JP3788802B2 - Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device - Google Patents
Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device Download PDFInfo
- Publication number
- JP3788802B2 JP3788802B2 JP2004156181A JP2004156181A JP3788802B2 JP 3788802 B2 JP3788802 B2 JP 3788802B2 JP 2004156181 A JP2004156181 A JP 2004156181A JP 2004156181 A JP2004156181 A JP 2004156181A JP 3788802 B2 JP3788802 B2 JP 3788802B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- packet
- secure
- security policy
- conversion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
この発明は、IPアドレスの変換処理を行うネットワーク間通信にIPsec(暗号などのセキュア通信を行うための規格)を適用するセキュア通信方法と、IPsecに準拠したセキュア処理を行う装置並びにその処理方法、そのプログラムおよびその記録媒体、アドレス変換装置に関する。 The present invention relates to a secure communication method that applies IPsec (standard for performing secure communication such as encryption) to inter-network communication that performs IP address conversion processing, an apparatus that performs secure processing compliant with IPsec, and a processing method therefor, The present invention relates to the program, the recording medium, and the address conversion device.
従来、プライベートIPアドレス(RFC1918)を割り当てられたホストがインターネット上のホストと通信するとき、プライベートIPアドレスをもつホストから送り出されるIPパケットはアドレス変換(NAT:Network Address Translation)装置によってプライベートIPアドレスをグローバルIPアドレスに書き換えられてインターネット上のホストに届けられる。一方で、インターネット等のネットワークを介して暗号通信などのセキュア通信を行うための規格としてIPsec(IP Security Protocol)が知られている。IPsecは通信中にデータの内容が書き換えられた場合に、データが改ざんされたと判断して受信側でパケットを破棄する。これに対しアドレス変換(NAT)装置ではIPsec通信路における途中でパケット情報(IPアドレス)を変換するため、受信側ではこのアドレス変換されたIPsecパケットを改ざんされたものと判断して破棄してしまう。従ってネットワーク間通信に、IPsecに準拠したセキュア通信方法とアドレス変換をともなう通信方法とを単純に併用することはできない。 Conventionally, when a host assigned a private IP address (RFC 1918) communicates with a host on the Internet, an IP packet sent from a host having a private IP address is assigned a private IP address by an address translation (NAT) device. It is rewritten to a global IP address and delivered to a host on the Internet. On the other hand, IPsec (IP Security Protocol) is known as a standard for performing secure communication such as encryption communication via a network such as the Internet. IPsec determines that the data has been tampered with and discards the packet on the receiving side when the contents of the data are rewritten during communication. On the other hand, since the address translation (NAT) device converts packet information (IP address) in the middle of the IPsec communication path, the receiving side determines that the IPsec packet whose address has been converted has been tampered with and discards it. . Therefore, it is not possible to simply use a secure communication method based on IPsec and a communication method with address conversion for inter-network communication.
このような問題に対して、IETF(Internet Engineering Task Force)では「IPsec NAT−Traversal」の提案と「IPC−NAT(IPsec Policy Controlled NAT)」の規定を行っている。(非特許文献1参照)。また、前記「IPC−NAT」に基づいていて、NAT装置によるアドレス変換ルールに関連させてIPsecのセキュリティアソシエーションを更新しIPsecを開始する方法がある(特許文献1参照)。
前記「IPsec NAT−Traversal」を利用するためには通信先(インターネット上のホスト端末やゲートウェイ)のIPsec機能をもつ機器がこの機能を実装していなければならない。また、「IPsec NAT−Traversal」はESP(Encapsulating Security Payload:RFC2406)トラフィック(暗号化のようにデータを秘匿する通信)にのみ定義されており、AH(Authentication Header:RFC2402)トラフィック(署名のようにデータ改ざんに対し保証する通信)は適用対象外となっている。一方の「IPC−NAT」(非特許文献1)及び「IPC−NAT」の類似技術(特許文献1)はNAT装置にIPsecプロトコルスタックを実装してNAT環境でIPsecを利用した場合の問題点を解決しているが、ホスト端末がIPsec処理を行う場合などはNAT装置とIPsec機器とを分離せざるを得ない、つまりNAT装置にIPsec機能を実装できない通信環境においては依然として問題が残る。 In order to use the “IPsec NAT-Traversal”, a device having an IPsec function of a communication destination (host terminal or gateway on the Internet) must have this function. In addition, “IPsec NAT-Traversal” is defined only for ESP (Encapsulating Security Payload: RFC2406) traffic (communication that conceals data like encryption), and AH (Authentication Header: RFC2402) traffic (like signature) Communication guaranteeing against data tampering is not applicable. On the other hand, “IPC-NAT” (Non-patent Document 1) and similar technology (Patent Document 1) of “IPC-NAT” have problems when IPsec is used in a NAT environment by mounting an IPsec protocol stack on a NAT device. Although it has been solved, there is still a problem in a communication environment in which the NAT device and the IPsec device must be separated when the host terminal performs the IPsec processing, that is, the IPsec function cannot be implemented in the NAT device.
この発明の目的は、通信相手に特別なIPsec機器を求めることなくNAT環境でIPsecを利用した場合の問題点を解決するためであって、NAT装置とIPsec機器の前後位置関係にかかわらずIPsecのAH及びESPを利用したセキュア通信が可能なネットワーク間通信方法とパケットセキュア処理装置並びにその処理方法、プログラムおよびその記録媒体、アドレス変換装置を提供することにある。 An object of the present invention is to solve the problem in the case where IPsec is used in a NAT environment without requiring a special IPsec device as a communication partner. An object is to provide an inter-network communication method and a packet secure processing device capable of secure communication using AH and ESP, a processing method, a program, a recording medium thereof, and an address conversion device.
この発明によれば、IPパケットに対しプライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信方法において、
特にセキュア処理を行う際に、アドレス変換が行われていないIPパケットに対しては、そのIPパケットのIPアドレスが変換されるであろう新たなIPアドレスを取得し、アドレス変換が行われたIPパケットに対しては、そのIPパケットのIPアドレスが変換される前のIPアドレスを取得し、
上記取得したIPアドレスで上記IPパケットのIPアドレスを仮想的に置換し、そのIPアドレスを仮想的置換したIPパケットについてセキュア処理を行う。
According to the present invention, in an inter-network secure communication method for converting an IP packet between a private IP address and a global IP address,
In particular, when performing secure processing, for an IP packet that has not been subjected to address translation, a new IP address to which the IP address of the IP packet will be translated is obtained, and the IP address that has undergone address translation For a packet, obtain the IP address before the IP address of the IP packet is translated,
The IP address of the IP packet is virtually replaced with the acquired IP address, and secure processing is performed on the IP packet virtually replaced with the IP address.
この発明はこのように構成されているから、通信相手装置にIPsec NAT−Travesal機能のような特別な機能を実装させることなく、NAT装置とIPsec機器の前後位置関係にかかわらずNAT環境でIPsecのAH及びESPを利用したセキュア通信が可能であり、更にNAT装置からIPsec機能が分離された通信環境においてセキュア通信をすることができる。 Since the present invention is configured as described above, the IPsec apparatus can be used in the NAT environment regardless of the front-rear positional relationship between the NAT apparatus and the IPsec apparatus without mounting a special function such as the IPsec NAT-Travesal function in the communication partner apparatus. Secure communication using AH and ESP is possible, and secure communication can be performed in a communication environment in which the IPsec function is separated from the NAT device.
以下、この発明の実施の形態について図面を参照して説明する。図1にこの発明のパケットセキュア処理装置(以下IPsec装置という)NAT装置を含む、この発明の通信方法が適用されるネットワーク間セキュア通信システムの構成例を示す。例えばLAN(Local Area Network)などの通信網10にホストA端末13が収容され、また、IPsecに準拠した処理を行うパケットセキュア処理装置(以下IPsec装置と書く)11が収容され、このIPsec装置11はアドレス変換装置12を介してインターネットなどの通信ネットワーク30に接続される。LANなどの通信網20にホストB端末23が収容され、またアドレス変換装置22が収容され、アドレス変換装置22はIPsec装置21を介して通信ネットワーク30に接続される。通信ネットワーク30に相手ホストC装置31が接続される。
Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 shows a configuration example of an inter-network secure communication system to which a communication method of the present invention is applied, including a packet secure processing device (hereinafter referred to as an IPsec device) NAT device of the present invention. For example, a
通信網10においてはホストA端末13はIPsec装置11、NAT装置12の順にネットワーク30を介して相手ホストC装置31に接続される。一方、通信網20ではホストB端末23がNAT装置22、IPsec装置21の順にネットワーク30を介して相手ホストC装置31に接続される。この発明において、相手ホストC装置31はIPsec機能を備えたものであってIPsec端末、IPsecゲートウェイのどちらであってもかまわない。以下ではこれらのいずれでもよいことを表す点で相手ホストC装置31と書く。また、ホストA端末13とホストB端末23とはIPsec機能が実装されていても実装されていなくてもどちらでもよいが、この実施形態においては両方のホスト端末ともIPsec機能が実装されていないものとする。また、各々のIPsec装置11及び21と相手ホストC装置31とには予めIPsec通信に必要となる鍵が設定されているものとする。IPsec装置11及び21の機能構成例を図2に、NAT装置12及び22の機能構成例を図3にそれぞれ示す。
In the communication network 10, the
[第1実施形態]
図4にパケットの流れを、図5にIPsec装置11の処理手順をそれぞれ示す。この第1実施形態では図2及び図3において各装置の両側に接続されるものは実線で示すものとなる。
ホストAから相手ホストCへの通信
ホストA端末13と相手ホストC装置31とが互いにIPsecに準拠したセキュア通信を実施する。
IPsec装置11はホストA端末13から送り出されたIPパケットA1をLAN側ネットワークインタフェース111(図2)から取り込む(ステップS11)。受け取ったIPパケットA1は伝送路112を介してセキュリティポリシ検索部113へ届けられ、セキュリティポリシ検索部113によってIPパケットA1の始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される。該当するセキュリティポリシが見つかると(ステップS13)、IPパケットA1は伝送路115を介して暗号化や認証データ作成を行う処理部116へ届けられる。
[First Embodiment]
FIG. 4 shows a packet flow, and FIG. 5 shows a processing procedure of the IPsec
Communication from host A to partner host C
The IPsec
IPsec装置11はIPアドレス変換情報を取得する(ステップS14)。例えばIPアドレス変換情報取得部117によりUPnP(Universal Plug and Play:DPnP対応機器はネットワークに接続するだけで自動的に相手機器の存在が認識され、機器は相互にデータのやり取りなどを行うプロトコル)を用いてNAT装置12と通信して、NAT装置12にIPパケットA1に対するアドレス変換情報を要求し、NAT装置12ではアドレス変換情報記憶部211からそのIPパケットA1に対するアドレス変換情報を取り出し、アドレス変換情報発信部212を介してIPsec装置11へアドレス変換情報を伝送する。このようにIPsec装置11では、アドレス変換情報取得部117を介してWAN側ネットワークインタフェース119に接続されたNAT装置12からIPアドレス変換情報を取得し、これをアドレス変換情報記憶部118に記憶する。これにより、IPsec装置11は、受け取ったIPパケットA1の今後書き換えられるであろう新たなIPアドレス、つまり変換前IPアドレスを知る。この実施形態においては、IPsec装置11のIPアドレス変換情報はNAT装置12との通信により取得しているが、例えば通信網10がLANであり、その管理者により手動操作によりIPアドレス変換情報記憶部118に直接記憶させることも可能である。直接記憶させる場合は、IPsec装置11のIPアドレス変換情報記憶部118とNAT装置12のIPアドレス変換情報記憶部211との記憶内容を等しくすることが重要である。従ってIPアドレス変換情報(変換前のIPアドレスや変換後のIPアドレス)の取得は通信による取得と記憶部118からの取得とがある。
The IPsec
IPsec装置11の暗号化や認証データ作成を行う処理部116では、ステップS12におけるセキュリティポリシ検索により得たESPかAHかに基づき、暗号化又は認証データ作成を行うが、この暗号化や認証データ作成を行う前に、受け取ったIPパケットA1の今後書き換えられるであろう新たなIPアドレス、つまり変換後のIPアドレスをアドレス変換情報記憶部118から取得する。取得後はIPパケットA1のIPヘッダを、取得した新たなIPアドレスで仮想的に置き換えた上でIPsecに準拠した暗号化や認証データ作成を行い、これをパケットに埋め込む(ステップS15)。このとき、処理部116で暗号処理生成されたIPsecパケットA2のIPヘッダは実際には書き換えられていないことに注意する。
The
IPsec装置11によってIPsec化されたIPパケットA2はWAN側ネットワークインタフェース119を介してNAT装置12のLAN側ネットワークインタフェース213へ伝送される。NAT装置12では、アドレス変換情報記憶部211のアドレス変換情報に基づき、アドレス変換処理部214においてIPヘッダのIPアドレス(IPパケットA1のそれと同一アドレス)を前記変換後のIPアドレスに書き換えてからIPsecパケットA3としてWAN側ネットワークインタフェース215を介して相手ホストC装置31に伝送する(ステップS16)。
The IP packet A2 converted to IPsec by the IPsec
相手ホストC装置31は、受け取ったIPsecパケットA3について暗号の復号化や認証データの検証を行う。ホストC装置31が受け取ったIPsecパケットA3はNAT装置12によってIPヘッダが書き換えられているが、つまり改ざんされているがIPsecパケットA3に埋め込まれた暗号データや認証データはNAT装置12でIPヘッダが変換されたと仮想したパケットに対して処理部116で暗号処理されているため、ホストC装置31はNAT装置12によるパケットの改ざんに気づくことなく、つまり廃棄することなく、暗号の復号化や認証データの検証を行うことができる。ステップS13でセキュリティポリシが見つからなければそのIPパケットA1に対しては暗号処理することなくNAT装置12へ送信する。
The counterpart
相手ホストCからホストAへ通信
相手ホストC装置31から通信網10のホストA端末13へ向かうIPsecパケットについて、NAT装置12ではWAN側ネットワークインタフェース215を介して相手ホストC装置31からIPsecパケットC1を受け取ると、アドレス変換情報記憶部211のアドレス変換情報に基づき、アドレス変換処理部214においてIPヘッダのIPアドレスを書き換えて、そのIPsecパケットC2を、LAN側ネットワークインタフェース215を介してIPsec装置11へ伝送する。
IPsec装置11はWAN側ネットワークインタフェース119を介してIPsecパケットC2をNAT装置12から受け取ると(ステップS17)、受け取ったIPsecパケットは伝送路121を介して認証データの検証や暗号の復号化を行う処理部122へ届けられる。
For the IPsec packet from the partner host C to the host A to the
When the
IPsec装置11の暗号の復号化や認証データの検証を行う処理部122では、復号化や認証データ検証を行う前に、受け取ったIPsecパケットC2の変換前のIPアドレス、つまりNAT装置12によって書き換えられる前のIPアドレス、つまりIPsecパケットC1のIPアドレスをアドレス変換情報記憶部117から取得する(ステップS18)。取得後はIPsecパケットC2のIPヘッダを、取得したアドレス変換前のIPアドレスで仮想的に置き換えた上で暗号の復号化や認証データの検証を行う(ステップS19)。IPsec装置11は受け取ったIPsecパケットC2がNAT装置12によって改ざんされていることを知っているため、相手ホストC装置31が送り出したIPsecパケットC1、つまりNAT装置12によってIPヘッダを書き換えられる前の状態に戻したパケットに対して暗号の復号化や認証データの検証を実施しており、IPsecパケットC2を廃棄することなく復号化や検証を行うことができる。このとき、処理部122から出力されるIPパケットC3のIPヘッダは実際には書き換えられていないことに注意する。
The
IPsec装置11の暗号の復号化や認証データの検証を行う処理部122は、伝送路123を介してパケットをセキュリティポリシ検索部124へ届ける。セキュリティポリシ検索部124によってIPパケットC3の始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される(ステップS20)。該当するセキュリティポリシが見つかると(ステップS21)、IPパケットC3はLAN側ネットワークインタフェース111を介してホストA端末13に伝送され(ステップS22)、ホストA端末13と相手ホストC装置31とのIPsecを用いたセキュア通信が成り立つ。一方、ステップS20で該当するセキュリティポリシが見つからない場合はそのパケットC3をその場で廃棄部125により廃棄する(ステップS23)。
The
この第1実施形態の基本的構成及び効果を要約すると下記のようになる。
この発明の第1実施形態ではセキュア処理装置において、NAT装置によって書き換えられる前後のIPアドレス情報を記憶しているIPアドレス変換情報記憶部を参照して、入力パケットのIPヘッダがアドレス変換前のパケットであればアドレス変換後の状態へ、アドレス変換後のパケットであればアドレス変換前の状態へ仮想的に置き換えた上でIPsecに準拠した暗号処理を入力パケットに対して行って出力する。ここで暗号処理とはデータを秘匿する暗号化処理、暗号化処理されたデータを原データに復元する復号化処理、データが改ざんされていないことを保証するための認証処理、認証処理されたデータに対し、改ざんされていないか否かを確認する検証処理のいずれかを表わす。このことは以下において同様である。
The basic configuration and effects of the first embodiment are summarized as follows.
In the first embodiment of the present invention, in the secure processing device, the IP header of the input packet is the packet before the address conversion with reference to the IP address conversion information storage unit storing the IP address information before and after being rewritten by the NAT device. If it is, the state is converted to the state after the address conversion, and if it is the packet after the address conversion, it is virtually replaced with the state before the address conversion, and then the encryption processing based on IPsec is performed on the input packet and output. Here, encryption processing means encryption processing for concealing data, decryption processing for restoring encrypted data to original data, authentication processing for ensuring that the data has not been tampered with, and data subjected to authentication processing. On the other hand, it represents one of verification processes for confirming whether or not tampering has occurred. This is the same in the following.
この構成により、IPヘッダの内容が書き換えられることを想定した上でIPパケットに対し暗号化や認証データ作成を行っており、NAT装置によってIPヘッダの内容が書き換えられても通信相手側ホスト装置では、改ざんされたパケットと判断してパケットを破棄されないようにすることができる。また、受信したIPsecパケットに対し、NAT装置でIPヘッダの内容が書き換えられる前の状態を仮想してIPsecの復号化や認証データの検証を行うことができ、正しく処理が行われる。 With this configuration, it is assumed that the contents of the IP header are rewritten, and encryption and authentication data creation are performed on the IP packet. Even if the contents of the IP header are rewritten by the NAT device, the communication partner host device Therefore, it can be determined that the packet has been altered and the packet is not discarded. In addition, for the received IPsec packet, it is possible to perform the decryption of IPsec and the verification of the authentication data in a state before the contents of the IP header are rewritten by the NAT device, and the processing is performed correctly.
[第2実施形態]
ホストB端末23と相手ホストC装置31との通信網20、ネットワーク30を介するセキュア通信の実施形態を説明する。図2および図3において各装置の両側に接続されるものは破線で示すものとなる。この場合のパケットの流れを図6に、IPsec装置21の処理手順の例を図7にそれぞれ示す。
ホストBから相手ホストCへの通信
NAT装置22ではLAN側ネットワークインタフェース213を介してホストB端末23からIPパケットB1を受け取ると、アドレス変換情報記憶部211のアドレス変換情報に基づき、アドレス変換処理部214においてIPヘッダのIPアドレスを書き換え、そのIPパケットB2を、WAN側ネットワークインタフェース215を介してIPsec装置21へ伝送する。
[Second Embodiment]
An embodiment of secure communication between the
When the
また、NAT装置22ではアドレス変換情報記憶部211からアドレス変換情報を取り出し、アドレス変換情報発信部212を介してIPsec装置21へアドレス変換情報が伝送される。IPsec装置21のアドレス変換情報記憶部118ではアドレス変換情報取得部117を介してNAT装置22からIPアドレス変換情報を取得しこれを記憶する。これにより、IPsec装置21は、受け取ったパケットの今後書き換えられるであろう新たなIPアドレス、もしくは書き換えられる前のIPアドレスを知ることが可能となる。この場合もIPアドレス変換情報はNAT装置22との通信によることなくIPアドレス変換情報記憶部118に直接記憶させることも可能である。
Further, the
IPsec装置21はアドレス変換情報記憶部118のアドレス変換情報に基づきセキュリティポリシ記憶部114のセキュリティポリシを動的に変更する。この実施形態においては、IPsec装置21のアドレス変換情報記憶部118に記憶されたIPアドレスとセキュリティポリシ記憶部114に記憶されたIPアドレスとを動的更新により一致させているが、セキュリティポリシ記憶部114に手動により直接IPアドレスを記憶させることでアドレス変換情報記憶部118に記憶されたIPアドレスと一致させることも可能である。
The
IPsec装置21はNAT装置22から送り出されたIPパケットB2をLAN側ネットワークインタフェース111から取り込み、受け取ったIPパケットを伝送路131を介してセキュリティポリシ検索部113へ届ける(ステップS31)。セキュリティポリシ検索部113では、検索を始める前に、受け取ったIPパケットB2のNAT装置22によって書き換えられる前のIPアドレス、つまりIPパケットB1のIPアドレスをアドレス変換情報記憶部118から取得する(ステップS32)。IPパケットB2のIPヘッダを、取得した変換前のIPアドレスで仮想的に置き換えた上で始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される(ステップS33)。このようにセキュリティポリシの検索はホストB端末23が送信した直後のIPパケットB1の情報に基づき実施されることになっているため、NAT装置22によってIPアドレスが書き換えられても送信元ホストごとにセキュリティポリシを適用することが可能となる。該当するセキュリティポリシが見つかると(ステップS34)、IPパケットB2は伝送路132を介して暗号化や認証データ作成を行う処理部116へ届けられる。このとき、IPパケットB2のIPヘッダは実際には書き換えられていないことに注意する。
The
IPsec装置21の暗号化や認証データ作成を行う処理部116では、前記セキュリティポリシの検索結果により得られたESPかAHかにより、IPsecに準拠した暗号化又は認証データ作成を行い、これをパケットに埋め込み(ステップS35)、IPsecパケットB3としてWAN側ネットワークインタフェース119を介して相手ホストC装置31に伝送する(ステップS36)。
相手ホストC装置31は、受け取ったIPsecパケットB3について暗号の復号化や認証データの検証を行う。このIPsecパケットB3はIPsec装置21で認証データや暗号データが作成されて以降、NAT装置22によるアドレス書き換えは行われていないため、相手ホストC装置31はパケットを廃棄することなく、暗号の復号化や認証データの検証を行うことができる。当然のことながら悪意ある者によってIPsecパケットB3の改ざんが行われた場合には復号化することができず、又は検証に成功できず、その改ざんされたパケットを廃棄する。
The
The counterpart
相手パケットCからパケットBへの通信
相手ホストC装置から通信網20に収容されたホストB端末23へ向かうIPsecパケットC4を、IPsec装置21がWAN側ネットワークインタフェース119に受け取ると(ステップS37)、伝送路133を介して暗号の復号化や認証データの検証を行う処理部122へIPsecパケットC4を伝送する。処理部122では暗号の復号化や認証データの検証が行われ(ステップS38)、成功すれば、伝送路134を介してセキュリティポリシ検索部124へそのIPパケットC5を送る。
Communication from the partner packet C to the packet B When the
セキュリティポリシ検索部124では、検索を始める前に、受け取ったIPパケットC5の今後書き換えられるであろう新たなIPアドレス、つまりNAT装置22によって書き換えられた後のIPアドレスをアドレス変換情報記憶部118から取得する(ステップS39)。IPパケットC5のIPヘッダを、その取得したIPアドレスで仮想的に置き換えた上で始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される(ステップS40)。このようにセキャリティポリシの検索はホストB端末23が受信する直前のパケット情報に基づき実施されることになっているため、NAT装置22によってIPアドレスが書き換えられても送信先ホストごとにセキュリティポリシを適用することが可能となる。このとき、IPパケットC5のIPヘッダは実際には書き換えられていないことに注意する。該当するセキュリティポリシが見つかると(ステップS41)、IPパケットC5はLAN側ネットワークインタフェース111を介してNAT装置22へ送信される(ステップS42)。
In the security
ステップS41で該当するセキュリティポリシが見つからない場合はこのIPパケットC5は廃棄部125で廃棄される(ステップS43)。
NAT装置22ではWAN側ネットワークインタフェース215にIPパケットC5が受信されると、アドレス変換情報記憶部211のアドレス変換情報に基づきアドレス変換処理部214でIPヘッダのIPアドレスを書き換え、そのIPパケットC6をLAN側ネットワークインタフェース213を通じてホストB端末23へ送信される。このようにして相手ホストC装置31とホストB端末23との間でIPsecに準拠したセキュアな通信が行われる。
If no corresponding security policy is found in step S41, the IP packet C5 is discarded by the discard unit 125 (step S43).
In the
この第2実施形態の基本的構成及び効果を要約すると下記のようになる。
この第2実施形態によればNAT装置によって書き換えられる前後のIPアドレス変換情報を記憶するIPアドレス変換情報記憶部を参照して、入力パケットに対しIPヘッダを、アドレス変換後のパケットにはアドレス変換前の、アドレス変換前のパケットにはアドレス変換後の状態へ仮想的に置き換えた上でセキュリティポリシを適用する。
この構成により、NAT装置とIPsec装置とがともにローカルなネットワークにあってNAT装置、IPsec装置の順にネットワークを介して相手ホストに接続する場合に、NAT装置によってIPアドレスが書き換えられたパケットに対し、送信元ホスト端末ごとにセキュリティポリシを適用することができる。また、IPsecパケットに対して先のNAT装置でIPヘッダの内容が書き換えられることを想定した上で送信先ホスト端末ごとにセキュリティポリシを適用することができる。
The basic configuration and effects of the second embodiment are summarized as follows.
According to the second embodiment, the IP address conversion information storage unit that stores the IP address conversion information before and after being rewritten by the NAT device is referred to, the IP header for the input packet and the address conversion for the packet after the address conversion. The security policy is applied to the previous packet before the address translation after virtually replacing the address after the address translation.
With this configuration, when both the NAT device and the IPsec device are in a local network and are connected to a partner host via the network in the order of the NAT device and the IPsec device, a packet whose IP address has been rewritten by the NAT device A security policy can be applied to each source host terminal. Further, it is possible to apply the security policy for each destination host terminal on the assumption that the contents of the IP header are rewritten by the previous NAT device with respect to the IPsec packet.
上述においてIPsec装置11又は21においてアドレス変換情報をNAT装置21又は22との通信により取得したが、プライベートIPアドレスとグローバルIPアドレスとの変換を管理するサーバ装置32との通信により取得してもよい。なお図2中の制御部137は記憶部114,118に対する読み書きや順次他の各部を動作させる。
更に第1実施形態においては入力IPパケット(IPsecパケット)に対し、IPアドレス仮想的置換として暗号処理したが、第2実施形態においては入力IPパケット(IPsecパケット)について暗号処理をするか否かを検索し、検索により見つかるとESPかAHかを決定するものであるから、この仮想的置換として検索することはセキュア処理をしていると云える。従ってこの点から前記第1実施形態及び第2実施形態を総合すると、この発明におけるパケットセキュア処理装置及びその処理手順の原理は下記のようになる。図8にその機能構成を、図9にその処理手順を示す。
In the above description, the address conversion information is acquired by the
Furthermore, in the first embodiment, the input IP packet (IPsec packet) is encrypted as an IP address virtual replacement. However, in the second embodiment, whether or not the input IP packet (IPsec packet) is encrypted is determined. Since searching is performed and ESP or AH is determined when found by searching, it can be said that searching as this virtual replacement is a secure process. Accordingly, when the first embodiment and the second embodiment are combined from this point, the principle of the packet secure processing device and the processing procedure in the present invention is as follows. FIG. 8 shows the functional configuration, and FIG. 9 shows the processing procedure.
IPsec装置にIPパケット(IPsecパケットを含む)が受信されると(ステップS50)、その入力されたIPパケットがアドレス変換がなされたものか否かが判定部141により判定される(ステップS51)。つまりIPsec装置の両側には図2に示すように、実線に示すホストA端末13及びアドレス変換装置12が接続される場合と、破線に示すアドレス変換装置22及び相手ホスト装置31が接続される場合とがあり、これらの接続状態は予め知らされているから、LAN側ネットワークインタフェース111にパケットが受信されると、前者の場合はホストA端末13からであり、アドレス変換がされていないと判定され、後者の場合はアドレス変換装置22からであり、アドレス変換がされていると判定される。同様にWAN側ネットワークインタフェース119にパケットが受信されると、前者の場合はアドレス変換装置12からであり、アドレス変換がされていると判定され、後者の場合は、相手側ホストC装置31からであり、アドレス変換がされていないと判定される。従って判定部141は実際のハードウェアとして独立に設けなくてもよい。
When an IP packet (including an IPsec packet) is received by the IPsec apparatus (step S50), the
ステップS51での判定がアドレス変換前であれば、その受信したパケットのIPアドレスがアドレス変換装置により変換されたIPアドレス(変換後IPアドレス)を取得し(ステップS52)、ステップS51での判定がアドレス変換後であれば、その受信したパケットのIPアドレスがアドレス変換装置により変換される前のIPパケットを取得する(ステップS53)。
次に受信したパケットについて、そのIPヘッダのIPアドレスをステップS52又はステップS53で取得したIPアドレスで仮想的に置き換えた上で仮想置換セキュア処理部142又は143によりセキュア処理して(ステップS54)、出力する(ステップS55)。仮想置換セキュア処理部142は図2中のIPアドレスを仮想置換して処理する場合のセキュリティポリシ検索部113及び暗号化、認証データ作成処理部116であり、仮想置換セキュア処理部143は図2中のIPアドレスを仮想置換して処理する場合の復号化、認証データ検証部122及びセキュリティポリシ検索部124である。
If the determination in step S51 is before address conversion, the IP address (post-translation IP address) obtained by converting the IP address of the received packet by the address conversion device is acquired (step S52), and the determination in step S51 is performed. If it is after the address translation, an IP packet before the IP address of the received packet is translated by the address translation device is acquired (step S53).
Next, for the received packet, the IP address of the IP header is virtually replaced with the IP address acquired in step S52 or step S53, and then the virtual replacement
上述においてIPsec装置11はホストA端末13に実装されていてもよい。図2に示したIPsec装置はコンピュータにより機能させてもよい。その場合は、コンピュータに図5又は図7に示した各過程をコンピュータにより実行させるためのプログラムを、CD−ROM、磁気ディスク、半導体記憶装置などの記録媒体からインストールし、あるいは通信回線を通じてダウンロードして、そのコンピュータにそのプログラムを実行させればよい。
In the above description, the
Claims (13)
セキュア処理を行う際に、アドレス変換が行われていないIPパケットに対しては、そのIPパケットのIPアドレスが変換されるであろう新たなIPアドレスを取得し、
アドレス変換が行われたIPパケットに対しては、そのIPパケットのIPアドレスが変換される前のIPアドレスを取得し、
上記取得したIPアドレスで上記IPパケットのIPアドレスを仮想的に置換し、そのIPアドレスを仮想的置換したIPパケットについてセキュア処理を行うことを特徴とするネットワーク間セキュア通信方法。 In an inter-network secure communication method for converting an IP packet between a private IP address and a global IP address,
When performing secure processing, for an IP packet that has not been subjected to address translation, obtain a new IP address to which the IP address of the IP packet will be translated,
For an IP packet that has undergone address translation, obtain the IP address before the IP address of the IP packet is translated,
A secure communication method between networks, wherein the IP address of the IP packet is virtually replaced with the acquired IP address, and secure processing is performed on the IP packet virtually replaced with the IP address.
変換前のIPアドレスと変換後のIPアドレスの対応を格納するアドレス変換情報記憶部と、
入力されたIPパケットのIPアドレスが変換前か変換後であるかを判定する前後判定部と、
上記前後判定部の判定が変換後であれば、上記アドレス変換情報記憶部の対応する変換前のIPアドレスを、判定が上記変換前であれば、上記アドレス変換記憶部の対応する変換後のIPアドレスを用いて上記入力IPパケットのIPアドレスを仮想的に置換したIPパケットについてセキュア処理して出力するセキュア処理部と
を備えるパケットセキュア処理装置。 A secure processing device used in an inter-network secure communication system that converts a private IP address and a global IP address for an IP packet,
An address conversion information storage unit for storing correspondence between the IP address before conversion and the IP address after conversion;
A before / after determination unit that determines whether the IP address of the input IP packet is before or after conversion;
If the determination of the before / after determination unit is after conversion, the corresponding IP address before conversion in the address conversion information storage unit is the corresponding IP address after conversion in the address conversion storage unit if the determination is before the conversion. A secure packet processing apparatus comprising: a secure processing unit that securely processes and outputs an IP packet obtained by virtually replacing the IP address of the input IP packet using an address.
上記セキュア処理部は、
上記変換後のIPアドレスを用いて上記仮想的に置換して、上記自分側ホスト端末から入力された入力IPパケットに対して暗号化や認証データ作成を行う暗号化、認証データ作成処理部と、
上記アドレス変換装置から入力された相手側ホスト装置よりの入力IPパケットとしてのセキュアIPパケットに対し、上記変換前のIPアドレスを用いて上記仮想的に置換して、暗号の復号化や認証データの検証を行う復号化、認証データ検証処理部とであることを特徴とする請求項2記載のパケットセキュア処理装置。 The packet secure processing device is used between the host terminal on the own side and the address translation device,
The secure processing unit
Using the converted IP address to virtually replace the encryption, authentication data creation processing unit for performing encryption and authentication data creation for the input IP packet input from the host terminal on its own side,
The secure IP packet as the input IP packet from the counterpart host device inputted from the address translation device is virtually replaced by using the IP address before the translation, and the decryption of the encryption or the authentication data 3. The packet secure processing device according to claim 2, wherein the packet secure processing device is a decryption and authentication data verification processing unit for performing verification.
上記自分側ホスト端末から入力された入力IPパケットについて上記セキュリティポリシ記憶部を検索し、見つからなければその入力IPパケットを上記アドレス変換装置へ送信し、見つかればその見つけた検索内容と共に上記入力IPパケットを上記暗号化、認証データ作成処理部へ出力する第1セキュリティポリシ検索部と、
上記復号化、認証データ検証処理部よりの処理結果のIPパケットが入力され、そのIPパケットについて上記セキュリティポリシ記憶部を検索し、見つからなければそのIPパケットを廃棄し、見つかれば、そのIPパケットを上記自分側ホスト端末へ送信する第2セキュリティポリシ検索部とを備え、
上記暗号化、認証データ作成処理部は、入力された検索内容に応じて上記暗号化又は認証データ作成を行う処理部であることを特徴とする請求項3記載のパケットセキュア処理装置。 A security policy storage unit for storing a security policy between the counterpart host device and the host host terminal;
The security policy storage unit is searched for the input IP packet input from the host terminal on its own side. If the IP packet is not found, the input IP packet is transmitted to the address translation device. A first security policy search unit for outputting to the encryption and authentication data creation processing unit,
An IP packet as a processing result from the decryption / authentication data verification processing unit is input, and the security policy storage unit is searched for the IP packet. If the IP packet is not found, the IP packet is discarded. A second security policy search unit for transmitting to the host terminal on the own side,
4. The packet secure processing apparatus according to claim 3, wherein the encryption / authentication data creation processing unit is a processing unit that performs the encryption or authentication data creation in accordance with an input search content.
上記各自分側ホスト端末と上記相手側ホスト装置との組みごとのセキュリティポリシを記憶するセキュリティポリシ記憶部を備え、
上記セキュリティ処理部は、
上記アドレス変換装置より入力された自分側ホスト端末のIPパケットについて上記変換前のIPアドレスを用いて、仮想的に置換して、上記セキュリティポリシ記憶部に対する検索を行う第1セキュリティポリシ検索部と、
上記相手側ホスト装置から入力されたセキュアIPパケットについて、上記変換後のIPアドレスを用いて仮想的に置換して、上記セキュリティポリシ記憶部に対する検索を行う第2セキュリティポリシ検索部とであることを特徴とする請求項2記載のパケットセキュア処理装置。 The packet secure processing device is used between an address translation device connected to its own host terminal and a counterpart host device connected via a network,
A security policy storage unit for storing a security policy for each set of the host terminal on the own side and the host apparatus on the other side;
The security processing part
A first security policy search unit that virtually replaces the IP packet of its own host terminal input from the address translation device, using the IP address before conversion, and searches the security policy storage unit;
A second security policy search unit that virtually replaces the secure IP packet input from the counterpart host device using the converted IP address and searches the security policy storage unit; 3. The packet secure processing apparatus according to claim 2, wherein
上記相手側ホスト装置から入力されたセキュアIPパケットに対し、暗号の復号化や認証データの検証を行い、その復号化された又は検証に合格したIPパケットを上記第2セキュリティポリシ検索部へ出力する復号化、認証データ検証処理部とを備え、
上記第1セキュリティポリシ検索部は検索により見つかればその入力されたIPパケット及びその検索内容を上記暗号化、認証データ作成処理部へ出力し、見つからなければ上記入力されたIPパケットを上記相手側ホスト装置へ送信する検索部であり、
上記第2セキュリティポリシ検索部は検索により見つかれば上記復号化、認証データ検証処理部より入力されたIPパケットを上記アドレス変換装置へ送信し、検索で見つからなければこの入力されたIPパケットを廃棄する処理部であることを特徴とする請求項5記載のパケットセキュア処理装置。 The IP packet input from the first security policy search unit and the search content are input, and encryption or authentication data is generated for the input IP packet according to the search content. An encryption and authentication data creation unit for transmitting a secure IP packet to the counterpart host device;
The secure IP packet input from the counterpart host device is decrypted and the authentication data is verified, and the decrypted or verified IP packet is output to the second security policy search unit. A decryption and authentication data verification processing unit,
If the first security policy search unit is found by the search, the input IP packet and the search content are output to the encryption / authentication data creation processing unit. If not found, the input IP packet is output to the counterpart host. A search unit to send to the device,
The second security policy search unit transmits the IP packet input from the decryption / authentication data verification processing unit to the address translation device if found by the search, and discards the input IP packet if not found by the search. 6. The packet secure processing device according to claim 5, wherein the packet secure processing device is a processing unit.
上記自分側ホスト端末よりIPパケットを受信すると、そのIPパケットのIPアドレスを用い、上記アドレス変換装置によって変換される前後のIPアドレスを記憶するアドレス変換情報記憶部を参照して変換後のIPアドレスを取得し、
上記入力IPパケットに対し、そのIPヘッダを、上記取得したIPアドレスを用いてアドレス変換後の状態へ仮想的に置き換えた上で暗号化や認証データ作成を行って上記アドレス変換装置へ送信し、
上記アドレス変換装置を通して相手側ホスト装置からセキュアIPパケットを受信すると、そのセキュアIPパケットのIPアドレスを用い、上記アドレス変換情報記憶部を参照して変換前のIPアドレスを取得し、
上記セキュアIPパケットに対し、そのIPヘッダを、上記取得したIPアドレスを用いてアドレス変換前の状態へ仮想的に置き換えた上で暗号の復号化や認証データの検証を行うことを特徴とするパケットセキュア処理装置の処理方法。 A processing method of a packet secure processing device used between an own host terminal and an address translation device in an inter-network secure communication system that translates a private IP address and a global IP address for an IP packet,
When an IP packet is received from the host terminal on its own side, the IP address after the conversion is stored by referring to the address conversion information storage unit that stores the IP addresses before and after being converted by the address conversion device using the IP address of the IP packet Get
For the input IP packet, the IP header is virtually replaced with the state after address conversion using the acquired IP address, and then encrypted and created as authentication data, and sent to the address conversion device.
When a secure IP packet is received from the counterpart host device through the address translation device, the IP address of the secure IP packet is used to obtain an IP address before translation by referring to the address translation information storage unit,
A packet characterized in that the IP header of the secure IP packet is virtually replaced with the state before the address conversion by using the acquired IP address, and then the decryption of the encryption and the verification of the authentication data are performed. Processing method of secure processing device.
上記アドレス変換装置を介して上記自分側ホスト端末からIPパケットを受信すると、そのIPパケットのIPアドレスを用い、上記アドレス変換装置によってIPアドレスが変換される前後のIPアドレスを記憶するアドレス変換情報記憶部を参照して変換前のIPアドレスを取得し、
上記受信したIPパケットに対し、そのIPヘッダを上記取得したIPアドレスを用いてアドレス変換前の状態へ仮想的に置き換えた上でセキュリティポリシを適用し、
上記相手側ホスト装置からセキュアIPパケットを受信すると、そのセキュアIPパケットのIPヘッダを用い、上記アドレス変換情報記憶部からその変換後のIPアドレスを取得し、
上記セキュアIPパケットに対して、そのIPヘッダを上記取得したIPアドレスを用いてアドレス変換後の状態へ仮想的に置き換えた上でセキュリティポリシを適用することを特徴とするパケットセキュア処理装置の処理方法。 In an inter-network secure communication system that translates a private IP address and a global IP address for an IP packet, between an address translation device connected to its own host terminal and a counterpart host device connected via the network A processing method of a packet secure processing device used in a position,
When an IP packet is received from the local host terminal via the address translation device, the IP address of the IP packet is used to store the IP address before and after the IP address is translated by the address translation device. To obtain the IP address before conversion,
The security policy is applied to the received IP packet after virtually replacing the IP header with the acquired IP address to the state before the address translation,
When receiving a secure IP packet from the counterpart host device, using the IP header of the secure IP packet, obtain the IP address after the translation from the address translation information storage unit,
A processing method for a packet secure processing device, wherein a security policy is applied to the secure IP packet after virtually replacing the IP header with the acquired IP address to a state after address translation. .
アドレス変換前のIPアドレスと変換後のIPアドレスとの対応を記憶するアドレス変換情報記憶部と、
入力されたIPパケットのIPヘッダのIPアドレスを、上記アドレス変換情報記憶部を参照して変換後のIPアドレスに変換してそのIPパケットを出力するアドレス変換処理部と、
上記変換したIPアドレス及びその変換前のIPアドレスを外部機器に発信するIPアドレス変換情報発信部とを備えることを特徴とするアドレス変換装置。 In an address translation device used in an inter-network secure communication system that translates a private IP address and a global IP address for an IP packet,
An address translation information storage unit for storing a correspondence between an IP address before address translation and an IP address after translation;
An address conversion processing unit that converts the IP address of the IP header of the input IP packet into an IP address after conversion with reference to the address conversion information storage unit and outputs the IP packet;
An address conversion apparatus comprising: an IP address conversion information transmitting unit that transmits the converted IP address and the IP address before the conversion to an external device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004156181A JP3788802B2 (en) | 2004-05-26 | 2004-05-26 | Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004156181A JP3788802B2 (en) | 2004-05-26 | 2004-05-26 | Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005341127A JP2005341127A (en) | 2005-12-08 |
JP3788802B2 true JP3788802B2 (en) | 2006-06-21 |
Family
ID=35494195
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004156181A Expired - Fee Related JP3788802B2 (en) | 2004-05-26 | 2004-05-26 | Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3788802B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109981820B (en) * | 2019-03-29 | 2022-04-22 | 新华三信息安全技术有限公司 | Message forwarding method and device |
-
2004
- 2004-05-26 JP JP2004156181A patent/JP3788802B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005341127A (en) | 2005-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4346094B2 (en) | Packet encryption processing proxy device | |
US6795917B1 (en) | Method for packet authentication in the presence of network address translations and protocol conversions | |
US7386881B2 (en) | Method for mapping security associations to clients operating behind a network address translation device | |
US7346770B2 (en) | Method and apparatus for traversing a translation device with a security protocol | |
US7159242B2 (en) | Secure IPsec tunnels with a background system accessible via a gateway implementing NAT | |
US8365273B2 (en) | Method and arrangement for providing security through network address translations using tunneling and compensations | |
US8654755B2 (en) | Device and method for communicating with another communication device via network forwarding device | |
JP4766574B2 (en) | Preventing duplicate sources from clients handled by network address port translators | |
EP0838930A2 (en) | Pseudo network adapter for frame capture, encapsulation and encryption | |
US20070288754A1 (en) | Data communication method and system | |
JP2009111437A (en) | Network system | |
KR100479261B1 (en) | Data transmitting method on network address translation and apparatus therefor | |
CN113347198B (en) | ARP message processing method, device, network equipment and storage medium | |
US8646066B2 (en) | Security protocol control apparatus and security protocol control method | |
JP4933286B2 (en) | Encrypted packet communication system | |
KR20090061253A (en) | Tunnelling method based udp for applying internet protocol security and system for implementing the method | |
JP4630296B2 (en) | Gateway device and authentication processing method | |
JP3788802B2 (en) | Inter-network secure communication method, packet secure processing device, processing method thereof, program, recording medium thereof, address conversion device | |
Bittau et al. | TCP-ENO: Encryption negotiation option | |
JP2005167608A (en) | System and method for ciphered communication computer program, and computer readable recording medium | |
KR100450774B1 (en) | Method for end-to-end private information transmition using IPSec in NAT-based private network and security service using its method | |
JP4674144B2 (en) | Encryption communication apparatus and encryption communication method | |
Handley et al. | Internet Engineering Task Force (IETF) A. Bittau Request for Comments: 8547 Google Category: Experimental D. Giffin | |
JP2006033350A (en) | Proxy secure router apparatus and program | |
CN117692277A (en) | Data transmission method, device, equipment and readable storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060224 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060307 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20060323 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060323 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090407 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100407 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110407 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120407 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130407 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140407 Year of fee payment: 8 |
|
LAPS | Cancellation because of no payment of annual fees |