JP3788802B2 - Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device - Google Patents

Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device Download PDF

Info

Publication number
JP3788802B2
JP3788802B2 JP2004156181A JP2004156181A JP3788802B2 JP 3788802 B2 JP3788802 B2 JP 3788802B2 JP 2004156181 A JP2004156181 A JP 2004156181A JP 2004156181 A JP2004156181 A JP 2004156181A JP 3788802 B2 JP3788802 B2 JP 3788802B2
Authority
JP
Japan
Prior art keywords
address
packet
secure
security policy
conversion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004156181A
Other languages
Japanese (ja)
Other versions
JP2005341127A (en
Inventor
雄介 吉良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004156181A priority Critical patent/JP3788802B2/en
Publication of JP2005341127A publication Critical patent/JP2005341127A/en
Application granted granted Critical
Publication of JP3788802B2 publication Critical patent/JP3788802B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、IPアドレスの変換処理を行うネットワーク間通信にIPsec(暗号などのセキュア通信を行うための規格)を適用するセキュア通信方法と、IPsecに準拠したセキュア処理を行う装置並びにその処理方法、そのプログラムおよびその記録媒体、アドレス変換装置に関する。   The present invention relates to a secure communication method that applies IPsec (standard for performing secure communication such as encryption) to inter-network communication that performs IP address conversion processing, an apparatus that performs secure processing compliant with IPsec, and a processing method therefor, The present invention relates to the program, the recording medium, and the address conversion device.

従来、プライベートIPアドレス(RFC1918)を割り当てられたホストがインターネット上のホストと通信するとき、プライベートIPアドレスをもつホストから送り出されるIPパケットはアドレス変換(NAT:Network Address Translation)装置によってプライベートIPアドレスをグローバルIPアドレスに書き換えられてインターネット上のホストに届けられる。一方で、インターネット等のネットワークを介して暗号通信などのセキュア通信を行うための規格としてIPsec(IP Security Protocol)が知られている。IPsecは通信中にデータの内容が書き換えられた場合に、データが改ざんされたと判断して受信側でパケットを破棄する。これに対しアドレス変換(NAT)装置ではIPsec通信路における途中でパケット情報(IPアドレス)を変換するため、受信側ではこのアドレス変換されたIPsecパケットを改ざんされたものと判断して破棄してしまう。従ってネットワーク間通信に、IPsecに準拠したセキュア通信方法とアドレス変換をともなう通信方法とを単純に併用することはできない。   Conventionally, when a host assigned a private IP address (RFC 1918) communicates with a host on the Internet, an IP packet sent from a host having a private IP address is assigned a private IP address by an address translation (NAT) device. It is rewritten to a global IP address and delivered to a host on the Internet. On the other hand, IPsec (IP Security Protocol) is known as a standard for performing secure communication such as encryption communication via a network such as the Internet. IPsec determines that the data has been tampered with and discards the packet on the receiving side when the contents of the data are rewritten during communication. On the other hand, since the address translation (NAT) device converts packet information (IP address) in the middle of the IPsec communication path, the receiving side determines that the IPsec packet whose address has been converted has been tampered with and discards it. . Therefore, it is not possible to simply use a secure communication method based on IPsec and a communication method with address conversion for inter-network communication.

このような問題に対して、IETF(Internet Engineering Task Force)では「IPsec NAT−Traversal」の提案と「IPC−NAT(IPsec Policy Controlled NAT)」の規定を行っている。(非特許文献1参照)。また、前記「IPC−NAT」に基づいていて、NAT装置によるアドレス変換ルールに関連させてIPsecのセキュリティアソシエーションを更新しIPsecを開始する方法がある(特許文献1参照)。
RFC(Request for Comments)2709 特許第003393836号 In response to such a problem, IETF (Internet Engineering Task Force) proposes “IPsec NAT-Traversal” and defines “IPC-NAT (IPsec Policy Controlled NAT)”. (Refer nonpatent literature 1). Further, there is a method based on the “IPC-NAT”, in which the IPsec security association is updated in association with the address translation rule by the NAT device and the IPsec is started (see Patent Document 1).
RFC (Request for Comments) 2709 Patent No. 003393936

前記「IPsec NAT−Traversal」を利用するためには通信先(インターネット上のホスト端末やゲートウェイ)のIPsec機能をもつ機器がこの機能を実装していなければならない。また、「IPsec NAT−Traversal」はESP(Encapsulating Security Payload:RFC2406)トラフィック(暗号化のようにデータを秘匿する通信)にのみ定義されており、AH(Authentication Header:RFC2402)トラフィック(署名のようにデータ改ざんに対し保証する通信)は適用対象外となっている。一方の「IPC−NAT」(非特許文献1)及び「IPC−NAT」の類似技術(特許文献1)はNAT装置にIPsecプロトコルスタックを実装してNAT環境でIPsecを利用した場合の問題点を解決しているが、ホスト端末がIPsec処理を行う場合などはNAT装置とIPsec機器とを分離せざるを得ない、つまりNAT装置にIPsec機能を実装できない通信環境においては依然として問題が残る。   In order to use the “IPsec NAT-Traversal”, a device having an IPsec function of a communication destination (host terminal or gateway on the Internet) must have this function. In addition, “IPsec NAT-Traversal” is defined only for ESP (Encapsulating Security Payload: RFC2406) traffic (communication that conceals data like encryption), and AH (Authentication Header: RFC2402) traffic (like signature) Communication guaranteeing against data tampering is not applicable. On the other hand, “IPC-NAT” (Non-patent Document 1) and similar technology (Patent Document 1) of “IPC-NAT” have problems when IPsec is used in a NAT environment by mounting an IPsec protocol stack on a NAT device. Although it has been solved, there is still a problem in a communication environment in which the NAT device and the IPsec device must be separated when the host terminal performs the IPsec processing, that is, the IPsec function cannot be implemented in the NAT device.

この発明の目的は、通信相手に特別なIPsec機器を求めることなくNAT環境でIPsecを利用した場合の問題点を解決するためであって、NAT装置とIPsec機器の前後位置関係にかかわらずIPsecのAH及びESPを利用したセキュア通信が可能なネットワーク間通信方法とパケットセキュア処理装置並びにその処理方法、プログラムおよびその記録媒体、アドレス変換装置を提供することにある。   An object of the present invention is to solve the problem in the case where IPsec is used in a NAT environment without requiring a special IPsec device as a communication partner. An object is to provide an inter-network communication method and a packet secure processing device capable of secure communication using AH and ESP, a processing method, a program, a recording medium thereof, and an address conversion device.

この発明によれば、IPパケットに対しプライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信方法において、
特にセキュア処理を行う際に、アドレス変換が行われていないIPパケットに対しては、そのIPパケットのIPアドレスが変換されるであろう新たなIPアドレスを取得し、アドレス変換が行われたIPパケットに対しては、そのIPパケットのIPアドレスが変換される前のIPアドレスを取得し、
上記取得したIPアドレスで上記IPパケットのIPアドレスを仮想的に置換し、そのIPアドレスを仮想的置換したIPパケットについてセキュア処理を行う。 According to the present invention, in an inter-network secure communication method for converting an IP packet between a private IP address and a global IP address,
In particular, when performing secure processing, for an IP packet that has not been subjected to address translation, a new IP address to which the IP address of the IP packet will be translated is obtained, and the IP address that has undergone address translation For a packet, obtain the IP address before the IP address of the IP packet is translated,
The IP address of the IP packet is virtually replaced with the acquired IP address, and secure processing is performed on the IP packet virtually replaced with the IP address.

この発明はこのように構成されているから、通信相手装置にIPsec NAT−Travesal機能のような特別な機能を実装させることなく、NAT装置とIPsec機器の前後位置関係にかかわらずNAT環境でIPsecのAH及びESPを利用したセキュア通信が可能であり、更にNAT装置からIPsec機能が分離された通信環境においてセキュア通信をすることができる。   Since the present invention is configured as described above, the IPsec apparatus can be used in the NAT environment regardless of the front-rear positional relationship between the NAT apparatus and the IPsec apparatus without mounting a special function such as the IPsec NAT-Travesal function in the communication partner apparatus. Secure communication using AH and ESP is possible, and secure communication can be performed in a communication environment in which the IPsec function is separated from the NAT device.

以下、この発明の実施の形態について図面を参照して説明する。図1にこの発明のパケットセキュア処理装置(以下IPsec装置という)NAT装置を含む、この発明の通信方法が適用されるネットワーク間セキュア通信システムの構成例を示す。例えばLAN(Local Area Network)などの通信網10にホストA端末13が収容され、また、IPsecに準拠した処理を行うパケットセキュア処理装置(以下IPsec装置と書く)11が収容され、このIPsec装置11はアドレス変換装置12を介してインターネットなどの通信ネットワーク30に接続される。LANなどの通信網20にホストB端末23が収容され、またアドレス変換装置22が収容され、アドレス変換装置22はIPsec装置21を介して通信ネットワーク30に接続される。通信ネットワーク30に相手ホストC装置31が接続される。   Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 shows a configuration example of an inter-network secure communication system to which a communication method of the present invention is applied, including a packet secure processing device (hereinafter referred to as an IPsec device) NAT device of the present invention. For example, a host A terminal 13 is accommodated in a communication network 10 such as a LAN (Local Area Network), and a packet secure processing device (hereinafter referred to as an IPsec device) 11 that performs processing compliant with IPsec is accommodated. Are connected to a communication network 30 such as the Internet via an address translation device 12. A host B terminal 23 is accommodated in a communication network 20 such as a LAN, and an address translation device 22 is accommodated. The address translation device 22 is connected to the communication network 30 via the IPsec device 21. A partner host C device 31 is connected to the communication network 30.

通信網10においてはホストA端末13はIPsec装置11、NAT装置12の順にネットワーク30を介して相手ホストC装置31に接続される。一方、通信網20ではホストB端末23がNAT装置22、IPsec装置21の順にネットワーク30を介して相手ホストC装置31に接続される。この発明において、相手ホストC装置31はIPsec機能を備えたものであってIPsec端末、IPsecゲートウェイのどちらであってもかまわない。以下ではこれらのいずれでもよいことを表す点で相手ホストC装置31と書く。また、ホストA端末13とホストB端末23とはIPsec機能が実装されていても実装されていなくてもどちらでもよいが、この実施形態においては両方のホスト端末ともIPsec機能が実装されていないものとする。また、各々のIPsec装置11及び21と相手ホストC装置31とには予めIPsec通信に必要となる鍵が設定されているものとする。IPsec装置11及び21の機能構成例を図2に、NAT装置12及び22の機能構成例を図3にそれぞれ示す。   In the communication network 10, the host A terminal 13 is connected to the partner host C device 31 via the network 30 in the order of the IPsec device 11 and the NAT device 12. On the other hand, in the communication network 20, the host B terminal 23 is connected to the partner host C device 31 via the network 30 in the order of the NAT device 22 and the IPsec device 21. In the present invention, the counterpart host C device 31 has an IPsec function, and may be either an IPsec terminal or an IPsec gateway. In the following, it will be written as the partner host C device 31 in that it represents any of these. Further, the host A terminal 13 and the host B terminal 23 may or may not be equipped with the IPsec function, but in this embodiment, neither of the host terminals is equipped with the IPsec function. And In addition, it is assumed that keys required for IPsec communication are set in advance in each of the IPsec apparatuses 11 and 21 and the counterpart host C apparatus 31. An example of the functional configuration of the IPsec apparatuses 11 and 21 is shown in FIG. 2, and an example of the functional configuration of the NAT apparatuses 12 and 22 is shown in FIG.

[第1実施形態]
図4にパケットの流れを、図5にIPsec装置11の処理手順をそれぞれ示す。この第1実施形態では図2及び図3において各装置の両側に接続されるものは実線で示すものとなる。
ホストAから相手ホストCへの通信
ホストA端末13と相手ホストC装置31とが互いにIPsecに準拠したセキュア通信を実施する。
IPsec装置11はホストA端末13から送り出されたIPパケットA1をLAN側ネットワークインタフェース111(図2)から取り込む(ステップS11)。受け取ったIPパケットA1は伝送路112を介してセキュリティポリシ検索部113へ届けられ、セキュリティポリシ検索部113によってIPパケットA1の始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される。該当するセキュリティポリシが見つかると(ステップS13)、IPパケットA1は伝送路115を介して暗号化や認証データ作成を行う処理部116へ届けられる。 [First Embodiment]
FIG. 4 shows a packet flow, and FIG. 5 shows a processing procedure of the IPsec apparatus 11. In the first embodiment, what is connected to both sides of each device in FIGS. 2 and 3 is indicated by a solid line.
Communication from host A to partner host C Host A terminal 13 and partner host C device 31 perform secure communication based on IPsec.
The IPsec apparatus 11 takes in the IP packet A1 sent from the host A terminal 13 from the LAN side network interface 111 (FIG. 2) (step S11). The received IP packet A1 is delivered to the security policy search unit 113 via the transmission path 112, and is sent from the security policy storage unit 114 by the security policy search unit 113 using the start point IP address, end point IP address, protocol, etc. of the IP packet A1 as keys. The corresponding security policy is searched. When a corresponding security policy is found (step S13), the IP packet A1 is delivered via the transmission path 115 to the processing unit 116 that performs encryption and creation of authentication data.

IPsec装置11はIPアドレス変換情報を取得する(ステップS14)。例えばIPアドレス変換情報取得部117によりUPnP(Universal Plug and Play:DPnP対応機器はネットワークに接続するだけで自動的に相手機器の存在が認識され、機器は相互にデータのやり取りなどを行うプロトコル)を用いてNAT装置12と通信して、NAT装置12にIPパケットA1に対するアドレス変換情報を要求し、NAT装置12ではアドレス変換情報記憶部211からそのIPパケットA1に対するアドレス変換情報を取り出し、アドレス変換情報発信部212を介してIPsec装置11へアドレス変換情報を伝送する。このようにIPsec装置11では、アドレス変換情報取得部117を介してWAN側ネットワークインタフェース119に接続されたNAT装置12からIPアドレス変換情報を取得し、これをアドレス変換情報記憶部118に記憶する。これにより、IPsec装置11は、受け取ったIPパケットA1の今後書き換えられるであろう新たなIPアドレス、つまり変換前IPアドレスを知る。この実施形態においては、IPsec装置11のIPアドレス変換情報はNAT装置12との通信により取得しているが、例えば通信網10がLANであり、その管理者により手動操作によりIPアドレス変換情報記憶部118に直接記憶させることも可能である。直接記憶させる場合は、IPsec装置11のIPアドレス変換情報記憶部118とNAT装置12のIPアドレス変換情報記憶部211との記憶内容を等しくすることが重要である。従ってIPアドレス変換情報(変換前のIPアドレスや変換後のIPアドレス)の取得は通信による取得と記憶部118からの取得とがある。   The IPsec apparatus 11 acquires IP address conversion information (step S14). For example, the IP address conversion information acquisition unit 117 uses UPnP (Universal Plug and Play: a protocol that allows a DPnP-compatible device to automatically recognize the presence of a counterpart device simply by connecting to the network, and the device exchanges data with each other). The NAT device 12 is used to communicate with the NAT device 12 to request address translation information for the IP packet A1, and the NAT device 12 extracts the address translation information for the IP packet A1 from the address translation information storage unit 211. Address conversion information is transmitted to the IPsec apparatus 11 via the transmission unit 212. As described above, the IPsec apparatus 11 acquires the IP address conversion information from the NAT apparatus 12 connected to the WAN side network interface 119 via the address conversion information acquisition unit 117 and stores it in the address conversion information storage unit 118. Thereby, the IPsec apparatus 11 knows a new IP address that will be rewritten in the future of the received IP packet A1, that is, an IP address before conversion. In this embodiment, the IP address conversion information of the IPsec device 11 is acquired by communication with the NAT device 12. For example, the communication network 10 is a LAN, and the IP address conversion information storage unit is manually operated by the administrator. It is also possible to store directly in 118. In the case of direct storage, it is important to make the storage contents of the IP address conversion information storage unit 118 of the IPsec device 11 and the IP address conversion information storage unit 211 of the NAT device 12 equal. Accordingly, the acquisition of the IP address conversion information (the IP address before conversion and the IP address after conversion) includes acquisition through communication and acquisition from the storage unit 118.

IPsec装置11の暗号化や認証データ作成を行う処理部116では、ステップS12におけるセキュリティポリシ検索により得たESPかAHかに基づき、暗号化又は認証データ作成を行うが、この暗号化や認証データ作成を行う前に、受け取ったIPパケットA1の今後書き換えられるであろう新たなIPアドレス、つまり変換後のIPアドレスをアドレス変換情報記憶部118から取得する。取得後はIPパケットA1のIPヘッダを、取得した新たなIPアドレスで仮想的に置き換えた上でIPsecに準拠した暗号化や認証データ作成を行い、これをパケットに埋め込む(ステップS15)。このとき、処理部116で暗号処理生成されたIPsecパケットA2のIPヘッダは実際には書き換えられていないことに注意する。   The processing unit 116 that performs encryption and authentication data creation of the IPsec apparatus 11 performs encryption or authentication data creation based on ESP or AH obtained by the security policy search in step S12. Before performing the process, a new IP address that will be rewritten in the future from the received IP packet A1, that is, an IP address after conversion is acquired from the address conversion information storage unit 118. After the acquisition, the IP header of the IP packet A1 is virtually replaced with the acquired new IP address, and encryption and authentication data creation complying with IPsec are performed and embedded in the packet (step S15). At this time, it should be noted that the IP header of the IPsec packet A2 generated by the encryption processing by the processing unit 116 is not actually rewritten.

IPsec装置11によってIPsec化されたIPパケットA2はWAN側ネットワークインタフェース119を介してNAT装置12のLAN側ネットワークインタフェース213へ伝送される。NAT装置12では、アドレス変換情報記憶部211のアドレス変換情報に基づき、アドレス変換処理部214においてIPヘッダのIPアドレス(IPパケットA1のそれと同一アドレス)を前記変換後のIPアドレスに書き換えてからIPsecパケットA3としてWAN側ネットワークインタフェース215を介して相手ホストC装置31に伝送する(ステップS16)。   The IP packet A2 converted to IPsec by the IPsec apparatus 11 is transmitted to the LAN side network interface 213 of the NAT apparatus 12 via the WAN side network interface 119. In the NAT device 12, based on the address translation information in the address translation information storage unit 211, the address translation processing unit 214 rewrites the IP address of the IP header (the same address as that of the IP packet A 1) with the IP address after the translation. The packet A3 is transmitted to the counterpart host C device 31 via the WAN side network interface 215 (step S16).

相手ホストC装置31は、受け取ったIPsecパケットA3について暗号の復号化や認証データの検証を行う。ホストC装置31が受け取ったIPsecパケットA3はNAT装置12によってIPヘッダが書き換えられているが、つまり改ざんされているがIPsecパケットA3に埋め込まれた暗号データや認証データはNAT装置12でIPヘッダが変換されたと仮想したパケットに対して処理部116で暗号処理されているため、ホストC装置31はNAT装置12によるパケットの改ざんに気づくことなく、つまり廃棄することなく、暗号の復号化や認証データの検証を行うことができる。ステップS13でセキュリティポリシが見つからなければそのIPパケットA1に対しては暗号処理することなくNAT装置12へ送信する。   The counterpart host C device 31 performs decryption of the received IPsec packet A3 and verification of the authentication data. The IPsec packet A3 received by the host C device 31 has its IP header rewritten by the NAT device 12, that is, the encrypted data or the authentication data embedded in the IPsec packet A3 has been altered by the NAT device 12 Since the processing unit 116 performs encryption processing on the virtual packet that has been converted, the host C device 31 does not notice the alteration of the packet by the NAT device 12, that is, without discarding the encrypted data or authentication data. Can be verified. If no security policy is found in step S13, the IP packet A1 is transmitted to the NAT device 12 without being subjected to encryption processing.

相手ホストCからホストAへ通信
相手ホストC装置31から通信網10のホストA端末13へ向かうIPsecパケットについて、NAT装置12ではWAN側ネットワークインタフェース215を介して相手ホストC装置31からIPsecパケットC1を受け取ると、アドレス変換情報記憶部211のアドレス変換情報に基づき、アドレス変換処理部214においてIPヘッダのIPアドレスを書き換えて、そのIPsecパケットC2を、LAN側ネットワークインタフェース215を介してIPsec装置11へ伝送する。
IPsec装置11はWAN側ネットワークインタフェース119を介してIPsecパケットC2をNAT装置12から受け取ると(ステップS17)、受け取ったIPsecパケットは伝送路121を介して認証データの検証や暗号の復号化を行う処理部122へ届けられる。 For the IPsec packet from the partner host C to the host A to the host A terminal 13 of the communication network 10 from the partner host C device 31, the NAT device 12 sends the IPsec packet C 1 from the partner host C device 31 via the WAN side network interface 215. Upon receipt, based on the address translation information in the address translation information storage unit 211, the address translation processing unit 214 rewrites the IP address of the IP header and transmits the IPsec packet C2 to the IPsec apparatus 11 via the LAN side network interface 215. To do.
When the IPsec apparatus 11 receives the IPsec packet C2 from the NAT apparatus 12 via the WAN side network interface 119 (step S17), the received IPsec packet performs processing for verifying authentication data and decrypting encryption via the transmission path 121. To the unit 122.

IPsec装置11の暗号の復号化や認証データの検証を行う処理部122では、復号化や認証データ検証を行う前に、受け取ったIPsecパケットC2の変換前のIPアドレス、つまりNAT装置12によって書き換えられる前のIPアドレス、つまりIPsecパケットC1のIPアドレスをアドレス変換情報記憶部117から取得する(ステップS18)。取得後はIPsecパケットC2のIPヘッダを、取得したアドレス変換前のIPアドレスで仮想的に置き換えた上で暗号の復号化や認証データの検証を行う(ステップS19)。IPsec装置11は受け取ったIPsecパケットC2がNAT装置12によって改ざんされていることを知っているため、相手ホストC装置31が送り出したIPsecパケットC1、つまりNAT装置12によってIPヘッダを書き換えられる前の状態に戻したパケットに対して暗号の復号化や認証データの検証を実施しており、IPsecパケットC2を廃棄することなく復号化や検証を行うことができる。このとき、処理部122から出力されるIPパケットC3のIPヘッダは実際には書き換えられていないことに注意する。   The processing unit 122 that performs encryption decryption and authentication data verification of the IPsec apparatus 11 is rewritten by the IP address before conversion of the received IPsec packet C2, that is, the NAT apparatus 12, before performing decryption and authentication data verification. The previous IP address, that is, the IP address of the IPsec packet C1 is acquired from the address translation information storage unit 117 (step S18). After acquisition, the IP header of the IPsec packet C2 is virtually replaced with the acquired IP address before address conversion, and then decryption of encryption and verification of authentication data are performed (step S19). Since the IPsec apparatus 11 knows that the received IPsec packet C2 has been falsified by the NAT apparatus 12, the IPsec packet C1 sent out by the counterpart host C apparatus 31, that is, the state before the IP header is rewritten by the NAT apparatus 12 Encryption decryption and verification of authentication data are performed on the packet returned to step 1, and decryption and verification can be performed without discarding the IPsec packet C2. At this time, it should be noted that the IP header of the IP packet C3 output from the processing unit 122 is not actually rewritten.

IPsec装置11の暗号の復号化や認証データの検証を行う処理部122は、伝送路123を介してパケットをセキュリティポリシ検索部124へ届ける。セキュリティポリシ検索部124によってIPパケットC3の始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される(ステップS20)。該当するセキュリティポリシが見つかると(ステップS21)、IPパケットC3はLAN側ネットワークインタフェース111を介してホストA端末13に伝送され(ステップS22)、ホストA端末13と相手ホストC装置31とのIPsecを用いたセキュア通信が成り立つ。一方、ステップS20で該当するセキュリティポリシが見つからない場合はそのパケットC3をその場で廃棄部125により廃棄する(ステップS23)。   The processing unit 122 that performs decryption of the encryption of the IPsec apparatus 11 and verification of the authentication data delivers the packet to the security policy search unit 124 via the transmission path 123. The security policy search unit 124 searches for the corresponding security policy from the security policy storage unit 114 using the start point IP address, end point IP address, protocol, and the like of the IP packet C3 as keys (step S20). When the corresponding security policy is found (step S21), the IP packet C3 is transmitted to the host A terminal 13 via the LAN side network interface 111 (step S22), and the IPsec between the host A terminal 13 and the partner host C device 31 is transmitted. The secure communication used is established. On the other hand, if the corresponding security policy is not found in step S20, the discard unit 125 discards the packet C3 on the spot (step S23).

この第1実施形態の基本的構成及び効果を要約すると下記のようになる。
この発明の第1実施形態ではセキュア処理装置において、NAT装置によって書き換えられる前後のIPアドレス情報を記憶しているIPアドレス変換情報記憶部を参照して、入力パケットのIPヘッダがアドレス変換前のパケットであればアドレス変換後の状態へ、アドレス変換後のパケットであればアドレス変換前の状態へ仮想的に置き換えた上でIPsecに準拠した暗号処理を入力パケットに対して行って出力する。ここで暗号処理とはデータを秘匿する暗号化処理、暗号化処理されたデータを原データに復元する復号化処理、データが改ざんされていないことを保証するための認証処理、認証処理されたデータに対し、改ざんされていないか否かを確認する検証処理のいずれかを表わす。このことは以下において同様である。 The basic configuration and effects of the first embodiment are summarized as follows.
In the first embodiment of the present invention, in the secure processing device, the IP header of the input packet is the packet before the address conversion with reference to the IP address conversion information storage unit storing the IP address information before and after being rewritten by the NAT device. If it is, the state is converted to the state after the address conversion, and if it is the packet after the address conversion, it is virtually replaced with the state before the address conversion, and then the encryption processing based on IPsec is performed on the input packet and output. Here, encryption processing means encryption processing for concealing data, decryption processing for restoring encrypted data to original data, authentication processing for ensuring that the data has not been tampered with, and data subjected to authentication processing. On the other hand, it represents one of verification processes for confirming whether or not tampering has occurred. This is the same in the following.

この構成により、IPヘッダの内容が書き換えられることを想定した上でIPパケットに対し暗号化や認証データ作成を行っており、NAT装置によってIPヘッダの内容が書き換えられても通信相手側ホスト装置では、改ざんされたパケットと判断してパケットを破棄されないようにすることができる。また、受信したIPsecパケットに対し、NAT装置でIPヘッダの内容が書き換えられる前の状態を仮想してIPsecの復号化や認証データの検証を行うことができ、正しく処理が行われる。   With this configuration, it is assumed that the contents of the IP header are rewritten, and encryption and authentication data creation are performed on the IP packet. Even if the contents of the IP header are rewritten by the NAT device, the communication partner host device Therefore, it can be determined that the packet has been altered and the packet is not discarded. In addition, for the received IPsec packet, it is possible to perform the decryption of IPsec and the verification of the authentication data in a state before the contents of the IP header are rewritten by the NAT device, and the processing is performed correctly.

[第2実施形態]
ホストB端末23と相手ホストC装置31との通信網20、ネットワーク30を介するセキュア通信の実施形態を説明する。図2および図3において各装置の両側に接続されるものは破線で示すものとなる。この場合のパケットの流れを図6に、IPsec装置21の処理手順の例を図7にそれぞれ示す。
ホストBから相手ホストCへの通信
NAT装置22ではLAN側ネットワークインタフェース213を介してホストB端末23からIPパケットB1を受け取ると、アドレス変換情報記憶部211のアドレス変換情報に基づき、アドレス変換処理部214においてIPヘッダのIPアドレスを書き換え、そのIPパケットB2を、WAN側ネットワークインタフェース215を介してIPsec装置21へ伝送する。 [Second Embodiment]
An embodiment of secure communication between the host B terminal 23 and the partner host C apparatus 31 via the communication network 20 and the network 30 will be described. In FIG. 2 and FIG. 3, what is connected to both sides of each device is indicated by a broken line. FIG. 6 shows the packet flow in this case, and FIG. 7 shows an example of the processing procedure of the IPsec apparatus 21.
When the communication NAT device 22 from the host B to the partner host C receives the IP packet B1 from the host B terminal 23 via the LAN side network interface 213, the address translation processing unit is based on the address translation information in the address translation information storage unit 211. In 214, the IP address of the IP header is rewritten, and the IP packet B2 is transmitted to the IPsec apparatus 21 via the WAN side network interface 215.

また、NAT装置22ではアドレス変換情報記憶部211からアドレス変換情報を取り出し、アドレス変換情報発信部212を介してIPsec装置21へアドレス変換情報が伝送される。IPsec装置21のアドレス変換情報記憶部118ではアドレス変換情報取得部117を介してNAT装置22からIPアドレス変換情報を取得しこれを記憶する。これにより、IPsec装置21は、受け取ったパケットの今後書き換えられるであろう新たなIPアドレス、もしくは書き換えられる前のIPアドレスを知ることが可能となる。この場合もIPアドレス変換情報はNAT装置22との通信によることなくIPアドレス変換情報記憶部118に直接記憶させることも可能である。   Further, the NAT device 22 extracts the address conversion information from the address conversion information storage unit 211 and transmits the address conversion information to the IPsec device 21 via the address conversion information transmission unit 212. The address translation information storage unit 118 of the IPsec device 21 obtains IP address translation information from the NAT device 22 via the address translation information acquisition unit 117 and stores it. Thereby, the IPsec apparatus 21 can know a new IP address that will be rewritten in the future of the received packet, or an IP address before rewriting. In this case as well, the IP address translation information can be directly stored in the IP address translation information storage unit 118 without communication with the NAT device 22.

IPsec装置21はアドレス変換情報記憶部118のアドレス変換情報に基づきセキュリティポリシ記憶部114のセキュリティポリシを動的に変更する。この実施形態においては、IPsec装置21のアドレス変換情報記憶部118に記憶されたIPアドレスとセキュリティポリシ記憶部114に記憶されたIPアドレスとを動的更新により一致させているが、セキュリティポリシ記憶部114に手動により直接IPアドレスを記憶させることでアドレス変換情報記憶部118に記憶されたIPアドレスと一致させることも可能である。   The IPsec device 21 dynamically changes the security policy in the security policy storage unit 114 based on the address conversion information in the address conversion information storage unit 118. In this embodiment, the IP address stored in the address translation information storage unit 118 of the IPsec apparatus 21 and the IP address stored in the security policy storage unit 114 are matched by dynamic update, but the security policy storage unit It is possible to match the IP address stored in the address conversion information storage unit 118 by manually storing the IP address directly in 114.

IPsec装置21はNAT装置22から送り出されたIPパケットB2をLAN側ネットワークインタフェース111から取り込み、受け取ったIPパケットを伝送路131を介してセキュリティポリシ検索部113へ届ける(ステップS31)。セキュリティポリシ検索部113では、検索を始める前に、受け取ったIPパケットB2のNAT装置22によって書き換えられる前のIPアドレス、つまりIPパケットB1のIPアドレスをアドレス変換情報記憶部118から取得する(ステップS32)。IPパケットB2のIPヘッダを、取得した変換前のIPアドレスで仮想的に置き換えた上で始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される(ステップS33)。このようにセキュリティポリシの検索はホストB端末23が送信した直後のIPパケットB1の情報に基づき実施されることになっているため、NAT装置22によってIPアドレスが書き換えられても送信元ホストごとにセキュリティポリシを適用することが可能となる。該当するセキュリティポリシが見つかると(ステップS34)、IPパケットB2は伝送路132を介して暗号化や認証データ作成を行う処理部116へ届けられる。このとき、IPパケットB2のIPヘッダは実際には書き換えられていないことに注意する。   The IPsec device 21 takes in the IP packet B2 sent from the NAT device 22 from the LAN-side network interface 111, and delivers the received IP packet to the security policy search unit 113 via the transmission path 131 (step S31). Before starting the search, the security policy search unit 113 acquires the IP address of the received IP packet B2 before being rewritten by the NAT device 22, that is, the IP address of the IP packet B1 from the address translation information storage unit 118 (step S32). ). The IP header of the IP packet B2 is virtually replaced with the acquired IP address before conversion, and the corresponding security policy is retrieved from the security policy storage unit 114 using the start point IP address, end point IP address, protocol, and the like as keys. (Step S33). As described above, the security policy search is performed based on the information of the IP packet B1 immediately after the transmission by the host B terminal 23. Therefore, even if the IP address is rewritten by the NAT device 22, it is determined for each transmission source host. Security policy can be applied. When a corresponding security policy is found (step S34), the IP packet B2 is delivered via the transmission path 132 to the processing unit 116 that performs encryption and creation of authentication data. Note that the IP header of IP packet B2 is not actually rewritten at this time.

IPsec装置21の暗号化や認証データ作成を行う処理部116では、前記セキュリティポリシの検索結果により得られたESPかAHかにより、IPsecに準拠した暗号化又は認証データ作成を行い、これをパケットに埋め込み(ステップS35)、IPsecパケットB3としてWAN側ネットワークインタフェース119を介して相手ホストC装置31に伝送する(ステップS36)。
相手ホストC装置31は、受け取ったIPsecパケットB3について暗号の復号化や認証データの検証を行う。このIPsecパケットB3はIPsec装置21で認証データや暗号データが作成されて以降、NAT装置22によるアドレス書き換えは行われていないため、相手ホストC装置31はパケットを廃棄することなく、暗号の復号化や認証データの検証を行うことができる。当然のことながら悪意ある者によってIPsecパケットB3の改ざんが行われた場合には復号化することができず、又は検証に成功できず、その改ざんされたパケットを廃棄する。 The processing unit 116 that performs encryption and creation of authentication data of the IPsec apparatus 21 performs encryption or authentication data creation conforming to IPsec based on ESP or AH obtained from the search result of the security policy, and this is converted into a packet. Embed (step S35), and transmit as an IPsec packet B3 to the counterpart host C device 31 via the WAN side network interface 119 (step S36).
The counterpart host C device 31 performs decryption of the received IPsec packet B3 and verification of the authentication data. Since this IPsec packet B3 has not been subjected to address rewriting by the NAT device 22 after the authentication data and encryption data are created by the IPsec device 21, the counterpart host C device 31 decrypts the cipher without discarding the packet. And verification of authentication data. As a matter of course, when the IPsec packet B3 is altered by a malicious person, it cannot be decrypted or cannot be verified successfully, and the altered packet is discarded.

相手パケットCからパケットBへの通信
相手ホストC装置から通信網20に収容されたホストB端末23へ向かうIPsecパケットC4を、IPsec装置21がWAN側ネットワークインタフェース119に受け取ると(ステップS37)、伝送路133を介して暗号の復号化や認証データの検証を行う処理部122へIPsecパケットC4を伝送する。処理部122では暗号の復号化や認証データの検証が行われ(ステップS38)、成功すれば、伝送路134を介してセキュリティポリシ検索部124へそのIPパケットC5を送る。 Communication from the partner packet C to the packet B When the IPsec device 21 receives the IPsec packet C4 from the partner host C device to the host B terminal 23 accommodated in the communication network 20 to the WAN side network interface 119 (step S37), the transmission is performed. The IPsec packet C4 is transmitted via the path 133 to the processing unit 122 that performs encryption decryption and authentication data verification. The processing unit 122 performs decryption of the encryption and verification of the authentication data (step S38), and if successful, sends the IP packet C5 to the security policy search unit 124 via the transmission path 134.

セキュリティポリシ検索部124では、検索を始める前に、受け取ったIPパケットC5の今後書き換えられるであろう新たなIPアドレス、つまりNAT装置22によって書き換えられた後のIPアドレスをアドレス変換情報記憶部118から取得する(ステップS39)。IPパケットC5のIPヘッダを、その取得したIPアドレスで仮想的に置き換えた上で始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される(ステップS40)。このようにセキャリティポリシの検索はホストB端末23が受信する直前のパケット情報に基づき実施されることになっているため、NAT装置22によってIPアドレスが書き換えられても送信先ホストごとにセキュリティポリシを適用することが可能となる。このとき、IPパケットC5のIPヘッダは実際には書き換えられていないことに注意する。該当するセキュリティポリシが見つかると(ステップS41)、IPパケットC5はLAN側ネットワークインタフェース111を介してNAT装置22へ送信される(ステップS42)。   In the security policy search unit 124, before starting the search, a new IP address that will be rewritten in the future, that is, the IP address after rewritten by the NAT device 22 is read from the address translation information storage unit 118. Obtain (step S39). The IP header of the IP packet C5 is virtually replaced with the acquired IP address, and the corresponding security policy is retrieved from the security policy storage unit 114 using the start point IP address, end point IP address, protocol, and the like as keys (step) S40). As described above, the security policy search is performed based on the packet information immediately before reception by the host B terminal 23. Therefore, even if the NAT device 22 rewrites the IP address, the security policy is determined for each destination host. Policy can be applied. Note that the IP header of the IP packet C5 is not actually rewritten at this time. When the corresponding security policy is found (step S41), the IP packet C5 is transmitted to the NAT device 22 via the LAN side network interface 111 (step S42).

ステップS41で該当するセキュリティポリシが見つからない場合はこのIPパケットC5は廃棄部125で廃棄される(ステップS43)。
NAT装置22ではWAN側ネットワークインタフェース215にIPパケットC5が受信されると、アドレス変換情報記憶部211のアドレス変換情報に基づきアドレス変換処理部214でIPヘッダのIPアドレスを書き換え、そのIPパケットC6をLAN側ネットワークインタフェース213を通じてホストB端末23へ送信される。このようにして相手ホストC装置31とホストB端末23との間でIPsecに準拠したセキュアな通信が行われる。 If no corresponding security policy is found in step S41, the IP packet C5 is discarded by the discard unit 125 (step S43).
In the NAT device 22, when the IP packet C5 is received by the WAN side network interface 215, the IP address of the IP header is rewritten by the address translation processing unit 214 based on the address translation information in the address translation information storage unit 211, and the IP packet C6 is changed. The data is transmitted to the host B terminal 23 through the LAN side network interface 213. In this way, secure communication conforming to IPsec is performed between the counterpart host C device 31 and the host B terminal 23.

この第2実施形態の基本的構成及び効果を要約すると下記のようになる。
この第2実施形態によればNAT装置によって書き換えられる前後のIPアドレス変換情報を記憶するIPアドレス変換情報記憶部を参照して、入力パケットに対しIPヘッダを、アドレス変換後のパケットにはアドレス変換前の、アドレス変換前のパケットにはアドレス変換後の状態へ仮想的に置き換えた上でセキュリティポリシを適用する。
この構成により、NAT装置とIPsec装置とがともにローカルなネットワークにあってNAT装置、IPsec装置の順にネットワークを介して相手ホストに接続する場合に、NAT装置によってIPアドレスが書き換えられたパケットに対し、送信元ホスト端末ごとにセキュリティポリシを適用することができる。また、IPsecパケットに対して先のNAT装置でIPヘッダの内容が書き換えられることを想定した上で送信先ホスト端末ごとにセキュリティポリシを適用することができる。 The basic configuration and effects of the second embodiment are summarized as follows.
According to the second embodiment, the IP address conversion information storage unit that stores the IP address conversion information before and after being rewritten by the NAT device is referred to, the IP header for the input packet and the address conversion for the packet after the address conversion. The security policy is applied to the previous packet before the address translation after virtually replacing the address after the address translation.
With this configuration, when both the NAT device and the IPsec device are in a local network and are connected to a partner host via the network in the order of the NAT device and the IPsec device, a packet whose IP address has been rewritten by the NAT device A security policy can be applied to each source host terminal. Further, it is possible to apply the security policy for each destination host terminal on the assumption that the contents of the IP header are rewritten by the previous NAT device with respect to the IPsec packet.

上述においてIPsec装置11又は21においてアドレス変換情報をNAT装置21又は22との通信により取得したが、プライベートIPアドレスとグローバルIPアドレスとの変換を管理するサーバ装置32との通信により取得してもよい。なお図2中の制御部137は記憶部114,118に対する読み書きや順次他の各部を動作させる。
更に第1実施形態においては入力IPパケット(IPsecパケット)に対し、IPアドレス仮想的置換として暗号処理したが、第2実施形態においては入力IPパケット(IPsecパケット)について暗号処理をするか否かを検索し、検索により見つかるとESPかAHかを決定するものであるから、この仮想的置換として検索することはセキュア処理をしていると云える。従ってこの点から前記第1実施形態及び第2実施形態を総合すると、この発明におけるパケットセキュア処理装置及びその処理手順の原理は下記のようになる。図8にその機能構成を、図9にその処理手順を示す。 In the above description, the address conversion information is acquired by the IPsec apparatus 11 or 21 by communication with the NAT apparatus 21 or 22, but may be acquired by communication with the server apparatus 32 that manages the conversion between the private IP address and the global IP address. . Note that the control unit 137 in FIG. 2 reads / writes the storage units 114 and 118 and sequentially operates other units.
Furthermore, in the first embodiment, the input IP packet (IPsec packet) is encrypted as an IP address virtual replacement. However, in the second embodiment, whether or not the input IP packet (IPsec packet) is encrypted is determined. Since searching is performed and ESP or AH is determined when found by searching, it can be said that searching as this virtual replacement is a secure process. Accordingly, when the first embodiment and the second embodiment are combined from this point, the principle of the packet secure processing device and the processing procedure in the present invention is as follows. FIG. 8 shows the functional configuration, and FIG. 9 shows the processing procedure.

IPsec装置にIPパケット(IPsecパケットを含む)が受信されると(ステップS50)、その入力されたIPパケットがアドレス変換がなされたものか否かが判定部141により判定される(ステップS51)。つまりIPsec装置の両側には図2に示すように、実線に示すホストA端末13及びアドレス変換装置12が接続される場合と、破線に示すアドレス変換装置22及び相手ホスト装置31が接続される場合とがあり、これらの接続状態は予め知らされているから、LAN側ネットワークインタフェース111にパケットが受信されると、前者の場合はホストA端末13からであり、アドレス変換がされていないと判定され、後者の場合はアドレス変換装置22からであり、アドレス変換がされていると判定される。同様にWAN側ネットワークインタフェース119にパケットが受信されると、前者の場合はアドレス変換装置12からであり、アドレス変換がされていると判定され、後者の場合は、相手側ホストC装置31からであり、アドレス変換がされていないと判定される。従って判定部141は実際のハードウェアとして独立に設けなくてもよい。   When an IP packet (including an IPsec packet) is received by the IPsec apparatus (step S50), the determination unit 141 determines whether the input IP packet has been subjected to address translation (step S51). That is, as shown in FIG. 2, the host A terminal 13 and the address translation device 12 indicated by the solid line are connected to the both sides of the IPsec device, and the address translation device 22 and the partner host device 31 indicated by the broken line are connected. Since these connection states are known in advance, when a packet is received by the LAN side network interface 111, in the former case, it is determined from the host A terminal 13 and it is determined that the address is not translated. In the latter case, it is from the address translation device 22, and it is determined that the address translation has been performed. Similarly, when a packet is received by the WAN-side network interface 119, it is determined that the former is from the address translation device 12 and the address translation is being performed, and in the latter case, from the counterpart host C device 31. Yes, it is determined that the address has not been converted. Therefore, the determination unit 141 may not be provided independently as actual hardware.

ステップS51での判定がアドレス変換前であれば、その受信したパケットのIPアドレスがアドレス変換装置により変換されたIPアドレス(変換後IPアドレス)を取得し(ステップS52)、ステップS51での判定がアドレス変換後であれば、その受信したパケットのIPアドレスがアドレス変換装置により変換される前のIPパケットを取得する(ステップS53)。
次に受信したパケットについて、そのIPヘッダのIPアドレスをステップS52又はステップS53で取得したIPアドレスで仮想的に置き換えた上で仮想置換セキュア処理部142又は143によりセキュア処理して(ステップS54)、出力する(ステップS55)。仮想置換セキュア処理部142は図2中のIPアドレスを仮想置換して処理する場合のセキュリティポリシ検索部113及び暗号化、認証データ作成処理部116であり、仮想置換セキュア処理部143は図2中のIPアドレスを仮想置換して処理する場合の復号化、認証データ検証部122及びセキュリティポリシ検索部124である。 If the determination in step S51 is before address conversion, the IP address (post-translation IP address) obtained by converting the IP address of the received packet by the address conversion device is acquired (step S52), and the determination in step S51 is performed. If it is after the address translation, an IP packet before the IP address of the received packet is translated by the address translation device is acquired (step S53).
Next, for the received packet, the IP address of the IP header is virtually replaced with the IP address acquired in step S52 or step S53, and then the virtual replacement secure processing unit 142 or 143 performs secure processing (step S54). Output (step S55). The virtual replacement secure processing unit 142 is the security policy search unit 113 and the encryption / authentication data creation processing unit 116 when the IP address in FIG. 2 is virtually replaced and processed, and the virtual replacement secure processing unit 143 is illustrated in FIG. Decryption, authentication data verification unit 122, and security policy search unit 124 in the case of processing by virtually replacing the IP address.

上述においてIPsec装置11はホストA端末13に実装されていてもよい。図2に示したIPsec装置はコンピュータにより機能させてもよい。その場合は、コンピュータに図5又は図7に示した各過程をコンピュータにより実行させるためのプログラムを、CD−ROM、磁気ディスク、半導体記憶装置などの記録媒体からインストールし、あるいは通信回線を通じてダウンロードして、そのコンピュータにそのプログラムを実行させればよい。   In the above description, the IPsec apparatus 11 may be mounted on the host A terminal 13. The IPsec apparatus shown in FIG. 2 may be operated by a computer. In that case, a program for causing the computer to execute each process shown in FIG. 5 or FIG. 7 is installed from a recording medium such as a CD-ROM, a magnetic disk, or a semiconductor storage device, or downloaded through a communication line. Then, the program may be executed on the computer.

この発明のネットワーク間セキュア通信方法が適用され、この発明のパケットセキュア処理装置及びアドレス変換装置を含むパケット通信システムの例を示す構成図。1 is a configuration diagram showing an example of a packet communication system to which an inter-network secure communication method of the present invention is applied and which includes a packet secure processing device and an address translation device of the present invention. この発明のIPsec(パケットセキュア処理)装置の機能構成例を示すブロック図。The block diagram which shows the function structural example of the IPsec (packet secure processing) apparatus of this invention. この発明のアドレス変換装置の機能構成例を示すブロック図。The block diagram which shows the function structural example of the address translation apparatus of this invention. 第1実施形態におけるパケットの流れを示す図。The figure which shows the flow of the packet in 1st Embodiment. 第1実施形態におけるIPsec装置の処理手順の例を示す流れ図。The flowchart which shows the example of the process sequence of the IPsec apparatus in 1st Embodiment. 第2実施形態におけるパケットの流れを示す図。The figure which shows the flow of the packet in 2nd Embodiment. 第2実施形態におけるIPsec装置の処理手順の例を示す流れ図。The flowchart which shows the example of the process sequence of the IPsec apparatus in 2nd Embodiment. この発明によるパケットセキュア処理装置の基本的な機能構成例を示すブロック図。The block diagram which shows the basic functional structural example of the packet secure processing apparatus by this invention. 図8に示した装置の処理手順の例を示す流れ図。9 is a flowchart showing an example of a processing procedure of the apparatus shown in FIG.

Claims (13)

IPパケットに対し、プライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信方法において、
セキュア処理を行う際に、アドレス変換が行われていないIPパケットに対しては、そのIPパケットのIPアドレスが変換されるであろう新たなIPアドレスを取得し、
アドレス変換が行われたIPパケットに対しては、そのIPパケットのIPアドレスが変換される前のIPアドレスを取得し、
上記取得したIPアドレスで上記IPパケットのIPアドレスを仮想的に置換し、そのIPアドレスを仮想的置換したIPパケットについてセキュア処理を行うことを特徴とするネットワーク間セキュア通信方法。 In an inter-network secure communication method for converting an IP packet between a private IP address and a global IP address,
When performing secure processing, for an IP packet that has not been subjected to address translation, obtain a new IP address to which the IP address of the IP packet will be translated,
For an IP packet that has undergone address translation, obtain the IP address before the IP address of the IP packet is translated,
A secure communication method between networks, wherein the IP address of the IP packet is virtually replaced with the acquired IP address, and secure processing is performed on the IP packet virtually replaced with the IP address. IPパケットに対し、プライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信システムに用いられるセキュア処理装置であって、
変換前のIPアドレスと変換後のIPアドレスの対応を格納するアドレス変換情報記憶部と、
入力されたIPパケットのIPアドレスが変換前か変換後であるかを判定する前後判定部と、
上記前後判定部の判定が変換後であれば、上記アドレス変換情報記憶部の対応する変換前のIPアドレスを、判定が上記変換前であれば、上記アドレス変換記憶部の対応する変換後のIPアドレスを用いて上記入力IPパケットのIPアドレスを仮想的に置換したIPパケットについてセキュア処理して出力するセキュア処理部と
を備えるパケットセキュア処理装置。 A secure processing device used in an inter-network secure communication system that converts a private IP address and a global IP address for an IP packet,
An address conversion information storage unit for storing correspondence between the IP address before conversion and the IP address after conversion;
A before / after determination unit that determines whether the IP address of the input IP packet is before or after conversion;
If the determination of the before / after determination unit is after conversion, the corresponding IP address before conversion in the address conversion information storage unit is the corresponding IP address after conversion in the address conversion storage unit if the determination is before the conversion. A secure packet processing apparatus comprising: a secure processing unit that securely processes and outputs an IP packet obtained by virtually replacing the IP address of the input IP packet using an address. 上記パケットセキュア処理装置は、自分側ホスト端末とアドレス変換装置との間に位置して用いられるものであり、
上記セキュア処理部は、
上記変換後のIPアドレスを用いて上記仮想的に置換して、上記自分側ホスト端末から入力された入力IPパケットに対して暗号化や認証データ作成を行う暗号化、認証データ作成処理部と、
上記アドレス変換装置から入力された相手側ホスト装置よりの入力IPパケットとしてのセキュアIPパケットに対し、上記変換前のIPアドレスを用いて上記仮想的に置換して、暗号の復号化や認証データの検証を行う復号化、認証データ検証処理部とであることを特徴とする請求項2記載のパケットセキュア処理装置。 The packet secure processing device is used between the host terminal on the own side and the address translation device,
The secure processing unit
Using the converted IP address to virtually replace the encryption, authentication data creation processing unit for performing encryption and authentication data creation for the input IP packet input from the host terminal on its own side,
The secure IP packet as the input IP packet from the counterpart host device inputted from the address translation device is virtually replaced by using the IP address before the translation, and the decryption of the encryption or the authentication data 3. The packet secure processing device according to claim 2, wherein the packet secure processing device is a decryption and authentication data verification processing unit for performing verification. 上記相手側ホスト装置と上記自分側ホスト端末とのセキュリティポリシを記憶するセキュリティポリシ記憶部と、
上記自分側ホスト端末から入力された入力IPパケットについて上記セキュリティポリシ記憶部を検索し、見つからなければその入力IPパケットを上記アドレス変換装置へ送信し、見つかればその見つけた検索内容と共に上記入力IPパケットを上記暗号化、認証データ作成処理部へ出力する第1セキュリティポリシ検索部と、
上記復号化、認証データ検証処理部よりの処理結果のIPパケットが入力され、そのIPパケットについて上記セキュリティポリシ記憶部を検索し、見つからなければそのIPパケットを廃棄し、見つかれば、そのIPパケットを上記自分側ホスト端末へ送信する第2セキュリティポリシ検索部とを備え、
上記暗号化、認証データ作成処理部は、入力された検索内容に応じて上記暗号化又は認証データ作成を行う処理部であることを特徴とする請求項3記載のパケットセキュア処理装置。 A security policy storage unit for storing a security policy between the counterpart host device and the host host terminal;
The security policy storage unit is searched for the input IP packet input from the host terminal on its own side. If the IP packet is not found, the input IP packet is transmitted to the address translation device. A first security policy search unit for outputting to the encryption and authentication data creation processing unit,
An IP packet as a processing result from the decryption / authentication data verification processing unit is input, and the security policy storage unit is searched for the IP packet. If the IP packet is not found, the IP packet is discarded. A second security policy search unit for transmitting to the host terminal on the own side,
4. The packet secure processing apparatus according to claim 3, wherein the encryption / authentication data creation processing unit is a processing unit that performs the encryption or authentication data creation in accordance with an input search content. 上記パケットセキュア処理装置は、自分側ホスト端末と接続されるアドレス変換装置と、ネットワークを介して接続される相手側ホスト装置との間に位置して用いられるものであり、
上記各自分側ホスト端末と上記相手側ホスト装置との組みごとのセキュリティポリシを記憶するセキュリティポリシ記憶部を備え、
上記セキュリティ処理部は、
上記アドレス変換装置より入力された自分側ホスト端末のIPパケットについて上記変換前のIPアドレスを用いて、仮想的に置換して、上記セキュリティポリシ記憶部に対する検索を行う第1セキュリティポリシ検索部と、
上記相手側ホスト装置から入力されたセキュアIPパケットについて、上記変換後のIPアドレスを用いて仮想的に置換して、上記セキュリティポリシ記憶部に対する検索を行う第2セキュリティポリシ検索部とであることを特徴とする請求項2記載のパケットセキュア処理装置。 The packet secure processing device is used between an address translation device connected to its own host terminal and a counterpart host device connected via a network,
A security policy storage unit for storing a security policy for each set of the host terminal on the own side and the host apparatus on the other side;
The security processing part
A first security policy search unit that virtually replaces the IP packet of its own host terminal input from the address translation device, using the IP address before conversion, and searches the security policy storage unit;
A second security policy search unit that virtually replaces the secure IP packet input from the counterpart host device using the converted IP address and searches the security policy storage unit; 3. The packet secure processing apparatus according to claim 2, wherein 上記第1セキュリティポリシ検索部より入力されたIPパケットとその検索内容が入力され、その検索内容に応じてその入力されたIPパケットに対し、暗号化又は認証データの作成を行って、その結果のセキュアIPパケットを上記相手側ホスト装置へ送信する暗号化、認証データ作成部と、
上記相手側ホスト装置から入力されたセキュアIPパケットに対し、暗号の復号化や認証データの検証を行い、その復号化された又は検証に合格したIPパケットを上記第2セキュリティポリシ検索部へ出力する復号化、認証データ検証処理部とを備え、
上記第1セキュリティポリシ検索部は検索により見つかればその入力されたIPパケット及びその検索内容を上記暗号化、認証データ作成処理部へ出力し、見つからなければ上記入力されたIPパケットを上記相手側ホスト装置へ送信する検索部であり、
上記第2セキュリティポリシ検索部は検索により見つかれば上記復号化、認証データ検証処理部より入力されたIPパケットを上記アドレス変換装置へ送信し、検索で見つからなければこの入力されたIPパケットを廃棄する処理部であることを特徴とする請求項5記載のパケットセキュア処理装置。 The IP packet input from the first security policy search unit and the search content are input, and encryption or authentication data is generated for the input IP packet according to the search content. An encryption and authentication data creation unit for transmitting a secure IP packet to the counterpart host device;
The secure IP packet input from the counterpart host device is decrypted and the authentication data is verified, and the decrypted or verified IP packet is output to the second security policy search unit. A decryption and authentication data verification processing unit,
If the first security policy search unit is found by the search, the input IP packet and the search content are output to the encryption / authentication data creation processing unit. If not found, the input IP packet is output to the counterpart host. A search unit to send to the device,
The second security policy search unit transmits the IP packet input from the decryption / authentication data verification processing unit to the address translation device if found by the search, and discards the input IP packet if not found by the search. 6. The packet secure processing device according to claim 5, wherein the packet secure processing device is a processing unit. 上記アドレス変換装置又はそのアドレス変換装置のアドレス変換を管理するサーバ装置と通信して上記変換前、後のIPアドレスの対応を取得して取得した変換前、後のIPアドレスを上記アドレス変換情報記憶部に格納するIPアドレス変換情報取得部を備えることを特徴とする請求項2〜6のいずれかに記載のパケットセキュア処理装置。   Communicating with the address translation device or a server device that manages the address translation of the address translation device to obtain the correspondence of the IP address before and after the translation, and storing the address before and after the obtained IP address in the address translation information storage The packet secure processing device according to claim 2, further comprising an IP address conversion information acquisition unit stored in the unit. 上記アドレス変換装置又はそのアドレス変換装置のアドレス変換を管理するサーバ装置と通信して上記変換前、後のIPアドレスの対応を取得して取得した変換前、後のIPアドレスを上記アドレス変換情報記憶部に格納するIPアドレス変換情報取得部と、上記アドレス変換情報記憶部の記憶状態の変更に伴い、上記セキュリティポリシ記憶部内のセキュリティポリシを変更する手段を備えることを特徴とする請求項4〜6のいずれかに記載のパケットセキュア処理装置。   Communicating with the address translation device or a server device that manages the address translation of the address translation device to obtain the correspondence of the IP address before and after the translation, and storing the address before and after the obtained IP address in the address translation information storage And a means for changing a security policy in the security policy storage unit in accordance with a change in a storage state of the address conversion information storage unit. The packet secure processing device according to any one of the above. IPパケットに対しプライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信システムにおける自分側ホスト端末とアドレス変換装置との間に位置して用いられるパケットセキュア処理装置の処理方法であって、
上記自分側ホスト端末よりIPパケットを受信すると、そのIPパケットのIPアドレスを用い、上記アドレス変換装置によって変換される前後のIPアドレスを記憶するアドレス変換情報記憶部を参照して変換後のIPアドレスを取得し、
上記入力IPパケットに対し、そのIPヘッダを、上記取得したIPアドレスを用いてアドレス変換後の状態へ仮想的に置き換えた上で暗号化や認証データ作成を行って上記アドレス変換装置へ送信し、
上記アドレス変換装置を通して相手側ホスト装置からセキュアIPパケットを受信すると、そのセキュアIPパケットのIPアドレスを用い、上記アドレス変換情報記憶部を参照して変換前のIPアドレスを取得し、
上記セキュアIPパケットに対し、そのIPヘッダを、上記取得したIPアドレスを用いてアドレス変換前の状態へ仮想的に置き換えた上で暗号の復号化や認証データの検証を行うことを特徴とするパケットセキュア処理装置の処理方法。 A processing method of a packet secure processing device used between an own host terminal and an address translation device in an inter-network secure communication system that translates a private IP address and a global IP address for an IP packet,
When an IP packet is received from the host terminal on its own side, the IP address after the conversion is stored by referring to the address conversion information storage unit that stores the IP addresses before and after being converted by the address conversion device using the IP address of the IP packet Get
For the input IP packet, the IP header is virtually replaced with the state after address conversion using the acquired IP address, and then encrypted and created as authentication data, and sent to the address conversion device.
When a secure IP packet is received from the counterpart host device through the address translation device, the IP address of the secure IP packet is used to obtain an IP address before translation by referring to the address translation information storage unit,
A packet characterized in that the IP header of the secure IP packet is virtually replaced with the state before the address conversion by using the acquired IP address, and then the decryption of the encryption and the verification of the authentication data are performed. Processing method of secure processing device. IPパケットに対しプライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信システムにおける、自分側ホスト端末と接続されるアドレス変換装置と、ネットワークを介して接続される相手側ホスト装置との間に位置して用いられるパケットセキュア処理装置の処理方法であって、
上記アドレス変換装置を介して上記自分側ホスト端末からIPパケットを受信すると、そのIPパケットのIPアドレスを用い、上記アドレス変換装置によってIPアドレスが変換される前後のIPアドレスを記憶するアドレス変換情報記憶部を参照して変換前のIPアドレスを取得し、
上記受信したIPパケットに対し、そのIPヘッダを上記取得したIPアドレスを用いてアドレス変換前の状態へ仮想的に置き換えた上でセキュリティポリシを適用し、
上記相手側ホスト装置からセキュアIPパケットを受信すると、そのセキュアIPパケットのIPヘッダを用い、上記アドレス変換情報記憶部からその変換後のIPアドレスを取得し、
上記セキュアIPパケットに対して、そのIPヘッダを上記取得したIPアドレスを用いてアドレス変換後の状態へ仮想的に置き換えた上でセキュリティポリシを適用することを特徴とするパケットセキュア処理装置の処理方法。 In an inter-network secure communication system that translates a private IP address and a global IP address for an IP packet, between an address translation device connected to its own host terminal and a counterpart host device connected via the network A processing method of a packet secure processing device used in a position,
When an IP packet is received from the local host terminal via the address translation device, the IP address of the IP packet is used to store the IP address before and after the IP address is translated by the address translation device. To obtain the IP address before conversion,
The security policy is applied to the received IP packet after virtually replacing the IP header with the acquired IP address to the state before the address translation,
When receiving a secure IP packet from the counterpart host device, using the IP header of the secure IP packet, obtain the IP address after the translation from the address translation information storage unit,
A processing method for a packet secure processing device, wherein a security policy is applied to the secure IP packet after virtually replacing the IP header with the acquired IP address to a state after address translation. . 請求項2〜8のいずれかに記載したパケットセキュア処理装置としてコンピュータを機能させるためのプログラム。   A program for causing a computer to function as the packet secure processing device according to claim 2. 請求項11に記載したプログラムを記録したコンピュータ読み取り可能な記録媒体。   A computer-readable recording medium on which the program according to claim 11 is recorded. IPパケットに対しプライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信システムに用いられるアドレス変換装置において、
アドレス変換前のIPアドレスと変換後のIPアドレスとの対応を記憶するアドレス変換情報記憶部と、
入力されたIPパケットのIPヘッダのIPアドレスを、上記アドレス変換情報記憶部を参照して変換後のIPアドレスに変換してそのIPパケットを出力するアドレス変換処理部と、
上記変換したIPアドレス及びその変換前のIPアドレスを外部機器に発信するIPアドレス変換情報発信部とを備えることを特徴とするアドレス変換装置。 In an address translation device used in an inter-network secure communication system that translates a private IP address and a global IP address for an IP packet,
An address translation information storage unit for storing a correspondence between an IP address before address translation and an IP address after translation;
An address conversion processing unit that converts the IP address of the IP header of the input IP packet into an IP address after conversion with reference to the address conversion information storage unit and outputs the IP packet;
An address conversion apparatus comprising: an IP address conversion information transmitting unit that transmits the converted IP address and the IP address before the conversion to an external device.
JP2004156181A 2004-05-26 2004-05-26 Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device Expired - Fee Related JP3788802B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004156181A JP3788802B2 (en) 2004-05-26 2004-05-26 Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004156181A JP3788802B2 (en) 2004-05-26 2004-05-26 Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device

Publications (2)

Publication Number Publication Date
JP2005341127A JP2005341127A (en) 2005-12-08
JP3788802B2 true JP3788802B2 (en) 2006-06-21

Family

ID=35494195

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004156181A Expired - Fee Related JP3788802B2 (en) 2004-05-26 2004-05-26 Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device

Country Status (1)

Country Link
JP (1) JP3788802B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109981820B (en) * 2019-03-29 2022-04-22 新华三信息安全技术有限公司 Message forwarding method and device

Also Published As

Publication number Publication date
JP2005341127A (en) 2005-12-08

Similar Documents

Publication Publication Date Title
JP4346094B2 (en) Packet encryption processing proxy device
US6795917B1 (en) Method for packet authentication in the presence of network address translations and protocol conversions
US7386881B2 (en) Method for mapping security associations to clients operating behind a network address translation device
US7346770B2 (en) Method and apparatus for traversing a translation device with a security protocol
US7159242B2 (en) Secure IPsec tunnels with a background system accessible via a gateway implementing NAT
US8365273B2 (en) Method and arrangement for providing security through network address translations using tunneling and compensations
US8654755B2 (en) Device and method for communicating with another communication device via network forwarding device
JP4766574B2 (en) Preventing duplicate sources from clients handled by network address port translators
EP0838930A2 (en) Pseudo network adapter for frame capture, encapsulation and encryption
US20070288754A1 (en) Data communication method and system
JP2009111437A (en) Network system
KR100479261B1 (en) Data transmitting method on network address translation and apparatus therefor
CN113347198B (en) ARP message processing method, device, network equipment and storage medium
US8646066B2 (en) Security protocol control apparatus and security protocol control method
JP4933286B2 (en) Encrypted packet communication system
KR20090061253A (en) Tunnelling method based udp for applying internet protocol security and system for implementing the method
JP4630296B2 (en) Gateway device and authentication processing method
JP3788802B2 (en) Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device
Bittau et al. TCP-ENO: Encryption negotiation option
JP2005167608A (en) System and method for ciphered communication computer program, and computer readable recording medium
KR100450774B1 (en) Method for end-to-end private information transmition using IPSec in NAT-based private network and security service using its method
JP4674144B2 (en) Encryption communication apparatus and encryption communication method
Handley et al. Internet Engineering Task Force (IETF) A. Bittau Request for Comments: 8547 Google Category: Experimental D. Giffin
JP2006033350A (en) Proxy secure router apparatus and program
CN117692277A (en) Data transmission method, device, equipment and readable storage medium

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060307

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20060323

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060323

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090407

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100407

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110407

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120407

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130407

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140407

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees