPIとを確立する。また、SAは、いずれかのエンドポイントによって無効にされ得る。
図3をさらに参照すると、ESPを利用する暗号化アルゴリズムに基づいて、チャイルドSAが作成される、IKEが説明されている。この例示的なプロセス300では、第2のデバイス105は、310で、第1のデバイス100にIKE_SA_INITを要求し、第1のデバイス100は、315で、第2のデバイス105にIKE_SA_INITメッセージで応答する。このIKE_SA_INITシーケンスでは、IKEがセットアップされる。以下の変換タイプ、すなわち、ENCR、PRF、INTEG、およびD-Hが、IKE_SA_INITシーケンスの間にセットアップされ得る。トランスポートモードを使用するための通知メッセージが送られ得る。
次に、第2のデバイス105は、320で、第1のデバイス100にIKE_AUTHを要求し、第1のデバイス100は、330で、第2のデバイス105にIKE_AUTHメッセージで応答する。325で、IKE_AUTHが再送信され得る。このIKE_AUTHシーケンスでは、AH SAがセットアップされる。さらに、INTEGおよびESN変換が設定される。トランスポートモードを使用するための通知が設定され得る。
加えて、第2のデバイス105は、340で、第1のデバイス100にCREATE_CHILD_SAを要求し、第1のデバイス100は、345で、第2のデバイス105にCREATE_CHILD_SAメッセージで応答する。このCREATE_CHILDシーケンスでは、ESP SAがセットアップされる。さらに、ENCR変換が使用される。トランスポートモードを使用するための通知が送られ得る。
その後、350で、第2のデバイス105から第1のデバイス100への情報要求が行われ得、355で、情報応答が、第1のデバイス100から第2のデバイス105に戻すように送信され得る。このようにして、第1のデバイス100と第2のデバイス105との間の情報交換が、IPsec AHおよびESP SAに基づいて発生し得る。前に説明したIKEプロセスを利用する既存のIPsecプロトコルに対して、変更が行われる必要がないことを諒解されたい。また、第1のデバイス100のプロセッサ102は、(インターフェース130およびリンク151を介して)第2のデバイス105とともに、前に説明したIKEプロセスを実行するように構成され得、同様に、第2のデバイス105のプロセッサ102は、IKEプロセスが成功し、IPsec SAに基づいて第1のデバイス100と第2のデバイス105との間で情報が交換され得るように、インターフェース130およびリンク151を介した第1のデバイスとの対話に基づいて、第1のデバイス100とともに、前に説明したIKEプロセスを実行するように構成され得ることを諒解されたい。
図4をさらに参照すると、IKE認証シーケンスが、チャイルドセキュリティアソシエーションの作成なしに、AHとESPの両方を利用して実行される、IKEプロセスが説明されている。この例示的なプロセス400では、第2のデバイス105は、410で、第1のデバイス100にIKE_SA_INITを要求し、第1のデバイス100は、415で、第2のデバイス105にIKE_SA_INITメッセージで応答する。このIKE_SA_INITシーケンスでは、IKEがセットアップされる。以下の変換タイプ、すなわち、ENCR、PRF、INTEG、およびD-Hが、IKE_SA_INITシーケンスの間にセットアップされ得る。トランスポートモードを使用するための通知メッセージが送られ得る。
次に、第2のデバイス105は、420で、第1のデバイス100にIKE_AUTHを要求し、第1のデバイス100は、430で、第2のデバイス105にIKE_AUTHメッセージで応答する。425で、IKE_AUTHが再送信され得る。このIKE_AUTHシーケンスでは、AHとESPの両方の使用を示すために、新しいAHおよびESPモードとして動作する、AH機能とESP機能の両方を含むIPsec SAがセットアップされる。具体的には、INTEG、ENCR、およびESN変換が設定される。INTEGおよびESNは、AHに関して設定され、ENCRは、ESPに関して設定される。したがって、この実施形態では、IKE_AUTHでは、以下の通りである。AHはINTEGアルゴリズムにおいて使用され、AHはESNにおいて使用され、ESPはENCRアルゴリズムにおいて使用される。このSAは、前に説明したIKE認証シーケンスにおける新しいAHおよびESPモードに基づくことを諒解されたい。この新しいモードを追加することで、AHとESPの両方を使用することが可能になる。この新しいモードのサポートは、インターネット標準において扱われることが必要になる。いくつかの実施形態では、二重AHおよびESP SAが利用され得る。また、トランスポートモードを使用するための通知メッセージも送られ得る。
その後、435で、第2のデバイス105から第1のデバイス100への情報要求が行われ得、440で、情報応答が、第1のデバイス100から第2のデバイス105に戻すように送信され得る。このようにして、第1のデバイス100と第2のデバイス105との間の情報交換が、IPsec SAに基づいて発生し得る。このIKEプロセスは、高速セットアップ時間を提供し、前に説明したIKEプロセスを利用する既存のIPsecプロトコルに対して、最小の変更のみが必要とされ得ることを諒解されたい。図4のIKE認証シーケンスと新しいモードとを利用する、前に説明したIKEプロセスは、図3のチャイルドSA方法よりも著しく速く、その理由は、チャイルドSAメッセージが必要とされず、それによって要求/応答RTTが低減されるからであることに留意されたい。いくつかの実施形態では、二重SAは、図4のIKE認証シーケンスとともに利用され得る。また、第1のデバイス100のプロセッサ102は、(インターフェース130およびリンク151を介して)第2のデバイス105とともに、前に説明したIKEプロセスを実行するように構成され得、同様に、第2のデバイス105のプロセッサ102は、IKEベースのSAプロセスが成功し、IPsec SAに基づいて第1のデバイス100と第2のデバイス105との間で情報が交換され得るように、インターフェース130およびリンク151を介した第1のデバイスとの対話に基づいて、第1のデバイス100とともに、前に説明したIKEプロセスを実行するように構成され得ることを諒解されたい。
図5をさらに参照すると、IKE認証シーケンスが、チャイルドセキュリティアソシエーションの作成なしに、AHとESPの両方を利用して実行される、IKEプロセスが説明されている。この例示的なプロセス500では、第2のデバイス105は、510で、第1のデバイス100にIKE_SA_INITを要求し、第1のデバイス100は、515で、第2のデバイス105にIKE_SA_INITメッセージで応答する。このIKE_SA_INITシーケンスでは、IKEがセットアップされる。以下の変換タイプ、すなわち、ENCR、PRF、INTEG、およびD-Hが、IKE_SA_INITシーケンスの間にセットアップされ得る。トランスポートモードを使用するための通知メッセージが送られ得る。
次に、第2のデバイス105は、520で、第1のデバイス100にIKE_AUTHを要求し、第1のデバイス100は、530で、第2のデバイス105にIKE_AUTHメッセージで応答する。525で、IKE_AUTHが再送信され得る。このIKE_AUTHシーケンスでは、AH機能とESP機能の両方を含むIPsec SAがセットアップされる。具体的には、INTEGおよびENCR変換が、最初はESPに関して設定される。次に、AHがINTEGアルゴリズムにおいて使用されるように、ESPからAHへの完全性アルゴリズムの移行を命令するために、AHおよびESP通知メッセージが送られる。このようにして、INTEGアルゴリズムは、AHに関して設定され得、ENCRは、ESPに関して設定され得る。したがって、この実施形態では、IKE_AUTHでは、以下の通りである。AHはINTEGアルゴリズムにおいて使用され、ESPはENCRアルゴリズムにおいて使用される。この新しいAHおよびESP通知メッセージを、IKE認証シーケンスの一部として利用することによって、IKEプロセスは、拡張INTEG能力を用いて高速セットアップ時間を提供する。さらに、このプロセスの下では、INTEG変換をAHに拡大することがサポートされない場合、INTEGおよびENCRを用いるESPに後退することが容易である。この新しい通知メッセージを追加することで、AHとESPの両方を使用することが可能になる。この新しい通知メッセージのサポートは、インターネット標準において扱われることが必要になる。いくつかの実施形態では、二重SAが利用され得る。トランスポートモードを使用するための通知メッセージも送られ得る。
その後、535で、第2のデバイス105から第1のデバイス100への情報要求が行われ得、540で、情報応答が、第1のデバイス100から第2のデバイス105に戻すように送信され得る。このようにして、第1のデバイス100と第2のデバイス105との間の情報交換が、IPsec SAに基づいて発生し得る。このIKEプロセスは、拡張INTEG能力を用いて高速セットアップ時間を提供し、サポートが提供されない場合、SAは、INTEGを用いるESPに後退し得ることを諒解されたい。いくつかの実施形態では、二重SAが利用され得る。また、第1のデバイス100のプロセッサ102は、(インターフェース130およびリンク151を介して)第2のデバイス105とともに、前に説明したIKEプロセスを実行するように構成され得、同様に、第2のデバイス105のプロセッサ102は、IKEベースのSAプロセスが成功し、確立されたIPsec SAに基づいて、第1のデバイス100と第2のデバイス105との間で情報が交換され得るように、インターフェース130およびリンク151を介した第1のデバイスとの対話に基づいて、第1のデバイス100とともに、前に説明したIKEプロセスを実行するように構成され得ることを諒解されたい。
一例として、前に説明したIKEプロセスは、インターネットプロトコルバージョン6 IPsec標準に準拠するように構成され得ることを諒解されたい。
IPv6を使用するとき、AHとESPの両方を使用することを可能にするために、新しいモードをIKEv2に追加することは、認証および完全性保護を伴うESPの構成を模倣するが、認証がESPペイロードレベルではなく、他の変わりやすくないIPヘッダを保護するために、パケットレベルで行われるべきであることを暗示する。これによって、IPv6においてAHをESPとともに両方とも行うための能力をもつ、簡略化されたIKEv2 IPsec初期化が可能になる。
前に説明したIKEプロセスの実施形態は、ネイティブなIPsecプロトコルとともにIPv6を活用する。具体的には、AH機能およびESP機能は、IPv6のネイティブであり、前に説明したIKEプロセスとともに使用され得ることを諒解されたい。加えて、前に説明したIKEプロセスの下で、エンドポイントツーエンドポイントトランザクションのためのトランスポートモードIPsecについて、利益が与えられる。認証ヘッダ(AH): フルパケット完全性および発信元の真正性を保証し(ICV)、セキュリティパラメータを識別し(SPI)、リプレイを防止する(SQN)。また、カプセル化セキュリティペイロード(ESP)は、推奨されるAES-256暗号化を使用するとき、データ機密性を保証する。その上、インターネット鍵交換(IKEv2)は、DNSsecにより検証されたFQDNと、名前付きエンティティのDNSベースの認証(DANE:DNS-based Authentication of Named Entities)により検証されたX.509証明書とをもつ、サーバエンドポイント、検証可能なソースアドレスと、セキュアな要素内に記憶された証明局(CA)検証可能なX.509証明書鍵とをもつ、クライアントエンドポイント、およびセキュアな要素内に記憶されたIPsecセキュリティアソシエーション共有秘密など、推奨される最良の実施に基づいて、鍵およびパラメータをネゴシエートするために使用され得る。
前に説明した態様は、前に説明したように、デバイス(たとえば、第1のデバイス100および第2のデバイス105)のプロセッサ(たとえば、プロセッサ102)による命令の実行に関連して実装され得ることを諒解されたい。具体的には、限定はしないがプロセッサを含む、デバイスの回路が、説明した実施形態による方法またはプロセス(たとえば、図2〜図5のプロセスおよび機能)を実行するために、プログラム、ルーチンの制御下、または命令の実行下で動作し得る。たとえば、そのようなプログラムは、(たとえば、メモリおよび/または他の位置に記憶された)ファームウェアまたはソフトウェアに実装されてもよく、プロセッサ、および/またはデバイスの他の回路によって実装されてもよい。さらに、デバイス、プロセッサ、マイクロプロセッサ、回路、コントローラ、SoCなどの用語が、論理、コマンド、命令、ソフトウェア、ファームウェア、機能などを実行することが可能な任意のタイプの論理または回路を指すことを諒解されたい。
デバイスがワイヤレスデバイスであるとき、それらのデバイスは、任意の好適なワイヤレス通信技術に基づくか、または場合によっては任意の好適なワイヤレス通信技術をサポートするワイヤレスネットワークを通して、1つまたは複数のワイヤレス通信リンク(たとえば、リンク151)を介して通信し得ることを諒解されたい。たとえば、いくつかの態様では、ワイヤレスデバイスおよび他のデバイスは、ワイヤレスネットワークを含むネットワークに関連付けることがある。いくつかの態様では、ネットワークは、ボディエリアネットワークまたはパーソナルエリアネットワーク(たとえば、超広帯域ネットワーク)を備え得る。いくつかの態様では、ネットワークは、ローカルエリアネットワークまたはワイドエリアネットワークを備え得る。ワイヤレスデバイスは、様々なワイヤレス通信技術、プロトコル、または、たとえば、3G、LTE、アドバンストLTE、4G、5G、CDMA、TDMA、OFDM、OFDMA、WiMAX、およびWiFiなどの規格のうちの1つまたは複数をサポートするか、または場合によっては使用し得る。同様に、ワイヤレスデバイスは、様々な対応する変調方式または多重化方式のうちの1つまたは複数をサポートするか、または場合によっては使用し得る。したがって、ワイヤレスデバイスは、上記または他のワイヤレス通信技術を使用して、1つまたは複数のワイヤレス通信リンクを確立し、その通信リンクを介して通信するのに適した構成要素(たとえば、通信サブシステム/インターフェース(たとえば、エアインターフェース))を含み得る。たとえば、デバイスは、ワイヤレス媒体を介した通信を容易にする様々な構成要素(たとえば、信号発生器および信号プロセッサ)を含み得る、関連する送信機構成要素および受信機構成要素(たとえば、送信機および受信機)を有するワイヤレストランシーバを備え得る。よく知られているように、したがって、ワイヤレスデバイスは、他のモバイルデバイス、セルフォン、他のワイヤードコンピュータおよびワイヤレスコンピュータ、インターネットウェブサイトなどとワイヤレス通信し得る。
本明細書の教示は、様々な装置(たとえば、デバイス)に組み込まれ得る(たとえば、様々な装置内に実装されるか、または様々な装置によって実行され得る)。たとえば、本明細書で教示する1つまたは複数の態様は、電話(たとえば、セルラー電話)、携帯情報端末(「PDA」)、タブレット、ウェアラブルデバイス、モノのインターネット(IoT)デバイス、モバイルコンピュータ、ラップトップコンピュータ、エンターテインメントデバイス(たとえば、音楽デバイスもしくはビデオデバイス)、ヘッドセット(たとえば、ヘッドフォン、イヤピースなど)、医療デバイス(たとえば、生体センサ、心拍数モニタ、歩数計、心電図デバイスなど)、ユーザI/Oデバイス、コンピュータ、ワイヤードコンピュータ、固定コンピュータ、デスクトップコンピュータ、サーバ、ポイントオブセールデバイス、セットトップボックス、または任意の他のタイプのコンピューティングデバイスに組み込まれ得る。これらのデバイスは、異なる電力要件およびデータ要件を有し得る。
いくつかの態様では、ワイヤレスデバイスは、通信システムのためのアクセスデバイス(たとえば、Wi-Fiアクセスポイント)を含み得る。そのようなアクセスデバイスは、たとえば、ワイヤードまたはワイヤレス通信リンクを介した別のネットワーク(たとえば、インターネットまたはセルラーネットワークなどのワイドエリアネットワーク)への接続を提供し得る。したがって、アクセスデバイスは、別のデバイス(たとえば、WiFi局)が他のネットワークまたは何らかの他の機能にアクセスできるようにし得る。
情報および信号は多種多様な技術および技法のいずれかを使用して表され得ることを、当業者は理解されよう。たとえば、上記の説明全体を通して言及されることがあるデータ、命令、コマンド、情報、信号、ビット、シンボルおよびチップは、電圧、電流、電磁波、磁場もしくは磁性粒子、光場もしくは光学粒子、またはそれらの任意の組合せによって表されることがある。
本明細書で開示する実施形態に関して説明する様々な例示的な論理ブロック、モジュール、回路、およびアルゴリズムステップは、電子ハードウェア、コンピュータソフトウェア、ファームウェア、または両方の組合せとして実装され得ることを、当業者はさらに諒解されよう。ハードウェア、ファームウェア、またはソフトウェアのこの互換性を明瞭に示すために、様々な例示的な構成要素、ブロック、モジュール、回路、およびステップについて、上記では概してその機能に関して説明した。そのような機能をハードウェア、ファームウェアまたはソフトウェアのいずれとして実装するかは、特定の適用例および全体的なシステムに課される設計制約に依存する。当業者は、説明した機能を特定の適用例ごとに様々な方法で実装し得るが、そのような実装決定は、本発明の範囲からの逸脱を引き起こすものと解釈されるべきではない。
本明細書で開示する実施形態に関して説明する様々な例示的な論理ブロック、モジュール、および回路は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、システムオンチップ(SoC)、または他のプログラマブル論理デバイス、個別ゲートもしくはトランジスタ論理、個別ハードウェア構成要素、あるいは本明細書で説明する機能を実行するように設計されたそれらの任意の組合せを用いて実装または実行され得る。汎用プロセッサはマイクロプロセッサであってもよく、あるいは任意のタイプのプロセッサ、コントローラ、マイクロコントローラ、またはステートマシンであってもよい。プロセッサはまた、コンピューティングデバイスの組合せ、たとえば、DSPとマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、DSPコアと連携する1つまたは複数のマイクロプロセッサ、あるいは任意の他のそのような構成として実装され得る。
本明細書で開示する実施形態に関して説明する方法またはアルゴリズムのステップは、ハードウェアにおいて直接、ファームウェアにおいて、プロセッサによって実行されるソフトウェアモジュールにおいて、またはそれらの組合せにおいて具現され得る。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD-ROM、または当技術分野で知られている任意の他の形態の記憶媒体内に存在し得る。例示的な記憶媒体は、プロセッサが記憶媒体から情報を読み取ること、および記憶媒体に情報を書き込むことができるように、プロセッサに結合される。代替として、記憶媒体は、プロセッサと一体であってもよい。プロセッサおよび記憶媒体は、ASIC内に存在し得る。ASICは、ユーザ端末内に存在し得る。代替として、プロセッサおよび記憶媒体は、個別構成要素としてユーザ端末内に存在し得る。
1つまたは複数の例示的な実施形態では、説明する機能は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組合せにおいて実装され得る。コンピュータプログラム製品としてソフトウェアで実装される場合、機能は、1つまたは複数の命令またはコードとして、コンピュータ可読媒体上に記憶され得るか、またはコンピュータ可読媒体を介して送信され得る。コンピュータ可読媒体は、コンピュータ記憶媒体と、ある場所から別の場所へのコンピュータプログラムの転送を容易にする任意の媒体を含む通信媒体の両方を含む。記憶媒体は、コンピュータによってアクセスされ得る任意の利用可能な媒体であり得る。限定ではなく例として、そのようなコンピュータ可読媒体は、RAM、ROM、EEPROM、CD-ROMもしくは他の光ディスクストレージ、磁気ディスクストレージもしくは他の磁気記憶デバイス、または命令もしくはデータ構造の形式の所望のプログラムコードを搬送もしくは記憶するために使用可能であり、コンピュータによってアクセス可能な任意の他の媒体を備え得る。また、いかなる接続もコンピュータ可読媒体と適切に呼ばれる。たとえば、ソフトウェアが、同軸ケーブル、光ファイバーケーブル、ツイストペア、デジタル加入者回線(DSL)、または赤外線、無線、およびマイクロ波などのワイヤレス技術を使用して、ウェブサイト、サーバ、または他のリモートソースから送信される場合、同軸ケーブル、光ファイバーケーブル、ツイストペア、DSL、または赤外線、無線、およびマイクロ波などのワイヤレス技術は、媒体の定義に含まれる。本明細書で使用するディスク(disk)およびディスク(disc)は、コンパクトディスク(disc)(CD)、レーザディスク(disc)、光ディスク(disc)、デジタル多用途ディスク(disc)(DVD)、フロッピー(登録商標)ディスク(disk)、およびブルーレイディスク(disc)を含み、ディスク(disk)は通常、データを磁気的に再生し、一方、ディスク(disc)は、データをレーザによって光学的に再生する。上記の組合せも、コンピュータ可読媒体の範囲内に含まれるべきである。
開示した実施形態についての上記の説明は、当業者が本発明を作成または使用することを可能にするように提供される。これらの実施形態に対する様々な変更形態が、当業者には容易に明らかとなり、本明細書において規定される一般原理は、本発明の趣旨または範囲から逸脱することなく他の実施形態に適用されてもよい。したがって、本発明は、本明細書に示す実施形態に限定されることは意図されておらず、本明細書で開示する原理および新規の特徴に一致する最も広い範囲を与えられるべきである。
100 デバイス、第1のデバイス
101 バス
102 プロセッサ
105 デバイス、第2のデバイス
115 入力デバイス
122 出力デバイス
125 非一時的記憶デバイス、記憶デバイス
130 通信サブシステムおよび/またはインターフェース、インターフェース
135 ワーキングメモリ
140 オペレーティングシステム
145 アプリケーション
151 リンク
101 バス
102 プロセッサ
105 デバイス、第2のデバイス
115 入力デバイス
122 出力デバイス
125 非一時的記憶デバイス、記憶デバイス
130 通信サブシステムおよび/またはインターフェース、インターフェース
135 ワーキングメモリ
140 オペレーティングシステム
145 アプリケーション
151 リンク
Claims (24)
- チャイルドセキュリティアソシエーションの作成なしに、認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)の両方に基づいて、第1のデバイスと第2のデバイスとの間のIPsecセキュリティアソシエーション(SA)を作成するために、インターネット鍵交換(IKE)を実行するステップと、
前記IPsec SAに基づいて、前記第1のデバイスと前記第2のデバイスとの間で情報交換を可能にするステップと
を含む方法。 - 前記IPsec SAを作成することが、前記AHと前記ESPの両方を利用して、前記IPsec SAを確立するために、前記第1のデバイスと前記第2のデバイスとの間でIKE認証シーケンスを実行するステップをさらに含む、請求項1に記載の方法。
- 前記IKE認証シーケンスが、
前記AHにおいて完全性アルゴリズムを利用すること、
前記AHにおいて拡張シーケンス番号を利用すること、および
前記ESPにおいて暗号化アルゴリズムを利用すること
を行う、前記IPsec SAをさらに含む、請求項2に記載の方法。 - 前記IKE認証シーケンスが、
前記AHにおいて完全性アルゴリズムを利用すること、および
前記ESPにおいて暗号化アルゴリズムを利用すること
を行う、前記IPsec SAをさらに含む、請求項2に記載の方法。 - 前記IPsec SAが、前記AHと前記ESPの両方の使用を示すために、前記IKE認証シーケンスにおいてAHおよびESPモードに基づく、請求項2に記載の方法。
- 前記ESPから前記AHへの前記完全性アルゴリズムの移行を命令するために、AHおよびESP通知メッセージを送信するステップをさらに含む、請求項3に記載の方法。
- 第1のデバイスであって、
インターフェースと、
前記インターフェースに結合されたプロセッサとを備え、前記プロセッサが、
チャイルドセキュリティアソシエーションの作成なしに、認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)の両方に基づいて、第2のデバイスとともにIPsecセキュリティアソシエーション(SA)を作成するために、インターネット鍵交換(IKE)を実行すること、および
前記インターフェースを通して、前記IPsec SAに基づいて、前記第2のデバイスとの情報交換を可能にすること
を行うように構成される、第1のデバイス。 - 前記プロセッサによって実行される、前記IPsec SAを作成することが、
前記AHと前記ESPの両方を利用して、前記IPsec SAを確立するために、前記第2のデバイスとともにIKE認証シーケンスを実行すること
を行うようにさらに構成された前記プロセッサを含む、請求項7に記載の第1のデバイス。 - 前記プロセッサによって実行される、前記IPsec SAを確立するための、前記IKE認証シーケンスが、
前記AHにおいて完全性アルゴリズムを利用すること、
前記AHにおいて拡張シーケンス番号を利用すること、および
前記ESPにおいて暗号化アルゴリズムを利用すること
を行うようにさらに構成された前記プロセッサを含む、請求項8に記載の第1のデバイス。 - 前記プロセッサによって実行される、前記IPsec SAを確立するための、前記IKE認証シーケンスが、
前記AHにおいて完全性アルゴリズムを利用すること、および
前記ESPにおいて暗号化アルゴリズムを利用すること
を行うようにさらに構成された前記プロセッサを含む、請求項8に記載の第1のデバイス。 - 前記IPsec SAが、前記AHと前記ESPの両方の使用を示すために、前記IKE認証シーケンスにおいてAHおよびESPモードに基づく、請求項8に記載の第1のデバイス。
- 前記プロセッサが、前記ESPから前記AHへの前記完全性アルゴリズムの移行を命令するために、AHおよびESP通知メッセージを送信するようにさらに構成される、請求項9に記載の第1のデバイス。
- 第1のデバイスであって、
チャイルドセキュリティアソシエーションの作成なしに、認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)の両方に基づいて、第2のデバイスとともにIPsecセキュリティアソシエーション(SA)を作成するために、インターネット鍵交換(IKE)を実行するための手段と、
前記IPsec SAに基づいて、前記第1のデバイスと前記第2のデバイスとの間で情報交換を可能にするための手段と
を備える第1のデバイス。 - 前記IPsec SAを作成することが、前記AHと前記ESPの両方を利用して、前記IPsec SAを確立するために、前記第1のデバイスと前記第2のデバイスとの間でIKE認証シーケンスを実行するための手段をさらに備える、請求項13に記載の第1のデバイス。
- 前記IKE認証シーケンスが、
前記AHにおいて完全性アルゴリズムを利用するための手段と、
前記AHにおいて拡張シーケンス番号を利用するための手段と、
前記ESPにおいて暗号化アルゴリズムを利用するための手段と
をさらに備える、請求項14に記載の第1のデバイス。 - 前記IKE認証シーケンスが、
前記AHにおいて完全性アルゴリズムを利用するための手段と、
前記ESPにおいて暗号化アルゴリズムを利用するための手段と
をさらに備える、請求項14に記載の第1のデバイス。 - 前記IPsec SAが、前記AHと前記ESPの両方の使用を示すために、前記IKE認証シーケンスにおいてAHおよびESPモードに基づく、請求項14に記載の第1のデバイス。
- 前記ESPから前記AHへの前記完全性アルゴリズムの移行を命令するために、AHおよびESP通知メッセージを送信するための手段をさらに備える、請求項15に記載の第1のデバイス。
- コードを含む非一時的コンピュータ可読記憶媒体であって、前記コードは、第1のデバイスのプロセッサによって実行されると、前記プロセッサに、
チャイルドセキュリティアソシエーションの作成なしに、認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)の両方に基づいて、第2のデバイスとともにIPsecセキュリティアソシエーション(SA)を作成するために、インターネット鍵交換(IKE)を実行すること、および
前記IPsec SAに基づいて、前記第1のデバイスと前記第2のデバイスとの間で情報交換を可能にすること
を行わせる、非一時的コンピュータ可読記憶媒体。 - 前記IPsec SAが、
前記AHと前記ESPの両方を利用して、前記IPsec SAを確立するために、前記第1のデバイスと前記第2のデバイスとの間でIKE認証シーケンスを実行すること
を行うためのコードをさらに備える、請求項19に記載のコンピュータ可読記憶媒体。 - 前記IPsec SAを確立するための、前記IKE認証シーケンスが、
前記AHにおいて完全性アルゴリズムを利用すること、
前記AHにおいて拡張シーケンス番号を利用すること、および
前記ESPにおいて暗号化アルゴリズムを利用すること
を行うためのコードをさらに備える、請求項20に記載のコンピュータ可読記憶媒体。 - 前記IPsec SAを確立するための、前記IKE認証シーケンスが、
前記AHにおいて完全性アルゴリズムを利用すること、および
前記ESPにおいて暗号化アルゴリズムを利用すること
を行うためのコードをさらに備える、請求項20に記載のコンピュータ可読記憶媒体。 - 前記IPsec SAが、前記AHと前記ESPの両方の使用を示すために、前記IKE認証シーケンスにおいてAHおよびESPモードに基づく、請求項20に記載のコンピュータ可読記憶媒体。
- 前記ESPから前記AHへの前記完全性アルゴリズムの移行を命令するために、AHおよびESP通知メッセージの送信を命令するためのコードをさらに備える、請求項21に記載のコンピュータ可読記憶媒体。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562250351P | 2015-11-03 | 2015-11-03 | |
US62/250,351 | 2015-11-03 | ||
US15/040,841 | 2016-02-10 | ||
US15/040,841 US10250578B2 (en) | 2015-11-03 | 2016-02-10 | Internet key exchange (IKE) for secure association between devices |
PCT/US2016/055353 WO2017078879A1 (en) | 2015-11-03 | 2016-10-04 | Internet key exchange (ike) for secure association between devices |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018534852A true JP2018534852A (ja) | 2018-11-22 |
Family
ID=58635584
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018518726A Pending JP2018534852A (ja) | 2015-11-03 | 2016-10-04 | デバイス間のセキュアアソシエーションのためのインターネット鍵交換(ike) |
Country Status (7)
Country | Link |
---|---|
US (1) | US10250578B2 (ja) |
EP (1) | EP3371949A1 (ja) |
JP (1) | JP2018534852A (ja) |
KR (1) | KR20180079324A (ja) |
CN (1) | CN108353076B (ja) |
BR (1) | BR112018008963A8 (ja) |
WO (1) | WO2017078879A1 (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10009336B2 (en) * | 2016-05-18 | 2018-06-26 | Cisco Technology, Inc. | Network security system to validate a server certificate |
US10554632B2 (en) | 2017-05-15 | 2020-02-04 | Medtronic, Inc. | Multimodal cryptographic data communications in a remote patient monitoring environment |
JP7188855B2 (ja) | 2018-11-15 | 2022-12-13 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | セキュリティアソシエーションsaのキー変更の方法、ネットワークデバイス、および、ネットワークシステム |
CN109510836A (zh) * | 2018-12-14 | 2019-03-22 | 济南浪潮高新科技投资发展有限公司 | 一种基于TPM的IPsec会话边界控制装置及方法 |
CN109802954A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种用于数据传输中对IPSec SA进行删除的方法及装置 |
CN111416791B (zh) | 2019-01-04 | 2022-06-14 | 华为技术有限公司 | 数据传输方法、设备与系统 |
US11196726B2 (en) * | 2019-03-01 | 2021-12-07 | Cisco Technology, Inc. | Scalable IPSec services |
EP4026299A4 (en) * | 2019-10-10 | 2022-10-26 | Huawei Technologies Co., Ltd. | METHODS AND SYSTEMS FOR OPTIMIZING R-AUTHENTICATION BY INTERNET KEY EXCHANGE |
US11388225B1 (en) | 2020-12-11 | 2022-07-12 | Cisco Technology, Inc. | Load balancing based on security parameter index values |
US11652747B2 (en) | 2020-12-11 | 2023-05-16 | Cisco Technology, Inc. | Maintaining quality of service treatment of packets using security parameter index values |
US11683380B2 (en) * | 2021-02-09 | 2023-06-20 | Cisco Technology, Inc. | Methods for seamless session transfer without re-keying |
CN113472817B (zh) * | 2021-09-03 | 2021-12-03 | 杭州网银互联科技股份有限公司 | 一种大规模IPSec的网关接入方法、装置及电子设备 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2374497B (en) * | 2001-04-03 | 2003-03-12 | Ericsson Telefon Ab L M | Facilitating legal interception of IP connections |
US7502474B2 (en) * | 2004-05-06 | 2009-03-10 | Advanced Micro Devices, Inc. | Network interface with security association data prefetch for high speed offloaded security processing |
JP4047303B2 (ja) | 2004-06-04 | 2008-02-13 | キヤノン株式会社 | 提供装置、提供プログラム、及び、提供方法 |
CN1741523B (zh) * | 2004-08-25 | 2010-05-12 | 华为技术有限公司 | 一种实现主机移动性和多家乡功能的密钥交换协议方法 |
WO2007063420A2 (en) * | 2005-12-01 | 2007-06-07 | Nokia Corporation | Authentication in communications networks |
US8141126B2 (en) * | 2007-01-24 | 2012-03-20 | International Business Machines Corporation | Selective IPsec security association recovery |
US8289970B2 (en) * | 2009-07-17 | 2012-10-16 | Microsoft Corporation | IPSec encapsulation mode |
CN101697522A (zh) * | 2009-10-16 | 2010-04-21 | 深圳华为通信技术有限公司 | 虚拟专用网组网方法及通信系统以及相关设备 |
CN102420770B (zh) * | 2011-12-27 | 2014-03-12 | 汉柏科技有限公司 | Ike报文协商方法及设备 |
WO2013149041A1 (en) * | 2012-03-30 | 2013-10-03 | Huawei Technologies Co., Ltd. | Enhancing ipsec performance and security against eavesdropping |
US9516065B2 (en) * | 2014-12-23 | 2016-12-06 | Freescale Semiconductor, Inc. | Secure communication device and method |
US9565167B2 (en) * | 2015-01-21 | 2017-02-07 | Huawei Technologies Co., Ltd. | Load balancing internet protocol security tunnels |
US9992223B2 (en) * | 2015-03-20 | 2018-06-05 | Nxp Usa, Inc. | Flow-based anti-replay checking |
US10051000B2 (en) * | 2015-07-28 | 2018-08-14 | Citrix Systems, Inc. | Efficient use of IPsec tunnels in multi-path environment |
-
2016
- 2016-02-10 US US15/040,841 patent/US10250578B2/en active Active
- 2016-10-04 EP EP16781967.1A patent/EP3371949A1/en not_active Withdrawn
- 2016-10-04 JP JP2018518726A patent/JP2018534852A/ja active Pending
- 2016-10-04 KR KR1020187012345A patent/KR20180079324A/ko unknown
- 2016-10-04 WO PCT/US2016/055353 patent/WO2017078879A1/en active Application Filing
- 2016-10-04 BR BR112018008963A patent/BR112018008963A8/pt not_active Application Discontinuation
- 2016-10-04 CN CN201680062398.9A patent/CN108353076B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN108353076A (zh) | 2018-07-31 |
US10250578B2 (en) | 2019-04-02 |
BR112018008963A8 (pt) | 2019-02-26 |
CN108353076B (zh) | 2021-02-02 |
BR112018008963A2 (pt) | 2018-11-21 |
US20170126645A1 (en) | 2017-05-04 |
EP3371949A1 (en) | 2018-09-12 |
WO2017078879A1 (en) | 2017-05-11 |
KR20180079324A (ko) | 2018-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10250578B2 (en) | Internet key exchange (IKE) for secure association between devices | |
US10601594B2 (en) | End-to-end service layer authentication | |
JP6923611B2 (ja) | サービス層におけるコンテンツセキュリティ | |
KR101941049B1 (ko) | 암호화된 통신을 위한 방법 및 시스템 | |
EP3308519B1 (en) | System, apparatus and method for transferring ownership of a device from manufacturer to user using an embedded resource | |
US11658949B2 (en) | Secure publish-subscribe communication methods and apparatus | |
US10291596B2 (en) | Installation of a terminal in a secure system | |
US10374800B1 (en) | Cryptography algorithm hopping | |
US20150020185A1 (en) | Communication Session Transfer Between Devices | |
CN105993146A (zh) | 不访问私钥而使用公钥密码的安全会话能力 | |
EP3794852B1 (en) | Secure methods and systems for identifying bluetooth connected devices with installed application | |
US10733309B2 (en) | Security through authentication tokens | |
EP3811583B1 (en) | Secure systems and methods for resolving audio device identity using remote application | |
WO2018161862A1 (zh) | 私钥生成方法、设备以及系统 | |
US20180176230A1 (en) | Data packet transmission method, apparatus, and system, and node device | |
EP3282639B1 (en) | Method for operating server and client, server, and client apparatus | |
WO2023279283A1 (zh) | 建立车辆安全通信的方法、车辆、终端及系统 | |
WO2019120231A1 (zh) | 确定tpm可信状态的方法、装置及存储介质 | |
US10567434B1 (en) | Communication channel security enhancements | |
JP2015039079A (ja) | 無線通信装置、及び無線通信方法 | |
JP2023535613A (ja) | Bluetoothノードペアリング方法及び関連する装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180508 |