JP4212051B2 - セキュリティ情報管理方法、通信主体、および、通信主体プログラム - Google Patents
セキュリティ情報管理方法、通信主体、および、通信主体プログラム Download PDFInfo
- Publication number
- JP4212051B2 JP4212051B2 JP2004199351A JP2004199351A JP4212051B2 JP 4212051 B2 JP4212051 B2 JP 4212051B2 JP 2004199351 A JP2004199351 A JP 2004199351A JP 2004199351 A JP2004199351 A JP 2004199351A JP 4212051 B2 JP4212051 B2 JP 4212051B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- phase
- communication partner
- ike
- partner device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
IETF(The Internet Engineering Task Force)、"The Internet Key Exchange (IKE)"、[online]、[平成16年5月17日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc2409.txt>
通信主体装置が、IKEを利用して通信相手装置との間にIPsecSAを確立する場合に、IKEフェーズ1における通信相手装置のIDとIKEフェーズ2における通信相手装置のIDの対応情報を記憶手段に格納し、
IKEフェーズ1においてその通信相手装置のIDの使用を許可された通信相手装置に、IKEフェーズ2においてもその通信相手装置のIDをもとに、通信主体装置との間にIPsecSAを確立させるとともに、
前記IDの使用を許可されていない通信相手装置によるIPsecSAの確立要求を拒否することを特徴とする。
対応関係が合致した場合にこの合致した通信相手装置との間にIPsecSAを確立し、
合致しない場合はこの合致しない通信相手装置との間にIPsecSAを確立しないことを特徴とする。
通信相手装置からIKEフェーズ1のIDを使用して送付された文字列とIKEフェーズ2のIDを使用して送付されたIPアドレスの対応と、IKE開始前に前記記憶手段に記憶した対応を比較し、対応関係が合致した場合にこの合致した通信相手装置との間にそのIPアドレスを端点としたIPsecSAを確立し、合致しない場合はこの合致しない通信相手装置との間にそのIPアドレスを端点としたIPsecSAを確立しないことを特徴とする。
IKEフェーズ1において前記通信主体装置と前記通信相手装置との間で確立されたISAKMPSAを一意に識別するクッキーペアと、前記通信相手装置のIDとの対応情報を、フェーズ2検証データとして作成するフェーズ2検証データ作成部と、
前記フェーズ2検証データを格納するフェーズ2検証データ格納部と、
IKEフェーズ2において前記通信相手装置から受信したパケットに付されたクッキーペアおよびIDが、前記フェーズ2検証データと合致しない場合に、前記通信相手装置からのIKEフェーズ2の処理を中止するように制御するフェーズ2検証部と、
を含んで構成されることを特徴とする通信主体装置。
IKEフェーズ1において前記通信相手装置との間で共有する事前共有秘密鍵と前記通信相手装置のIDとの対応を、フェーズ1検証データとして取得するフェーズ1検証データ取得部と、
前記フェーズ1検証データを格納するフェーズ1検証データ格納部と、
IKEフェーズ1において前記通信相手装置から受信した認証データおよび前記通信相手装置のIDが、前記フェーズ1検証データの事前共有秘密鍵から生成される認証データおよび前記通信相手装置のIDと合致しない場合に、前記通信相手装置からのIKEフェーズ1の処理を中止するように制御するフェーズ1検証部と、
をさらに含んで構成されることを特徴とする。
IKEフェーズ1において前記通信主体装置と前記通信相手装置との間で確立されたISAKMPSAを一意に識別するクッキーペアと、前記通信相手装置のIDとの対応情報を、フェーズ2検証データとして作成するフェーズ2検証データ作成手段と、
前記フェーズ2検証データを格納するフェーズ2検証データ格納手段と、
IKEフェーズ2において前記通信相手装置から受信したパケットに付されたクッキーペアおよび通信相手装置のIDが、前記フェーズ2検証データと合致しない場合に、前記通信相手装置からのIKEフェーズ2の処理を中止するように制御するフェーズ2検証手段、
として動作させることを特徴とする。
IKEフェーズ1において前記通信相手装置との間で共有する事前共有秘密鍵と通信相手装置のIDとの対応を、フェーズ1検証データとして取得するフェーズ1検証データ取得手段と、
前記フェーズ1検証データを格納するフェーズ1検証データ格納手段と、
IKEフェーズ1において前記通信相手装置から受信した認証データおよび通信相手装置のIDが、前記フェーズ1検証データの事前共有秘密鍵から生成される認証データおよび通信相手装置のIDと合致しない場合に、前記通信相手装置からのIKEフェーズ1の処理を中止するように制御するフェーズ1検証手段、
としてさらに動作させることを特徴とする。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手2だけが、通信主体1との間でIPsecSAを確立可能とし、そのIPアドレスと対応付けられた事前認証情報を保持していない他の通信相手2は、通信主体1との間で、そのIPアドレスを端点としたIPsecSAを確立不可とすることができる。
これにより、IPアドレスと対応付けられた事前認証情報を保持している通信相手2だけが、通信主体1との間でそのIPアドレスを端点としたIPsecSAを確立可能とし、そのIPアドレスと対応付けられた事前認証情報を保持していない他の通信相手2は、通信主体1との間で、そのIPアドレスを端点としたIPsecSAを確立不可とすることができる。
さらに、IPアドレスと対応付けられた事前認証情報を保持している通信相手2が、その事前認証情報を使って他のIPアドレスを端点としたIPsecSAを通信主体1との間で確立しようとした場合に、通信主体1がこれを拒否することができる。つまり、他のIPアドレス(詐称したアドレス)による詐称行為を、IPsecSAが確立される前に、未然に防止できるという効果を得ることができる。
2 通信相手(装置)
10 IKE処理部
20 フェーズ1検証データ格納部(記憶手段)
21 フェーズ1検証データ取得部
22 フェーズ1検証部
30 フェーズ2検証データ格納部(記憶手段)
31 フェーズ2検証データ作成部
32 フェーズ2検証部
Claims (8)
- 通信主体装置と、前記通信主体装置が接続している通信ネットワークと、前記通信ネットワークと接続し、前記通信主体装置と通信データを交換する通信相手装置とで構成される通信システムにおいて、
通信主体装置が、IKEを利用して通信相手装置との間にIPsecSAを確立する場合に、IKEフェーズ1における通信相手装置のIDとIKEフェーズ2における通信相手装置のIDの対応情報を記憶手段に格納し、
IKEフェーズ1においてその通信相手装置のIDの使用を許可された通信相手装置に、IKEフェーズ2においてもその通信相手装置のIDをもとに、通信主体装置との間にIPsecSAを確立させるとともに、
前記IDの使用を許可されていない通信相手装置によるIPsecSAの確立要求を拒否することを特徴とするセキュリティ情報管理方法。 - 前記通信主体装置は、IKEフェーズ1が完了して前記通信相手装置との間にISAKMPSAを確立した時点で、確立したISAKMPSAの識別子であるクッキーペアと、そのISAKMPSAを確立するIKEフェーズ1の過程で通信相手装置が申請してきた通信相手装置のIDの対応を記憶手段に記憶することを特徴とする請求項1に記載のセキュリティ情報管理方法。
- 前記通信主体装置は、前記通信相手装置との間にIPsecSAを確立するIKEフェーズ2の過程で、IETF標準のIKEver1の処理に加えて、通信相手装置が申請してきたクッキーペアと通信相手装置のIDの対応と、通信主体装置がISAKMPSA確立時に前記記憶手段に記憶したクッキーペアと通信相手装置のIDの対応を比較し、
対応関係が合致した場合にこの合致した通信相手装置との間にIPsecSAを確立し、
合致しない場合はこの合致しない通信相手装置との間にIPsecSAを確立しないことを特徴とする請求項2に記載のセキュリティ情報管理方法。 - IKEフェーズ1の過程で前記通信相手装置がIPアドレス以外の文字列をIDに使用する場合は、前記通信主体装置は、IKE開始前にIKEフェーズ1のIDに使用する文字列とIKEフェーズ2のIDに使用するIPアドレスの対応を記憶手段に記憶し、
通信相手装置からIKEフェーズ1のIDを使用して送付された文字列とIKEフェーズ2のIDを使用して送付されたIPアドレスの対応と、IKE開始前に前記記憶手段に記憶した対応を比較し、対応関係が合致した場合にこの合致した通信相手装置との間にそのIPアドレスを端点としたIPsecSAを確立し、合致しない場合はこの合致しない通信相手装置との間にそのIPアドレスを端点としたIPsecSAを確立しないことを特徴とする請求項2に記載のセキュリティ情報管理方法。 - 通信主体装置と、前記通信主体装置が接続している通信ネットワークと、前記通信ネットワークと接続し、前記通信主体装置と通信データを交換する通信相手装置とで構成される通信システムにおける前記通信主体装置であって、
IKEフェーズ1において前記通信主体装置と前記通信相手装置との間で確立されたISAKMPSAを一意に識別するクッキーペアと、前記通信相手装置のIDとの対応情報を、フェーズ2検証データとして作成するフェーズ2検証データ作成部と、
前記フェーズ2検証データを格納するフェーズ2検証データ格納部と、
IKEフェーズ2において前記通信相手装置から受信したパケットに付されたクッキーペアおよびIDが、前記フェーズ2検証データと合致しない場合に、前記通信相手装置からのIKEフェーズ2の処理を中止するように制御するフェーズ2検証部と、
を含んで構成されることを特徴とする通信主体装置。 - 前記通信主体装置は、
IKEフェーズ1において前記通信相手装置との間で共有する事前共有秘密鍵と前記通信相手装置のIDとの対応を、フェーズ1検証データとして取得するフェーズ1検証データ取得部と、
前記フェーズ1検証データを格納するフェーズ1検証データ格納部と、
IKEフェーズ1において前記通信相手装置から受信した認証データおよび前記通信相手装置のIDが、前記フェーズ1検証データの事前共有秘密鍵から生成される認証データおよび前記通信相手装置のIDと合致しない場合に、前記通信相手装置からのIKEフェーズ1の処理を中止するように制御するフェーズ1検証部と、
をさらに含んで構成されることを特徴とする請求項5に記載の通信主体装置。 - 通信主体装置と、前記通信主体装置が接続している通信ネットワークと、前記通信ネットワークと接続し、前記通信主体装置と通信データを交換する通信相手装置とで構成される通信システムにおける前記通信主体装置を動作させるための通信主体装置プログラムであって、演算処理を行う際に用いられる記憶領域としてのメモリと、前記演算処理を行う演算処理装置とを少なくとも備える前記通信主体装置を、
IKEフェーズ1において前記通信主体装置と前記通信相手装置との間で確立されたISAKMPSAを一意に識別するクッキーペアと、前記通信相手装置のIDとの対応情報を、フェーズ2検証データとして作成するフェーズ2検証データ作成手段と、
前記フェーズ2検証データを格納するフェーズ2検証データ格納手段と、
IKEフェーズ2において前記通信相手装置から受信したパケットに付されたクッキーペアおよび通信相手装置のIDが、前記フェーズ2検証データと合致しない場合に、前記通信相手装置からのIKEフェーズ2の処理を中止するように制御するフェーズ2検証手段、
として動作させることを特徴とする通信主体装置プログラム。 - 前記通信主体装置プログラムは、前記通信主体装置を、
IKEフェーズ1において前記通信相手装置との間で共有する事前共有秘密鍵と通信相手装置のIDとの対応を、フェーズ1検証データとして取得するフェーズ1検証データ取得手段と、
前記フェーズ1検証データを格納するフェーズ1検証データ格納手段と、
IKEフェーズ1において前記通信相手装置から受信した認証データおよび通信相手装置のIDが、前記フェーズ1検証データの事前共有秘密鍵から生成される認証データおよび通信相手装置のIDと合致しない場合に、前記通信相手装置からのIKEフェーズ1の処理を中止するように制御するフェーズ1検証手段、
としてさらに動作させることを特徴とする請求項7に記載の通信主体装置プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004199351A JP4212051B2 (ja) | 2004-07-06 | 2004-07-06 | セキュリティ情報管理方法、通信主体、および、通信主体プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004199351A JP4212051B2 (ja) | 2004-07-06 | 2004-07-06 | セキュリティ情報管理方法、通信主体、および、通信主体プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006025013A JP2006025013A (ja) | 2006-01-26 |
JP4212051B2 true JP4212051B2 (ja) | 2009-01-21 |
Family
ID=35797997
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004199351A Active JP4212051B2 (ja) | 2004-07-06 | 2004-07-06 | セキュリティ情報管理方法、通信主体、および、通信主体プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4212051B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5319575B2 (ja) * | 2010-02-23 | 2013-10-16 | 日本電信電話株式会社 | 通信方法および通信システム |
JP5464232B2 (ja) * | 2012-05-23 | 2014-04-09 | 沖電気工業株式会社 | セキュア通信システム及び通信装置 |
-
2004
- 2004-07-06 JP JP2004199351A patent/JP4212051B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2006025013A (ja) | 2006-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
KR102068367B1 (ko) | 사물인터넷을 위한 데이터그램 전송에서 경량 인증을 위한 컴퓨터 구현 시스템 및 방법 | |
JP4770227B2 (ja) | Sipメッセージの暗号化方法,および暗号化sip通信システム | |
US7996675B2 (en) | Host identity protocol method and apparatus | |
JP4804983B2 (ja) | 無線端末、認証装置、及び、プログラム | |
US7574603B2 (en) | Method of negotiating security parameters and authenticating users interconnected to a network | |
US20050149732A1 (en) | Use of static Diffie-Hellman key with IPSec for authentication | |
JP2005269656A (ja) | コンピューティングシステムの効率的かつセキュアな認証 | |
Zhou | Further analysis of the Internet key exchange protocol | |
JP3944182B2 (ja) | セキュリティ通信方法 | |
JP2006050267A (ja) | IPsec通信方法及び通信制御装置並びにネットワークカメラ | |
US7536719B2 (en) | Method and apparatus for preventing a denial of service attack during key negotiation | |
JP4938408B2 (ja) | アドレス管理システム、アドレス管理方法およびプログラム | |
JP2006270363A (ja) | 秘密通信設定方法、および秘密通信設定システム | |
JP2003143128A (ja) | 通信システム及び通信方法 | |
Sheffer et al. | Internet key exchange protocol version 2 (IKEv2) session resumption | |
CN113922974A (zh) | 一种信息处理方法及系统、前端、服务端、存储介质 | |
JP4212051B2 (ja) | セキュリティ情報管理方法、通信主体、および、通信主体プログラム | |
JP2011054182A (ja) | ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体 | |
JP2004194196A (ja) | パケット通信認証システム、通信制御装置及び通信端末 | |
Sangster et al. | A posture transport protocol over TLS (PT-TLS) | |
JP2008199420A (ja) | ゲートウェイ装置および認証処理方法 | |
JP2003224562A (ja) | 個人認証システム及びプログラム | |
JP2006203336A (ja) | セキュリティ情報管理方法および通信主体装置 | |
JP3911697B2 (ja) | ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060929 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081006 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081014 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20081024 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081024 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111107 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4212051 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111107 Year of fee payment: 3 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111107 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121107 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121107 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131107 Year of fee payment: 5 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |