JP4316450B2 - Network relay device, network system, and encrypted communication method - Google Patents
Network relay device, network system, and encrypted communication method Download PDFInfo
- Publication number
- JP4316450B2 JP4316450B2 JP2004255589A JP2004255589A JP4316450B2 JP 4316450 B2 JP4316450 B2 JP 4316450B2 JP 2004255589 A JP2004255589 A JP 2004255589A JP 2004255589 A JP2004255589 A JP 2004255589A JP 4316450 B2 JP4316450 B2 JP 4316450B2
- Authority
- JP
- Japan
- Prior art keywords
- tunnel
- identification information
- encryption
- cryptographic
- construction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、IPsec等に基づく高度なセキュリティ機能を備えたネットワーク通信が行えるネットワーク中継装置、ネットワークシステム及び暗号化通信方法に関する。 The present invention relates to a network relay device, a network system, and an encrypted communication method capable of performing network communication having an advanced security function based on IPsec or the like.
最近、IPsec(IP Security Protocol)等に基づく高度なセキュリティ機能を備えたネットワーク通信が実現されている(例えば、特許文献1を参照)。このようなネットワーク通信を用ることにより、CPE(Customer Premises Equipment、以下、ユーザ装置という)とネットワーク中継装置(以下、ルータ(router)という場合がある)等の通信相手同士があたかも安全な専用回線で直結されたかのように通信可能なVPN(Virtual Private Network)が実現できる。 Recently, network communication having advanced security functions based on IPsec (IP Security Protocol) or the like has been realized (see, for example, Patent Document 1). By using such network communication, it is as if the communication counterparts such as CPE (Customer Premises Equipment, hereinafter referred to as user equipment) and network relay equipment (hereinafter, also referred to as router) are as safe as possible. VPN (Virtual Private Network) capable of communicating as if directly connected with the network.
このようなIPsecを用いたネットワーク通信では、IPsecに基づく暗号トンネルを構築して暗号化通信を行うため、ISAKMP(Internet Security Association & Key Management Protocol)等の鍵管理プロトコルに基づく認証・暗号化情報の交換(IKE;Internet Key Exchange)が行われる。このIKEには、二段階のネゴシエーション(negotiation)が含まれ、まず、第一段目のネゴシエーション(以下、Phase−Iという)が実行されることにより、続く第二段目のネゴシエーション(以下、Phase−IIという)が暗号化され、次いでこのPhase−IIが実行されることにより、EPS(Encapsulating Security Payload)による暗号化通信(暗号トンネル)の構築が完了する。 In such network communication using IPsec, an encryption tunnel based on IPsec is established and encrypted communication is performed. Therefore, authentication / encryption information based on a key management protocol such as ISAKMP (Internet Security Association & Key Management Protocol) is used. Exchange (IKE; Internet Key Exchange) is performed. This IKE includes a two-stage negotiation. First, the first-stage negotiation (hereinafter referred to as Phase-I) is executed, whereby the subsequent second-stage negotiation (hereinafter referred to as Phase). -II) is encrypted, and then Phase-II is executed, thereby completing the establishment of encrypted communication (encryption tunnel) by EPS (Encapsulating Security Payload).
この際、当該暗号化通信を行うための認証・暗号化のアルゴリズムや鍵(KEY)等の情報を表すSA(Security Association)がIKEの各ネゴシエーションの際に作成されて両通信相手(ユーザ装置、ネットワーク中継装置)のメモリ内に保存される。
しかし、上記従来の技術には次のような問題点がある。
例えばユーザ装置とネットワーク中継装置との間で上記暗号トンネルが構築された後(すなわち、当該暗号トンネルに係るSAが作成・保存された後)、当該ユーザ装置が故障等により再起動された場合には、ユーザ装置は、暗号トンネル構築要求をネットワーク中継装置に対し再度行う。この際、ネットワーク中継装置は、当該再要求された暗号トンネル構築要求を、新規な暗号トンネル構築要求であると判断し、当該新規な暗号トンネルに係るSAの作成・保存を行う。このため、再起動前に構築された暗号トンネルに係るSAがネットワーク中継装置のメモリ内に一定時間保存された状態となり、ネットワーク中継装置内のメモリ資源の有効活用が困難となる。特に、多くの暗号トンネルが同時に構築され、それに伴い多くのSAが作成・保存されるような場合には、メモリの空き容量が多ければ多いほど、多くの暗号トンネルが構築可能となるため、利用不可なメモリ領域の減少化が望まれる。
本発明の課題は、IPsec等に基づく暗号トンネルを構築して暗号化通信を行うネットワーク中継装置、ネットワークシステム及び暗号化通信方法において、より多くの暗号トンネルを同時並列的に利用可能にすることである。
However, the above conventional technique has the following problems.
For example, after the encryption tunnel is constructed between the user apparatus and the network relay apparatus (that is, after the SA related to the encryption tunnel is created and stored), the user apparatus is restarted due to a failure or the like. The user apparatus makes an encryption tunnel construction request to the network relay apparatus again. At this time, the network relay apparatus determines that the re-requested cryptographic tunnel construction request is a new cryptographic tunnel construction request, and creates and stores an SA related to the new cryptographic tunnel. For this reason, the SA related to the encryption tunnel constructed before restarting is stored in the memory of the network relay device for a certain period of time, making it difficult to effectively use the memory resources in the network relay device. In particular, when many cryptographic tunnels are built at the same time and many SAs are created and stored, the more free space in the memory, the more crypto tunnels can be constructed. It is desired to reduce the impossible memory area.
An object of the present invention is to make it possible to use more encryption tunnels simultaneously and in parallel in a network relay device, a network system, and an encryption communication method for constructing an encryption tunnel based on IPsec and performing encrypted communication. is there.
上記課題を解決するため、この発明のネットワーク中継装置は、
ユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワーク中継装置(例えば、ルータ20)であって、
前記ユーザ装置から該ユーザ装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)が前記暗号トンネル構築中に通知されると該機器識別情報をメモリ内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリ(例えば、SA2a)から消去する識別情報制御手段(例えば、CP21)と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段(例えば、CP21)と、
を備えたことを特徴とするネットワーク中継装置である。
In order to solve the above problems, the network relay device of the present invention is:
An encrypted tunnel is established with the user apparatus (for example, the user apparatus 10) and encrypted communication is performed. If data communication via the encrypted tunnel is not performed for a predetermined time, the setting of the encrypted tunnel is canceled. A network relay device (eg, router 20),
When device identification information (for example, KEY data shown in FIG. 4) for identifying the user device is notified from the user device during construction of the encryption tunnel, the device identification information is stored in a memory, and the encryption tunnel is stored. Identification information control means (for example, CP21) for erasing the device identification information from the memory (for example, SA2a) when the setting is released,
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. A cryptographic tunnel construction control means for controlling to cancel the setting of the ongoing cryptographic tunnel and to start construction of the new cryptographic tunnel if the cryptographic tunnel is ongoing. For example, CP21)
A network relay device comprising:
また、上記課題を解決するため、この発明のネットワークシステムは、
ネットワーク間で行われるデータ通信を中継する中継するネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)とを備え、該ユーザ装置と前記ネットワーク中継装置との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワークシステム(例えば、ネットワークシステム100)であって、
前記ユーザ装置は、
前記暗号トンネルの構築中に、自装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)を前記ネットワーク中継装置に通知する識別情報通知手段(例えば、CP11)を備え、
前記ネットワーク中継装置は、
前記機器識別情報が通知されると該機器識別情報をメモリ(例えば、SA1a)内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリから消去する識別情報制御手段(例えば、CP21)と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段(例えば、CP21)と、
を備えたことを特徴とするネットワークシステムである。
In order to solve the above-mentioned problem, the network system of the present invention is
A network relay device that relays data communication performed between networks (for example, the router 20), and a user device that can perform data communication via the network relay device (for example, the user device 10), An encryption tunnel is established between the user device and the network relay device to perform encrypted communication with each other, and if the data communication via the encryption tunnel is not performed for a predetermined time, the setting of the encryption tunnel is canceled. A network system (eg, network system 100),
The user equipment is
An identification information notification means (for example, CP11) for notifying the network relay device of device identification information (for example, KEY data shown in FIG. 4) for identifying the own device during the construction of the encryption tunnel;
The network relay device is:
When the device identification information is notified, the device identification information is stored in a memory (for example, SA1a), and the device identification information is erased from the memory when the setting of the encryption tunnel is cancelled. (For example, CP21)
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. A cryptographic tunnel construction control means for controlling to cancel the setting of the ongoing cryptographic tunnel and to start construction of the new cryptographic tunnel if the cryptographic tunnel is ongoing. For example, CP21)
A network system characterized by comprising:
また、上記課題を解決するため、この発明の暗号化通信方法は、
ネットワーク間で行われるデータ通信を中継するネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除する暗号化通信方法であって、
前記暗号トンネルの構築中に、前記ユーザ装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)を、該ユーザ装置から前記ネットワーク中継装置に通知する識別情報通知ステップと、
前記機器識別情報が前記ネットワーク中継装置に通知されると、該機器識別情報を該ネットワーク中継装置のメモリ(例えば、SA2a)内に格納する情報格納ステップと、
前記暗号トンネルの設定が解除された際に、前記機器識別情報を前記メモリ内から消去する情報消去ステップとを含み、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始することを特徴とする暗号化通信方法である。
In order to solve the above problem, the encrypted communication method of the present invention is:
An encryption tunnel is established between a network relay device (for example, the router 20) that relays data communication performed between networks and a user device (for example, the user device 10) that can perform data communication via the network relay device. An encrypted communication method for constructing and performing encrypted communication with each other, and canceling the setting of the encryption tunnel when data communication via the encryption tunnel is not performed for a predetermined time,
An identification information notification step of notifying device identification information for identifying the user device (for example, KEY data shown in FIG. 4) from the user device to the network relay device during construction of the encryption tunnel;
When the device identification information is notified to the network relay device, an information storage step of storing the device identification information in a memory (for example, SA2a) of the network relay device;
An information erasing step of erasing the device identification information from the memory when the setting of the encryption tunnel is canceled,
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. And determining whether or not the encryption tunnel is ongoing, canceling the setting of the ongoing encryption tunnel and starting the construction of the new encryption tunnel. It is.
本発明によれば、暗号トンネル構築の際に、ユーザ装置固有の識別情報がネットワーク中継装置に保存される。このため、ユーザ装置とネットワーク中継装置との間で暗号トンネルが構築された後、当該暗号トンネルが終了される前に、当該ユーザ装置が故障等により再起動されて新たな暗号トンネル構築要求がユーザ装置からネットワーク中継装置になされた場合であっても、ネットワーク中継装置は、識別情報に基づいて、この新たな暗号トンネル構築要求を行ったユーザ装置が、現在未終了の暗号トンネルを利用していたものと容易に確認できる。そして、当該未終了の暗号トンネルに係る認証・暗号情報がネットワーク中継装置のメモリから消去できるので、ネットワーク中継装置のメモリ資源の有効活用が可能となる。特に、ネットワーク中継装置の空きメモリ容量が増加可能となるので、多くの暗号トンネルの構築が同時並列的により可能となる。 According to the present invention, identification information unique to a user apparatus is stored in a network relay apparatus when an encryption tunnel is established. For this reason, after the encryption tunnel is established between the user device and the network relay device, before the encryption tunnel is terminated, the user device is restarted due to a failure or the like, and a new encryption tunnel establishment request is issued by the user. Even if the network relay device is changed from the device to the network relay device, the network relay device uses the currently unfinished cryptographic tunnel by the user device that has made this new cryptographic tunnel construction request based on the identification information. It can be easily confirmed. Since the authentication / encryption information related to the unfinished encryption tunnel can be deleted from the memory of the network relay device, it is possible to effectively use the memory resources of the network relay device. In particular, since the free memory capacity of the network relay device can be increased, many cryptographic tunnels can be constructed simultaneously and in parallel.
以下、図面を参照して本発明を適用したネットワークシステム100について説明する。
ネットワークシステム100は、図1に示すように、ユーザ装置(CPE)10と、ネットワーク中継装置としてのルータ20とが、ネットワークNに暗号トンネルを構築し、当該暗号トンネルを介し相互に暗号化通信可能に接続される。なお、ネットワークシステム100は、複数のユーザ装置10が接続された構成であってもよい。
Hereinafter, a
In the
ユーザ装置10は、図2(a)に示すように、CP(Central Processor)11、NP(Network Processor)12を備え、CP11は、ISAKMP制御デーモン(daemon)11a、カーネル(kernel)11b、DB(Data Base)11c、SA(SA data base)1aを備える。このISAKMP制御デーモン11a、カーネル11bは、CP11が実行するプログラムの各機能を表すものであってもよいし、ハードウェアの機能を表すものであってもよい。
As shown in FIG. 2A, the
ISAKMP制御デーモン11aは、IPsecによる暗号化通信を確立するため、ルータ20との間で、ISAKMPの鍵管理プロトコルに基づく認証・暗号化情報の交換(Phase−I、IIのネゴシエーション)を行う。特にPhase−Iの際、ISAKMP制御デーモン11aは、DB11cに格納された各種ピア(peer)情報(例えば、ルータ20のアドレス等。)を用いて、図3に示すISAKMPパケットD1やISAKMPパケットD3を作成する。
The
ISAKMP制御デーモン11aは、ISAKMPパケットD1を作成する際に、IDペイロードを、ユーザ装置10のIDデータに、MACアドレス等のユーザ装置10を識別するための固有のKEYデータを加えて作成する。例えば、図4の図中符号D4に示すIDペイロードに含まれる“Identification Data”の数バイト分にユーザ装置10に係るIPアドレス“user@customere.com”が記録され、残りの数バイト分にはMACアドレス等のユーザ装置10を識別するためのKEYデータ(“00010203”)が記録されている。
When creating the ISAKMP packet D1, the
また、ISAKMP制御デーモン11aは、Phase−I、IIの各段階で作成した各SA(それぞれPhase−I SA、Phase−II SAという)をSA1aに格納する。この各SAには、上記KEYデータが加えられたIDデータが含まれる。
Further, the
カーネル11bは、ネットワークNを介してパケットを送信する場合には、SA1aを参照して、当該送信パケットに係るPhase−I SA、Phase−II SAがSA1aに既に格納(作成)されているか否かを判定し、当該各SAが既にSA1aに格納されている場合には、各SAを用いて当該送信パケットの暗号化を行う。当該送信パケットに係る各SAがSA1aに格納されていない場合には、ISAKMP制御デーモン11aに対して各SAの作成要求を行う。その際、ISAKMP制御デーモン11aは、当該パケットの送信先との間でPhase−I、IIを行って各SAを作成する。
When transmitting a packet via the network N, the
NP12は、ネットワークNを介してパケットの送受信を行うためのインターフェースを備える。
The
ルータ20は、図2(b)に示すように、CP21、NP22を備え、CP21は、ISAKMP制御デーモン21a、カーネルl21b、DB21c、SA2aを備える。このISAKMP制御デーモン21a、カーネル21bは、CP21が実行するプログラムの各機能を表すものであってもよいし、ハードウェアの機能を表すものであってもよい。
As shown in FIG. 2B, the
ISAKMP制御デーモン21aは、IPsecによる暗号トンネルを構築するため、ユーザ装置10との間で、ISAKMPの鍵管理プロトコルに基づく認証・暗号化情報の交換(Phase−I、IIのネゴシエーション)を行う。特にPhase−Iの際、ISAKMP制御デーモン21aは、DB21cに格納された各種ピア(peer)情報(例えば、ユーザ装置10のアドレス等)を用いて、図3に示すISAKMPパケットD2を作成する。
The
また、ISAKMP制御デーモン21aは、Phase−I、IIの各段階で作成した各SA(それぞれPhase−I SA、Phase−II SAという)をSA2aに格納する。この各SAには、上記KEYデータが加えられたIDデータが含まれる。
Further, the
カーネル21bは、ネットワークNを介してパケットが受信されると、SA2aを参照して、当該受信パケットに係るPhase−I SA、Phase−II SAがSA2aに既に格納(作成)されているか否かを判定し、当該各SAが既にSA2aに格納されている場合には、各SAを用いて当該受信パケットの復号化を行う。当該受信パケットに係る各SAがSA2aに格納されていない場合には、ISAKMP制御デーモン21aに対して各SAの作成要求を行う。その際、ISAKMP制御デーモン21aは、当該パケットの送信元との間でPhase−I、IIを行って各SAを作成する。
When a packet is received via the network N, the
カーネルl21bは、暗号トンネル構築後、ユーザ装置10からパケット送信が所定時間行われなかった場合、若しくは、ユーザ装置10から暗号トンネルの設定解除指示を受信した際には、当該暗号トンネルの設定を解除する。この場合、カーネルl21bは、当該暗号トンネルに係るPhase−I SA、Phase−II SAをSA2aから消去する。
The kernel l21b cancels the setting of the encryption tunnel when the packet transmission from the
NP22は、ネットワークNを介してパケットの送受信を行うためのインターフェースを備える。
The
次に、ネットワークNを介して、ユーザ装置10のISAKMP制御デーモン11aと、ルータ20のISAKMP制御デーモン21aとの間で行われるPhase−Iの処理内容について説明する。
Next, the contents of Phase-I processing performed between the
まず、ISAKMP制御デーモン11aは、ISAKMPパケットD1を作成し、このISAKMPパケットD1をNP12を介してルータ20側に送信する(ステップS1)。ここで、ISAKMPパケットD1には、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)、SAペイロード(SA)、key exchengeペイロード(KE)、NONCEペイロード(Ni)及びIDペイロード(IDi)が含まれる。
First, the
次に、ISAKMP制御デーモン21aは、ユーザ装置10側からISAKMPパケットD1が受信されると、このISAKMPパケットD1にHASHペイロード(HASHr)を加えてISAKMPパケットD2を作成し、このISAKMPパケットD2をNP22を介してユーザ装置10側に送信する(ステップS2)。ここで、ISAKMPパケットD2には、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)、SAペイロード(SA)、key exchengeペイロード(KE)、NONCEペイロード(Nr)、IDペイロード(IDr)及びHASHペイロード(HASHr)が含まれる。
Next, when the ISAKMP packet D1 is received from the
そして、ISAKMP制御デーモン11aは、ルータ20側からISAKMPパケットD2が受信されると、このうちIPヘッダ、UDPヘッダ及びISAKMPヘッダに、更に暗号化されたHASHペイロード(HASH_i)を加えてISAKMPパケットD3を作成し、このISAKMPパケットD3をルータ20に送信する(ステップS3)。ここで、ISAKMPパケットD3には、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)及びHASHペイロード(HASHi)が含まれる。
When the ISAKMP packet D2 is received from the
次に、図5を参照して、ユーザ装置10とルータ20との間で暗号トンネルが構築された後にユーザ装置10が再起動された際の再起動処理について説明する。
Next, a restart process when the
まず、暗号トンネル(第1の暗号トンネルという)がユーザ装置10とルータ20との間で一旦構築されると、ユーザ装置10、ルータ20には、それぞれ、当該第1の暗号トンネルに係るPhase−I SA、Phase−II SA(第1のPhase−I、第1のPhase−II SAという)が作成されて保存される。ここで、第1の暗号トンネル構築の際に用いられたIPアドレスを第1のIPアドレスとし、IDペイロード(IDi)を第1のIDペイロードという。
First, once an encryption tunnel (referred to as a first encryption tunnel) is established between the
その後、ユーザ装置10が故障等により再起動されると、ISAKMP制御デーモン11aにより、新たに付与されたIPアドレス(第1のIPアドレスとは異なる第2のIPアドレスという)に、ユーザ装置10に固有のKEYデータ(第1の暗号トンネルに用いられたものと同じKEYデータ)が更に加えられて新たな第2のIDペイロード(IDi)が作成される。
Thereafter, when the
更に、ISAKMP制御デーモン11aにより、この第2のIDペイロードが含まれる新たなISAKMPパケットD1が作成されてルータ20側に送信される。
Further, the
その後、ルータ20のISAKMP制御デーモン21aは、当該新たに作成されたISAKMPパケットD1が受信されると、第2のIDペイロードに含まれるKEYデータを第2のPhase−I SAとしてSA2aに格納し、今後受信されるパケットの認証を、この第2のIDペイロードに含まれる第2のIPアドレスに基づいて行う(ステップS11)。
Thereafter, when the
その後、第2のPhase−I SAの作成終了に伴い、図3に示すPhase−Iのネゴシエーションが終了され、この第2のPhase−I SAがユーザ装置10、ルータ20の各SA1a、SA2aに保存される(ステップS12)。
Thereafter, along with the completion of the creation of the second Phase-I SA, the negotiation of the Phase-I shown in FIG. 3 is terminated, and this second Phase-I SA is stored in each of the SA1a and SA2a of the
そして、ISAKMP制御デーモン21aは、SA2aを参照して、第2のIPアドレスに係る他の(第1の暗号トンネルとは無関係な)Phase−I SAがSA2aに格納されているか否かを判定する(ステップS13)。
Then, the
ステップS13の段階で、第2のIPアドレスに係る他のPhase−I SAがSA2aに格納されている場合には(ステップS13;Yes)、当該他のPhase−I SAを消去してステップS15に移行し(ステップS14)、上記他のPhase−I SAがSA2aに格納されていない場合には(ステップS13;No)、ステップS15に移行する。 If another Phase-ISA related to the second IP address is stored in SA2a at Step S13 (Step S13; Yes), the other Phase-ISA is deleted and the process goes to Step S15. If the other Phase-ISA is not stored in SA2a (Step S13; No), the process proceeds to Step S15.
その後、ISAKMP制御デーモン21aは、ユーザ装置10に固有のKEYデータに係る他のPhase−I SAがSA2aに格納されているか否かを判定する(ステップS15)。
Thereafter, the
この際、ユーザ装置10の再起動が、予め設定されたPhase−I SAのライフタイム終了前に行われた場合、第1の暗号トンネル構築の際(当該再起動前)に既に作成・保存されたPhase−I SAがSA2aに未だ残っているため(ステップS15;Yes)、ISAKMP制御デーモン21aは、当該再起動前に作成・保存され、SA2aに未だ残っているPhase−I SA、Phase−II SAを消去し(ステップS16)、ステップS17に移行する。
At this time, if the
ステップS15の段階で、上記KEYデータに係る他のPhase−I SAがSA2aに格納されていな場合には(ステップS15;No)、ステップS17に移行する。 If no other Phase-ISA related to the KEY data is stored in SA2a at step S15 (step S15; No), the process proceeds to step S17.
そして、ISAKMP制御デーモン21aは、Phase−IIの処理を行い、ユーザ装置10との間で新たな暗号トンネルを構築する(ステップS17)。
Then, the
以上説明したように、暗号トンネル構築の際に、ユーザ装置固有のKEYデータがルータ20のSA2aにSAに関連付けて保存される。このため、ユーザ装置10とルータ20との間で暗号トンネルが構築された後、当該暗号トンネルが終了される前に、当該ユーザ装置10が故障等により再起動されて新たな暗号トンネル構築要求がユーザ装置10からルータ20になされた場合であっても、ルータ20は、KEYデータに基づいて、この新たな暗号トンネル構築要求を行ったユーザ装置10が、現在未終了の暗号トンネルを利用していたものと容易に確認できる。そして、当該未終了の暗号トンネルに係るSAがルータ20のSA2aから消去できるので、ルータ20のメモリ資源の有効活用が可能となる。特に、ルータ20の空きメモリ容量が増加でき、より多くの暗号トンネルの構築が同時並列的に可能となる。
As described above, when the encryption tunnel is established, the KEY data specific to the user apparatus is stored in the
なお、本実施の形態における記述は上記したものに限定されない。本実施の形態におけるネットワークシステム100、ユーザ装置10、ルータ20の細部構成及び詳細な動作等に関しては、本発明の趣旨を逸脱しない範囲で適宜変更可能である。
Note that the description in this embodiment is not limited to the above description. The detailed configurations and detailed operations of the
10 ユーザ装置
100 ネットワークシステム
11 CP
11a ISAKMP制御デーモン
11b カーネル
11c DB
12 NP
1a SA
20 ルータ
21 CP
21a ISAKMP制御デーモン
21b カーネル
21c DB
22 NP
2a SA
D1、D2、D3 ISAKMPパケット
N ネットワーク
10
11a
12 NP
1a SA
20
21a
22 NP
2a SA
D1, D2, D3 ISAKMP packet N network
Claims (3)
前記ユーザ装置から該ユーザ装置を識別するための機器識別情報が前記暗号トンネル構築中に通知されると該機器識別情報をメモリ内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリから消去する識別情報制御手段と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段と、
を備えたことを特徴とするネットワーク中継装置。 A network relay device that establishes an encryption tunnel with a user device and performs encrypted communication, and cancels the setting of the encryption tunnel when data communication via the encryption tunnel is not performed for a predetermined time,
When device identification information for identifying the user device is notified from the user device during construction of the encryption tunnel, the device identification information is stored in a memory, and the device is set when the encryption tunnel setting is released. Identification information control means for erasing identification information from the memory;
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. A cryptographic tunnel construction control means for controlling whether to cancel the setting of the ongoing cryptographic tunnel and start construction of the new cryptographic tunnel if the cryptographic tunnel is ongoing. ,
A network relay device comprising:
前記ユーザ装置は、
前記暗号トンネルの構築中に、自装置を識別するための機器識別情報を前記ネットワーク中継装置に通知する識別情報通知手段を備え、
前記ネットワーク中継装置は、
前記機器識別情報が通知されると該機器識別情報をメモリ内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリから消去する識別情報制御手段と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段と、
を備えたことを特徴とするネットワークシステム。 A network relay device that relays data communication performed between networks, and a user device capable of data communication via the network relay device, the encryption tunnel between the user device and the network relay device A network system that performs encrypted communication with each other and cancels the setting of the encryption tunnel when data communication via the encryption tunnel is not performed for a predetermined time,
The user equipment is
Identification information notifying means for notifying the network relay device of device identification information for identifying its own device during construction of the encryption tunnel,
The network relay device is:
When the device identification information is notified, the device identification information is stored in a memory, and the device identification information is erased from the memory when the setting of the encryption tunnel is canceled,
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. A cryptographic tunnel construction control means for controlling whether to cancel the setting of the ongoing cryptographic tunnel and start construction of the new cryptographic tunnel if the cryptographic tunnel is ongoing. ,
A network system characterized by comprising:
前記暗号トンネルの構築中に、前記ユーザ装置を識別するための機器識別情報を、該ユーザ装置から前記ネットワーク中継装置に通知する識別情報通知ステップと、
前記機器識別情報が前記ネットワーク中継装置に通知されると、該機器識別情報を該ネットワーク中継装置のメモリ内に格納する情報格納ステップと、
前記暗号トンネルの設定が解除された際に、前記機器識別情報を前記メモリ内から消去する情報消去ステップとを含み、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始することを特徴とする暗号化通信方法。
An encryption tunnel is established between a network relay device that relays data communication performed between networks and a user device that can perform data communication via the network relay device, and performs encrypted communication with each other. An encryption communication method for canceling the setting of the encryption tunnel when data communication through the tunnel is not performed for a predetermined time,
An identification information notifying step of notifying the network relay device of device identification information for identifying the user device during construction of the encryption tunnel;
When the device identification information is notified to the network relay device, an information storage step of storing the device identification information in a memory of the network relay device;
An information erasing step of erasing the device identification information from the memory when the setting of the encryption tunnel is canceled,
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. And determining whether or not the encryption tunnel is ongoing, canceling the setting of the ongoing encryption tunnel and starting the construction of the new encryption tunnel. .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004255589A JP4316450B2 (en) | 2004-09-02 | 2004-09-02 | Network relay device, network system, and encrypted communication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004255589A JP4316450B2 (en) | 2004-09-02 | 2004-09-02 | Network relay device, network system, and encrypted communication method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006074457A JP2006074457A (en) | 2006-03-16 |
JP4316450B2 true JP4316450B2 (en) | 2009-08-19 |
Family
ID=36154577
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004255589A Expired - Fee Related JP4316450B2 (en) | 2004-09-02 | 2004-09-02 | Network relay device, network system, and encrypted communication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4316450B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8445053B2 (en) | 2005-11-04 | 2013-05-21 | Arla Foods Amba | Concentrate derived from a milk product enriched in naturally occuring sialyllactose and a process for preparation thereof |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4805185B2 (en) * | 2007-02-15 | 2011-11-02 | 日本電信電話株式会社 | Gateway device and session management method |
JP2012160941A (en) * | 2011-02-01 | 2012-08-23 | Canon Inc | Information processing device, information processing method and program |
JP2012175501A (en) * | 2011-02-23 | 2012-09-10 | Seiko Epson Corp | Internet communication system, peripheral device, sa parameter set deletion method, and sa parameter set deletion program |
JP2012175121A (en) * | 2011-02-17 | 2012-09-10 | Seiko Epson Corp | Printer, and sa establishment method for the printer |
-
2004
- 2004-09-02 JP JP2004255589A patent/JP4316450B2/en not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8445053B2 (en) | 2005-11-04 | 2013-05-21 | Arla Foods Amba | Concentrate derived from a milk product enriched in naturally occuring sialyllactose and a process for preparation thereof |
Also Published As
Publication number | Publication date |
---|---|
JP2006074457A (en) | 2006-03-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11038846B2 (en) | Internet protocol security tunnel maintenance method, apparatus, and system | |
CN109150688B (en) | IPSec VPN data transmission method and device | |
JP4763560B2 (en) | Connection support device | |
JP4016998B2 (en) | Communication apparatus and program | |
JP3629237B2 (en) | Node device and communication control method | |
US20100228962A1 (en) | Offloading cryptographic protection processing | |
JPWO2008146395A1 (en) | Network relay device, communication terminal, and encrypted communication method | |
US20190207776A1 (en) | Session management for communications between a device and a dtls server | |
CN109040059B (en) | Protected TCP communication method, communication device and storage medium | |
JP2008205763A (en) | Communication device, and communication method and program | |
JP2012100206A (en) | Cryptographic communication relay system, cryptographic communication relay method and cryptographic communication relay program | |
JP2006246098A (en) | Method for continuing security association under variable ip address environment, and terminal equipment | |
JP4316450B2 (en) | Network relay device, network system, and encrypted communication method | |
US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
US20180183584A1 (en) | IKE Negotiation Control Method, Device and System | |
JP4630296B2 (en) | Gateway device and authentication processing method | |
JP4376094B2 (en) | Wireless communication device | |
JP4013920B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, ITS OPERATION CONTROL METHOD, AND PROGRAM | |
JP2008199420A (en) | Gateway device and authentication processing method | |
JP5131118B2 (en) | Communication system, management device, relay device, and program | |
JP4413708B2 (en) | Network relay device, network system, and encrypted communication method | |
JP2005167608A (en) | System and method for ciphered communication computer program, and computer readable recording medium | |
CN114268499B (en) | Data transmission method, device, system, equipment and storage medium | |
JP2012160941A (en) | Information processing device, information processing method and program | |
WO2021259110A1 (en) | Method for configuration and management of map-e tunnel, apparatus, server and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20061215 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070501 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20081015 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090416 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090428 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090520 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 4316450 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120529 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120529 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130529 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140529 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |