JP4212051B2 - セキュリティ情報管理方法、通信主体、および、通信主体プログラム - Google Patents
セキュリティ情報管理方法、通信主体、および、通信主体プログラム Download PDFInfo
- Publication number
- JP4212051B2 JP4212051B2 JP2004199351A JP2004199351A JP4212051B2 JP 4212051 B2 JP4212051 B2 JP 4212051B2 JP 2004199351 A JP2004199351 A JP 2004199351A JP 2004199351 A JP2004199351 A JP 2004199351A JP 4212051 B2 JP4212051 B2 JP 4212051B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- phase
- communication partner
- ike
- partner device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、セキュリティ情報管理方法、通信主体、および、通信主体プログラムに関する。
通信主体(装置)と、通信主体が接続しているIP(Internet Protocol)通信ネットワークと、通信ネットワークと接続し、通信主体と通信データを交換する通信相手(装置)とで構成される通信システムにおいて、安全な通信を実現するために、通信相手どうしで、SA(Security Association)を確立することが、一般的に行われている。ここで、SAは、安全な通信路であり、SAが保護対象とするデータを、他者からの盗み見や、改竄から守ることを可能とする。
通信を行う二者の間で暗号化や認証のための秘密鍵の生成・交換を自動で行うことが可能なプロトコルであるIKE(Internet Key Exchange)(非特許文献1など)で生成されるSAは、フェーズ1で生成されるISAKMPSA(Internet Security Association and Key Management Protocol Security Association)と、フェーズ2で生成されるIPsecSA(IP security protocol Security Association)の2つである。そして、IPsecSAの確立のために必要なデータは、ISAKMPSAによって、保護されて通信される。
IETF(The Internet Engineering Task Force)、"The Internet Key Exchange (IKE)"、[online]、[平成16年5月17日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc2409.txt>
IETF(The Internet Engineering Task Force)、"The Internet Key Exchange (IKE)"、[online]、[平成16年5月17日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc2409.txt>
しかし、確立されたISAKMPSAをもとに、IPsecSAを確立する際には、問題が生じる。つまり、従来のIKEでは、IPsecSAを確立する際に使用されるIPアドレスが、ISAKMPSAを確立する際に使用されるIPアドレスとは無関係であってもよい仕様になっている。よって、悪意のあるユーザが、ISAKMPSAのIPアドレスとは別のIPアドレス(詐称したアドレス)を用いて、IPsecSAを確立してしまうと、そのIPsecSAの詐称したアドレスを介して、不正なアクセスが行われる可能性がある。その場合、通信相手を特定するための有力な情報であるIPアドレスが、詐称したアドレスとなってしまうので、不正アクセスの検出が困難になってしまう。
そこで、本発明は、前記した問題を解決し、IPsecにおけるSAの確立において、アドレスの詐称行為を防止することを主な目的とする。
前記課題を解決するため、請求項1に記載のセキュリティ情報管理方法は、通信主体装置と、前記通信主体装置が接続している通信ネットワークと、前記通信ネットワークと接続し、前記通信主体装置と通信データを交換する通信相手装置とで構成される通信システムにおいて、
通信主体装置が、IKEを利用して通信相手装置との間にIPsecSAを確立する場合に、IKEフェーズ1における通信相手装置のIDとIKEフェーズ2における通信相手装置のIDの対応情報を記憶手段に格納し、
IKEフェーズ1においてその通信相手装置のIDの使用を許可された通信相手装置に、IKEフェーズ2においてもその通信相手装置のIDをもとに、通信主体装置との間にIPsecSAを確立させるとともに、
前記IDの使用を許可されていない通信相手装置によるIPsecSAの確立要求を拒否することを特徴とする。
通信主体装置が、IKEを利用して通信相手装置との間にIPsecSAを確立する場合に、IKEフェーズ1における通信相手装置のIDとIKEフェーズ2における通信相手装置のIDの対応情報を記憶手段に格納し、
IKEフェーズ1においてその通信相手装置のIDの使用を許可された通信相手装置に、IKEフェーズ2においてもその通信相手装置のIDをもとに、通信主体装置との間にIPsecSAを確立させるとともに、
前記IDの使用を許可されていない通信相手装置によるIPsecSAの確立要求を拒否することを特徴とする。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手が、その事前認証情報を使って他のIPアドレスを端点としたIPsecSAを通信主体との間で確立しようとした場合に、通信主体がこれを拒否することができる。よって、IPsecにおけるSAの確立において、アドレスの詐称行為を防止することができる。
請求項2に記載のセキュリティ情報管理方法は、請求項1に記載のセキュリティ情報管理方法であって、前記通信主体装置は、IKEフェーズ1が完了して前記通信相手装置との間にISAKMPSAを確立した時点で、確立したISAKMPSAの識別子であるクッキーペアと、そのISAKMPSAを確立するIKEフェーズ1の過程で通信相手装置が申請してきた通信相手装置のIDの対応を記憶手段に記憶することを特徴とする。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手が、その事前認証情報を使って他のIPアドレスを端点としたIPsecSAを通信主体との間で確立しようとした場合に、通信主体がこれを拒否することができる。よって、IPsecにおけるSAの確立において、アドレスの詐称行為を防止することができる。
請求項3に記載のセキュリティ情報管理方法は、請求項2に記載のセキュリティ情報管理方法であって、前記通信主体装置は、前記通信相手装置との間にIPsecSAを確立するIKEフェーズ2の過程で、IETF標準のIKEver1の処理に加えて、通信相手装置が申請してきたクッキーペアと通信相手装置のIDの対応と、通信主体装置がISAKMPSA確立時に前記記憶手段に記憶したクッキーペアと通信相手装置のIDの対応を比較し、
対応関係が合致した場合にこの合致した通信相手装置との間にIPsecSAを確立し、
合致しない場合はこの合致しない通信相手装置との間にIPsecSAを確立しないことを特徴とする。
対応関係が合致した場合にこの合致した通信相手装置との間にIPsecSAを確立し、
合致しない場合はこの合致しない通信相手装置との間にIPsecSAを確立しないことを特徴とする。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手が、その事前認証情報を使って他のIPアドレスを端点としたIPsecSAを通信主体との間で確立しようとした場合に、通信主体がこれを拒否することができる。よって、IPsecにおけるSAの確立において、アドレスの詐称行為を防止することができる。
請求項4に記載のセキュリティ情報管理方法は、請求項2に記載のセキュリティ情報管理方法であって、IKEフェーズ1の過程で前記通信相手装置がIPアドレス以外の文字列をIDに使用する場合は、前記通信主体装置は、IKE開始前にIKEフェーズ1のIDに使用する文字列とIKEフェーズ2のIDに使用するIPアドレスの対応を記憶手段に記憶し、
通信相手装置からIKEフェーズ1のIDを使用して送付された文字列とIKEフェーズ2のIDを使用して送付されたIPアドレスの対応と、IKE開始前に前記記憶手段に記憶した対応を比較し、対応関係が合致した場合にこの合致した通信相手装置との間にそのIPアドレスを端点としたIPsecSAを確立し、合致しない場合はこの合致しない通信相手装置との間にそのIPアドレスを端点としたIPsecSAを確立しないことを特徴とする。
通信相手装置からIKEフェーズ1のIDを使用して送付された文字列とIKEフェーズ2のIDを使用して送付されたIPアドレスの対応と、IKE開始前に前記記憶手段に記憶した対応を比較し、対応関係が合致した場合にこの合致した通信相手装置との間にそのIPアドレスを端点としたIPsecSAを確立し、合致しない場合はこの合致しない通信相手装置との間にそのIPアドレスを端点としたIPsecSAを確立しないことを特徴とする。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手が、その事前認証情報を使って他のIPアドレスを端点としたIPsecSAを通信主体との間で確立しようとした場合に、通信主体がこれを拒否することができる。よって、IPsecにおけるSAの確立において、アドレスの詐称行為を防止することができる。
請求項5に記載の通信主体装置は、通信主体装置と、前記通信主体装置が接続している通信ネットワークと、前記通信ネットワークと接続し、前記通信主体装置と通信データを交換する通信相手装置とで構成される通信システムにおける前記通信主体装置であって、
IKEフェーズ1において前記通信主体装置と前記通信相手装置との間で確立されたISAKMPSAを一意に識別するクッキーペアと、前記通信相手装置のIDとの対応情報を、フェーズ2検証データとして作成するフェーズ2検証データ作成部と、
前記フェーズ2検証データを格納するフェーズ2検証データ格納部と、
IKEフェーズ2において前記通信相手装置から受信したパケットに付されたクッキーペアおよびIDが、前記フェーズ2検証データと合致しない場合に、前記通信相手装置からのIKEフェーズ2の処理を中止するように制御するフェーズ2検証部と、
を含んで構成されることを特徴とする通信主体装置。
IKEフェーズ1において前記通信主体装置と前記通信相手装置との間で確立されたISAKMPSAを一意に識別するクッキーペアと、前記通信相手装置のIDとの対応情報を、フェーズ2検証データとして作成するフェーズ2検証データ作成部と、
前記フェーズ2検証データを格納するフェーズ2検証データ格納部と、
IKEフェーズ2において前記通信相手装置から受信したパケットに付されたクッキーペアおよびIDが、前記フェーズ2検証データと合致しない場合に、前記通信相手装置からのIKEフェーズ2の処理を中止するように制御するフェーズ2検証部と、
を含んで構成されることを特徴とする通信主体装置。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手が、その事前認証情報を使って他のIPアドレスを端点としたIPsecSAを通信主体との間で確立しようとした場合に、通信主体がこれを拒否することができる。よって、IPsecにおけるSAの確立において、アドレスの詐称行為を防止することができる。
請求項6に記載の通信主体装置は、請求項5に記載の通信主体装置であって、前記通信主体装置は、
IKEフェーズ1において前記通信相手装置との間で共有する事前共有秘密鍵と前記通信相手装置のIDとの対応を、フェーズ1検証データとして取得するフェーズ1検証データ取得部と、
前記フェーズ1検証データを格納するフェーズ1検証データ格納部と、
IKEフェーズ1において前記通信相手装置から受信した認証データおよび前記通信相手装置のIDが、前記フェーズ1検証データの事前共有秘密鍵から生成される認証データおよび前記通信相手装置のIDと合致しない場合に、前記通信相手装置からのIKEフェーズ1の処理を中止するように制御するフェーズ1検証部と、
をさらに含んで構成されることを特徴とする。
IKEフェーズ1において前記通信相手装置との間で共有する事前共有秘密鍵と前記通信相手装置のIDとの対応を、フェーズ1検証データとして取得するフェーズ1検証データ取得部と、
前記フェーズ1検証データを格納するフェーズ1検証データ格納部と、
IKEフェーズ1において前記通信相手装置から受信した認証データおよび前記通信相手装置のIDが、前記フェーズ1検証データの事前共有秘密鍵から生成される認証データおよび前記通信相手装置のIDと合致しない場合に、前記通信相手装置からのIKEフェーズ1の処理を中止するように制御するフェーズ1検証部と、
をさらに含んで構成されることを特徴とする。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手だけが、通信主体との間でそのIPアドレスを端点としたIPsecSAを確立可能とし、そのIPアドレスと対応付けられた事前認証情報を保持していない他の通信相手は、通信主体との間で、そのIPアドレスを端点としたIPsecSAを確立不可とすることができる。
請求項7に記載の通信主体装置プログラムは、通信主体装置と、前記通信主体装置が接続している通信ネットワークと、前記通信ネットワークと接続し、前記通信主体装置と通信データを交換する通信相手装置とで構成される通信システムにおける前記通信主体装置を動作させるための通信主体装置プログラムであって、演算処理を行う際に用いられる記憶領域としてのメモリと、前記演算処理を行う演算処理装置とを少なくとも備える前記通信主体装置を、
IKEフェーズ1において前記通信主体装置と前記通信相手装置との間で確立されたISAKMPSAを一意に識別するクッキーペアと、前記通信相手装置のIDとの対応情報を、フェーズ2検証データとして作成するフェーズ2検証データ作成手段と、
前記フェーズ2検証データを格納するフェーズ2検証データ格納手段と、
IKEフェーズ2において前記通信相手装置から受信したパケットに付されたクッキーペアおよび通信相手装置のIDが、前記フェーズ2検証データと合致しない場合に、前記通信相手装置からのIKEフェーズ2の処理を中止するように制御するフェーズ2検証手段、
として動作させることを特徴とする。
IKEフェーズ1において前記通信主体装置と前記通信相手装置との間で確立されたISAKMPSAを一意に識別するクッキーペアと、前記通信相手装置のIDとの対応情報を、フェーズ2検証データとして作成するフェーズ2検証データ作成手段と、
前記フェーズ2検証データを格納するフェーズ2検証データ格納手段と、
IKEフェーズ2において前記通信相手装置から受信したパケットに付されたクッキーペアおよび通信相手装置のIDが、前記フェーズ2検証データと合致しない場合に、前記通信相手装置からのIKEフェーズ2の処理を中止するように制御するフェーズ2検証手段、
として動作させることを特徴とする。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手が、その事前認証情報を使って他のIPアドレスを端点としたIPsecSAを通信主体との間で確立しようとした場合に、通信主体がこれを拒否することができる。よって、IPsecにおけるSAの確立において、アドレスの詐称行為を防止することができる。
請求項8に記載の通信主体装置プログラムは、請求項7に記載の通信主体装置プログラムであって、前記通信主体装置プログラムは、前記通信主体装置を、
IKEフェーズ1において前記通信相手装置との間で共有する事前共有秘密鍵と通信相手装置のIDとの対応を、フェーズ1検証データとして取得するフェーズ1検証データ取得手段と、
前記フェーズ1検証データを格納するフェーズ1検証データ格納手段と、
IKEフェーズ1において前記通信相手装置から受信した認証データおよび通信相手装置のIDが、前記フェーズ1検証データの事前共有秘密鍵から生成される認証データおよび通信相手装置のIDと合致しない場合に、前記通信相手装置からのIKEフェーズ1の処理を中止するように制御するフェーズ1検証手段、
としてさらに動作させることを特徴とする。
IKEフェーズ1において前記通信相手装置との間で共有する事前共有秘密鍵と通信相手装置のIDとの対応を、フェーズ1検証データとして取得するフェーズ1検証データ取得手段と、
前記フェーズ1検証データを格納するフェーズ1検証データ格納手段と、
IKEフェーズ1において前記通信相手装置から受信した認証データおよび通信相手装置のIDが、前記フェーズ1検証データの事前共有秘密鍵から生成される認証データおよび通信相手装置のIDと合致しない場合に、前記通信相手装置からのIKEフェーズ1の処理を中止するように制御するフェーズ1検証手段、
としてさらに動作させることを特徴とする。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手だけが、通信主体との間でそのIPアドレスを端点としたIPsecSAを確立可能とし、そのIPアドレスと対応付けられた事前認証情報を保持していない他の通信相手は、通信主体との間で、そのIPアドレスを端点としたIPsecSAを確立不可とすることができる。
本発明によれば、通信を行う二者の間で暗号化や認証のための秘密鍵の生成・交換を自動で行うことが可能なプロトコル(IKE)を利用した場合に、通信主体が事前認証情報とIPアドレスの対応を管理し、事前認証情報を保持する特定の通信相手だけが、特定のIPアドレスを端点としたIPsecSAを通信主体との間で確立可能にでき、通信相手によるなりすまし(IPsecSAの端点のIPアドレスの詐称)を防止することが可能となる。
以下に、本発明が適用される通信システムの一実施形態について、図面を参照して詳細に説明する。まず、本実施形態の通信システムの構成について、図1および図2を参照して説明する。
図1は、IKEフェーズ1の検証処理を行う通信システムの構成図である。図1に示す通信システムは、IKEのSAを確立する際の確立の要求を受ける側の装置である通信主体1と、IKEのSAを確立する際の確立を要求する側の装置である通信相手2とが、ネットワークによって接続されている。
なお、通信主体1および通信相手2は、それぞれ演算処理を行う際に用いられる記憶手段としてのメモリと、前記演算処理を行う演算処理装置とを少なくとも備えるコンピュータとして構成される。なお、メモリは、RAM(Random Access Memory)などにより構成される。演算処理は、CPU(Central Processing Unit)によって構成される演算処理装置が、メモリ上のプログラムを実行することで、実現される。
まず、通信主体1および通信相手2は、IKEのフェーズ1およびフェーズ2の処理を行い、IPsecSAを確立するIKE処理部10と、IKEに関するデータを通信するための通信インタフェース11と、を有する。
次に、通信主体1は、通信相手2から受信したデータを検証するためのデータを格納するフェーズ1検証データ格納部20と、通信相手2から受信したデータを検証するためのデータを取得するフェーズ1検証データ取得部21と、通信相手2から受信したデータを検証するフェーズ1検証部22と、をさらに有する。
図2は、IKEフェーズ1およびIKEフェーズ2の検証処理を行う通信システムの構成図である。図2は、図1の構成に加え、通信主体1が、通信相手2から受信したデータを検証するためのデータを格納するフェーズ2検証データ格納部30と、通信相手2から受信したデータを検証するためのデータを作成するフェーズ2検証データ作成部31と、通信相手2から受信したデータを検証するフェーズ2検証部32と、を有する構成となっている。
なお、メモリなどにより構成される記憶手段90は、フェーズ1検証データ格納部20と、フェーズ2検証データ格納部30と、を含めて構成される。
以上、通信システムの構成について、説明した。次に、本実施形態の通信システムの動作について、図1および図2を参照しつつ、図3および図4に沿って説明する。なお、図3および図4は、本発明をIKEの事前共有秘密鍵認証方式(アグレッシブモード)に適用した場合の、SAを確立する手順を示したものである。
図3は、通信システムのIKEフェーズ1の検証処理を含む、IKEのSA確立処理を示すフローチャートである。まず、通信主体1のフェーズ1検証データ取得部21は、IKE開始前に、通信相手2との間で共有する事前共有秘密鍵とID(IPアドレス)の対応を、検証データとしてフェーズ1検証データ格納部20に登録する(S11)。なお、“ID(IPアドレス)”の表記は、通信パケットのIDフィールドに格納されるデータであるIPアドレス、という意味である。このIDフィールドは、SAを確立する通信装置を特定する用途で、使用される。
次に、IKEフェーズ1の処理は、以下の通りである。
IKEを開始する通信相手2は、ISAKMPSAパラメータの候補、通信相手2の鍵情報、及び通信相手2の身元を特定するID(IPアドレス)を含めてIKEフェーズ1第一メッセージを通信主体1に送信する(S12)。通信相手2からIKEフェーズ1第一メッセージを受信した通信主体1は、S12で提案された候補の中からISAKMPSAパラメータを選択し、選択結果、通信主体1の鍵情報、通信主体1の身元を特定するID(IPアドレス)、及び通信相手2からS12で送付された鍵情報と通信主体1自身が保持する事前共有秘密鍵を利用して通信主体1が生成した認証情報を含めてIKEフェーズ1第二メッセージを通信相手2に送信する(S13)。通信主体1からIKEフェーズ1第二メッセージを受信した通信相手2は、通信主体1からS13で送付された鍵情報と通信相手2自身が保持する事前共有秘密鍵を利用して通信相手2が生成した認証情報を含めてIKEフェーズ1第三メッセージを通信主体1に送信する(S14)。
通信相手2からIKEフェーズ1第三メッセージを受信した通信主体1のフェーズ1検証部22 は、S12で送付されたID(IPアドレス)とS14で送付された認証情報(通信相手2が事前共有秘密鍵から生成)の対応と、S11で登録し、通信主体1自身が保持する事前共有秘密鍵とID(IPアドレス)の対応を比較し、対応関係が合致した場合にだけ通信相手2との間にISAKMPSAを確立し、合致しなかった場合は認証失敗として通信相手2との間にISAKMPSAを確立しない(S15)。
さらに、IKEフェーズ2の処理は、以下の通りである。
通信主体1との間にISAKMPSAを確立した通信相手2は、IPsecSAパラメータの候補、通信相手2の鍵情報、及び通信相手2と通信主体1のID(IPアドレス)を含めて、ISAKMPSAで保護してIKEフェーズ2第一メッセージを通信主体1に送信する(S16)。通信相手2からIKEフェーズ2第一メッセージを受信した通信主体1は、S16で提案された候補の中からIPsecSAパラメータを選択し、選択結果、通信主体1の鍵情報、通信相手2と通信主体1のID(IPアドレス)、及び通信相手2からS16で送付された鍵情報と通信主体1自身が保持する事前共有秘密鍵を利用して通信主体1が生成した認証情報を含めて、ISAKMPSAで保護してIKEフェーズ2第二メッセージを通信相手2に送信する(S17)。通信主体1からIKEフェーズ2第二メッセージを受信した通信相手2は、通信主体1からS17で送付された鍵情報と通信相手2自身が保持する事前共有秘密鍵を利用して通信相手2が生成した認証情報を含めて、ISAKMPSAで保護してIKEフェーズ2第三メッセージを通信主体1に送信する(S18)。
通信相手2からIKEフェーズ2第三メッセージを受信した通信主体1は、S16で送付されたID(IPアドレス)とS18で送付された認証情報に関連付いたIPsecSAを通信相手2との間に確立する(S19)。
図4は、通信システムのIKEフェーズ1およびIKEフェーズ2の検証処理を含む、IKEのSA確立処理を示すフローチャートである。まず、通信主体1のフェーズ1検証データ取得部21は、IKE開始前に、通信主体1との間で共有する事前共有秘密鍵とID(IPアドレス)の対応を、検証データとしてのフェーズ1検証データ格納部20に登録する(S21)。
次に、IKEフェーズ1の処理は、以下の通りである。
IKEを開始する通信相手2は、ISAKMPSAパラメータの候補、通信相手2の鍵情報、及び通信相手2の身元を特定するID(IPアドレス)を含めてIKEフェーズ1第一メッセージを通信主体1に送信する(S22)。通信相手2からIKEフェーズ1第一メッセージを受信した通信主体1は、S22で提案された候補の中からISAKMPSAパラメータを選択し、選択結果、通信主体1の鍵情報、通信主体1の身元を特定するID(IPアドレス)、及び通信相手2からS22で送付された鍵情報と通信主体1自身が保持する事前共有秘密鍵を利用して通信主体1が生成した認証情報を含めてIKEフェーズ1第二メッセージを通信相手2に送信する(S23)。通信主体1からIKEフェーズ1第二メッセージを受信した通信相手2は、通信主体1からS23で送付された鍵情報と通信相手2自身が保持する事前共有秘密鍵を利用して通信相手2が生成した認証情報を含めてIKEフェーズ1第三メッセージを通信主体1に送信する(S24)。
通信相手2からIKEフェーズ1第三メッセージを受信した通信主体1のフェーズ1検証部22は、S22で送付されたID(IPアドレス)とS24で送付された認証情報(通信相手2が事前共有秘密鍵から生成)の対応と、S21で登録し、通信主体1自身が保持する事前共有秘密鍵とID(IPアドレス)の対応を比較し、対応関係が合致した場合にだけ通信相手2との間にISAKMPSAを確立し、合致しなかった場合は認証失敗として通信相手2との間にISAKMPSAを確立しない(S25)。
ここで、通信主体1のフェーズ2検証データ作成部31は、通信相手2との間にISAKMPSAを確立した時点で、確立したISAKMPSAのクッキーペアと通信相手2がS22で申請したID(IPアドレス)の対応を、フェーズ2検証データ格納部30に記憶する(S26)。
さらに、IKEフェーズ2の処理は、以下の通りである。
通信主体1との間にISAKMPSAを確立した通信相手2は、IPsecSAパラメータの候補、通信相手2の鍵情報、及び通信相手2と通信主体1のID(IPアドレス)を含めて、ISAKMPSAで保護してIKEフェーズ2第一メッセージを通信主体1に送信する(S27)。通信相手2からIKEフェーズ2第一メッセージを受信した通信主体1のフェーズ2検証部32は、通信相手2がS27で申請してきたクッキーペアとID(IPアドレス)の対応と、S26で記憶したクッキーペアとID(IPアドレス)の対応を比較し、対応関係が合致した場合にだけ次の処理(S29の処理)に移り、合致しなかった場合は認証失敗として次の処理に移らない(S28)。
通信主体1は、S28の処理が成功した場合、S27で提案された候補の中からIPsecSAパラメータを選択し、選択結果、通信主体1の鍵情報、通信相手2と通信主体1のID(IPアドレス)、及び通信相手2からS27で送付された鍵情報と通信主体1自身が保持する事前共有秘密鍵を利用して通信主体1が生成した認証情報を含めて、ISAKMPSAで保護してIKEフェーズ2第二メッセージを通信相手2に送信する(S29)。通信主体1からIKEフェーズ2第二メッセージを受信した通信相手2は、通信主体1からS29で送付された鍵情報と通信相手2自身が保持する事前共有秘密鍵を利用して通信相手2が生成した認証情報を含めて、ISAKMPSAで保護してIKEフェーズ2第三メッセージを通信主体1に送信する(S30)。通信相手2からIKEフェーズ2第三メッセージを受信した通信主体1は、S27で送付されたID(IPアドレス)を端点とし、S30で送付された認証情報に関連付いたIPsecSAを通信相手2との間に確立する(S31)。
以上、図3および図4に沿って、SAの確立処理(フェーズ1、フェーズ2)を説明した。次に、図3および図4それぞれの方式がもたらす顕著な効果について、説明する。
まず、図3の方式は、IKEフェーズ1の処理(S12、S13、S14)に対して、検証データの登録(S11)、および、IKEフェーズ1メッセージの検証およびISAKMPSAの生成(S15)の処理を追加することを特徴とする。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手2だけが、通信主体1との間でIPsecSAを確立可能とし、そのIPアドレスと対応付けられた事前認証情報を保持していない他の通信相手2は、通信主体1との間で、そのIPアドレスを端点としたIPsecSAを確立不可とすることができる。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手2だけが、通信主体1との間でIPsecSAを確立可能とし、そのIPアドレスと対応付けられた事前認証情報を保持していない他の通信相手2は、通信主体1との間で、そのIPアドレスを端点としたIPsecSAを確立不可とすることができる。
さらに、図4の方式は、図3の方式の効果に加え、ISAKMPSAとIPアドレスとの対応の記憶(S26)、および、IKEフェーズ2第一メッセージの検証(S28)の処理を追加することを特徴とする。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手2だけが、通信主体1との間でそのIPアドレスを端点としたIPsecSAを確立可能とし、そのIPアドレスと対応付けられた事前認証情報を保持していない他の通信相手2は、通信主体1との間で、そのIPアドレスを端点としたIPsecSAを確立不可とすることができる。
さらに、IPアドレスと対応付けられた事前認証情報を保持している通信相手2が、その事前認証情報を使って他のIPアドレスを端点としたIPsecSAを通信主体1との間で確立しようとした場合に、通信主体1がこれを拒否することができる。つまり、他のIPアドレス(詐称したアドレス)による詐称行為を、IPsecSAが確立される前に、未然に防止できるという効果を得ることができる。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手2だけが、通信主体1との間でそのIPアドレスを端点としたIPsecSAを確立可能とし、そのIPアドレスと対応付けられた事前認証情報を保持していない他の通信相手2は、通信主体1との間で、そのIPアドレスを端点としたIPsecSAを確立不可とすることができる。
さらに、IPアドレスと対応付けられた事前認証情報を保持している通信相手2が、その事前認証情報を使って他のIPアドレスを端点としたIPsecSAを通信主体1との間で確立しようとした場合に、通信主体1がこれを拒否することができる。つまり、他のIPアドレス(詐称したアドレス)による詐称行為を、IPsecSAが確立される前に、未然に防止できるという効果を得ることができる。
以上説明した本発明は、以下のようにその趣旨を逸脱しない範囲で広く変形実施することができる。
例えば、本実施形態では、通信装置を識別するため、そして、通信装置のネットワーク上の位置を特定するために、IPアドレスを利用することとしたが、IPアドレスの形式は、IPv4(Internet Protocol version 4)でもよいし、IPv6(Internet Protocol version 6)でもよい。また、通信装置を識別し、通信装置のネットワーク上の位置を特定することが可能なIDを、IPアドレスの代わりに活用してもよい。
1 通信主体(装置)
2 通信相手(装置)
10 IKE処理部
20 フェーズ1検証データ格納部(記憶手段)
21 フェーズ1検証データ取得部
22 フェーズ1検証部
30 フェーズ2検証データ格納部(記憶手段)
31 フェーズ2検証データ作成部
32 フェーズ2検証部
2 通信相手(装置)
10 IKE処理部
20 フェーズ1検証データ格納部(記憶手段)
21 フェーズ1検証データ取得部
22 フェーズ1検証部
30 フェーズ2検証データ格納部(記憶手段)
31 フェーズ2検証データ作成部
32 フェーズ2検証部
Claims (8)
- 通信主体装置と、前記通信主体装置が接続している通信ネットワークと、前記通信ネットワークと接続し、前記通信主体装置と通信データを交換する通信相手装置とで構成される通信システムにおいて、
通信主体装置が、IKEを利用して通信相手装置との間にIPsecSAを確立する場合に、IKEフェーズ1における通信相手装置のIDとIKEフェーズ2における通信相手装置のIDの対応情報を記憶手段に格納し、
IKEフェーズ1においてその通信相手装置のIDの使用を許可された通信相手装置に、IKEフェーズ2においてもその通信相手装置のIDをもとに、通信主体装置との間にIPsecSAを確立させるとともに、
前記IDの使用を許可されていない通信相手装置によるIPsecSAの確立要求を拒否することを特徴とするセキュリティ情報管理方法。 - 前記通信主体装置は、IKEフェーズ1が完了して前記通信相手装置との間にISAKMPSAを確立した時点で、確立したISAKMPSAの識別子であるクッキーペアと、そのISAKMPSAを確立するIKEフェーズ1の過程で通信相手装置が申請してきた通信相手装置のIDの対応を記憶手段に記憶することを特徴とする請求項1に記載のセキュリティ情報管理方法。
- 前記通信主体装置は、前記通信相手装置との間にIPsecSAを確立するIKEフェーズ2の過程で、IETF標準のIKEver1の処理に加えて、通信相手装置が申請してきたクッキーペアと通信相手装置のIDの対応と、通信主体装置がISAKMPSA確立時に前記記憶手段に記憶したクッキーペアと通信相手装置のIDの対応を比較し、
対応関係が合致した場合にこの合致した通信相手装置との間にIPsecSAを確立し、
合致しない場合はこの合致しない通信相手装置との間にIPsecSAを確立しないことを特徴とする請求項2に記載のセキュリティ情報管理方法。 - IKEフェーズ1の過程で前記通信相手装置がIPアドレス以外の文字列をIDに使用する場合は、前記通信主体装置は、IKE開始前にIKEフェーズ1のIDに使用する文字列とIKEフェーズ2のIDに使用するIPアドレスの対応を記憶手段に記憶し、
通信相手装置からIKEフェーズ1のIDを使用して送付された文字列とIKEフェーズ2のIDを使用して送付されたIPアドレスの対応と、IKE開始前に前記記憶手段に記憶した対応を比較し、対応関係が合致した場合にこの合致した通信相手装置との間にそのIPアドレスを端点としたIPsecSAを確立し、合致しない場合はこの合致しない通信相手装置との間にそのIPアドレスを端点としたIPsecSAを確立しないことを特徴とする請求項2に記載のセキュリティ情報管理方法。 - 通信主体装置と、前記通信主体装置が接続している通信ネットワークと、前記通信ネットワークと接続し、前記通信主体装置と通信データを交換する通信相手装置とで構成される通信システムにおける前記通信主体装置であって、
IKEフェーズ1において前記通信主体装置と前記通信相手装置との間で確立されたISAKMPSAを一意に識別するクッキーペアと、前記通信相手装置のIDとの対応情報を、フェーズ2検証データとして作成するフェーズ2検証データ作成部と、
前記フェーズ2検証データを格納するフェーズ2検証データ格納部と、
IKEフェーズ2において前記通信相手装置から受信したパケットに付されたクッキーペアおよびIDが、前記フェーズ2検証データと合致しない場合に、前記通信相手装置からのIKEフェーズ2の処理を中止するように制御するフェーズ2検証部と、
を含んで構成されることを特徴とする通信主体装置。 - 前記通信主体装置は、
IKEフェーズ1において前記通信相手装置との間で共有する事前共有秘密鍵と前記通信相手装置のIDとの対応を、フェーズ1検証データとして取得するフェーズ1検証データ取得部と、
前記フェーズ1検証データを格納するフェーズ1検証データ格納部と、
IKEフェーズ1において前記通信相手装置から受信した認証データおよび前記通信相手装置のIDが、前記フェーズ1検証データの事前共有秘密鍵から生成される認証データおよび前記通信相手装置のIDと合致しない場合に、前記通信相手装置からのIKEフェーズ1の処理を中止するように制御するフェーズ1検証部と、
をさらに含んで構成されることを特徴とする請求項5に記載の通信主体装置。 - 通信主体装置と、前記通信主体装置が接続している通信ネットワークと、前記通信ネットワークと接続し、前記通信主体装置と通信データを交換する通信相手装置とで構成される通信システムにおける前記通信主体装置を動作させるための通信主体装置プログラムであって、演算処理を行う際に用いられる記憶領域としてのメモリと、前記演算処理を行う演算処理装置とを少なくとも備える前記通信主体装置を、
IKEフェーズ1において前記通信主体装置と前記通信相手装置との間で確立されたISAKMPSAを一意に識別するクッキーペアと、前記通信相手装置のIDとの対応情報を、フェーズ2検証データとして作成するフェーズ2検証データ作成手段と、
前記フェーズ2検証データを格納するフェーズ2検証データ格納手段と、
IKEフェーズ2において前記通信相手装置から受信したパケットに付されたクッキーペアおよび通信相手装置のIDが、前記フェーズ2検証データと合致しない場合に、前記通信相手装置からのIKEフェーズ2の処理を中止するように制御するフェーズ2検証手段、
として動作させることを特徴とする通信主体装置プログラム。 - 前記通信主体装置プログラムは、前記通信主体装置を、
IKEフェーズ1において前記通信相手装置との間で共有する事前共有秘密鍵と通信相手装置のIDとの対応を、フェーズ1検証データとして取得するフェーズ1検証データ取得手段と、
前記フェーズ1検証データを格納するフェーズ1検証データ格納手段と、
IKEフェーズ1において前記通信相手装置から受信した認証データおよび通信相手装置のIDが、前記フェーズ1検証データの事前共有秘密鍵から生成される認証データおよび通信相手装置のIDと合致しない場合に、前記通信相手装置からのIKEフェーズ1の処理を中止するように制御するフェーズ1検証手段、
としてさらに動作させることを特徴とする請求項7に記載の通信主体装置プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004199351A JP4212051B2 (ja) | 2004-07-06 | 2004-07-06 | セキュリティ情報管理方法、通信主体、および、通信主体プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004199351A JP4212051B2 (ja) | 2004-07-06 | 2004-07-06 | セキュリティ情報管理方法、通信主体、および、通信主体プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006025013A JP2006025013A (ja) | 2006-01-26 |
| JP4212051B2 true JP4212051B2 (ja) | 2009-01-21 |
Family
ID=35797997
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004199351A Active JP4212051B2 (ja) | 2004-07-06 | 2004-07-06 | セキュリティ情報管理方法、通信主体、および、通信主体プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4212051B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5319575B2 (ja) * | 2010-02-23 | 2013-10-16 | 日本電信電話株式会社 | 通信方法および通信システム |
| JP5464232B2 (ja) * | 2012-05-23 | 2014-04-09 | 沖電気工業株式会社 | セキュア通信システム及び通信装置 |
-
2004
- 2004-07-06 JP JP2004199351A patent/JP4212051B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006025013A (ja) | 2006-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
| KR102068367B1 (ko) | 사물인터넷을 위한 데이터그램 전송에서 경량 인증을 위한 컴퓨터 구현 시스템 및 방법 | |
| JP4770227B2 (ja) | Sipメッセージの暗号化方法,および暗号化sip通信システム | |
| US7996675B2 (en) | Host identity protocol method and apparatus | |
| JP4804983B2 (ja) | 無線端末、認証装置、及び、プログラム | |
| US7574603B2 (en) | Method of negotiating security parameters and authenticating users interconnected to a network | |
| US20050149732A1 (en) | Use of static Diffie-Hellman key with IPSec for authentication | |
| JP2005269656A (ja) | コンピューティングシステムの効率的かつセキュアな認証 | |
| Zhou | Further analysis of the Internet key exchange protocol | |
| JP3944182B2 (ja) | セキュリティ通信方法 | |
| JP2006050267A (ja) | IPsec通信方法及び通信制御装置並びにネットワークカメラ | |
| US7536719B2 (en) | Method and apparatus for preventing a denial of service attack during key negotiation | |
| JP4938408B2 (ja) | アドレス管理システム、アドレス管理方法およびプログラム | |
| JP2006270363A (ja) | 秘密通信設定方法、および秘密通信設定システム | |
| JP2003143128A (ja) | 通信システム及び通信方法 | |
| Sheffer et al. | Internet key exchange protocol version 2 (IKEv2) session resumption | |
| CN113922974A (zh) | 一种信息处理方法及系统、前端、服务端、存储介质 | |
| JP4212051B2 (ja) | セキュリティ情報管理方法、通信主体、および、通信主体プログラム | |
| JP2011054182A (ja) | ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体 | |
| JP2004194196A (ja) | パケット通信認証システム、通信制御装置及び通信端末 | |
| Sangster et al. | A posture transport protocol over TLS (PT-TLS) | |
| JP2008199420A (ja) | ゲートウェイ装置および認証処理方法 | |
| JP2003224562A (ja) | 個人認証システム及びプログラム | |
| JP2006203336A (ja) | セキュリティ情報管理方法および通信主体装置 | |
| JP3911697B2 (ja) | ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060929 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081006 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081014 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20081024 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081024 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111107 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4212051 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111107 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111107 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121107 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121107 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131107 Year of fee payment: 5 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |