JP4708297B2 - Communication device for processing a plurality of IPsec sessions - Google Patents
Communication device for processing a plurality of IPsec sessions Download PDFInfo
- Publication number
- JP4708297B2 JP4708297B2 JP2006268396A JP2006268396A JP4708297B2 JP 4708297 B2 JP4708297 B2 JP 4708297B2 JP 2006268396 A JP2006268396 A JP 2006268396A JP 2006268396 A JP2006268396 A JP 2006268396A JP 4708297 B2 JP4708297 B2 JP 4708297B2
- Authority
- JP
- Japan
- Prior art keywords
- isakmp
- packet
- ipsec
- session
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、IP(Internet Protocol)技術をベースにしたルーティング機能及びネットワークアドレス変換(NAT:Network Address Translation,RFC3022)機能を有する一般的なルータ、ブロードバンドルータ又はゲートウェイ等の通信装置であって、インターネットで暗号通信を行うための規格であるIPsec(Security Architecture for Internet Protocol)の複数のセッションを処理する通信装置に関する。 The present invention is a communication device such as a general router, a broadband router, or a gateway having a routing function based on IP (Internet Protocol) technology and a network address translation (NAT: Network Address Translation, RFC3022) function. The present invention relates to a communication apparatus that processes a plurality of sessions of IPsec (Security Architecture for Internet Protocol), which is a standard for performing cryptographic communication in the Internet.
一般的な家庭等の宅内の通信装置によるインターネットアクセスでは、1つのグローバルアドレスで宅内の複数の端末装置をインターネットに接続し、更に宅内ネットワークのセキュリティを高めるために、ネットワークアドレス変換(NAT)機能、パケットフィルタリング機能、ファイアウォール機能等を備えたブロードバンドルータを設置する場合が多い。 In Internet access by a home communication device such as a general home, a network address translation (NAT) function is used to connect a plurality of terminal devices in the home to the Internet with one global address, and to further increase the security of the home network. In many cases, broadband routers equipped with a packet filtering function, a firewall function, and the like are installed.
この場合、ネットワークアドレス変換(NAT)機能によって、宅内ネットワーク内の各端末装置のプライベートアドレスを、ブロードバンドルータの外部側に割り当てられたグローバルアドレスに変換することにより、宅内の複数の端末装置のインターネット接続を可能にしている。 In this case, the network address translation (NAT) function converts the private address of each terminal device in the home network into a global address assigned to the outside of the broadband router, thereby connecting the plurality of terminal devices in the home to the Internet. Is possible.
また、複数の端末装置を同時に接続する場合は、宅内端末装置のネットワークアドレス(IPアドレス等)に加えて、TCP/UDPプロトコルのポート番号を変換するNAPT(Network Address Port Translation,同RFC3022)機能によって、複数の端末装置に対する同時アドレス変換を実現している。 When connecting multiple terminal devices at the same time, in addition to the network address (IP address, etc.) of the home terminal device, the NAPT (Network Address Port Translation, RFC3022) function that converts the port number of the TCP / UDP protocol is used. Simultaneous address conversion for a plurality of terminal devices is realized.
コンピュータなどの宅内端末装置から、インターネット通信網を利用する仮想専用線網(VPN:Virtual Private Network)によって、企業内ネットワークにリモートアクセスを行う場合、一般的に、IPsecプロトコル(RFC2401等)による暗号化通信が使用されるが、宅内ネットワークにNAPT機能を有するルータが設置されている場合、宅内端末装置から該仮想専用線網(VPN)接続を正常に行うためには、NAPT機能を有するルータにおいて、IPsecセッションの通信を正常に通過(パススルー)させる機能が必要になる。 When remote access to a corporate network is performed from a home terminal device such as a computer via a virtual private network (VPN) using the Internet communication network, encryption using the IPsec protocol (RFC2401 etc.) is generally used. When communication is used, but a router having a NAPT function is installed in the home network, in order to normally perform the virtual private line network (VPN) connection from the home terminal device, in the router having the NAPT function, A function to normally pass (pass through) the communication of the IPsec session is required.
通常、IPsecプロトコルの通信を行うためには、鍵交換等を処理する鍵管理プロトコルのISAKMP(Internet Security Association and Key Management Protocol,RFC2408)セッションと、実際の暗号化通信を行うIPsecセッションの2つのセッションによる通信が順番に行われるが、それぞれのセッションでは通信フォーマットが異なり、更にIPsecセッションでは、TCP/UDPプロトコルが使われていないため、一般的なNAPT機能を備えたブロードバンドルータ等は、これの通信を正常に通過させることができない。 Usually, in order to perform communication of the IPsec protocol, there are two sessions: an ISAKMP (Internet Security Association and Key Management Protocol, RFC2408) session of a key management protocol that processes key exchange and the like, and an IPsec session that performs actual encrypted communication. However, the communication format is different in each session, and the TCP / UDP protocol is not used in the IPsec session, so a broadband router or the like having a general NAPT function can communicate with each other. Cannot pass normally.
NAPT機能を有するルータでIPsecセッションの通信を正常に通過させるには、最初の鍵管理プロトコル(ISAKMP)のセッションの通信の開始によりIPsec通信を認識し、ルータで特殊な処理を行うことでNAT機能を透過させている。鍵管理プロトコル(ISAKMP)には、送信元/宛先に500番のポート番号を割り当てたUDPが使用され、該ポート番号により鍵管理プロトコル(ISAKMP)の通信を認識することができる。 To successfully pass IPsec session communication with a router having a NAPT function, the NAT function is realized by recognizing the IPsec communication at the start of the first key management protocol (ISAKMP) session communication and performing special processing in the router. Is transparent. As the key management protocol (ISAKMP), UDP in which a port number of 500 is assigned to the source / destination is used, and communication of the key management protocol (ISAKMP) can be recognized by the port number.
但し、複数の鍵管理プロトコル(ISAKMP)のセッションを処理するには、500番以外のポート番号を使用しなければならない。しかし、企業側に設置されるいくつかのIPsecゲートウェイ装置は、送信元ポート番号が500以外の鍵管理プロトコル(ISAKMP)の通信を受け付けない場合がある。 However, in order to process a plurality of key management protocol (ISAKMP) sessions, a port number other than 500 must be used. However, some IPsec gateway apparatuses installed on the enterprise side may not accept key management protocol (ISAKMP) communication with a source port number other than 500.
また、鍵管理プロトコル(ISAKMP)セッション後のIPsecセッション通信時に至っては、TCP/UDPプロトコル自体が使用されず、ポート番号の変換による通常のNAPT処理を実施することができない。そのため、IPアドレスのみを変換してIPsecセッションの通信を透過(パススルー)させる方式が一般的である。 In addition, when the IPsec session communication after the key management protocol (ISAKMP) session is reached, the TCP / UDP protocol itself is not used, and normal NAPT processing by port number conversion cannot be performed. For this reason, a method of translating (passing through) an IPsec session communication by converting only the IP address is generally used.
図14は宅内の端末装置から複数のIPsecセッションを確立する接続構成例を示している。図14の(a)は、第1の端末装置142が、NAT機能透過(パススルー)通信装置141を経由して、第1のIPsecゲートウェイ装置144とIPsec通信を行い、第2の端末装置143が、同様にNAT機能透過(パススルー)通信装置141を経由して、第2のIPsecゲートウェイ装置145とIPsec通信を行う接続構成例を示している。
FIG. 14 shows a connection configuration example in which a plurality of IPsec sessions are established from a terminal device in the house. 14A, the first
この場合、第1及び第2のIPsecゲートウェイ装置144及び145のグローバルIPアドレスが異なるため、NATパススルー通信装置141は、各IPsecゲートウェイ装置144及び145のそれぞれの異なるIPアドレスを用いて、2つのIPsecセッションを識別し、2つのIPsecセッションを同時に扱うことができる。
In this case, since the global IP addresses of the first and second
図14の(b)は、端末装置142が、NATパススルー通信装置141を経由して、第1のIPsecゲートウェイ装置144及び第2のIPsecゲートウェイ装置145のそれぞれに対して、IPsec通信を行う接続構成例を示している。この構成例の場合も、第1及び第2のIPsecゲートウェイ装置144及び145のグローバルIPアドレスがそれぞれ異なるため、NATパススルー装置141は、2つのIPsecセッションを識別して同時に扱うことができる。
FIG. 14B shows a connection configuration in which the
図14の(c)は、第1の端末装置142が、NATパススルー通信装置141を経由して、IPsecゲートウェイ装置144とIPsec通信を行い、また、第2の端末装置143も同様にIPsecゲートウェイ装置144とIPsec通信を行おうとする例を示している。
In FIG. 14C, the first
この場合、IPsecゲートウェイ装置144からNATパススルー装置通信141へ向かって転送されるパケットは、同一宅内の第1の端末装置142又は第2の端末装置143の何れかのIPsecセッションのパケットであるとしても、グローバルIPアドレスとしては、1組の送信元IPアドレスと宛先IPアドレスしか使用することができないため、それらのIPアドレスで2つのIPsecセッションを識別することができず、NATパススルー通信装置141では、IPsecの複数セッションをパススルーすることができない。
In this case, even if the packet transferred from the IPsec
本発明に関連する先行技術文献として下記の特許文献1には、宅内通信網内のダイアルアップ環境下にある端末と、認証サーバ通信網内にあり情報提供源となる情報サーバとが、インターネットを介して接続されるインターネット中継接続方式において、IP(internet protocol)による通信のセキュリティ(IPsec, internet protocol security)を高度化する技術、及び異なるネットワーク間のアドレス変換(NAT, network address translation)に関する技術等について記載されている。
図14の(c)で説明したように、NAT機能を有する通信装置の配下に置かれた複数の端末装置から、IPsecゲートウェイ装置へIPsecセッションを確立する際に、従来では、1台の端末装置がIPsecゲートウェイ装置に対してIPsecセッションを確立してしまうと、他の端末装置は同一のIPsecゲートウェイ装置に対して同時にIPsecセッションの接続をすることができないという問題があった。 As described with reference to (c) of FIG. 14, when establishing an IPsec session from a plurality of terminal devices placed under the communication device having the NAT function to the IPsec gateway device, conventionally, one terminal device is used. However, if an IPsec session is established with respect to the IPsec gateway apparatus, there is a problem that other terminal apparatuses cannot simultaneously connect to the same IPsec gateway apparatus.
本発明は、NAT機能を有する通信装置の配下に置かれた複数の端末装置から、同一のIPsecゲートウェイ装置に対して同時にIPsecセッションを確立することができる通信装置を提供する。また、長時間に亘ってIPsecセッションの通信を行っているときに、鍵の更新(Rekey)動作が行われた場合でも、複数のIPsecプロトコルの通信を継続して行わせることができる通信装置を提供する。 The present invention provides a communication device capable of simultaneously establishing an IPsec session with a same IPsec gateway device from a plurality of terminal devices placed under the communication device having the NAT function. In addition, a communication device capable of continuously performing communication of a plurality of IPsec protocols even when a key update (Rekey) operation is performed during communication of an IPsec session for a long time. provide.
本発明の通信装置は、(1)配下のLAN側ネットワークに接続された端末装置と、WAN側ネットワークに接続されたIPsecゲートウェイ装置との間に、IPsecセッションの通信を通過させる通信装置であって、鍵交換プロトコルのISAKMPパケットのイニシエータ識別情報(Cookie)及びIPsec ESPパケットのセキュリティパラメータインデックス(SPI)を、該パケットの送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル種別及びアドレス変換後の送信元アドレスと共に、ISAKMPセッション及びIPsecセッションのエントリ情報として格納する管理テーブルを備え、受信されるISAKMPパケットのイニシエータ識別情報(Cookie)又はIPsec ESPパケットのセキュリティパラメータインデックス(SPI)を基に、前記管理テーブルに登録されたエントリ情報を参照して、該ISAKMPパケット又はIPsec ESPパケットのエントリを識別し、受信されるISAKMPパケット又はIPsec ESPパケットを、前記管理テーブルに登録されたエントリ情報に従ってアドレス変換し、前記端末装置又はIPsecゲートウェイ装置に転送する構成を有することを特徴とする。 A communication apparatus according to the present invention is (1) a communication apparatus that allows communication of an IPsec session to pass between a terminal apparatus connected to a subordinate LAN side network and an IPsec gateway apparatus connected to a WAN side network. , The initiator identification information (Cookie) of the ISAKMP packet of the key exchange protocol and the security parameter index (SPI) of the IPsec ESP packet, the transmission source IP address, the destination IP address, the port number, the protocol type, and the transmission after the address conversion of the packet It has a management table to be stored as entry information of ISAKMP session and IPsec session together with original address, and initiator identification information (Cookie) of received ISAKMP packet or IPsec ESP packet Based on the security parameter index (SPI), the entry information registered in the management table is referred to identify the entry of the ISAKMP packet or IPsec ESP packet, and the received ISAKMP packet or IPsec ESP packet is managed in the management table. The address conversion is performed according to the entry information registered in the table, and the address is transferred to the terminal device or the IPsec gateway device.
また、(2)1つのIPsecセッションにおける鍵交換プロトコルの最初のISAKMPパケットを受信してから、該IPsecセッションにおけるIPsec ESPパケットのセキュリティパラメータインデックス(SPI)を前記管理テーブルに登録する処理が完了するまでの間は、新たに受信される鍵交換プロトコルの最初のISAKMPパケットを廃棄する構成を有することを特徴とする。 Also, (2) after receiving the first ISAKMP packet of the key exchange protocol in one IPsec session until the process of registering the security parameter index (SPI) of the IPsec ESP packet in the IPsec session in the management table is completed. Is characterized in that the first ISAKMP packet of the newly received key exchange protocol is discarded.
また、(3)前記ISAKMPパケットを受信してISAKMPセッションを確立した後、前記IPsec ESPパケットのセキュリティパラメータインデックス(SPI)が管理テーブルに登録されるまでの経過時間を計測するIPsecセッション通信開始待ち受けタイマを備え、前記IPsecセッション通信開始待ち受けタイマが、予め定められたエントリタイムを越えたとき、前記管理テーブルから、該ISAKMPセッションのエントリ及びIPsecセッションのエントリを削除する構成を備えたことを特徴とする。 (3) An IPsec session communication start waiting timer for measuring an elapsed time from when the ISAKMP packet is received and the ISAKMP session is established until a security parameter index (SPI) of the IPsec ESP packet is registered in the management table. And when the IPsec session communication start waiting timer exceeds a predetermined entry time, the ISAKMP session entry and the IPsec session entry are deleted from the management table. .
また、(4)前記IPsecセッション通信開始待ち受けタイマが前記エントリタイムより短い所定の閾値を越えたことを検出し、かつ、配下の他の端末装置から新たに鍵交換プロトコルの最初のISAKMPパケットを受信したとき、前記管理テーブルから、前記IPsecセッション通信開始待ち受け中のISAKMPセッションのエントリ及びIPsecセッションのエントリを削除する構成を備えたことを特徴とする。 (4) Detecting that the IPsec session communication start waiting timer exceeds a predetermined threshold shorter than the entry time, and newly receiving the first ISAKMP packet of the key exchange protocol from another terminal device under the control. In this case, the management table is configured to delete the entry of the ISAKMP session waiting for the start of the IPsec session communication and the entry of the IPsec session.
また、(5)前記ISAKMPセッションの交渉において決定される該ISAKMPセッションの有効期間タイプ(LifeType)及び有効期間値(LifeDuration)を確認し、有効期間タイプ(LifeType)が時間の場合、該有効期間値(LifeDuration)を、前記ISAKMPセッションのエントリタイムとして前記管理テーブルに設定することを特徴とする。 Also, (5) confirming the validity period type (LifeType) and validity period value (LifeDuration) of the ISAKMP session determined in the negotiation of the ISAKMP session, and if the validity period type (LifeType) is time, the validity period value (LifeDuration) is set in the management table as an entry time of the ISAKMP session.
また、(6)前記ISAKMPパケットを受信してISAKMPセッションを確立した後、前記IPsec ESPパケットのセキュリティパラメータインデックス(SPI)が管理テーブルに登録されるまでのISAKMPセッションの通信量を計測するIPsecセッション通信量カウンタを備え、前記IPsecセッション通信量カウンタが、予め定められたエントリ通信量を越えたとき、前記管理テーブルから、該ISAKMPセッションのエントリ及びIPsecセッションのエントリを削除する構成を備えたことを特徴とする。 (6) IPsec session communication for measuring the communication amount of the ISAKMP session until the security parameter index (SPI) of the IPsec ESP packet is registered in the management table after receiving the ISAKMP packet and establishing the ISAKMP session. A volume counter, and when the IPsec session traffic counter exceeds a predetermined entry traffic, the ISAKMP session entry and the IPsec session entry are deleted from the management table. And
また、(7)前記ISAKMPセッションの交渉において決定される該ISAKMPセッションの有効期間タイプ(LifeType)及び有効期間値(LifeDuration)を確認し、有効期間タイプ(LifeType)が通信量の場合、該有効期間値(LifeDuration)を、前記ISAKMPセッションのエントリ通信量として前記管理テーブルに設定することを特徴とする。 In addition, (7) the ISAKMP session validity period type (LifeType) and validity period value (LifeDuration) determined in the ISAKMP session negotiation are confirmed, and if the validity period type (LifeType) is a communication amount, the validity period A value (LifeDuration) is set in the management table as an entry communication amount of the ISAKMP session.
また、(8)前記IPsecゲートウェイ装置側からISAKMPセッションのRekeyパケットを受信したとき、該パケットのIPアドレス、プロトコル種別及びポート番号を、前記管理テーブルに登録されたISAKMPセッションのエントリ情報と照合し、それらが一致した場合に該ISAKMPセッションの鍵更新用のRekeyパケットであると判断し、該ISAKMPセッションの送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル種別及びアドレス変換後の送信元アドレスと共にイニシエータ識別情報(Cookie)を管理テーブルに新たにISAKMPセッションのエントリ情報として登録し、以降のISAKMPセッションのパケットを該新たなISAKMPセッションのエントリ情報に基づいてアドレス変換を行って、通信先の端末装置に転送する構成を有することを特徴とする。 (8) When a Rekey packet of an ISAKMP session is received from the IPsec gateway apparatus side, the IP address, protocol type, and port number of the packet are collated with the entry information of the ISAKMP session registered in the management table; If they match, the ISAKMP session is determined to be a rekey packet for key update, and the initiator is sent together with the source IP address, destination IP address, port number, protocol type, and source address after address conversion of the ISAKMP session. Identification information (Cookie) is newly registered in the management table as entry information of the ISAKMP session, and subsequent ISAKMP session packets are added based on the entry information of the new ISAKMP session. Performing scan conversion, characterized by having a structure to be transferred to the communication destination terminal device.
また、(9)前記端末装置と前記IPsecゲートウェイ装置との間で行うISAKMPセッションの有効期間値(LifeDuration)の交渉において、該端末装置が送出するISAKMPセッションの有効期間値(LifeDuration)を、配下の全ての端末装置が送出する有効期間値(LifeDuration)の何れよりも小さい同一の値に変更して送出し、配下の全ての端末装置のISAKMPセッションの有効期間値(LifeDuration)を統一化し、前記統一化した有効期間値(LifeDuration)を基に、ISAKMPセッションのRekeyパケットの受信タイミングを推測することを特徴とする。 (9) In the negotiation of the ISAKMP session validity period value (LifeDuration) performed between the terminal apparatus and the IPsec gateway apparatus, the ISAKMP session validity period value (LifeDuration) transmitted by the terminal apparatus is It is changed to the same value smaller than any of the validity period values (LifeDuration) transmitted by all the terminal devices, and the ISAKMP session validity values (LifeDuration) of all the subordinate terminal devices are unified, and the unified It is characterized in that the reception timing of the Rekey packet of the ISAKMP session is estimated based on the valid lifetime value (LifeDuration).
また、(10)前記端末装置と前記IPsecゲートウェイ装置との間の交渉で決定されるISAKMPセッションの有効期間値(LifeDuration)の有効期間タイプ(LifeType)が時間である場合、該有効期間値(LifeDuration)と、最初のISAKMPセッションのRekeyパケットの受信タイミングとを基に、前記IPsecゲートウェイ装置のRekeyパケットの送出タイミングを学習することを特徴とする。 (10) When the validity period type (LifeType) of the ISAKMP session validity period value (LifeDuration) determined by negotiation between the terminal apparatus and the IPsec gateway apparatus is time, the validity period value (LifeDuration) ) And the reception timing of the Rekey packet of the first ISAKMP session, the transmission timing of the Rekey packet of the IPsec gateway apparatus is learned.
また、(11)前記端末装置と前記IPsecゲートウェイ装置との間の交渉で決定されるISAKMPセッションの有効期間値(LifeDuration)の有効期間タイプ(LifeType)が通信量である場合、該有効期間値(LifeDuration)と、最初のISAKMPセッションのRekeyパケットが受信されたときまで行われた通信の通信量とを基に、前記IPsecゲートウェイ装置のRekeyパケットの送出タイミングを学習することを特徴とする。 (11) When the validity period type (LifeType) of the ISAKMP session validity period value (LifeDuration) determined by negotiation between the terminal device and the IPsec gateway apparatus is a communication amount, the validity period value ( The transmission timing of the Rekey packet of the IPsec gateway apparatus is learned on the basis of LifeDuration) and the communication amount of communication performed until the Rekey packet of the first ISAKMP session is received.
また、(12)前記IPsecゲートウェイ装置のRekeyパケットの送出タイミングの学習が完了するまで、他の端末装置からの新たなISAKMPパケットを受け付けずに廃棄することを特徴とする。 Further, (12) until the learning of the rekey packet transmission timing of the IPsec gateway apparatus is completed, a new ISAKMP packet from another terminal apparatus is not accepted but discarded.
また、(13)前記IPsecゲートウェイ装置側からISAKMPパケットを受信し、該パケットがIPsecセッションの鍵交換交渉のパケットであることを示し、かつ、該パケットのIPアドレスを前記管理テーブルに登録されたIPsecセッションのエントリ情報と照合し、それらが一致した場合、該パケットが該IPsecセッションの鍵更新用のRekeyパケットであると判断し、該IPsecセッションの送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル種別及びアドレス変換後の送信元アドレスと共にイニシエータ識別情報(Cookie)を管理テーブルに新たにIPsecセッションのエントリ情報として登録し、該Rekeyパケットの通信先の端末装置を判断して該Rekeyパケットを転送し、その後、前記IPsecゲートウェイ装置側からIPsec ESPパケットを受信したとき、該パケットのIPアドレス及びプロトコル種別を識別してIPsecセッションを識別し、該パケットのセキュリティパラメータインデックス(SPI)を前記管理テーブルの該IPsecセッションのエントリに追記し、以降のIPsecセッションのパケットを該新たなIPsecセッションのエントリ情報に基づいてアドレス変換を行って、通信先の端末装置に転送する構成を有することを特徴とする。 (13) receiving an ISAKMP packet from the IPsec gateway apparatus side, indicating that the packet is a packet for negotiating key exchange of an IPsec session, and storing the IP address of the packet in the management table If they match the session entry information and they match, it is determined that the packet is a rekey packet for key update of the IPsec session, and the source IP address, destination IP address, port number, protocol of the IPsec session Initiator identification information (Cookie) is newly registered in the management table as the entry information of the IPsec session together with the type and the source address after the address conversion, and the Rekey packet is transferred by judging the communication destination terminal device of the Rekey packet. Thereafter, when an IPsec ESP packet is received from the IPsec gateway apparatus side, the IP address and protocol type of the packet are identified to identify an IPsec session, and the security parameter index (SPI) of the packet is set in the management table. It is characterized in that it is added to the entry of the IPsec session, the address of the subsequent IPsec session packet is converted based on the entry information of the new IPsec session, and transferred to the communication destination terminal device.
また、(14)前記IPsecセッションの鍵更新用のRekeyパケットを受信し、該Rekeyパケットの受信タイミングの学習が完了するまでは、他の端末装置からの新たなIPsecセッションのパケットを受け付けずに廃棄することを特徴とする。 Also, (14) receiving a rekey packet for key update of the IPsec session and discarding a new IPsec session packet from another terminal device until learning of the reception timing of the rekey packet is completed. It is characterized by doing.
また、(15)前記(10)又は(11)に記載したRekeyパケットの送出タイミングの学習の結果を基に、ISAKMPセッションのエントリタイムを算出し、該算出したエントリタイムをISAKMPセッションのエントリタイムとして前記管理テーブルに設定し、該ISAKMPセッションが該エントリタイムを越えたとき、前記管理テーブルから該ISAKMPセッションのエントリを削除することを特徴とする。 (15) Based on the learning result of the Rekey packet transmission timing described in (10) or (11), the entry time of the ISAKMP session is calculated, and the calculated entry time is used as the entry time of the ISAKMP session. It is set in the management table, and when the ISAKMP session exceeds the entry time, the entry of the ISAKMP session is deleted from the management table.
また、(16)前記(12)に記載したRekeyパケットの送出タイミングの学習の結果を基に、IPsecPセッションのエントリタイムを算出し、該算出したエントリタイムをIPsecセッションのエントリタイムとして前記管理テーブルに設定し、該IPsecセッションが該エントリタイムを越えたとき、前記管理テーブルから該IPsecセッションのエントリを削除する構成を備えたことを特徴とする。 (16) Based on the learning result of the Rekey packet transmission timing described in (12), the entry time of the IPsecP session is calculated, and the calculated entry time is stored in the management table as the entry time of the IPsec session. When the IPsec session is set and the entry time exceeds the entry time, the IPsec session entry is deleted from the management table.
また、(17)前記管理テーブルにおける同一の通信端末に係るISAKMPセッションのエントリ又はIPsecセッションのエントリの何れか一方のエントリを削除したとき、該エントリに係る他方のエントリを管理テーブルから削除する構成を有することを特徴とする。 (17) A configuration in which when one entry of an ISAKMP session or an IPsec session entry related to the same communication terminal in the management table is deleted, the other entry related to the entry is deleted from the management table. It is characterized by having.
本発明によれば、家庭や企業等において、NAT機能を有する通信装置の配下に置かれた複数の端末装置から、IPsecゲートウェイ装置へIPsecセッションを確立する際に、鍵交換プロトコルのISAKMPパケットのイニシエータ識別情報(Cookie)及びIPsec ESPパケットのセキュリティパラメータインデックス(SPI)を、ISAKMPセッション及びIPsecセッションのエントリ情報として管理テーブルに格納し、該イニシエータ識別情報(Cookie)又はセキュリティパラメータインデックス(SPI)を基に、受信したISAKMPパケット又はIPsec ESPパケットのセッションを識別し、管理テーブルに登録されたエントリ情報に従ってそれらのパケットのアドレス変換することにより、複数台の端末装置に対して同一のIPsecゲートウェイ装置を通信相手とするIPsecセッションを同時に確立することができる。 According to the present invention, an ISAKMP packet initiator of a key exchange protocol is established when establishing an IPsec session from a plurality of terminal devices placed under a communication device having a NAT function to an IPsec gateway device in a home or company. The identification information (Cookie) and the security parameter index (SPI) of the IPsec ESP packet are stored in the management table as entry information of the ISAKMP session and the IPsec session, and based on the initiator identification information (Cookie) or the security parameter index (SPI). By identifying the session of the received ISAKMP packet or IPsec ESP packet, and converting the addresses of those packets according to the entry information registered in the management table. Thus, an IPsec session with the same IPsec gateway apparatus as a communication partner can be simultaneously established for a plurality of terminal apparatuses.
また、長時間に亘り、IPsecセッションを確立している場合、鍵更新(Rekey)動作が行われても、鍵更新(Rekey)のタイミングを推測又は学習し、該鍵更新(Rekey)のタイミングを基に、鍵更新対象のISAKMPセッション又はIPsecセッションを識別し、該ISAKMPセッション又はIPsecセッションの管理テーブルのエントリ情報を更新することにより、IPsec通信を継続して行うことが可能となる。 In addition, when an IPsec session is established for a long time, even when a key update (Rekey) operation is performed, the timing of the key update (Rekey) is estimated or learned, and the timing of the key update (Rekey) is determined. Based on this, the ISAKMP session or IPsec session targeted for key update is identified, and the entry information in the management table of the ISAKMP session or IPsec session is updated, so that IPsec communication can be continued.
図1及び図2は本発明によるIPsecセッション確立の実施形態を示す。同図において13,14は端末装置、15は本発明を適用した通信装置、16はIPsecゲートウェイ装置であり、端末装置13,14が接続されたLAN側ネットワーク11と、IPsecゲートウェイ装置16が接続されたWAN側ネットワーク12とが、通信装置15を介して接続される。
1 and 2 show an embodiment of establishing an IPsec session according to the present invention. In the figure,
端末装置13又は端末装置14は、IPsecゲートウェイ装置16との間でIPsecセッションの通信を行うものとし、端末装置13及び端末装置14はイニシエータであり、IPsecゲートウェイ装置16はレスポンダであるとする。また、端末装置13、端末装置14、通信装置15及びIPsecゲートウェイ装置16のIPアドレスをそれぞれ“A”,“B”,“C”,“D”とする。これらは以下に説明する全ての実施形態において同様であるものとする。
The
通信装置15は、端末装置13から鍵交換処理プロトコル(IKE:Internet Key Exchange)の最初のISAKMP(Internet Security Association Key Management Protocol)パケット(P11)を受信すると、該パケットがISAKMPパケットであることをポート番号(500)により識別し、通信装置15内に備えられた管理テーブルに、ISAKMPセッションのエントリとして、送信元IPアドレス“A”、宛先IPアドレス“D”、送信元ポート番号“500”、宛先ポート番号“500”、プロトコル種別“UDP”、NAT変換後の送信元IPアドレス“C”、ISAKMPヘッダのイニシエータ識別情報(Cookie)“xxxxx”を登録する(図中、テーブルT11参照)。そして該ISAKMPパケットP11をIPsecゲートウェイ装置16へ転送する。
When receiving the first ISAKMP (Internet Security Association Key Management Protocol) packet (P11) of the key exchange processing protocol (IKE: Internet Key Exchange) from the
続いて通信装置15は、WAN側12からのIPsecパケットをLAN側11に通過させるため、端末装置13とIPsecゲートウェイ装置16との間でISAKMPパケット(P13)の送受により、IPsecセッションが確立したときに、IPsecセッションのエントリとして、送信元IPアドレス“A”、宛先IPアドレス“D”、プロトコル種別“ESP”、NAT変換後の送信元IPアドレス“C”を登録する(テーブルT12参照)。
Subsequently, the
そして、通信装置15は、IPsecセッション確立後、IPsecゲートウェイ装置16から最初のIPsecパケット(P15)を受信すると、送信元/宛先IPアドレス、プロトコル種別(ESP)により、登録済みのIPsecセッションのパケットであることを識別し、該エントリに、受信したESP(Encapsulating Security Payload)パケットのヘッダのセキュリティパラメータインデックス(SPI)“XXXXX”を追記する(図2のテーブルT13参照)。
When the
以降、端末装置13とIPsecゲートウェイ装置16との間のIPsecセッションの通信を、このセキュリティパラメータインデックス(SPI)によって識別し、通信装置15は、IPsecゲートウェイ装置16からIPsecパケットを受信したときに、該パケットがどのISAKMPセッションに所属するIPsecパケットであるかを判別することが可能となる。
Thereafter, the communication of the IPsec session between the
通信装置15は、端末装置13から鍵交換処理プロトコル(IKE)の最初のISAKMPパケット(P11)を受信し、管理テーブルにISAKMPセッションのエントリを登録(テーブルT11参照)した後、次にIPsecセッションのエントリを登録し、該IPsecセッションのエントリにセキュリティパラメータインデックス(SPI)の登録(テーブルT13参照)が完了するまでの間は、他の端末装置14から鍵交換処理プロトコル(IKE)のISAKMPパケット(P12,P14)を受信しても、これを廃棄する。
The
IPsecセッションのエントリにセキュリティパラメータインデックス(SPI)の登録(テーブルT13参照)が完了した後は、他の端末装置14から鍵交換処理プロトコル(IKE)のISAKMPパケット(P16)を受信すると、通信装置15は、管理テーブルに端末装置14のISAKMPセッション用のエントリを登録する(テーブルT14参照)。
After registration of the security parameter index (SPI) in the entry of the IPsec session (see table T13) is completed, the
即ち、該エントリとして、受信した送信元IPアドレス“B”、宛先IPアドレス“D”、送信元ポート番号“500”、宛先ポート番号“500”、プロトコル種別“UDP”、NAT変換後の送信元IPアドレス“C”、ISAKMPヘッダのイニシエータ識別情報(Cookie)“yyyyy”を登録し(テーブルT14参照)、該ISAKMPパケットをIPsecゲートウェイ装置16へ転送する。
That is, as the entry, the received source IP address “B”, destination IP address “D”, source port number “500”, destination port number “500”, protocol type “UDP”, source after NAT conversion The IP address “C” and initiator identification information (Cookie) “yyyyy” in the ISAKMP header are registered (see table T14), and the ISAKMP packet is transferred to the
以降は端末装置13の場合と同様に、IPsecゲートウェイ装置16から最初のIPsecパケットを受信すると、該受信したESP(Encapsulating Security Payload)パケットのヘッダのセキュリティパラメータインデックス(SPI)を、管理テーブルのIPsecセッションのエントリに追記する。
Thereafter, as in the case of the
そして、通信装置15は、端末装置13及び端末装置14のそれぞれのIPsecゲートウェイ装置16との間のIPsecセッションの通信を、セキュリティパラメータインデックス(SPI)によって識別することにより、IPsecの複数セッションの通信に対して、ネットワークアドレス変換(NAT)を行って正常に通過させることが可能となる。
Then, the
図3は管理テーブルのエントリを削除する第1の実施形態を示す。通信装置15は、前述のように、端末装置13のISAKMPセッションのエントリを管理テーブルに登録(テーブルT31参照)した後、所定の時間が経過しても、IPsecゲートウェイ装置16から最初のIPsecパケットが受信されず、前述のセキュリティパラメータインデックス(SPI)を追記することができない場合、その間、他の端末装置14からのISAKMPパケットを廃棄してしまうため、他の端末装置14はIPsec通信を行うことができなくなってしまう。
FIG. 3 shows a first embodiment for deleting an entry in the management table. As described above, after registering the ISAKMP session entry of the
そこで、通信装置15は、端末装置13とIPsecゲートウェイ装置16間のISAKMPセッション及びIPsecセッションを確立し、ISAKMPセッション及びIPsecセッションのエントリを管理テーブルに登録(テーブルT31参照)した後、IPsecゲートウェイ装置16からIPsecパケットが受信されず、所定のエントリタイムが経過(タイムアウト)すると、管理テーブルから該当するISAKMPセッション及びIPsecセッションのエントリ及びIPsecセッションのエントリを削除する(テーブルT32参照)。
Therefore, the
こうすることにより、端末装置13が最初にISAKMPパケットを送信した後、何らかの不具合でセキュリティパラメータインデックス(SPI)を登録することができない場合が発生しても、所定時間経過後には、他の端末装置14からのISAKMPパケットを受け付けることが可能になる。
In this way, even if the
図4は管理テーブルのエントリを削除する第2の実施形態を示す。通信装置15は、端末装置13とIPsecゲートウェイ装置16との間で、ISAKMPセッション及びIPsecセッションを確立し、ISAKMPセッション及びIPsecセッションのエントリを管理テーブルに登録(テーブルT41参照)した後、IPsecゲートウェイ装置16からIPsecパケットが受信されず、所定時間(但し、前述の図3で説明した所定のエントリタイムよりも短い時間)経過した後、他の端末装置14からのISAKMPパケット(P41)を受信した場合に、管理テーブルに登録されている先の端末装置13のISAKMPセッション及びIPsecセッション用のエントリを管理テーブルから削除し、後の端末装置14に対するISAKMPセッション用のエントリを登録する(テーブルT42参照)。
FIG. 4 shows a second embodiment for deleting a management table entry. The
こうすることにより、他の端末装置14は、図3の実施形態の場合より早い待ち時間で、ISAKMPパケットが受け付けられるようになるとともに、他の端末装置14からISAKMPパケットの送信要求が無い場合には、先の端末装置13に対して、セキュリティパラメータインデックス(SPI)の受信待ち時間を前述のエントリタイムまで十分長くすることができる。
In this way, the other
図5は、管理テーブルのエントリを削除する第3の実施形態を示す。通信装置15は、端末装置13とIPsecゲートウェイ装置16との間のISAKMPセッション確立後に、管理テーブルに該ISAKMPセッションのエントリを登録するが、該ISAKMPセッションの有効期間タイプ(LifeType)が時間(秒)である場合、管理テーブルに該セッションのエントリタイムとして、ISAKMPセッションの有効時間を示すLifeDurationの値“xx”を設定する(テーブルT51参照)。そして、このエントリタイムを超過すると、該ISAKMPセッションのエントリを管理テーブルから削除する(テーブルT52参照)。
FIG. 5 shows a third embodiment for deleting an entry in the management table. After the ISAKMP session is established between the
このように、管理テーブルからエントリを削除するエントリタイムのタイムアウト時間として、ISAKMPセッションにおけるネゴシエーションで決定されるISAKMPセッションの有効時間を設定することにより、管理テーブルからエントリを削除する時間を、ISAKMPセッションが有効な期間のみの最小時間に設定することが可能となる。 In this way, by setting the effective time of the ISAKMP session determined by the negotiation in the ISAKMP session as the timeout time of the entry time for deleting the entry from the management table, the ISAKMP session sets the time for deleting the entry from the management table. It is possible to set the minimum time only for the effective period.
図6は、管理テーブルのエントリを削除する第4の実施形態を示す。通信装置15は、端末装置13とIPsecゲートウェイ装置16との間のISAKMPセッション確立後に、管理テーブルに該ISAKMPセッションのエントリを登録するが、ISAKMPセッションの有効期間タイプ(LifeType)が通信量(キロバイト)である場合、管理テーブルに該セッションのエントリ通信量として、ISAKMPセッションの有効通信量を示すLifeDurationの値“xxx”を設定する(テーブルT61参照)。このエントリ通信量の分だけ通信装置15がISAKMPパケットを転送すると、該ISAKMPセッション用のエントリを管理テーブルから削除する(テーブルT62参照)。
FIG. 6 shows a fourth embodiment for deleting a management table entry. The
図7は本発明におけるISAKMPセッションの鍵更新(Rekey)に対する第1の実施形態を示す。同図において、端末装置13とIPsecゲートウェイ装置16との間でIPsecの通信が行われており、通信装置15内の管理テーブルには、このIPsec通信で使われるISAKMPセッション及びIPsecセッションのエントリ情報が登録されている(テーブルT71参照)。
FIG. 7 shows a first embodiment for key update (Rekey) of an ISAKMP session in the present invention. In the figure, IPsec communication is performed between the
通信装置15は、IPsec通信中にIPsecゲートウェイ装置16からISAKMP Rekeyパケットを受信すると、該Rekeyパケットの送信元/送信先IPアドレス、プロトコル種別及び送信元/送信先ポート番号と、管理テーブルに登録されているエントリ情報とを照合し、それらが一致したとき、該RekeyパケットがIPsecセッション確立中のISAKMPセッションのRekeyパケットであると判断し、新たに該RekeyパケットのIPアドレス、プロトコル種別、ポート番号、NAT変換後の送信元IPアドレスとイニシエータ識別情報(Cookie)“yyyyyy”を管理テーブルへ追加する(テーブルT72参照)。
When the
通信装置15は、受信したRekeyパケットに対して、管理テーブルに登録されたアドレス変換情報に従ってNAT機能によりアドレス変換を行い、端末装置13へ転送する。このように、Rekeyパケットによって新たに作成されたISAKMPセッションのエントリを管理テーブルに追加し、該エントリ情報を基にアドレス変換を行うことにより、Rekeyパケットに対してNATパススルーを行うことが可能となる。
The
図8は本発明におけるISAKMPセッションの鍵更新(Rekey)に対する第2の実施形態を示す。端末装置13からISAKMPパケット(P81)を受信した通信装置15は、有効期間タイプ(LifeType)及び有効期間即ちセッションの更新間隔(LifeDuration)を参照し、該更新間隔(LifeDuration)の値が、通信装置15に予め設定された設定値より大きい場合、更新間隔(LifeDuration)の値をこの設定値に書換えたISAKMPパケット(P82)をIPsecゲートウェイ装置16へ転送する。ここで、通信装置15に予め設定された設定値として、配下の全ての端末装置が送出する有効期間値(LifeDuration)の何れよりも小さい値とする。
FIG. 8 shows a second embodiment for key update (Rekey) of an ISAKMP session in the present invention. The
この後、端末装置14からもISAKMPパケット(P83)を受信すると、同様に通信装置15は、有効期間タイプ(LifeType)及び更新間隔(LifeDuration)を参照し、該更新間隔(LifeDuration)の値が通信装置15に予め設定された設定値より大きい場合、同様に、該更新間隔(LifeDuration)の値を該設定値に書換えたISAKMPパケット(P84)をIPsecゲートウェイ装置16へ転送する。
Thereafter, when the ISAKMP packet (P83) is received also from the
通常、IPsecゲートウェイ装置16から通信装置15へ送信されるRekeyパケット(P85)は、端末装置13又は端末装置14の何れかのISAKMPセッション用のRekeyパケットであるとしても、IPアドレス、プロトコル種別及びポート番号の全ての情報において同一である。
Normally, even if the Rekey packet (P85) transmitted from the
また、図8の例では、端末装置13及び端末装置14の更新間隔(LifeDuration)の値は、それぞれ28800及び14400であるが、この値のままISAKMPの交渉が終了してこれらの値が採用された場合、実際の更新タイミングは、交渉で決定した更新間隔(LifeDuration)の値より短い時間で行われ、これは通信毎にタイミングが異なるため、次にIPsecゲートウェイ装置16から受信されるRekeyパケットは、端末装置13又は端末装置14の何れのISAKMPセッションのRekeyパケットであるのか判断することができなくなる。
In the example of FIG. 8, the values of the update intervals (LifeDuration) of the
しかし、上述したように通信装置15で更新間隔(LifeDuration)の値を十分に小さい値(例えば300)に変更し、ISAKMPの交渉においてこの変更後の値が採用されるようにすることにより、全てのセッションの更新間隔(LifeDuration)を統一化することができ、これによってIPsecゲートウェイ装置16から受信したRekeyパケットがどのセッションのRekeyであるか推測できるようになる。
However, as described above, the value of the update interval (LifeDuration) is changed to a sufficiently small value (for example, 300) in the
図8の例では、端末装置13及び端末装置14の何れからのISAKMPパケットも更新間隔(LifeDuration)を十分に小さい値である300に変更し、交渉後の値としてこの300が採用されるようにしている。これによって、全てのセッションの更新間隔(LifeDuration)が統一されるため、最初にIPsecゲートウェイ16から受信するRekeyパケット(P85)は、先にセッションを確立した端末装置13のセッションの鍵更新(Rekey)であると推測することが可能となり、該Rekeyパケット(p85)の送信先を決定することができる。
In the example of FIG. 8, the ISAKMP packet from any of the
図9は本発明におけるISAKMPセッションの鍵更新(Rekey)に対する第3の実施形態を示す。この実施形態では、端末装置13とIPsecゲートウェイ装置16の間の交渉で決定した更新間隔(LifeDuration)と、その後、IPsecゲートウェイ装置16から受信した最初のRekeyパケットの受信タイミングとを基に、ISAKMPセッションのRekeyパケットの受信タイミングを学習し、該学習結果を基に次のRekeyパケットの受信タイミングを推測する。
FIG. 9 shows a third embodiment for key update (Rekey) of an ISAKMP session in the present invention. In this embodiment, the ISAKMP session is based on the update interval (LifeDuration) determined by negotiation between the
例えば、端末装置13のISAKMPセッションのパケット(P91)の送受で決定した更新間隔(LifeDuration)が28800秒で、IPsecゲートウェイ装置16から最初に受信したRekeyパケット(P92)の受信タイミングが14400秒後であった場合、更に次のRekeyパケットの受信タイミングも14400秒後と推測することができる。
For example, the update interval (LifeDuration) determined by transmission / reception of the ISAKMP session packet (P91) of the
また、例えば、ISAKMPセッションのパケット(P93)の送受で決定した更新間隔(LifeDuration)が10000キロバイトで、最初のRekeyパケット(P94)受信タイミングが、5000キロバイトのデータを受信後であった場合、更に次のRekeyパケットの受信タイミングは5000キロバイトのデータ受信後と推測する。 In addition, for example, when the update interval (LifeDuration) determined by transmission / reception of the packet (P93) of the ISAKMP session is 10000 kilobytes and the reception timing of the first Rekey packet (P94) is after receiving 5000 kilobytes of data, The reception timing of the next Rekey packet is estimated after receiving 5000 kilobytes of data.
Rekeyパケットの受信毎に更新間隔(LifeDuration)の値が変化する場合、最初に学習する際に、
Rekeyパケット受信タイミング=更新間隔(LifeDuration)×1/α
又は
Rekeyパケット受信タイミング=更新間隔(LifeDuration)−β
としてRekeyパケット受信タイミングを算定するものとし、上記のα又はβの値を算定することで、次のRekeyパケット受信タイミングを推測することができる。
When the value of the update interval (LifeDuration) changes every time a Rekey packet is received,
Rekey packet reception timing = update interval (LifeDuration) × 1 / α
Or Rekey packet reception timing = update interval (LifeDuration) −β
Assuming that the Rekey packet reception timing is calculated, the next Rekey packet reception timing can be estimated by calculating the value of α or β.
なお、この学習結果の正確さを高めるため、Rekeyパケット受信を複数回に亘って行い、複数回に亘って観測したRekeyパケット受信タイミングを基に、上記のα又はβの値を決定する構成とすることができる。 In order to increase the accuracy of the learning result, the Rekey packet is received a plurality of times, and the value of α or β is determined based on the Rekey packet reception timing observed a plurality of times. can do.
このRekeyパケットの受信タイミングの学習に際して、Rekeyパケットの受信タイミングの学習が完了するまで、他の端末装置14(ISAKMPセッションを確立していない端末装置)から受信した新規のISAKMPパケット(P95,P96)を廃棄する。こうすることによって、鍵更新(Rekey)タイミングの未学習の複数のISAKMPセッションが管理テーブルに登録されるのを防ぎ、新たなRekeyパケット受信時に、何れのISAKMPセッションのRekeyパケットであるのか不明となってしまうことがないようにすることができる。 When learning the reception timing of the Rekey packet, new ISAKMP packets (P95, P96) received from other terminal devices 14 (terminal devices for which no ISAKMP session is established) until learning of the reception timing of the Rekey packet is completed. Discard. By doing this, it is possible to prevent a plurality of ISAKMP sessions that have not been learned of the key update (Rekey) timing from being registered in the management table, and when a new Rekey packet is received, it is unknown which ISAKMP session is the Rekey packet. You can prevent it from happening.
図10及び図11は本発明におけるIPsecセッションの鍵更新(Rekey)に対する実施形態を示す。同図において、端末装置13とIPsecゲートウェイ装置16との間でIPsecの通信が行われており、管理テーブルにはこのIPsec通信で使われているISAKMPセッション及びIPsecセッションのエントリが登録されているものとする(テーブルT101参照)。
10 and 11 show an embodiment for key update (Rekey) of an IPsec session in the present invention. In the figure, IPsec communication is performed between the
IPsec通信中にIPsecゲートウェイ装置16からISAKMP Rekeyパケット(P101)を受信し、その鍵交換タイプ(ExchangeType)がIPsecセッションの鍵交換を表す“QuickMode”であった場合、通信装置15は該Rekeyパケット(P101)の送信元/送信先IPアドレス、プロトコル種別及び送信元/送信先ポート番号と、管理テーブルに登録されているエントリ情報とを照合し、それらが一致した場合、該Rekeyパケット(P101)が通信中のIPsecセッションのRekeyパケットであると判断し、新たに該Rekeyパケット(P101)のセッションの送信元/送信先IPアドレス、NAT変換後の送信元IPアドレスの情報を管理テーブルへ仮登録し(テーブルT102参照)、該Rekeyパケット(P101)を端末装置13へ転送する。
When the ISAKMP Rekey packet (P101) is received from the
その後、鍵交換(Rekey)シーケンスが完了し、IPsecゲートウェイ装置16からIPsec ESPパケット(P102)を受信すると、通信装置15は該IPsec ESPパケット(P102)の送信元/送信先IPアドレス及びプロトコル種別と、管理テーブルに登録されているエントリ情報とを照合し、該IPsec ESPパケット(P102)が鍵更新(Rekey)によって更新されたIPsecセッションの通信のパケットであると判断し、新たに該IPsec ESPパケット(P102)のセキュリティパラメータインデックス(SPI)の値“YYYYY”を、先の管理テーブルの仮登録したエントリに上書き追加する(テーブルT103参照)。
Thereafter, when the key exchange (Rekey) sequence is completed and the IPsec ESP packet (P102) is received from the
これによって、鍵更新(Rekey)によって新たに作成されたIPsecセッションも管理テーブルに追加され、該管理テーブルの情報を基にNAT変換を行うことにより、更新後のIPsec通信を正常に通過(NATパススルー)させることが可能となる。 As a result, the IPsec session newly created by the key update (Rekey) is also added to the management table. By performing NAT conversion based on the information in the management table, the updated IPsec communication is normally passed (NAT pass-through). ).
なお、このIPsecセッションの鍵交換(Rekey)シーケンスにおいても、ISAKMPセッションにおける鍵交換(Rekey)シーケンスと同様に、Rekeyパケットの受信タイミングを学習するまで、他の端末装置14(IPsecセッションを確立していない端末装置)から受信した新規のISAKMPパケット(P103)は廃棄する。 In the key exchange (Rekey) sequence of this IPsec session, as with the key exchange (Rekey) sequence in the ISAKMP session, another terminal device 14 (IPsec session has not been established until the reception timing of the Rekey packet is learned. The new ISAKMP packet (P103) received from the terminal device that does not exist is discarded.
こうすることによって、鍵交換(Rekey)タイミングの未学習の複数のIPsecセッションが管理テーブルに登録されるのを防ぎ、新たな鍵更新(Rekey)時に、何れのセッションの鍵更新(Rekey)であるか不明となってしまうことがないようにすることができる。 By doing so, it is possible to prevent a plurality of IPsec sessions that have not been learned at the key exchange timing (Rekey) from being registered in the management table, and any key update (Rekey) of any session when a new key update (Rekey) is performed. It is possible to prevent it from becoming unknown.
図12は、ISAKMPセッションの鍵更新(Rekey)タイミングを基に管理テーブルのエントリを削除する実施形態を示す。同図において、通信装置15は、端末装置13とIPsecゲートウェイ装置16との間のISAKMPセッションを確立し、ISAKMPセッションのエントリを管理テーブルに登録(テーブルT121参照)した後、ISAKMPセッションの鍵更新のためのISAKMP Rekeyパケット(P121)を受信するまでの時間(秒)を計測し、上述した手法で鍵更新(Rekey)タイミングを学習し、該鍵更新(Rekey)の時間(タイミング)より若干長い値“xx”を管理テーブルにエントリタイムとして設定する(テーブルT122参照)。そして、このエントリタイムがタイムアウトしたとき、該当するISAKMPセッションのエントリを管理テーブルから削除する(テーブルT123参照)。
FIG. 12 shows an embodiment in which entries in the management table are deleted based on the key update (Rekey) timing of the ISAKMP session. In the figure, the
図13は、IPsecセッションの鍵更新(Rekey)タイミングを基に管理テーブルのエントリを削除する実施形態を示す。通信装置15は、端末装置13とIPsecゲートウェイ装置16との間のIPsecセッション確立し、ISAKMPセッション及びIPsecセッションのエントリを管理テーブルに登録(テーブルT131参照)した後、鍵交換処理プロトコル(IKE)のIPsec Rekeyパケット(P131)を受信するまでの時間(秒)を計測し、IPsecセッションの鍵更新(Rekey)タイミングを学習し、該鍵更新(Rekey)の時間(タイミング)より若干長い値“xx”を管理テーブルにエントリタイムとして設定する(テーブルT132参照)。そして、このエントリタイムがタイムアウトしたとき、該当するISAKMPセッションのエントリを管理テーブルから削除する(テーブルT133参照)。
FIG. 13 shows an embodiment in which entries in the management table are deleted based on the key update (Rekey) timing of the IPsec session. The
本発明の通信装置15は、管理テーブルからISAKMPセッションのエントリ又はIPsecセッションのエントリの何れか一方のエントリを、エントリタイムのタイムアウト又は鍵更新(Rekey)などにより削除する際、通信装置15のリソースを軽減させるため、この削除するエントリに牽連するISAKMPセッションのエントリ又はIPsecセッションのエントリも管理テーブルから併せて削除する構成とすることができる。
When the
11 LAN側ネットワーク
12 WAN側ネットワーク
13,14 端末装置
15 通信装置
16 IPsecゲートウェイ装置
11 LAN side network 12
Claims (5)
鍵交換プロトコルのISAKMPパケットのイニシエータ識別情報(Cookie)及びIPsec ESPパケットのセキュリティパラメータインデックス(SPI)を、該パケットの送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル種別及びアドレス変換後の送信元アドレスと共に、ISAKMPセッション及びIPsecセッションのエントリ情報として格納する管理テーブルを備え、
受信されるISAKMPパケットのイニシエータ識別情報(Cookie)又はIPsec ESPパケットのセキュリティパラメータインデックス(SPI)を基に、前記管理テーブルに登録されたエントリ情報を参照して、該ISAKMPパケット又はIPsec ESPパケットのエントリを識別し、
受信されるISAKMPパケット又はIPsec ESPパケットを、前記管理テーブルに登録されたエントリ情報に従ってアドレス変換し、前記端末装置又はIPsecゲートウェイ装置に転送する構成を有し、
前記IPsecゲートウェイ装置側からISAKMPセッションのRekeyパケットを受信したとき、該パケットのIPアドレス、プロトコル種別及びポート番号を、前記管理テーブルに登録されたISAKMPセッションのエントリ情報と照合し、それらが一致した場合に該ISAKMPセッションの鍵更新用のRekeyパケットであると判断し、該ISAKMPセッションの送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル種別及びアドレス変換後の送信元アドレスと共にイニシエータ識別情報(Cookie)を管理テーブルに新たにISAKMPセッションのエントリ情報として登録し、
以降のISAKMPセッションのパケットを該新たなISAKMPセッションのエントリ情報に基づいてアドレス変換を行って、通信先の端末装置に転送する構成を有し、
前記端末装置と前記IPsecゲートウェイ装置との間で行うISAKMPセッションの有効期間値(LifeDuration)の交渉において、該端末装置が送出するISAKMPセッションの有効期間値(LifeDuration)を、配下の全ての端末装置が送出する有効期間値(LifeDuration)の何れよりも小さい同一の値に変更して送出し、配下の全ての端末装置のISAKMPセッションの有効期間値(LifeDuration)を統一化し、
前記統一化した有効期間値(LifeDuration)を基に、ISAKMPセッションのRekeyパケットの受信タイミングを推測することを特徴とするIPsecの複数セッションを処理する通信装置。 A communication device that allows communication of an IPsec session between a terminal device connected to a subordinate LAN side network and an IPsec gateway device connected to a WAN side network,
The initiator identification information (Cookie) of the ISAKMP packet of the key exchange protocol and the security parameter index (SPI) of the IPsec ESP packet, the source IP address, the destination IP address, the port number, the protocol type, and the source after the address conversion of the packet A management table for storing as entry information of ISAKMP sessions and IPsec sessions together with addresses,
Based on the initiator identification information (Cookie) of the received ISAKMP packet or the security parameter index (SPI) of the IPsec ESP packet, the entry information of the ISAKMP packet or IPsec ESP packet is referred to by referring to the entry information registered in the management table. Identify and
The ISAKMP packets or IPsec ESP packet is received, the address translation according to the entry information registered in the management table, have a structure to be transferred to the terminal or IPsec gateway device,
When a rekey packet of an ISAKMP session is received from the IPsec gateway apparatus side, the IP address, protocol type, and port number of the packet are collated with the entry information of the ISAKMP session registered in the management table, and they match. And the sender identification information (Cookie) together with the source IP address, the destination IP address, the port number, the protocol type, and the source address after the address conversion of the ISAKMP session. Is newly registered in the management table as ISAKMP session entry information,
A packet subsequent ISAKMP session by performing address conversion based on the entry information of Do ISAKMP session was該新, have a structure to be transferred to the communication destination terminal,
In the negotiation of the ISAKMP session validity period (LifeDuration) performed between the terminal apparatus and the IPsec gateway apparatus, the ISAKMP session validity period value (LifeDuration) sent by the terminal apparatus is sent to all the subordinate terminal apparatuses. Change to the same value smaller than any of the effective period values (LifeDuration) to be transmitted, and unify the effective period values (LifeDuration) of the ISAKMP sessions of all subordinate terminal devices,
A communication apparatus for processing a plurality of IPsec sessions, wherein the reception timing of an ISAKMP session Rekey packet is estimated based on the unified lifetime value (LifeDuration).
鍵交換プロトコルのISAKMPパケットのイニシエータ識別情報(Cookie)及びIPsec ESPパケットのセキュリティパラメータインデックス(SPI)を、該パケットの送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル種別及びアドレス変換後の送信元アドレスと共に、ISAKMPセッション及びIPsecセッションのエントリ情報として格納する管理テーブルを備え、
受信されるISAKMPパケットのイニシエータ識別情報(Cookie)又はIPsec ESPパケットのセキュリティパラメータインデックス(SPI)を基に、前記管理テーブルに登録されたエントリ情報を参照して、該ISAKMPパケット又はIPsec ESPパケットのエントリを識別し、
受信されるISAKMPパケット又はIPsec ESPパケットを、前記管理テーブルに登録されたエントリ情報に従ってアドレス変換し、前記端末装置又はIPsecゲートウェイ装置に転送する構成を有し、
前記IPsecゲートウェイ装置側からISAKMPセッションのRekeyパケットを受信したとき、該パケットのIPアドレス、プロトコル種別及びポート番号を、前記管理テーブルに登録されたISAKMPセッションのエントリ情報と照合し、それらが一致した場合に該ISAKMPセッションの鍵更新用のRekeyパケットであると判断し、該ISAKMPセッションの送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル種別及びアドレス変換後の送信元アドレスと共にイニシエータ識別情報(Cookie)を管理テーブルに新たにISAKMPセッションのエントリ情報として登録し、
以降のISAKMPセッションのパケットを該新たなISAKMPセッションのエントリ情報に基づいてアドレス変換を行って、通信先の端末装置に転送する構成を有し、
前記端末装置と前記IPsecゲートウェイ装置との間の交渉で決定されるISAKMPセッションの有効期間値(LifeDuration)の有効期間タイプ(LifeType)が時間である場合、該有効期間値(LifeDuration)と、最初のISAKMPセッションのRekeyパケットの受信タイミングとを基に、前記IPsecゲートウェイ装置のRekeyパケットの送出タイミングを学習することを特徴とするIPsecの複数セッションを処理する通信装置。 A communication device that allows communication of an IPsec session between a terminal device connected to a subordinate LAN side network and an IPsec gateway device connected to a WAN side network,
The initiator identification information (Cookie) of the ISAKMP packet of the key exchange protocol and the security parameter index (SPI) of the IPsec ESP packet, the source IP address, the destination IP address, the port number, the protocol type, and the source after the address conversion of the packet A management table for storing as entry information of ISAKMP sessions and IPsec sessions together with addresses,
Based on the initiator identification information (Cookie) of the received ISAKMP packet or the security parameter index (SPI) of the IPsec ESP packet, the entry information of the ISAKMP packet or IPsec ESP packet is referred to by referring to the entry information registered in the management table. Identify and
The ISAKMP packets or IPsec ESP packet is received, the address translation according to the entry information registered in the management table, have a structure to be transferred to the terminal or IPsec gateway device,
When a rekey packet of an ISAKMP session is received from the IPsec gateway apparatus side, the IP address, protocol type, and port number of the packet are collated with the entry information of the ISAKMP session registered in the management table, and they match. And the sender identification information (Cookie) together with the source IP address, the destination IP address, the port number, the protocol type, and the source address after the address conversion of the ISAKMP session. Is newly registered in the management table as ISAKMP session entry information,
A packet subsequent ISAKMP session by performing address conversion based on the entry information of Do ISAKMP session was該新, have a structure to be transferred to the communication destination terminal,
When the validity period type (LifeType) of the ISAKMP session validity period value (LifeDuration) determined by negotiation between the terminal apparatus and the IPsec gateway apparatus is time, the validity period value (LifeDuration) and the first A communication apparatus for processing a plurality of IPsec sessions, characterized by learning a transmission timing of a Rekey packet of the IPsec gateway apparatus based on a reception timing of a Rekey packet of an ISAKMP session.
鍵交換プロトコルのISAKMPパケットのイニシエータ識別情報(Cookie)及びIPsec ESPパケットのセキュリティパラメータインデックス(SPI)を、該パケットの送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル種別及びアドレス変換後の送信元アドレスと共に、ISAKMPセッション及びIPsecセッションのエントリ情報として格納する管理テーブルを備え、
受信されるISAKMPパケットのイニシエータ識別情報(Cookie)又はIPsec ESPパケットのセキュリティパラメータインデックス(SPI)を基に、前記管理テーブルに登録されたエントリ情報を参照して、該ISAKMPパケット又はIPsec ESPパケットのエントリを識別し、
受信されるISAKMPパケット又はIPsec ESPパケットを、前記管理テーブルに登録されたエントリ情報に従ってアドレス変換し、前記端末装置又はIPsecゲートウェイ装置に転送する構成を有し、
前記IPsecゲートウェイ装置側からISAKMPセッションのRekeyパケットを受信したとき、該パケットのIPアドレス、プロトコル種別及びポート番号を、前記管理テーブルに登録されたISAKMPセッションのエントリ情報と照合し、それらが一致した場合に該ISAKMPセッションの鍵更新用のRekeyパケットであると判断し、該ISAKMPセッションの送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル種別及びアドレス変換後の送信元アドレスと共にイニシエータ識別情報(Cookie)を管理テーブルに新たにISAKMPセッションのエントリ情報として登録し、
以降のISAKMPセッションのパケットを該新たなISAKMPセッションのエントリ情報に基づいてアドレス変換を行って、通信先の端末装置に転送する構成を有し、
前記端末装置と前記IPsecゲートウェイ装置との間の交渉で決定されるISAKMPセッションの有効期間値(LifeDuration)の有効期間タイプ(LifeType)が通信量である場合、該有効期間値(LifeDuration)と、最初のISAKMPセッションのRekeyパケットが受信されたときまで行われた通信の通信量とを基に、前記IPsecゲートウェイ装置のRekeyパケットの送出タイミングを学習することを特徴とするIPsecの複数セッションを処理する通信装置。 A communication device that allows communication of an IPsec session between a terminal device connected to a subordinate LAN side network and an IPsec gateway device connected to a WAN side network,
The initiator identification information (Cookie) of the ISAKMP packet of the key exchange protocol and the security parameter index (SPI) of the IPsec ESP packet, the source IP address, the destination IP address, the port number, the protocol type, and the source after the address conversion of the packet A management table for storing as entry information of ISAKMP sessions and IPsec sessions together with addresses,
Based on the initiator identification information (Cookie) of the received ISAKMP packet or the security parameter index (SPI) of the IPsec ESP packet, the entry information of the ISAKMP packet or IPsec ESP packet is referred to by referring to the entry information registered in the management table. Identify and
The ISAKMP packets or IPsec ESP packet is received, the address translation according to the entry information registered in the management table, have a structure to be transferred to the terminal or IPsec gateway device,
When a rekey packet of an ISAKMP session is received from the IPsec gateway apparatus side, the IP address, protocol type, and port number of the packet are collated with the entry information of the ISAKMP session registered in the management table, and they match. And the sender identification information (Cookie) together with the source IP address, the destination IP address, the port number, the protocol type, and the source address after the address conversion of the ISAKMP session. Is newly registered in the management table as ISAKMP session entry information,
A packet subsequent ISAKMP session by performing address conversion based on the entry information of Do ISAKMP session was該新, have a structure to be transferred to the communication destination terminal,
When the validity period type (LifeType) of the validity period value (LifeDuration) of the ISAKMP session determined by negotiation between the terminal apparatus and the IPsec gateway apparatus is a traffic volume, the validity period value (LifeDuration) and the first Communication for processing a plurality of IPsec sessions characterized by learning the transmission timing of the Rekey packet of the IPsec gateway apparatus based on the traffic volume of the communication performed until the rekey packet of the ISAKMP session is received apparatus.
該算出したエントリタイムをISAKMPセッションのエントリタイムとして前記管理テーブルに設定し、該ISAKMPセッションが該エントリタイムを越えたとき、前記管理テーブルから該ISAKMPセッションのエントリを削除することを特徴とする請求項2又は3に記載のIPsecの複数セッションを処理する通信装置。 Based on the learning result of the transmission timing of the Rekey packet according to claim 2 or 3 , the entry time of the ISAKMP session is calculated,
The calculated entry time is set in the management table as an entry time of an ISAKMP session, and when the ISAKMP session exceeds the entry time, the entry of the ISAKMP session is deleted from the management table. A communication apparatus that processes a plurality of IPsec sessions according to 2 or 3 .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006268396A JP4708297B2 (en) | 2006-09-29 | 2006-09-29 | Communication device for processing a plurality of IPsec sessions |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006268396A JP4708297B2 (en) | 2006-09-29 | 2006-09-29 | Communication device for processing a plurality of IPsec sessions |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008092108A JP2008092108A (en) | 2008-04-17 |
JP4708297B2 true JP4708297B2 (en) | 2011-06-22 |
Family
ID=39375809
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006268396A Expired - Fee Related JP4708297B2 (en) | 2006-09-29 | 2006-09-29 | Communication device for processing a plurality of IPsec sessions |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4708297B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5239996B2 (en) * | 2009-03-26 | 2013-07-17 | 富士通株式会社 | Relay device, transfer method, and computer program |
JP2011199340A (en) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | Communication apparatus and method, and communication system |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003526270A (en) * | 2000-03-03 | 2003-09-02 | ネクスランド インコーポレイテッド | Network address translation gateway for local area network using local IP address and non-translatable port address |
JP2005530404A (en) * | 2002-06-13 | 2005-10-06 | エヌヴィディア コーポレイション | Improved security method and apparatus for communicating over a network |
JP2008079059A (en) * | 2006-09-22 | 2008-04-03 | Fujitsu Access Ltd | COMMUNICATION EQUIPMENT WHICH PROCESSES MULTIPLE SESSIONS OF IPsec, AND PROCESSING METHOD THEREOF |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2007069327A1 (en) * | 2005-12-15 | 2009-05-21 | 富士通株式会社 | RELAY DEVICE, RELAY METHOD, RELAY PROGRAM, COMPUTER-READABLE RECORDING MEDIUM CONTAINING RELAY PROGRAM, AND INFORMATION PROCESSING DEVICE |
-
2006
- 2006-09-29 JP JP2006268396A patent/JP4708297B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003526270A (en) * | 2000-03-03 | 2003-09-02 | ネクスランド インコーポレイテッド | Network address translation gateway for local area network using local IP address and non-translatable port address |
JP2005530404A (en) * | 2002-06-13 | 2005-10-06 | エヌヴィディア コーポレイション | Improved security method and apparatus for communicating over a network |
JP2008079059A (en) * | 2006-09-22 | 2008-04-03 | Fujitsu Access Ltd | COMMUNICATION EQUIPMENT WHICH PROCESSES MULTIPLE SESSIONS OF IPsec, AND PROCESSING METHOD THEREOF |
Also Published As
Publication number | Publication date |
---|---|
JP2008092108A (en) | 2008-04-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11477224B2 (en) | Rule-based network-threat detection for encrypted communications | |
US9667594B2 (en) | Maintaining network address translations | |
US8615604B2 (en) | Information processing apparatus, information processing system and computer readable medium for maintaining communication while IP addresses change | |
US7929538B2 (en) | Information processing system, tunnel communication device, tunnel communication method, proxy response device, and proxy response method | |
JP4766574B2 (en) | Preventing duplicate sources from clients handled by network address port translators | |
US8462800B2 (en) | Gateway device and port number assignment method | |
JP4482601B2 (en) | Preventing duplicate sources from clients handled by network address port translators | |
CN101420423A (en) | Network system | |
WO2005109785A1 (en) | Information processing device, and bubble packet transmission method and program | |
JP2001313679A (en) | Local area network correspondence network address conversion gate way using local ip address and conversion impossible port address | |
EP1328105B1 (en) | Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel | |
KR100479261B1 (en) | Data transmitting method on network address translation and apparatus therefor | |
Montenegro et al. | RSIP Support for End-to-end IPSEC | |
US20050265366A1 (en) | Virtual private network system, communication terminal, and remote access communication method therefor | |
US20020178356A1 (en) | Method for setting up secure connections | |
US9419891B2 (en) | Virtual private network communication system, routing device and method thereof | |
JP4708297B2 (en) | Communication device for processing a plurality of IPsec sessions | |
JP4426443B2 (en) | Improved security method and apparatus for communicating over a network | |
JP2008199420A (en) | Gateway device and authentication processing method | |
JP2008079059A (en) | COMMUNICATION EQUIPMENT WHICH PROCESSES MULTIPLE SESSIONS OF IPsec, AND PROCESSING METHOD THEREOF | |
CN111131182A (en) | VoIP communication network penetration device and method | |
JP6075871B2 (en) | Network system, communication control method, communication control apparatus, and communication control program | |
Reziouk et al. | Auditing 6lowpan networks using standard penetration testing tools | |
JP5158021B2 (en) | Tunnel communication apparatus and method | |
CN106713408B (en) | Auxiliary data transmission method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090312 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101124 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110121 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110315 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110316 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |