JP4405440B2 - Communication method and communication apparatus - Google Patents

Communication method and communication apparatus Download PDF

Info

Publication number
JP4405440B2
JP4405440B2 JP2005203036A JP2005203036A JP4405440B2 JP 4405440 B2 JP4405440 B2 JP 4405440B2 JP 2005203036 A JP2005203036 A JP 2005203036A JP 2005203036 A JP2005203036 A JP 2005203036A JP 4405440 B2 JP4405440 B2 JP 4405440B2
Authority
JP
Japan
Prior art keywords
communication
ipsec
selector
communication device
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005203036A
Other languages
Japanese (ja)
Other versions
JP2007027847A (en
Inventor
健一郎 富澤
啓輔 ▲崎▼谷
真司 阿部
昌也 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Hitachi Communication Technologies Ltd
Original Assignee
Nippon Telegraph and Telephone Corp
Hitachi Communication Technologies Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Hitachi Communication Technologies Ltd filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005203036A priority Critical patent/JP4405440B2/en
Publication of JP2007027847A publication Critical patent/JP2007027847A/en
Application granted granted Critical
Publication of JP4405440B2 publication Critical patent/JP4405440B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信方法及び通信装置に係り、特に、信頼性を必要とするIP通信ネットワークにIPsecを適用する際の、鍵交換プロトコルであるIKEによるセキュリティポリシを動的に生成可能とした通信方法及び通信装置に関する。   The present invention relates to a communication method and a communication apparatus, and in particular, a communication method capable of dynamically generating a security policy by IKE, which is a key exchange protocol, when applying IPsec to an IP communication network that requires reliability. And a communication apparatus.

通信装置と、通信装置が接続されているIP(Internet Protocol)通信ネットワークと、IP通信ネットワークと接続され、前述の通信装置と通信データを交換する通信相手の通信装置とで構成される通信システムは、一般に、安全な通信を実現するために、通信を行う通信装置相互間で、SA(Security Association)を確立した上で通信を行っている。SAは、安全な通信路であり、SAが保護対象とするデータを、他者からの盗み見や、改竄から守ることを可能にしている。   A communication system comprising: a communication device; an IP (Internet Protocol) communication network to which the communication device is connected; and a communication device connected to the IP communication network and exchanging communication data with the communication device. In general, in order to realize secure communication, communication is performed after establishing SA (Security Association) between communication apparatuses that perform communication. The SA is a secure communication path, and enables data to be protected by the SA to be protected from snooping and tampering by others.

一方、通信を行う2つの通信装置相互間で暗号化や認証のための秘密鍵の生成・交換を自動で行うことが可能なプロトコルとして、非特許文献1等に記載されたIKE(Internet Key Exchange)が知られており、このIKEで生成されるSAは、フェーズ1で生成されるISAKMPSA(Internet Security Association and Key Management Protocol Security Association)と、フェーズ2で生成されるIPsecSA(IP security protocol Security Association)との2つにより構成される。そして、IPsecSAの確立のために必要なデータは、ISAKMPSAによって保護されて通信される。
IETF(The Internet Engineering Task Force)、“The Internet Key Exchange(IKE)”、[online]、[平成16年9月1日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc2409.txt> On the other hand, as a protocol capable of automatically generating and exchanging a secret key for encryption and authentication between two communication devices that perform communication, IKE (Internet Key Exchange) described in Non-Patent Document 1 or the like is used. The SA generated by this IKE includes ISAKMPSA (Internet Security Association and Key Management Protocol Security Association) generated in phase 1 and IPsec SA (IP security protocol Security Association) generated in phase 2 It is comprised by two. Data necessary for establishing IPsec SA is protected by ISAKMPSA and communicated.
IETF (The Internet Engineering Task Force), “The Internet Key Exchange (IKE)”, [online], [searched on September 1, 2004], Internet <URL: http://www.ietf.org/rfc/ rfc2409.txt>

従来技術によるインターネット鍵交換プロトコルであるIKEは、IPsecSAを動的に生成することにより、同一の鍵を永続的に使用しないようにしてセキュリティを確保することを目的とし、生成したIPsecSAを適用するために、通信装置間の送信元IPアドレスあるいは送信元IPネットワークアドレス、送信先IPアドレスあるいは送信先IPネットワークアドレス、上位層プロトコル、送信元ポート、送信先ポートで構成するセキュリティポリシとしてのセレクタを、事前にIKEを行う通信装置、及び、通信相手装置の記憶手段に格納しておくことが必要である。   IKE, which is an Internet key exchange protocol according to the prior art, aims to secure security by dynamically generating an IPsec SA so that the same key is not used permanently, in order to apply the generated IPsec SA. In addition, a selector as a security policy composed of a source IP address or a source IP network address, a destination IP address or a destination IP network address, an upper layer protocol, a source port, and a destination port between communication devices is set in advance. It is necessary to store the data in the storage device of the communication device that performs the IKE and the communication partner device.

このため、前述した従来技術によるIKEを使用する通信システムは、ある通信装置が、不特定多数の通信相手となる通信装置との間で交換する通信データのそれぞれにIKEにより生成したIPsecSAを適用する必要がある場合、通信データの交換が発生する可能性がある通信相手とのセレクタとなるセキュリティポリシを通信相手毎に記憶手段へ格納しておく必要があり、固定的に大量の記憶容量を必要とするという問題点を有し、また、実際にIKEを含む通信データの交換が行われていない場合であっても、固定的に大量の記憶容量を必要としてしまうという問題点を生じる。また、IPアドレスを動的に割り当てる通信装置が存在する通信ネットワークに接続され、割り当てられたIPアドレスの動的付与を行う通信装置は、セキュリティポリシを事前に記憶手段へ格納しておくことができないという問題点を有している。   For this reason, in the communication system using the IKE according to the above-described conventional technology, the IPsec SA generated by the IKE is applied to each piece of communication data exchanged between a certain communication device and a communication device that is an unspecified number of communication partners. When necessary, it is necessary to store a security policy that serves as a selector with the communication partner that may cause the exchange of communication data in the storage means for each communication partner, and a large amount of storage capacity is required in a fixed manner. In addition, there is a problem that a large amount of storage capacity is required in a fixed manner even when communication data including IKE is not actually exchanged. In addition, a communication device that is connected to a communication network in which a communication device that dynamically assigns an IP address exists and dynamically assigns the assigned IP address cannot store the security policy in the storage unit in advance. Has the problem.

本発明の目的は、前述した従来技術の問題点を解決し、IPsecを適用する通信ネットワークに接続される通信装置おける、記憶手段へのセキュリティポリシの格納を省略し、この省略に伴う事前設定を簡略化することができ、セレクタ情報として占有する記憶容量を小さくして記憶装置の効率的な使用を可能にし、さらに、IPアドレスの動的割り当てによりIPアドレス付与を期待する通信装置へのIPsecを適用することができるようにした通信方法及び通信装置を提供することにある。   The object of the present invention is to solve the above-mentioned problems of the prior art, omit the storage of security policy in the storage means in the communication device connected to the communication network to which IPsec is applied, and perform the presetting associated with this omission. The storage capacity occupied as selector information can be reduced to enable efficient use of the storage device. Furthermore, IPsec can be used for communication devices that expect to be assigned an IP address by dynamically assigning an IP address. An object of the present invention is to provide a communication method and a communication apparatus that can be applied.

本発明によれば前記目的は、複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信方法において、前記通信主体となる通信装置が、通信相手となる通信装置との間で交換する通信データにIPsecを適用するために、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立する場合、前記通信主体となる通信装置は、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成し、前記セレクタを動的に生成する際、前記セレクタと同一のセレクタが既に通信主体となる通信装置の記憶手段に存在している場合、重複したセレクタの生成を拒否し、IPsecSAのみを動的に生成することにより達成される。 According to the present invention, the object is that a plurality of communication devices are connected to a communication network, one of the plurality of communication devices is a communication subject, and one of the other communication devices is a communication partner to communicate between the communication devices. In the communication method for exchanging data, the communication device serving as the communication subject uses IKE, which is an Internet key exchange protocol, to apply IPsec to communication data exchanged with a communication device serving as a communication partner. When establishing an IPsec SA, the communication device serving as the communication subject, in addition to the IPsec SA determined by the IKE phase 2, the IP address or the IP network address of the communication device serving as a communication subject that exchanges communication data using IPsec SA And the IP address or IP network address of the communication device that is the communication partner, And Tokoru, a source port, identifies the selector consists of information of the destination port, dynamically generates a security policy by dynamically generating the IPsecSA and selector dynamically the selector When generating, if the same selector as the selector already exists in the storage means of the communication device that is the communication subject, it is achieved by rejecting the generation of duplicate selectors and dynamically generating only IPsec SA. .

また、前記目的は、複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信装置において、
前記通信主体となる通信装置は、通信相手となる通信装置との間で交換する通信データにIPsecを適用し、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立するために、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成し、前記セレクタを動的に生成する際、前記セレクタと同一のセレクタが既に通信主体となる通信装置の記憶手段に存在している場合、重複したセレクタの生成を拒否し、IPsecSAのみを動的に生成する手段を有することにより達成される。 In addition, the purpose is to exchange communication data between communication devices by connecting a plurality of communication devices to a communication network, one of the plurality of communication devices being a communication subject, and one of the other communication devices being a communication partner. Communication device
In order to establish IPsec SA using IKE, which is an Internet key exchange protocol, the communication device serving as the communication subject applies IPsec to communication data exchanged with a communication device serving as a communication partner. In addition to the IPsec SA determined by the above, the IP address or IP network address of the communication device that is the communication subject that exchanges communication data using the IPsec SA, the IP address or IP network address of the communication device that is the communication partner, A selector configured by information of a layer protocol, a source port, and a destination port is specified, and a security policy is dynamically generated by dynamically generating an IPsec SA and a selector. The same selector as the selector is already When present in the storage means of the communication device serving as, reject the creation of duplicate selector is achieved by having a means for dynamically generating only IPsecSA.

本発明によれば、通信データの交換、あるいは、転送を行う通信装置相互間で、事前にIPsec適用の有無を判定するためのセレクタであるセキュリティポリシを事前に通信装置の記憶手段への格納することなしに、IKEを使用したIPsecSA生成とIPsecSAを使用した通信が可能である。   According to the present invention, a security policy, which is a selector for determining in advance whether or not IPsec is applied, between communication devices that exchange or transfer communication data is stored in advance in the storage unit of the communication device. Without limitation, IPsec SA generation using IKE and communication using IPsec SA are possible.

以下、本発明による通信方法及び通信装置の実施形態を図面により詳細に説明する。   Embodiments of a communication method and a communication apparatus according to the present invention will be described below in detail with reference to the drawings.

図1は本発明の一実施形態による通信装置を備えて構成された通信システムの構成を示すブロック図である。図1において、1は通信主体となる通信装置(以下、単に通信主体という)、2は通信相手となる通信装置(以下、単に通信相手という)、10はIKE処理部、11はIKEフェーズ1処理部、12はIKEフェーズ2処理部、13はセレクタ設定処理部、14はIPsecSA設定処理部、20はセキュリティポリシ管理部、21はセレクタ格納部、22はIPsecSA格納部、30は通信インタフェース、40は通信ネットワーク、90は記憶手段である。セレクタ格納部を構成する要素として、送信元アドレス/送信元ネットワークアドレス21−1、送信先アドレス/送信先ネットワークアドレス21−2、上位層プロトコル21−3、上位層プロトコル送信元ポート21−4、上位層プロトコル送信先ポート21−5で構成する。   FIG. 1 is a block diagram showing a configuration of a communication system including a communication apparatus according to an embodiment of the present invention. In FIG. 1, reference numeral 1 denotes a communication apparatus (hereinafter simply referred to as communication entity), 2 is a communication apparatus (hereinafter simply referred to as communication partner), 10 is an IKE processing unit, and 11 is an IKE phase 1 process. , IKE phase 2 processing unit, 13 selector setting processing unit, 14 IPsec SA setting processing unit, 20 security policy management unit, 21 selector storage unit, 22 IPsec SA storage unit, 30 communication interface, 40 A communication network 90 is a storage means. As elements constituting the selector storage unit, a source address / source network address 21-1, a destination address / destination network address 21-2, an upper layer protocol 21-3, an upper layer protocol source port 21-4, An upper layer protocol destination port 21-5 is used.

図1に示す通信システムは、IKEによりIPsecSAを確立する際の、確立要求を受ける側の装置である通信主体1と、確立要求を行う側の装置である通信相手2とが通信ネットワーク40によって接続されて構成されている。なお、図1に示す通信システムは、通信主体1と通信相手2だけを通信ネットワーク40に接続した構成として示しているが、本発明は、通信ネットワーク40に多数の通信装置が接続され、ある1つの通信装置が通信主体となり、他の通信装置の任意の1つが通信相手となって相互にデータの交換を行うことができるものである。そして、複数の通信装置のそれぞれは、自通信装置のIPアドレスを動的に設定することができるものであってもよいし、固定的にIPアドレスが設定されているものであってもよい。また、通信主体1及び通信相手2を含む全ての通信装置は、それぞれ、少なくとも、演算処理を行う際に用いられる記憶手段としてのメモリと、前記演算処理を行う演算装置とを備えるコンピュータとして構成される。また、メモリは、RAM(Rondom Access Memory)等により構成され、演算装置は、CPU(Central Processing Unit)によって構成されればよく、本発明の実施形態は、演算装置が、メモリ上のプログラムを実行することにより実現される。   In the communication system shown in FIG. 1, when establishing an IPsec SA by IKE, a communication subject 1 that is a device that receives an establishment request and a communication partner 2 that is a device that makes an establishment request are connected by a communication network 40. Has been configured. The communication system shown in FIG. 1 is shown as a configuration in which only the communication subject 1 and the communication partner 2 are connected to the communication network 40. However, in the present invention, a number of communication devices are connected to the communication network 40. One communication device serves as a communication subject, and any one of the other communication devices serves as a communication partner to exchange data with each other. Each of the plurality of communication devices may be capable of dynamically setting the IP address of the own communication device, or may be one in which the IP address is fixedly set. Further, all communication devices including the communication main body 1 and the communication partner 2 are each configured as a computer including at least a memory serving as a storage unit used when performing arithmetic processing and an arithmetic device performing the arithmetic processing. The Further, the memory may be configured by a RAM (Rondom Access Memory) or the like, and the arithmetic device may be configured by a CPU (Central Processing Unit). In the embodiment of the present invention, the arithmetic device executes a program on the memory. It is realized by doing.

前述において、通信主体1は、通信相手2とのIKEに関するデータを通信する通信インタフェース30と、実際のIKEの送受信を行うIKE処理部10と、IKEにより生成した情報を格納するセキュリティポリシ管理部20とを備えて構成される。   In the above description, the communication subject 1 includes the communication interface 30 that communicates IKE data with the communication partner 2, the IKE processing unit 10 that transmits and receives the actual IKE, and the security policy management unit 20 that stores information generated by the IKE. And is configured.

そして、IKE処理部10は、IKEフェーズ1のデータ送受信やデータ処理を行うIKEフェーズ1処理部11と、IKEフェーズ2のデータ送受信やデータ処理を行うIKEフェーズ2処理部12と、IKEフェーズ2により確立したIPsecSA情報を設定するためのIPsecSA設定処理部14と、IKEフェーズ2により確立したIPsecSA情報からセレクタ情報を設定するためのセレクタ設定処理部13とを有する。   The IKE processing unit 10 includes an IKE phase 1 processing unit 11 that performs data transmission / reception and data processing in IKE phase 1, an IKE phase 2 processing unit 12 that performs data transmission / reception and data processing in IKE phase 2, and IKE phase 2. An IPsec SA setting processing unit 14 for setting the established IPsec SA information and a selector setting processing unit 13 for setting the selector information from the IPsec SA information established by the IKE phase 2 are provided.

また、セキュリティポリシ管理部20は、セレクタ設定処理部13により生成された情報を格納するセレクタ格納部21と、IPsecSA設定処理部14により生成された情報を格納するIPsecSA格納部22とが記憶手段90内に格納されて構成される。   The security policy management unit 20 includes a selector storage unit 21 that stores information generated by the selector setting processing unit 13 and an IPsec SA storage unit 22 that stores information generated by the IPsec SA setting processing unit 14. It is stored and configured inside.

また、通信相手2は、その構成の詳細を示していないが、通信主体1と全く同一に構成されていればよい。   Further, although the communication partner 2 does not show the details of its configuration, it may be configured exactly the same as the communication subject 1.

図2はIKEフェーズ2により生成したIPsecSA及びセレクタをセキュリティポリシとして記憶手段に格納する処理を行う本発明の実施形態での処理動作を説明するシーケンスチャート及びフローチャートであり、次に、これについて説明する。図2は図の上段に、各装置内の構成要素を示して、どの構成要素で行われている処理かを判り易くして示している。なお、通信相手2は、IKEフェーズ1の処理により相手の認証が正常に行われた通信装置であるとする。   FIG. 2 is a sequence chart and flowchart for explaining the processing operation in the embodiment of the present invention for performing processing for storing the IPsec SA and the selector generated by IKE phase 2 in the storage means as a security policy. Next, this will be explained. . FIG. 2 shows the components in each apparatus in the upper part of the drawing so that it is easy to understand which component is being processed. It is assumed that the communication partner 2 is a communication device in which authentication of the partner has been normally performed by the IKE phase 1 process.

(1)IKEフェーズ2を開始する通信相手2は、まず、IKE処理部10が、IPsecSAの提案のためにIKEフェーズ2第1メッセージの送信を行う。なお、IKEフェーズ2第1メッセージには、IPsecSAのセレクタとして不十分な場合のために、セレクタの送信元アドレスとなるIDペイロードと送信先アドレスとなるIDペイロードとが付与されている(ステップS11)。 (1) In the communication partner 2 that starts the IKE phase 2, first, the IKE processing unit 10 transmits an IKE phase 2 first message in order to propose an IPsec SA. Note that the IKE phase 2 first message is provided with an ID payload serving as the source address of the selector and an ID payload serving as the destination address for the case where the selector is insufficient as an IPsec SA selector (step S11). .

(2)通信主体1は、IKEフェーズ2第1メッセージを受け取ると、IKEフェーズ2処理部12が、通信相手2から提案されたIPsecSAの内容を1つ選択し、IPsecSAとセレクタの構成に必要な送信元IPアドレスまたは送信元IPネットワークアドレス、送信先IPアドレスまたは送信先IPネットワークアドレス、上位層プロトコル、送信元ポート、送信先ポートを退避し、選択された結果をIKEフェーズ2第2メッセージとして、通信相手2に送信する(ステップS12、S13)。 (2) When the communication subject 1 receives the IKE phase 2 first message, the IKE phase 2 processing unit 12 selects one content of the IPsec SA proposed by the communication partner 2 and is necessary for the configuration of the IPsec SA and the selector. The source IP address or source IP network address, destination IP address or destination IP network address, upper layer protocol, source port, destination port are saved, and the selected result is used as the IKE phase 2 second message. It transmits to the communication partner 2 (steps S12 and S13).

(3)通信相手2は、IKEフェーズ2第2メッセージを受け取ると、応答確認として、IKEフェーズ2第3メッセージを送信する(ステップS14)。 (3) Upon receiving the IKE phase 2 second message, the communication partner 2 transmits the IKE phase 2 third message as a response confirmation (step S14).

(4)通信主体1は、IKEフェーズ2第3メッセージを受け取り、その正常性を確認すると、セレクタ設定処理部13が、セキュリティポリシ管理部20に対して、退避していたセレクタ情報の設定要求を行う(ステップS15)。 (4) When the communication subject 1 receives the IKE phase 2 third message and confirms its normality, the selector setting processing unit 13 issues a request for setting the saved selector information to the security policy management unit 20. This is performed (step S15).

(5)セキュリティポリシ管理部20は、要求されたセレクタの内容が記憶手段に既に存在しているか否かの判定を行う重複検証を行い、重複がなければ、セレクタ情報をセレクタ格納部21に記憶する(ステップS16、S17)。 (5) The security policy management unit 20 performs duplication verification to determine whether the content of the requested selector already exists in the storage unit, and if there is no duplication, stores the selector information in the selector storage unit 21. (Steps S16 and S17).

(6)ステップS16での検証で、要求されたセレクタの内容が記憶手段に既に存在していた場合、重複するセレクタの生成を拒否して、セレクタ情報をセレクタ格納部には格納しない。この場合、IPsecSAのみ動的に生成することも可能である。 (6) If the content of the requested selector already exists in the storage means in the verification in step S16, the generation of duplicate selectors is rejected and the selector information is not stored in the selector storage unit. In this case, only IPsec SA can be dynamically generated.

(7)次に、通信主体1は、IPsecSA情報設定処理部14が、セキュリティポリシ管理部20に対して、退避していたIPsecSA情報の設定要求を行う(ステップS18)。 (7) Next, in the communication subject 1, the IPsec SA information setting processing unit 14 requests the security policy management unit 20 to set the saved IPsec SA information (step S18).

(8)セキュリティポリシ管理部20は、要求されたIPsecSAの内容をIPsecSA格納部22に記憶する(ステップS19)。 (8) The security policy management unit 20 stores the contents of the requested IPsec SA in the IPsec SA storage unit 22 (step S19).

前述で説明した本発明の実施形態において、セレクタ情報となるIPアドレスの形式はIPv4(Internet Protocol version 4)、IPv6(Internet Protocol version 6)のいずれでもよい。   In the embodiment of the present invention described above, the format of the IP address serving as selector information may be either IPv4 (Internet Protocol version 4) or IPv6 (Internet Protocol version 6).

前述した本発明の実施形態での処理は、プログラムとして構成することができ、そのプログラムは、FD、CD、MO、DVDROM等の記録媒体に格納して提供することができる。   The processing in the above-described embodiment of the present invention can be configured as a program, and the program can be provided by being stored in a recording medium such as FD, CD, MO, or DVDROM.

前述した本発明の実施形態によれば、通信装置相互間での通信の都度IKEの処理により動的にセキュリティポリシを生成しているので、通信装置及び相手通信装置の記憶手段にセレクタを伴うセキュリティポリシを事前に格納しておく必要をなくすことができ、記憶装置の負荷、例えば、セキュリティポリシ検索負荷を軽減することができる。   According to the above-described embodiment of the present invention, the security policy is dynamically generated by the IKE process every time communication is performed between the communication apparatuses. The need to store the policy in advance can be eliminated, and the load on the storage device, for example, the security policy search load can be reduced.

また、前述した本発明の実施形態によれば、通信装置相互間での通信の都度IKEの処理により動的にセキュリティポリシを生成しているので、不特定多数の通信相手との間でデータの交換を行うような場合にも、通信の都度、動的に個々にIKEにより生成したIPsecSAを適用して通信を行うことが可能となる。また、通信装置が、そのIPアドレスが動的に割り当てられる装置であっても、セレクタを伴うセキュリティポリシを事前に記憶手段へ格納しておく必要がなく、通信の都度、セキュリティポリシを動的に生成して、IPsecSAを適用した通信を行うことができる。   In addition, according to the above-described embodiment of the present invention, since the security policy is dynamically generated by the IKE process every time communication is performed between the communication apparatuses, data can be exchanged with an unspecified number of communication partners. Even in the case of exchanging, it is possible to perform communication by applying IPsecSA dynamically generated by IKE for each communication. Even if the communication device is a device to which the IP address is dynamically assigned, it is not necessary to store the security policy with the selector in the storage means in advance, and the security policy is dynamically changed every time communication is performed. It is possible to generate and perform communication using IPsec SA.

さらに、前述した本発明の実施形態によれば、動的にセキュリティポリシを生成する際、前記セレクタと同一のセレクタが既に通信装置の記憶手段に存在している場合、重複したセレクタの生成を拒否することができるので、同一のセレクタとなるセキュリティポリシが生成され、格納先の記憶容量を圧迫してしまうようなことを防止することができる。   Furthermore, according to the above-described embodiment of the present invention, when a security policy is dynamically generated, if the same selector as the selector already exists in the storage unit of the communication device, the generation of a duplicate selector is rejected. Therefore, it is possible to prevent a security policy that becomes the same selector from being generated and the storage capacity of the storage destination from being compressed.

なお、実施形態として、MobileIPv6用いたホームエージェントとモバイルノード間での通信データにIKEを適用する場合、本発明を適用し、相手毎に事前にセキュリティポリシを設定することなしにIKEによるIPsecSA生成を実現できる。   As an embodiment, when IKE is applied to communication data between a mobile agent using Mobile IPv6 and a mobile node, the present invention is applied, and IPsec SA generation by IKE is performed without setting a security policy in advance for each partner. realizable.

本発明の一実施形態による通信装置を備えて構成された通信システムの構成を示すブロック図である。It is a block diagram which shows the structure of the communication system comprised with the communication apparatus by one Embodiment of this invention. IKEフェーズ2により生成したIPsecSA及びセレクタをセキュリティポリシとして記憶手段に格納する処理を行う本発明の実施形態での処理動作を説明するシーケンスチャート及びフローチャートである。It is the sequence chart and flowchart explaining the processing operation in embodiment of this invention which performs the process which stores the IPsecSA produced | generated by IKE phase 2 and a selector as a security policy in a memory | storage means.

符号の説明Explanation of symbols

1 通信主体となる通信装置
2 通信相手となる通信装置
10 IKE処理部
11 IKEフェーズ1処理部
12 IKEフェーズ2処理部
13 セレクタ設定処理部
14 IPsecSA設定処理部
20 セキュリティポリシ管理部
21 セレクタ格納部
22 IPsecSA格納部
30 通信インタフェース
40 通信ネットワーク、
90 記憶手段 DESCRIPTION OF SYMBOLS 1 Communication apparatus used as communication subject 2 Communication apparatus used as communication partner 10 IKE processing unit 11 IKE phase 1 processing unit 12 IKE phase 2 processing unit 13 Selector setting processing unit 14 IPsec SA setting processing unit 20 Security policy management unit 21 Selector storage unit 22 IPsec SA storage unit 30 communication interface 40 communication network,
90 storage means

Claims (3)

複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信方法において、
前記通信主体となる通信装置が、通信相手となる通信装置との間で交換する通信データにIPsecを適用するために、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立する場合、前記通信主体となる通信装置は、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成し、前記セレクタを動的に生成する際、前記セレクタと同一のセレクタが既に通信主体となる通信装置の記憶手段に存在している場合、重複したセレクタの生成を拒否し、IPsecSAのみを動的に生成することを特徴とする通信方法。 In a communication method in which a plurality of communication devices are connected to a communication network, one of the plurality of communication devices serves as a communication subject, and one of the other communication devices serves as a communication partner to exchange communication data between the communication devices.
When the communication device serving as the communication entity establishes IPsec SA using IKE, which is an Internet key exchange protocol, in order to apply IPsec to communication data exchanged with a communication device serving as a communication partner, the communication In addition to IPsec SA determined by IKE phase 2, the main communication device is an IP address or an IP network address of a communication device that is a communication main body that exchanges communication data using IPsec SA, and a communication device that is a communication partner The security policy is activated by specifying the selector consisting of the IP address or IP network address, higher layer protocol, source port, and destination port information, and dynamically generating the IPsec SA and selector. generated by, when dynamically generating said selector, said When the same selectors and selector already exists in the storage means of the communication device as a communication partner, refused to produce duplicate selector, communication method characterized by dynamically generate only IPsecSA. 前記通信ネットワークに接続された複数の通信装置のそれぞれが、自通信装置のIPアドレスを動的に付与する通信装置であることを特徴とする請求項1記載の通信方法。 Each of the plurality of communication devices connected to the communication network, according to claim 1 Symbol placement communication method characterized in that it is a communication device that dynamically assigns IP addresses of the own communication device. 複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信装置において、
前記通信主体となる通信装置は、通信相手となる通信装置との間で交換する通信データにIPsecを適用し、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立するために、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成し、前記セレクタを動的に生成する際、前記セレクタと同一のセレクタが既に通信主体となる通信装置の記憶手段に存在している場合、重複したセレクタの生成を拒否し、IPsecSAのみを動的に生成する手段を有することを特徴とする通信装置。 In a communication device in which a plurality of communication devices are connected to a communication network, one of the plurality of communication devices is a communication subject, and one of the other communication devices is a communication partner, and exchanges communication data between the communication devices.
In order to establish IPsec SA using IKE, which is an Internet key exchange protocol, the communication device serving as the communication subject applies IPsec to communication data exchanged with a communication device serving as a communication partner. In addition to the IPsec SA determined by the above, the IP address or IP network address of the communication device that is the communication subject that exchanges communication data using the IPsec SA, the IP address or IP network address of the communication device that is the communication partner, A selector configured by information of a layer protocol, a source port, and a destination port is specified, and a security policy is dynamically generated by dynamically generating an IPsec SA and a selector. The same selector as the selector is already When present in the storage means of the communication device serving as, refused to produce duplicate selector communication apparatus characterized by comprising means for dynamically generating only IPsecSA.
JP2005203036A 2005-07-12 2005-07-12 Communication method and communication apparatus Active JP4405440B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005203036A JP4405440B2 (en) 2005-07-12 2005-07-12 Communication method and communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005203036A JP4405440B2 (en) 2005-07-12 2005-07-12 Communication method and communication apparatus

Publications (2)

Publication Number Publication Date
JP2007027847A JP2007027847A (en) 2007-02-01
JP4405440B2 true JP4405440B2 (en) 2010-01-27

Family

ID=37788069

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005203036A Active JP4405440B2 (en) 2005-07-12 2005-07-12 Communication method and communication apparatus

Country Status (1)

Country Link
JP (1) JP4405440B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2168303B1 (en) 2007-06-11 2016-03-16 Nxp B.V. Method of authentication and electronic device for performing the authentication

Also Published As

Publication number Publication date
JP2007027847A (en) 2007-02-01

Similar Documents

Publication Publication Date Title
CN110191031B (en) Network resource access method and device and electronic equipment
JP4047303B2 (en) Providing device, providing program, and providing method
US8654755B2 (en) Device and method for communicating with another communication device via network forwarding device
CN100484125C (en) Answering method to address inquire and appts. thereof
JP4692600B2 (en) Information processing apparatus, communication system, and program
JP4752510B2 (en) Encrypted communication system
US8533453B2 (en) Method and system for configuring a server and dynamically loading SSL information
CN111953700B (en) Session keeping method and device
US7260841B2 (en) System and method for maintaining access to content in an encrypted network environment
JP2004128782A (en) Key exchange proxy network system
CN107534643A (en) Mobile service is changed between IP VPN and transport layer VPN
WO2002076065A2 (en) Generic external proxy
US10341286B2 (en) Methods and systems for updating domain name service (DNS) resource records
CN110995656B (en) Load balancing method, device, equipment and storage medium
JP4101215B2 (en) Security policy setting method
US20070226745A1 (en) Method and system for processing a service request
JP5122587B2 (en) Connection control method, connection control server device, connection control client device, connection control system, and program
JP2008228273A (en) Method for securing security of data stream
JP4222938B2 (en) Apparatus and method for coordinating network events
US7233981B2 (en) System and method for multi-site load-balancing of encrypted traffic
CN110519259B (en) Method and device for configuring communication encryption between cloud platform objects and readable storage medium
JP4405440B2 (en) Communication method and communication apparatus
JP2007028096A (en) Multi-protocol address registration method, multi-protocol address registration system, multi-protocol address registration server, and multi-protocol address communication terminal
CN101471938B (en) Authentication method, system and device for point-to-point network
CN101557336B (en) Method for establishing network tunnel, data processing method and relevant equipment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070622

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090722

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090804

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091020

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091104

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121113

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4405440

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121113

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121113

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131113

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131113

Year of fee payment: 4

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131113

Year of fee payment: 4

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350