JP4113205B2 - Cryptographic processing device - Google Patents
Cryptographic processing device Download PDFInfo
- Publication number
- JP4113205B2 JP4113205B2 JP2005185307A JP2005185307A JP4113205B2 JP 4113205 B2 JP4113205 B2 JP 4113205B2 JP 2005185307 A JP2005185307 A JP 2005185307A JP 2005185307 A JP2005185307 A JP 2005185307A JP 4113205 B2 JP4113205 B2 JP 4113205B2
- Authority
- JP
- Japan
- Prior art keywords
- agreement information
- address
- processing
- packet
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、パケットの暗号化処理及び中継処理を行う暗号処理装置に関する。 The present invention relates to an encryption processing apparatus that performs packet encryption processing and relay processing.
従来、インターネット等のネットワークを介して暗号通信を行うための規格としてIPsec(Security Architecture for the Internet Protocol)が知られている(非特許文献1参照)。このIPsecの規格においては、パケットに対する暗号化処理及び復号化処理の適用条件(Security Policy)を記憶したSPD(Security Policy Database)と呼ばれるデータベースと、パケットに暗号化処理及び復号化処理で用いる合意(SA:Security Association)情報を記憶したSAD(Security Association Database)と呼ばれるデータベースとを有することが定められている。暗号処理を行う装置は、入出力するパケットに対してSPDを参照して該パケットに対する復号化/暗号化,廃棄,透過などの処理を決定する。また、暗号化や復号化を行う際にはSADを参照して当該処理で必要な合意情報を用いている。
上記暗号処理装置では、SPD及びSADのエントリとしてキーとして送信元IPアドレスと宛先IPアドレスを用いている。ここで、SPDのエントリは適用条件の設定や管理を簡略化できるように、送信元IPアドレスと宛先IPアドレスとして単一の値のIPアドレス(ユニキャスト,エニーキャスト,ブロードキャスト(IPv4のみ),又はマルチキャストグループの何れか)だけでなく、アドレス群(アドレスの範囲(上限値と下限値)、ネットワークアドレス、ワイルドカードアドレス)を指定可能である。 In the cryptographic processing apparatus, the source IP address and the destination IP address are used as keys as SPD and SAD entries. Here, the SPD entry has a single value IP address (unicast, anycast, broadcast (IPv4 only), or as a source IP address and a destination IP address so that setting and management of application conditions can be simplified, or Not only a multicast group, but also an address group (address range (upper limit value and lower limit value), network address, wild card address) can be specified.
しかし、前記SADでは、RFC上では宛先IPアドレス及び送信元IPアドレスとして双方のアドレスをアドレス群として指定することは許容されているものの、複数のエントリにマッチする場合にどのエントリを優先するかという点について規定されていないため、このような場合に特定のエントリをネットワーク構成等に応じて的確に取得することができなかった。また、宛先IPアドレス及び送信元IPアドレスとして双方のアドレスをアドレス群として指定した場合、前記SPDとの連携が図れないという問題もあった。このような事情から、前記SADでは、何れか一方のアドレスは単一の値のIPアドレスを指定する必要があるというのが現実である。このため、ネットワーク構成が変更になった場合などには、仮にIPアドレスが変更されたがネットワークアドレスは変わっていないような場合であっても適宜SADを更新する必要がある。すなわち、SADの管理は煩雑であるという問題点があった。 However, in the SAD, although it is allowed on the RFC to specify both addresses as a destination IP address and a source IP address as an address group, which entry is given priority when a plurality of entries are matched. Since the point is not defined, in such a case, a specific entry cannot be obtained accurately according to the network configuration or the like. In addition, when both addresses are designated as an address group as a destination IP address and a source IP address, there is a problem that cooperation with the SPD cannot be achieved. For these reasons, in the SAD, it is actually necessary to specify a single value IP address for either one of the addresses. For this reason, when the network configuration is changed, it is necessary to update the SAD as appropriate even if the IP address is changed but the network address is not changed. That is, there is a problem that management of SAD is complicated.
この問題を解決するために、SADの設定には自動鍵交換機能(IKE:Internet Key Exchange(RFC2409で規定))を用いることが一般的である。しかし、暗号処理装置に自動化鍵交換機能を実装すると、システムが複雑化・高コスト化するという問題があった。 In order to solve this problem, it is common to use an automatic key exchange function (IKE: Internet Key Exchange (specified in RFC 2409)) for setting SAD. However, when an automatic key exchange function is implemented in the cryptographic processing apparatus, there is a problem that the system becomes complicated and expensive.
また、SPDでは各エントリの順序を保持している。この順序はどのエントリを適用するかを決定する要因でもあるため、各適用条件の内容そのものの管理とともに順序の管理も重要となる。このため、従来の暗号処理装置ではSPDの管理も煩雑なものであった。 Further, the SPD holds the order of each entry. Since this order is a factor that determines which entry is applied, it is important to manage the order as well as the contents of each application condition. For this reason, SPD management has been complicated in the conventional cryptographic processing apparatus.
本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、暗号処理に必要な適用条件及び合意情報の管理を容易に行うことができる暗号処理装置を提供することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a cryptographic processing apparatus that can easily manage application conditions and agreement information necessary for cryptographic processing. .
上記目的を達成するために、本願では、第1のネットワーク側の端末装置から第2のネットワーク側の相手装置宛に送信されたパケットを暗号化して該相手装置に中継するとともに前記相手装置から端末装置宛の暗号化パケットを復号化して該端末装置に中継する暗号処理装置において、パケットに対する暗号化処理及び復号化処理の適用条件を宛先アドレス及び送信元アドレスをキーとして順序づけして記憶する適用条件記憶手段と、パケットの暗号化処理及び復号化処理で用いる合意情報を宛先アドレス及び送信元アドレスをキーとして順序づけして記憶する合意情報記憶手段と、第1のネットワーク側から受信したパケットの宛先アドレス及び送信元アドレスをキーとして適用条件記憶手段から適用条件を順序にしたがって取得し、該適用条件に基づきパケットに対する処理内容を判定する暗号化判定手段と、暗号化判定手段で暗号化対象と判定されたパケットの宛先アドレス及び送信元アドレスをキーとして合意情報記憶手段から合意情報を順序にしたがって取得し、該合意情報に基づきパケットの暗号化処理を行う暗号化処理部と、第2のネットワーク側から受信した暗号化パケットの宛先アドレス及び送信元アドレスをキーとして適用条件記憶手段から適用条件を順序にしたがって取得し、該適用条件に基づき暗号化パケットに対する処理内容を判定する復号化判定手段と、復号化判定手段で復号化対象と判定されたパケットの宛先アドレス及び送信元アドレスをキーとして合意情報記憶手段から合意情報を順序にしたがって取得し、該合意情報に基づきパケットの復号化処理を行う復号化処理部とを備え、前記合意情報記憶手段は、合意情報のキーとして記憶する宛先アドレス及び送信元アドレスの双方を、複数のアドレスが含まれるアドレス群で記憶可能とし、前記暗号化処理部及び復号化処理部は、パケットの宛先アドレス及び送信元アドレスの双方が完全一致又は部分一致する合意情報を順序にしたがって合意情報記憶手段から取得することを特徴とするものを提案する。 In order to achieve the above object, in the present application, a packet transmitted from a terminal device on the first network side to a counterpart device on the second network side is encrypted and relayed to the counterpart device, and from the counterpart device to the terminal Application conditions for storing application conditions for encryption processing and decryption processing for packets in order, using destination address and source address as keys, in an encryption processing device that decrypts encrypted packets addressed to the device and relays them to the terminal device Storage means, agreement information storage means for storing agreement information used in packet encryption processing and decryption processing in order using a destination address and a source address as keys, and a destination address of a packet received from the first network side And the application conditions are obtained from the application condition storage means according to the order using the transmission source address as a key, The agreement determination information from the agreement information storage means in order using the encryption determination means for determining the processing contents for the packet based on the usage conditions, and the destination address and the source address of the packet determined as the encryption target by the encryption determination means as a key Therefore, the application condition storage means obtains the application condition from the application condition storage means using the encryption processing unit that performs the packet encryption process based on the agreement information, and the destination address and the source address of the encrypted packet received from the second network side as keys. In accordance with the order, and using as a key the decryption determination means for determining the processing content for the encrypted packet based on the application condition, and the destination address and the source address of the packet determined to be subject to decryption by the decryption determination means Agreement information is acquired from the agreement information storage means according to the order, and packets are restored based on the agreement information. The agreement information storage means can store both a destination address and a source address stored as a key of agreement information in an address group including a plurality of addresses, The encryption processing unit and the decryption processing unit propose that the agreement information in which both the destination address and the transmission source address of the packet are completely matched or partially matched is acquired from the agreement information storage unit in order. .
本発明によれば、合意情報のキーとなる宛先アドレス及び送信元アドレスの双方を、単一の値のアドレスだけでなく複数のアドレスが含まれるアドレス群で指定可能となるので、設定や管理が容易となる。また、各合意情報は順序づけて合意情報記憶手段に記憶されており、且つ、暗号化処理部及び復号化処理部は、パケットの宛先アドレス及び送信元アドレスの双方が完全一致又は部分一致する合意情報を順序にしたがって取得するので、各合意情報及び順序を適切に管理することによりネットワーク構成等に応じた適切な暗号処理が可能となる。なお、ここでアドレスとは通信に係る装置やプログラムを特定するものであり、1つのレイヤにおけるアドレスだけでなく複数のレイヤにわたる場合も含むものとする。例えば、通信プロトコルとしてTCP/IPプロトコルスイートを用いる場合には、IPアドレスとポート番号の組が該当する。 According to the present invention, both the destination address and the transmission source address which are the keys of the agreement information can be specified by an address group including not only a single value address but also a plurality of addresses. It becomes easy. In addition, each agreement information is stored in the agreement information storage means in order, and the encryption processing unit and the decryption processing unit have agreement information in which both the destination address and the source address of the packet are completely coincident or partially coincident. Are acquired according to the order, and by appropriately managing each agreement information and the order, an appropriate encryption process according to the network configuration or the like can be performed. Here, the address specifies an apparatus or a program related to communication, and includes not only an address in one layer but also a case where it extends over a plurality of layers. For example, when a TCP / IP protocol suite is used as a communication protocol, a pair of an IP address and a port number is applicable.
また、本願では、このような暗号処理装置において、さらに、適用条件記憶手段に記憶されている適用情報及び合意情報記憶手段に記憶されている合意情報を所定のルールに従って順序を並べ替える管理装手段を備えたものを提案する。 Further, in the present application, in such a cryptographic processing apparatus, management device means for rearranging the order of the application information stored in the application condition storage means and the agreement information stored in the agreement information storage means according to a predetermined rule We propose something with
並べ替えのルールとしては、例えば(1)キーとなる宛先アドレス及び送信元アドレスに包含されるアドレス数が少ないものほど上位となるように並べ替える方法、(2)復号化処理で用いられるものについてはキーとなる送信元アドレスに包含されるアドレス数が少ないものほど上位となり、且つ、暗号化処理で用いられるものについてはキーとなる宛先アドレスに包含されるアドレス数が少ないものほど上位となるよう並べ替える方法、(3)復号化処理で用いられるものについてはキーとなる宛先アドレスに包含されるアドレス数が少ないものほど上位となり、且つ、暗号化処理で用いられるものについてはキーとなる送信元アドレスに包含されるアドレス数が少ないものほど上位となるよう並べ替える方法などが挙げられる。 As the sorting rules, for example, (1) a method of rearranging so that the smaller the number of addresses included in the destination address and the transmission source address becomes higher, (2) what is used in the decryption process The higher the number of addresses included in the key source address, the higher the address, and the lower the number of addresses included in the key destination address, the higher the address used in the encryption process. Reordering method, (3) For those used in the decryption process, the lower the number of addresses included in the key destination address, the higher the order, and for those used in the encryption process, the key source A method of rearranging the addresses so that the lower the number of addresses included in the address is, the higher the order is.
これらの発明によれば、適用条件記憶手段に記憶する適用条件及び合意情報記憶手段に記憶する合意情報がそれぞれ自動的に並べ替えられるので、設定や管理が容易となる。 According to these inventions, the application conditions stored in the application condition storage means and the agreement information stored in the agreement information storage means are automatically rearranged, so that setting and management are facilitated.
また、本願では、上記暗号処理装置において、前記合意情報記憶手段と適用条件記憶手段とを宛先アドレス及び送信元アドレスをキーとして互いに関連付けておき、暗号化判定手段及び復号化判定手段は、適用条件記憶手段から適用条件を取得する際に該適用条件に関連付けられた合意情報を取得し、暗号化処理手段及び復号化処理手段は、前段の暗号化判定手段又は復号化判定手段で取得した合意情報を用いて暗号化処理又は復号化処理を行うものを提案する。 In the present application, in the cryptographic processing apparatus, the agreement information storage unit and the application condition storage unit are associated with each other using a destination address and a transmission source address as keys, and the encryption determination unit and the decryption determination unit When obtaining the application conditions from the storage means, the agreement information associated with the application conditions is obtained, and the encryption processing means and the decryption processing means are the agreement information obtained by the preceding encryption judgment means or the decryption judgment means. We propose the one that performs encryption or decryption using
本発明によれば、暗号化判定手段及び復号化判定手段において適用条件だけでなく合意情報も取得できるので、後段の暗号化処理手段及び復号化処理手段では合意情報の取得処理を省略できる。これにより処理の高速化が図られる。 According to the present invention, not only the application conditions but also the agreement information can be acquired in the encryption determination means and the decryption determination means, so that the acquisition processing of the agreement information can be omitted in the subsequent encryption processing means and decryption processing means. This speeds up the processing.
以上説明したように本発明によれば、合意情報記憶手段には、合意情報のキーとなる宛先アドレス及び送信元アドレスの双方を、単一の値のアドレスだけでなく複数のアドレスが含まれるアドレス群で指定可能となるので、設定や管理が容易となる。 As described above, according to the present invention, the agreement information storage means includes both a destination address and a transmission source address that are keys of the agreement information, not only a single value address but also a plurality of addresses. Since it can be specified in groups, setting and management become easy.
(第1の実施の形態)
本発明の第1の実施形態に係る暗号処理装置について図面を参照して説明する。図1は暗号処理装置の機能ブロック図である。なお、本実施の形態では、暗号通信のプロトコルとして前述したIPsecを用いるものとする。
(First embodiment)
A cryptographic processing apparatus according to a first embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a functional block diagram of the cryptographic processing apparatus. In this embodiment, it is assumed that the above-described IPsec is used as a protocol for encrypted communication.
この暗号処理装置100は、図1に示すように、接続された端末装置1と相手装置2との間で送受信されるIPパケットを中継する。ここで、暗号処理装置100は、端末装置1と暗号処理装置100の間のIPパケットは暗号化せず、端末装置1と相手装置2との間のネットワーク3を通過するパケットは暗号化するよう動作する。すなわち、暗号処理装置100は、暗号処理機能を有していない端末装置1に対して暗号通信サービスを提供するものである。
As shown in FIG. 1, the cryptographic processing device 100 relays IP packets transmitted and received between the connected terminal device 1 and the
暗号処理装置100の構成について図1を参照して説明する。暗号処理装置100は、図1に示すように、端末装置1と接続するための端末インタフェイス101と、ネットワーク3と接続するための端末インタフェイス102とを備えている。さらに、暗号処理装置100は、暗号処理の適用条件(セキュリティポリシー)を記憶した適用条件記憶手段111と、暗号処理で用いる合意情報(SA情報)を記憶した合意情報記憶手段112とを備えている。
The configuration of the cryptographic processing apparatus 100 will be described with reference to FIG. As shown in FIG. 1, the cryptographic processing apparatus 100 includes a
合意情報記憶手段112に記憶されている合意情報の一例を図2に示す。合意情報記憶手段112には、パケットの方向に応じたデータベースを有しており、具体的には図2に示すように、入力データベースと出力データベースとを備えている。入力データベースには、ネットワーク3から受信するパケットに対する適用条件が記憶されており、出力データベースには、端末装置1から受信するパケットに対する適用条件が記憶されている。入力データベース及び出力データベースのフォーマットは共通である。
An example of the agreement information stored in the agreement
合意情報記憶手段112には、送信元アドレス及び宛先アドレスの組をキーとして、当該アドレスの組に合致するパケットに対する暗号処理で用いられる合意情報を記憶する。本発明の特徴的な点は、送信元アドレス及び宛先アドレスの双方がアドレス群として記憶可能となっている点が特徴である。アドレス群としては、(アドレスの範囲(上限値と下限値)、ネットワークアドレス、ワイルドカードアドレス)などが挙げられる。本実施の形態では、ネットワークアドレスを、IPアドレスの末尾に当該ネットワークアドレスのプレフィクス長を「/ビット数」という形式で記憶している。また合意情報には、図2に示すように、SPI(Security Parameter Index),ESP(Encapsulating Security Payload)/AH(Authentication Header)の区別を示す情報、暗号処理で用いられる暗号鍵などの各種情報が用いられる。また、合意情報記憶手段112には、各合意情報が順序づけされて記憶されている。図2の例では、各行の上下により順序づけされていることを表しており、上の行ほど順位が上位である。
The agreement
適用条件記憶手段111に記憶されている適用条件の一例を図3に示す。適用条件記憶手段111には、パケットの方向に応じたデータベースを有しており、具体的には図2に示すように、入力データベースと出力データベースとを備えている。入力データベースには、ネットワーク3から受信するパケットに対する合意情報が記憶されており、出力データベースには、端末装置1から受信するパケットに対する合意情報が記憶されている。入力データベース及び出力データベースのフォーマットは共通である。
An example of application conditions stored in the application
適用条件記憶手段111には、合意情報記憶手段112と同様に、送信元アドレス及び宛先アドレスの組をキーとして、当該アドレスの組に合致するパケットに対するどのような処理を行うかを決定する情報である適用条件を記憶する。また、適用条件記憶手段111には、合意情報記憶手段112と同様に、送信元アドレス及び宛先アドレスの双方がアドレス群として記憶可能となっている。また適用条件としては、図3に示すように、該適用条件に合致したパケットに対して処理を行うModeやActionなどが挙げられる。また、適用条件記憶手段111には、合意情報記憶手段112と同様に、各適用条件が順序づけされて記憶されている。図3の例では、各行の上下により順序づけされていることを表しており、上の行ほど順位が上位である。
Similar to the agreement
さらに暗号処理装置100は、図1に示すように、端末装置1から受信したパケットに対して適用条件記憶手段111に記憶されている適用条件を参照して処理内容を判定する暗号化判定手段121と、暗号化判定手段121で暗号化を行うと判定されたパケットに対して合意情報記憶手段112に記憶されている合意情報を参照して暗号化処理を行う暗号化処理手段122と、相手装置2からネットワーク3を介して受信したパケットに対して適用条件記憶手段111に記憶されている適用条件を処理内容を判定する復号化判定手段131と、復号化判定手段131で復号化を行うと判定されたパケットに対して合意情報記憶手段112に記憶されている合意情報を参照して復号化処理を行う復号化処理手段132と、復号化されたパケットを判定して処理内容を決定する受信パケット判定手段133とを備えている。
Further, as shown in FIG. 1, the cryptographic processing device 100 refers to the application condition stored in the application
暗号化判定手段121及び復号化判定手段131は、それぞれ入力されたパケットのIPヘッダの送信元IPアドレス及び宛先IPアドレスが、適用条件記憶手段111に記憶されている各適用条件の送信元IPアドレス及び宛先IPアドレスに合致又は部分一致するかを順序にしたがって判定し、最初に合致又は部分一致した適用条件を適用条件記憶手段111から取得し、該適用条件に含まれる処理内容にしたがって処理を決定する。例えば、処理内容が透過であれば暗号化/復号化は行わずに当該パケットをスルーさせる。また、処理内容が廃棄であれば当該パケットを廃棄する。さらに、処理内容が暗号化/復号化であれば当該パケットを後段の暗号化処理手段122又は復号化処理手段132に渡す。なお、暗号化判定手段121では、適用条件記憶手段111の出力データベースを参照し、復号化判定手段131では入力データベースを参照する。
The
アドレスの合致及び部分一致について図2の例を参照して説明する。例えば、図2の入力データベースの1行目の「2001:DB8:9abc:def0:1234:5678:9abc:def0/128」はプレフィクス長128bitのIPv6アドレスなので同一のアドレスのみが該当する(合致)。また、同2行目の「010.056.078.090/32」はプレフィクス長32bitのIPv4アドレスなので同一のアドレスのみが該当する(合致)。同3行目の「2001:DB8:9abc:def0::/64」はプレフィクス長64bitのIPv6アドレスなので前方64bitが一致するアドレスが該当する(部分一致)。同4行目の「010.078.090.0/28」はプレフィクス長28bitのIPv4アドレスなので前方28bitが一致するアドレスが該当する(部分一致)。同5行目の「::/0」はIPv6の前方0bitが一致する、すなわち全て(ワイルドカード)のIPv6アドレスが該当する(部分一致)。同6行目の「0.0.0.0/0」は、IPv4の前方0bitが一致する、すなわち全て(ワイルドカード)のIPv4アドレスが該当する(部分一致)。 Address matching and partial matching will be described with reference to the example of FIG. For example, “2001: DB8: 9abc: def0: 1234: 5678: 9abc: def0 / 128” on the first line of the input database in FIG. 2 is an IPv6 address having a prefix length of 128 bits, so only the same address is applicable (match). . Also, since “010.056.078.090/32” in the second line is an IPv4 address having a prefix length of 32 bits, only the same address is applicable (match). Since “2001: DB8: 9abc: def0 :: / 64” in the third line is an IPv6 address having a prefix length of 64 bits, an address where the front 64 bits match (partial match) corresponds. Since “010.078.090.0/28” in the fourth line is an IPv4 address having a prefix length of 28 bits, an address where the front 28 bits match (corresponds partially). “:: / 0” in the fifth line matches the forward 0 bits of IPv6, that is, all (wildcard) IPv6 addresses correspond (partial match). “0.0.0.0/0” in the sixth row matches the forward 0 bits of IPv4, that is, all (wildcard) IPv4 addresses correspond (partial match).
暗号化処理手段122及び復号化処理手段132は、それぞれ入力されたパケットのIPヘッダの送信元IPアドレス及び宛先IPアドレスが、合意情報記憶手段112に記憶されている各合意情報の送信元IPアドレス及び宛先IPアドレスに合致又は部分一致するかを順序にしたがって判定し、最初に合致又は部分一致した合意情報を合意情報記憶手段112から取得し、該合意情報を用いて暗号化処理又は復号化処理を行う。なお、暗号化処理手段122では、合意情報記憶手段112の出力データベースを参照し、復号化処理手段132では入力データベースを参照する。
The
受信パケット判定手段133は、復号化処理手段132で復号化された受信パケットのペイロード等を参照して当該パケットの取り扱いを判定し、該判定に基づきパケットの処理を行う。この判定処理では、前記復号化判定手段131と同様に適用条件記憶手段111に記憶されている適用条件に基づき処理する。
The received
次に、本実施の形態に係る暗号処理装置100の動作について図面を参照して説明する。まず、暗号処理装置100が受信したパケットに対する暗号化又は復号化の適用判定処理について図4のフロチャートを参照して説明する。 Next, the operation of the cryptographic processing apparatus 100 according to the present embodiment will be described with reference to the drawings. First, encryption or decryption application determination processing for a packet received by the cryptographic processing apparatus 100 will be described with reference to the flowchart of FIG.
暗号処理装置100にパケットが入力されると(ステップS1)、当該パケットの方向が入力(in-bound)ならば、復号化判定手段131が当該パケットのアドレスと適用条件記憶手段111に記憶されている適用条件のアドレスが一致又は部分一致するか判定し(ステップS2,S3)、当該パケットの方向が出力(out-bound)ならば、暗号化判定手段121が当該パケットのアドレスと適用条件記憶手段111に記憶されている適用条件のアドレスが一致又は部分一致するか判定する(ステップS2,S4)。そして、復号化判定手段131又は暗号化判定手段121は、適用条件記憶手段111から取得した処理内容に応じた処理を実行し(ステップS5)、後段の復号化処理手段132又は暗号化処理手段122等にパケットを出力する(ステップS6)。
When a packet is input to the cryptographic processing apparatus 100 (step S1), if the direction of the packet is input (in-bound), the
次に、暗号化処理又は復号化処理の適用判定処理について図5のフローチャートを参照して説明する。まず、パケットが入力されると(ステップS11)、当該パケットの方向が入力(in-bound)ならば、復号化処理手段132が当該パケットのアドレスと合意情報記憶手段112に記憶されている合意情報のアドレスが一致又は部分一致するか判定し(ステップS12,S13)、当該パケットの方向が出力(out-bound)ならば、暗号化処理手段122が当該パケットのアドレスと合意情報記憶手段112に記憶されている合意情報のアドレスが一致又は部分一致するか判定する(ステップS12,S14)。そして、復号化処理手段132又は暗号化処理手段122は、合意情報記憶手段112から取得した合意情報に応じた復号化処理又は暗号化処理処理を実行し(ステップS15)、パケットを出力する(ステップS16)。
Next, application determination processing for encryption processing or decryption processing will be described with reference to the flowchart of FIG. First, when a packet is input (step S11), if the direction of the packet is input (in-bound), the
以上のように本実施の形態に係る暗号処理装置100によれば、合意情報記憶手段112に記憶する各合意情報のキーとして、宛先IPアドレス及び送信元IPアドレスの双方をアドレス群で記憶できるので、合意情報の設定及び管理が容易となる。
As described above, according to the cryptographic processing apparatus 100 according to the present embodiment, both the destination IP address and the source IP address can be stored as a group of addresses as a key for each piece of agreement information stored in the agreement
(第2の実施の形態)
次に、本発明の第2の実施の形態に係る暗号処理装置について図面を参照して説明する。図6は暗号処理装置の機能ブロック図である。本実施の形態に係る暗号処理装置が第1の実施の形態と異なる点は、図6に示すように、適用条件記憶手段111及び合意情報記憶手段112に記憶されている各データを管理するデータ管理手段141を備えている点にある。他の構成については第1の実施の形態と同様なので、ここでは相違点のみを説明する。
(Second Embodiment)
Next, a cryptographic processing apparatus according to the second embodiment of the present invention will be described with reference to the drawings. FIG. 6 is a functional block diagram of the cryptographic processing apparatus. The cryptographic processing apparatus according to the present embodiment is different from the first embodiment in that data managing each data stored in the application condition storage means 111 and the agreement information storage means 112 as shown in FIG. The management means 141 is provided. Since other configurations are the same as those in the first embodiment, only the differences will be described here.
データ管理手段141は、適用条件記憶手段111及び合意情報記憶手段112に記憶されている各データの管理サービスを提供するインタフェイスであり、具体的には外部からの入力データを適用条件記憶手段111又は合意情報記憶手段112に追加したり、適用条件記憶手段111又は合意情報記憶手段112に記憶されているデータの削除等を行う。ここで入力データは、例えば端末装置1から受信するようにしても、ネットワーク3側から受信するようにしても、例えば暗号処理装置100に携帯記憶媒体を装着して該記憶媒体から入力するようにしてもよい。
The
このデータ管理手段141が特徴的な点は、適用条件記憶手段111及び合意情報記憶手段112に記憶されている各データについて、その順序を自動的に管理する点にある。すなわち、前述したように各データのキーとなる宛先IPアドレス及び送信元IPアドレスには、単一の値のアドレスだけでなくアドレス群を指定できるが、各記憶手段111及び112の各データは、宛先IPアドレスに含まれるアドレスの数と送信元IPアドレスに含まれるアドレスの数の和が少ないものほど上位となるように順序管理(すなわち並べ替え処理)を行う。本実施の形態では、各アドレスをアドレスとプレフィクス長の組で表しているので、データ管理手段141は、各記憶手段111及び112の各データについて、宛先IPアドレスのプレフィクス長と送信元IPアドレスのプレフィクス長の和が大きいものほど上位となるように順序管理を行う。これにより、暗号化判定手段121など各手段では、入力パケットに対して一致するビット数が大きいデータが優先的に得られるので、最長一致アルゴリズム(Longest Match)にしたがったものとなる。
A characteristic feature of the
データ管理手段141の動作について図7のフローチャートを参照して説明する。データ管理手段141は、外部からデータ(情報)の入力があると(ステップS21)、当該データが入力方向に係るものの場合には、宛先IPアドレスのプレフィクス長と送信元IPアドレスのプレフィクス長の和に基づき順位判定を行い(ステップS22)、当該データを適用条件記憶手段111又は合意情報記憶手段112の入力データベースに記憶する(ステップS23)。一方、当該データが出力方向に係るものの場合には、宛先IPアドレスのプレフィクス長と送信元IPアドレスのプレフィクス長の和に基づき順位判定を行い(ステップS24)、当該データを適用条件記憶手段111又は合意情報記憶手段112の出力データベースに記憶する(ステップS25)。
The operation of the
本実施の形態に係る暗号処理装置によれば、適用条件記憶手段111及び合意情報記憶手段112に記憶されている各データの順序づけが自動的に処理されるので、すなわち自動的に各データの並べ替え処理が行われるので、設定及び管理を容易に行うことができる。他の作用・効果については第1の実施の形態と同様である。
According to the cryptographic processing apparatus according to the present embodiment, the ordering of the data stored in the application
(第3の実施の形態)
次に、本発明の第3の実施の形態に係る暗号処理装置について図面を参照して説明する。本実施の形態に係る暗号処理装置が第2の実施の形態と異なる点は、データ管理手段141の動作にある。他の構成については図6を参照して説明した第2の実施の形態と同様なので、ここでは相違点のみを説明する。
(Third embodiment)
Next, a cryptographic processing apparatus according to the third embodiment of the present invention will be described with reference to the drawings. The cryptographic processing apparatus according to the present embodiment is different from the second embodiment in the operation of the
本実施の形態に係るデータ管理手段141は、適用条件記憶手段111及び合意情報記憶手段112の入力データベースの各データについては、宛先IPアドレスに含まれるアドレスの数が少ないものほど上位となるように順序管理(すなわち並べ替え処理)を行い、出力データベースの各データについては、送信元IPアドレスに含まれるアドレスの数が少ないものほど上位となるように順序管理を行う。さらに、各記憶手段111及び112の入力データベースの各データについて、宛先IPアドレスに含まれるアドレスの数が同じデータ間の順序関係については、送信元IPアドレスに含まれるアドレスの数が少ないものほど上位となるように順序管理を行う。同様に、各記憶手段111及び112の出力データベースの各データについて、送信元IPアドレスに含まれるアドレスの数が同じデータ間の順序関係については、宛先IPアドレスに含まれるアドレスの数が少ないものほど上位となるように順序管理を行う。なお、本実施の形態では、各アドレスをアドレスとプレフィクス長の組で表しているので、データ管理手段141は、第2の実施の形態と同様に各データのプレフィクス長に基づき順序管理を行う。
The
データ管理手段141の動作について図8のフローチャートを参照して説明する。データ管理手段141は、外部からデータ(情報)の入力があると(ステップS31)、当該データが入力方向に係るものの場合には、宛先IPアドレスのプレフィクス長に基づき順位判定を行い(ステップS32)、宛先IPアドレスのプレフィクス長が同じデータについては更に送信元IPアドレスのプレフィクス長に基づき順序判定を行い(ステップS33)、当該データを適用条件記憶手段111又は合意情報記憶手段112の入力データベースに記憶する(ステップS34)。一方、当該データが出力方向に係るものの場合には、送信元IPアドレスのプレフィクス長に基づき順位判定を行い(ステップS35)、送信元IPアドレスのプレフィクス長が同じデータについては更に宛先IPアドレスのプレフィクス長に基づき順序判定を行い(ステップS36)、当該データを適用条件記憶手段111又は合意情報記憶手段112の出力データベースに記憶する(ステップS37)。
The operation of the
本実施の形態に係る暗号処理装置によれば、適用条件記憶手段111及び合意情報記憶手段112に記憶されている各データの順序づけが自動的に処理されるので、すなわち自動的に各データの並べ替え処理が行われるので、設定及び管理を容易に行うことができる。他の作用・効果については第1の実施の形態と同様である。
According to the cryptographic processing apparatus according to the present embodiment, the ordering of the data stored in the application
(第4の実施の形態)
次に、本発明の第4の実施の形態に係る暗号処理装置について図面を参照して説明する。図9は暗号処理装置の機能ブロック図である。
(Fourth embodiment)
Next, a cryptographic processing apparatus according to a fourth embodiment of the present invention will be described with reference to the drawings. FIG. 9 is a functional block diagram of the cryptographic processing apparatus.
本実施の形態に係る暗号処理装置が第1の実施の形態と異なる点は、図9に示すように、適用条件記憶手段111と合意情報記憶手段112とが互いにリンクしている点にある。より具体的には、適用条件記憶手段111に記憶されている各データと合意情報記憶手段112に記憶されている各データは、宛先IPアドレス及び送信元IPアドレスが一致するものについてリンクしている。これにより、適用条件記憶手段111から宛先IPアドレス及び送信元IPアドレスをキーとして適用条件を取得すると、当時に当該キーの合意情報を合意情報記憶手段112から取得可能となっている。
The cryptographic processing apparatus according to the present embodiment is different from the first embodiment in that the application
暗号化判定手段121及び復号化判定手段131は、適用条件記憶手段111から宛先IPアドレス及び送信元IPアドレスをキーとして適用条件を取得すると、該適用条件とともに同一キーの合意情報を取得する。そして、該合意情報を後段の暗号化処理手段122又は復号化処理手段132に渡す。暗号化処理手段122及び復号化処理手段132は、合意情報記憶手段112にアクセスすることなく前段の暗号化判定手段121又は復号化判定手段132から受け取った合意情報を用いて暗号化処理又は復号化処理を実施する。
When the
本実施の形態に係る暗号処理装置によれば、適用条件及び合意条件を取得するためのステップ数が軽減するので処理の高速化を図ることができる。他の作用効果は第1の実施の形態と同様である。 According to the cryptographic processing apparatus according to the present embodiment, the number of steps for acquiring the application condition and the agreement condition is reduced, so that the processing speed can be increased. Other functions and effects are the same as those of the first embodiment.
なお、本実施の形態では第1の実施の形態の変形例として説明したが、上記第2又は第3の実施の形態についても本実施の形態と同様の変形を適用することができる。 Although the present embodiment has been described as a modification of the first embodiment, the same modification as the present embodiment can be applied to the second or third embodiment.
以上本発明について第1〜第4の実施の形態について詳述したが本発明はこれに限定されるものではない。例えば、上記第2及び第3の実施の形態では、適用条件記憶手段111に記憶された適用情報及び合意情報記憶手段112に記憶された合意情報を、キーとなる宛先IPアドレス及び送信元IPアドレスのプレフィクス長に基づき所定のルールで自動的に並べ替えるようにしたが、常に当該ルールに従って並べ替えた状態する必要はない。すなわち、適用条件記憶手段111に記憶された適用情報及び合意情報記憶手段112に記憶された合意情報を任意に並べ替え可能としてもよい。これにより、柔軟なネットワーク設計や運用が可能となる。
Although the first to fourth embodiments of the present invention have been described in detail above, the present invention is not limited to this. For example, in the second and third embodiments, the application information stored in the application
また、上記第3の実施の形態では、適用条件記憶手段111に記憶された適用情報及び合意情報記憶手段112に記憶された合意情報を、入力データベースの各データについてはキーとなる宛先IPアドレスに含まれるアドレス数が少ないもの(プレフィクス長が長いもの)を優先し、出力データベースの各データについてはキーとなる送信元IPアドレスに含まれるアドレス数が少ないものを優先していたが、逆に、入力データベースの各データについてはキーとなる送信元IPアドレスに含まれるアドレス数が少ないものを優先し、出力データベースの各データについてはキーとなる宛先IPアドレスに含まれるアドレス数が少ないものを優先するようにしてもよい。
In the third embodiment, the application information stored in the application
また、上記各実施の形態では、IPパケットの宛先IPアドレス及び送信元IPアドレスをキーとして処理を行っていたが、宛先IPアドレス及び送信元IPアドレスに加えて該IPパケットの上位レイヤであるTCPやUDPのポート番号(送信元/宛先)をキーとして用いるようにしてもよい。これにより、さらに詳細なネットワーク設計が可能となる。 In each of the above embodiments, processing is performed using the destination IP address and the source IP address of the IP packet as a key. However, in addition to the destination IP address and the source IP address, a TCP that is an upper layer of the IP packet is used. Alternatively, the UDP port number (source / destination) may be used as a key. As a result, a more detailed network design is possible.
また、上記各実施の形態では、適用条件記憶手段111及び合意情報記憶手段112は、それぞれパケットの方向に応じて入力データベース及び出力データベースを設けているが、入力データベースと出力データベースを1つのデータベースとして管理してもよい。さらに、上記各実施の形態では、適用条件と合意情報はそれぞれ別個の記憶手段に記憶していたが、共通の記憶手段で一括して管理するようにしてもよい。
In each of the above embodiments, the application
また、上記各実施の形態では暗号処理のプロトコルとしてIPsecを例示したが、他のプロトコルであっても本願発明を実施することができる。 In each of the above embodiments, IPsec is exemplified as the encryption processing protocol. However, the present invention can be implemented even with other protocols.
1…端末装置、2…相手装置、3…ネットワーク、100…暗号処理装置、101…端末インタフェイス、102…ネットワークインタフェイス、111…適用条件記憶手段、112…合意情報記憶手段、121…暗号化判定手段、122…暗号化処理手段、131…復号化判定手段、132…復号化処理部、133…受信パケット判定手段、141…データ管理手段 DESCRIPTION OF SYMBOLS 1 ... Terminal device, 2 ... Partner apparatus, 3 ... Network, 100 ... Cryptographic processing apparatus, 101 ... Terminal interface, 102 ... Network interface, 111 ... Application condition storage means, 112 ... Agreement information storage means, 121 ... Encryption Determining means, 122 ... Encryption processing means, 131 ... Decryption determining means, 132 ... Decryption processing unit, 133 ... Received packet determining means, 141 ... Data management means
Claims (5)
パケットに対する暗号化処理及び復号化処理の適用条件を宛先アドレス及び送信元アドレスをキーとして順序づけして記憶する適用条件記憶手段と、
パケットの暗号化処理及び復号化処理で用いる合意情報を宛先アドレス及び送信元アドレスをキーとして順序づけして記憶する合意情報記憶手段と、
第1のネットワーク側から受信したパケットの宛先アドレス及び送信元アドレスをキーとして適用条件記憶手段から適用条件を順序にしたがって取得し、該適用条件に基づきパケットに対する処理内容を判定する暗号化判定手段と、
暗号化判定手段で暗号化対象と判定されたパケットの宛先アドレス及び送信元アドレスをキーとして合意情報記憶手段から合意情報を順序にしたがって取得し、該合意情報に基づきパケットの暗号化処理を行う暗号化処理部と、
第2のネットワーク側から受信した暗号化パケットの宛先アドレス及び送信元アドレスをキーとして適用条件記憶手段から適用条件を順序にしたがって取得し、該適用条件に基づき暗号化パケットに対する処理内容を判定する復号化判定手段と、
復号化判定手段で復号化対象と判定されたパケットの宛先アドレス及び送信元アドレスをキーとして合意情報記憶手段から合意情報を順序にしたがって取得し、該合意情報に基づきパケットの復号化処理を行う復号化処理部とを備え、
前記合意情報記憶手段は、合意情報のキーとして記憶する宛先アドレス及び送信元アドレスの双方を、複数のアドレスが含まれるアドレス群で記憶可能とし、
前記暗号化処理部及び復号化処理部は、パケットの宛先アドレス及び送信元アドレスの双方が完全一致又は部分一致する合意情報を順序にしたがって合意情報記憶手段から取得する
ことを特徴とする暗号処理装置。 A packet transmitted from the terminal device on the first network side to the partner device on the second network side is encrypted and relayed to the partner device, and an encrypted packet addressed to the terminal device is decrypted from the partner device. In the cryptographic processing device relaying to the terminal device,
Application condition storage means for storing application conditions of encryption processing and decryption processing for packets in order with a destination address and a source address as a key;
Agreement information storage means for storing agreement information used in packet encryption processing and decryption processing in order using a destination address and a source address as a key;
Encryption determination means for acquiring application conditions in order from the application condition storage means using the destination address and source address of the packet received from the first network side as keys, and determining the processing content for the packet based on the application conditions; ,
A cipher that obtains agreement information from the agreement information storage means according to the order using the destination address and source address of the packet that has been determined to be encrypted by the encryption determination means as a key, and performs packet encryption processing based on the agreement information The processing unit,
Decryption that obtains application conditions from the application condition storage means in order using the destination address and source address of the encrypted packet received from the second network side as keys, and determines the processing content for the encrypted packet based on the application condition A determination means;
Decoding that obtains agreement information from the agreement information storage means in the order using the destination address and source address of the packet determined to be decrypted by the decryption judgment means as a key, and performs packet decryption processing based on the agreement information And processing unit,
The agreement information storage means can store both a destination address and a transmission source address stored as a key of agreement information in an address group including a plurality of addresses,
The encryption processing unit and the decryption processing unit acquire agreement information in which both the destination address and the transmission source address of the packet are completely or partially matched from the agreement information storage unit according to an order. .
ことを特徴とする請求項1記載の暗号処理装置。 The application information stored in the application condition storage means and the agreement information stored in the agreement information storage means are ordered so that the smaller the number of addresses included in the key destination address and the transmission source address, the higher the order. The cryptographic processing apparatus according to claim 1, further comprising a management unit that rearranges the scrambler.
ことを特徴とする請求項1記載の暗号処理装置。 The application information stored in the application condition storage means and the agreement information stored in the agreement information storage means, the number of addresses included in the source address as a key for the application information or agreement information used in the decryption process Management means that rearranges the order so that the lower the number of addresses, the higher the order, and the application information or the agreement information used in the encryption process, the lower the number of addresses included in the key destination address, the higher the order. The cryptographic processing apparatus according to claim 1, wherein:
ことを特徴とする請求項1記載の暗号処理装置。 The application information stored in the application condition storage means and the agreement information stored in the agreement information storage means are the number of addresses included in the destination address that is a key for the application information or the agreement information used in the decryption process. Management means for rearranging the order so that the smaller the number, the higher the order, and the application information or agreement information used in the encryption process, the lower the number of addresses included in the key transmission source address, the higher the order. The cryptographic processing apparatus according to claim 1, wherein:
暗号化判定手段及び復号化判定手段は、適用条件記憶手段から適用条件を取得する際に該適用条件に関連付けられた合意情報を取得し、
暗号化処理手段及び復号化処理手段は、前段の暗号化判定手段又は復号化判定手段で取得した合意情報を用いて暗号化処理又は復号化処理を行う
ことを特徴とする請求項1乃至4何れか1項記載の暗号処理装置。 The agreement information storage means and the application condition storage means are associated with each other using a destination address and a source address as keys,
The encryption determination unit and the decryption determination unit acquire agreement information associated with the application condition when acquiring the application condition from the application condition storage unit,
The encryption processing means and the decryption processing means perform encryption processing or decryption processing using the agreement information acquired by the preceding encryption determination means or decryption determination means. The cryptographic processing device according to claim 1.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005185307A JP4113205B2 (en) | 2005-06-24 | 2005-06-24 | Cryptographic processing device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005185307A JP4113205B2 (en) | 2005-06-24 | 2005-06-24 | Cryptographic processing device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007006255A JP2007006255A (en) | 2007-01-11 |
JP4113205B2 true JP4113205B2 (en) | 2008-07-09 |
Family
ID=37691409
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005185307A Active JP4113205B2 (en) | 2005-06-24 | 2005-06-24 | Cryptographic processing device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4113205B2 (en) |
-
2005
- 2005-06-24 JP JP2005185307A patent/JP4113205B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2007006255A (en) | 2007-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7215667B1 (en) | System and method for communicating IPSec tunnel packets with compressed inner headers | |
Jokela et al. | Using the encapsulating security payload (ESP) transport format with the host identity protocol (HIP) | |
AU2013266624B2 (en) | Multi-tunnel virtual private network | |
US9571458B1 (en) | Anti-replay mechanism for group virtual private networks | |
US6438612B1 (en) | Method and arrangement for secure tunneling of data between virtual routers | |
US10009336B2 (en) | Network security system to validate a server certificate | |
JP4081724B1 (en) | Client terminal, relay server, communication system, and communication method | |
US9479534B2 (en) | Method, system, and logic for in-band exchange of meta-information | |
US20070165638A1 (en) | System and method for routing data over an internet protocol security network | |
US20100268935A1 (en) | Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway | |
CN110912859B (en) | Method for sending message, method for receiving message and network equipment | |
WO2016165277A1 (en) | Ipsec diversion implementing method and apparatus | |
JP4933286B2 (en) | Encrypted packet communication system | |
JP4113205B2 (en) | Cryptographic processing device | |
JP2006196996A (en) | Communications system and communication method | |
US20100275008A1 (en) | Method and apparatus for secure packet transmission | |
KR102023416B1 (en) | Network switch and method for setting encryption section in data link layer using the same | |
JP6075871B2 (en) | Network system, communication control method, communication control apparatus, and communication control program | |
CN114785536B (en) | Message processing method and device | |
JP2018116123A (en) | Gateway device and gateway system | |
JP2012160941A (en) | Information processing device, information processing method and program | |
JP2011015042A (en) | Encryption communication device, encryption communication method, and program | |
Alhoaimel | Performance Evaluation of IPv6 and the Role of IPsec in Encrypting Data | |
JP2007005989A (en) | Encryption communication system | |
JPWO2008026243A1 (en) | Data encryption apparatus, address resolution method, and address resolution program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080311 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080408 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080410 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4113205 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110418 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120418 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130418 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140418 Year of fee payment: 6 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |