JP4721715B2 - 通信装置及び通信プログラム - Google Patents
通信装置及び通信プログラム Download PDFInfo
- Publication number
- JP4721715B2 JP4721715B2 JP2005027242A JP2005027242A JP4721715B2 JP 4721715 B2 JP4721715 B2 JP 4721715B2 JP 2005027242 A JP2005027242 A JP 2005027242A JP 2005027242 A JP2005027242 A JP 2005027242A JP 4721715 B2 JP4721715 B2 JP 4721715B2
- Authority
- JP
- Japan
- Prior art keywords
- isakmp
- ipsec
- communication device
- established
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
1)ISAKMP SAの削除通知を他方の中継器に送信
2)その削除通知を受けた他方の中継器が、削除対象のISAKMP SAで先に確立されたIPsec SAを削除
3)その後、中継器間で新たにISAKMP SA、およびIPsec SAを確立。この方法では、電源の再投入などによってIPアドレスの変更を行なった場合に、変更前の識別子、例えば変更前のIPアドレスを使用してISAKMP SAの削除通知を相手の中継器に送信する。
・前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理手段、
・前記管理手段で識別子が記憶されているISAKMP SAの中から、前記相手通信装置との間で確立しているISAKMP SAであって、かつ前記管理手段が記憶するIPsec SAの削除ペイロードの送信条件を満たす1または複数のISAKMP SAを特定する判断手段、
・前記判断手段が特定した1または複数のISAKMP SAを用い、前記IPsec SAの削除ペイロードを送信する送信手段、
・前記削除ペイロードによる削除対象のIPsec SAの識別子を、前記管理手段から削除する削除手段。
・前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理ステップ、
・前記管理ステップで識別子が記憶されているISAKMP SAの中から、前記相手通信装置との間で確立しているISAKMP SAであって、かつ前記管理ステップが記憶するIPsec SAの削除ペイロードの送信条件を満たす1または複数のISAKMP SAを特定する判断ステップ、
・前記判断ステップで特定された1または複数のISAKMP SAを用い、前記IPsec SAの削除ペイロードを送信する送信ステップ、
・前記削除ペイロードによる削除対象のIPsec SAの識別子を、前記管理ステップでの記憶対象から削除する削除ステップ。
・前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理手段、
・前記管理手段で識別子が記憶されているISAKMP SAの中から、前記相手通信装置との間で確立しているISAKMP SAであって、かつ前記管理手段が記憶するIPsec SAの削除ペイロードの送信条件を満たす1または複数のISAKMP SAを特定する判断手段、
・前記判断手段が特定した1または複数のISAKMP SAを用い、前記IPsec SAの削除ペイロードを送信する送信手段、及び
・前記削除ペイロードによる削除対象のIPsec SAの識別子を、前記管理手段から削除する削除手段。
・前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理手段、
・前記IPsec SAの削除ペイロードを、任意のISAKMP SAを用いて前記相手通信装置から受信する受信手段、
・前記IPsec SAの削除ペイロードの受信条件を、前記ISAKMP SAが満たすか否かを判断する判断手段、
・前記判断手段が前記受信条件を満たしていると判断した場合、前記IPsec SAの識別子を前記管理手段から削除する削除手段。
・前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理ステップ、
・前記IPsec SAの削除ペイロードを、任意のISAKMP SAを用いて前記相手通信装置から受信する受信ステップ、
・前記IPsec SAの削除ペイロードの受信条件を、前記ISAKMP SAが満たすか否かを判断する判断ステップ、
・前記判断ステップで前記受信条件を満たしていると判断した場合、前記IPsec SAの識別子を前記管理ステップでの記憶対象から削除する削除ステップ。
・前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理手段、
・前記IPsec SAの削除ペイロードを、任意のISAKMP SAを用いて前記相手通信装置から受信する受信手段、
・前記IPsec SAの削除ペイロードの受信条件を、前記ISAKMP SAが満たすか否かを判断する判断手段、
・前記判断手段が前記受信条件を満たしていると判断した場合、前記IPsec SAの識別子を前記管理手段から削除する削除手段。
・前記暗号通信の相手である前記第2通信装置の識別子と、前記第2通信装置との間で確立しているIPsec SAの識別子と、前記第2通信装置との間で確立しているISAKMP SAの識別子と、を記憶する第1管理手段、
・前記第1管理手段で識別子が記憶されているISAKMP SAの中から、前記第2通信装置との間で確立しているISAKMP SAであって、かつ前記第1管理手段が記憶するIPsec SAの削除ペイロードの送信条件を満たす1または複数のISAKMP SAを特定する第1判断手段、
・前記第1判断手段が特定した1または複数のISAKMP SAを用い、前記IPsec SAの削除ペイロードを送信する送信手段、
・前記削除ペイロードによる削除対象のIPsec SAの識別子を、前記第1管理手段から削除する第1削除手段。
・前記暗号通信の相手である前記第1通信装置の識別子と、前記第1通信装置との間で確立しているIPsec SAの識別子と、前記第1通信装置との間で確立しているISAKMP SAの識別子と、を記憶する第2管理手段、
・前記IPsec SAの削除ペイロードを、任意のISAKMP SAを用いて前記第1通信装置から受信する受信手段、
・前記IPsec SAの削除ペイロードの受信条件を、前記ISAKMP SAが満たすか否かを判断する第2判断手段、
・前記第2判断手段が前記受信条件を満たしていると判断した場合、前記IPsec SAの識別子を前記第2管理手段から削除する第2削除手段。
以下、本発明の第1実施形態について、図面を参照しながら説明する。図1は、本実施形態に係る通信装置を用いたネットワーク構成例を示す説明図である。図1のネットワーク構成では、通信端末(通信装置)1a,1b及び通信端末(通信装置)1c,1dは、それぞれ中継器(通信装置)2a,2bに接続されている。中継器2a,2bは、通信ネットワーク3により互いに接続されている。以下、通信端末1a〜1d及び中継装置2a,2bを通信装置という。なお、本発明が適用される通信装置を用いたネットワーク構成は、図1に示す構成に限定されないことはもちろんである。
(1−1)通信装置の全体構成及び動作の概略
図2は、通信装置10の機能構成を示すブロック図である。通信装置10は、IKE処理部20と、アプリケーション部30と、IP処理部40と、通信部50と、を備えている。IP処理部40は、IPsec処理部60を備えている。なお、アプリケーション部30は、図2において一つのみ図示しているが、複数であってもよい。このような機能を有する通信装置10は、CPU、ROM、RAM、ハードディスクなどを有するコンピュータにより実現される。CPUは、IKE処理部20、アプリケーション部30、IP処理部40及び通信部50として機能する。
図3は、IKE処理部20の機能構成を示す説明図である。IKE処理部20は、要求受付部21と、SA管理部22と、SA確立部23と、ISAKMPメッセージ処理部24と、を含む。
要求受付部21は、アプリケーション部30やIP処理部40からのIPsec SA確立要求を受け付け、IKE折衝処理の開始をSA管理部22に指示する。また、要求受付部21は、相手通信装置との間で暗号通信を適用する条件の設定をSA管理部22に指示する。IKE折衝処理には、ISAKMP SAの確立・切断や、IPsec SAの確立・切断が含まれる。
SA管理部22は、ISAKMP SA及びIPsec SA(以下、まとめてSAということがある)の確立・切断・更新を管理する。SAの管理のために、SA管理部22は管理テーブル22aを保持している。管理テーブル22aは、各ISAKMP SA及びIPsec SAに関する情報(以下、SA情報という)を記憶している。SA情報は、SAの確立・切断・更新に従い、登録・削除・更新される。また、SA管理部22は、ISAKMP SAが全くなくなった場合または全くなくなるに先立ち、新たなISAKMP SAを再確立することができる。
図4は、SA管理部22が保持する管理テーブル22aに蓄積される情報の概念説明図である。管理テーブル22aは、「ISAKMP SA ID」、「IPsec SA ID」及び「相手通信装置」の識別子を少なくとも1レコードに含む。IPsec SA及びISAKMP SAが、どの相手通信装置との間で確立されているかを管理するためである。また、SAと相手通信装置とを対応付けておくと、相手通信装置に応じてSAの切断方法を切り替えることが可能となる。相手通信装置の識別子としては、この例ではIPアドレスを用いているが、その他の通信アドレスやMACアドレス等の装置固有情報を用いることもできる。なお、ISAKMP SA ID及びIPsec SA IDは、異なる相手通信装置に対してであれば、同じ値を取ることもあり得る。
SAの確立は次のように行う。SA管理部22は、相手通信装置との間にISAKMP SAが確立されていなければ、相手通信装置との間にISAKMP SAの確立を行なうようSA確立部23に指示する。また、SA管理部22は、ISAKMP SAの確立後、そのISAKMP SAを使用してIPsec SAの確立を行なうようSA確立部23に指示する。さらに、SA管理部22は、ISAKMP SAまたはIPsec SAの確立に伴い、管理テーブル22aに新規SA情報を登録する。また、SA管理部は、SAの更新をSAの確立と同様に行い、管理テーブル22aのSA情報を更新する。
(c−1)削除ペイロードの送信による切断
SAの切断は、SAの削除ペイロードの送信または受信による切断と、SAの寿命による切断とに分けることができる。削除ペイロードの送信による切断は次のように行う。SA管理部22は、ISAKMPメッセージ処理部24に対してISAKMP SA及びIPsec SAの削除ペイロードの送信を指示し、IPsec SAの削除ペイロードに従い管理テーブル22aのIPsec SA情報を削除する。ここで、IPsec SAの削除ペイロードを送信するISAKMP SAは、送信条件に合致するものが選択される。送信条件は、全ての相手通信装置に共通であっても良いし、相手通信装置毎に切り替えてもよい。また、相手通信装置をグルーピングし、グループ毎に送信条件を切り替えてもよい。送信条件については、詳細を後述する。また、ISAKMP SAの削除ペイロード送信によるISAKMP SA情報の更新については、詳細を後述する。
削除ペイロードの受信によるSAの切断は次のように行う。SA管理部22は、ISAKMP SA及びIPsec SAの削除ペイロード受信処理要求をISAKMPメッセージ処理部24から受け付け、削除ペイロードに従い管理テーブル22aのSA情報を更新する。ただし、SA管理部22は、IPsec SAの削除ペイロードを受信すると、その受信に用いられたISAKMP SAが受信条件を満たしているか否かを判断し、満たしている場合にIPsec SA情報を削除する。受信条件は、全ての相手通信装置に共通であっても良いし、相手通信装置毎に切り替えてもよい。また、相手通信装置をグルーピングし、グループ毎に受信条件を切り替えてもよい。受信条件については、詳細を後述する。ISAKMP SAの削除ペイロード受信時のISAKMP SA情報の更新については、詳細を後述する。
SAの寿命によるSAの切断は、次のように行う。SA管理部22は、寿命が尽きたIPsec SAのSA情報を管理テーブル22aから削除する。また、IPsec SAの寿命またはISAKMP SAの寿命の消尽に伴い、SA管理部22はISAKMP SA情報を更新する。この更新については詳細を後述する。SAの寿命の消尽に伴い、SA管理部22は、ISAKMPメッセージ処理部24に対し、寿命が尽きたSAの削除ペイロードの送信を要求してもよい。
管理テーブル22aのISAKMP SA情報は、(i)ISAKMP SAの削除ペイロード送受信時、(ii)ISAKMP SAの寿命満了時、(iii)IPsec SAの削除または寿命満了時に更新される。更新タイミング別にISAKMP SA情報の交信内容を以下に詳述する。更新内容は、SA情報そのものの削除と、ISAKMP SAの状態の更新とに大別される。以下では、SAを切断するためのSA情報の削除を単にSAの削除という。
そのISAKMP SAを用いて確立したIPsec SAが存在する場合、そのISAKMP SAの状態を「新規IPsec SA確立不可」にする。逆にIPsec SAが存在しない場合、そのISAKMP SA情報を削除する。
そのISAKMP SAを用いて確立したIPsec SAが存在する場合、そのISAKMP SAの状態を「新規IPsec SA確立不可」にする。逆にIPsec SAが存在しない場合、そのISAKMP SA情報を削除する。
そのIPsec SAの確立に用いたISAKMP SAについて、そのISAKMP SAを用いて確立した別のIPsec SAが存在する場合、そのISAKMP SAの状態を「新規IPsec SA確立不可」にする。別のIPsec SAが存在しない場合、そのISAKMP SA情報を削除する。
前述したように、IPsec SAの削除ペイロードは、所定の送信条件を満たすISAKMP SAを用いて送信される。逆に、IPsec SAの削除ペイロードが所定の受信条件を満たすISAKMP SAを用いて受信された場合にのみ、対象のIPsec SA情報が削除される。送信条件・受信条件は、SA管理部22が記憶している。
(送信条件1):削除対象のIPsec SAを確立している相手通信装置との間で確立している全てのISAKMP SAで送信する。
(送信条件2):IPsec SAを確立するために用いたISAKMP SAで送信する。
(送信条件3):確立済み状態のISAKMP SAのうち最新のもので送信する。
(受信条件1):削除対象のIPsec SAを確立している相手通信装置との間で確立している全てのISAKMP SAのいずれかで受信する。
(受信条件2):IPsec SAを確立するために用いたISAKMP SAで受信する。
(受信条件3):確立済み状態のISAKMP SAのうち最新のもので受信する。
SA管理部22は、ISAKMP SAを削除するときには、新たなISAKMP SAを確立することもできる。ISAKMP SAを削除する場合、相手通信装置との間で確立されたISAKMP SAが皆無になる場合がある。この場合であっても、その相手との間に別のIPsec SAが存在している場合が考えられる。そこで、その別のIPsec SAの削除ペイロードを送信するのに用いられる可能性のあるISAKMP SAを新たに確立しておくことが好ましい。また、新たなISAKMP SAを確立しておけば、それを用いて新たなIPsec SAを必要に応じて確立することが容易という利点がある。
SA確立部23は、SA管理部22からの要求に従ってSA確立のためのIKE折衝処理を行ない、ISAKMPメッセージ処理部24に対して対応するISAKMPメッセージの構築処理を要求する。また、SA管理部22は、相手通信装置からIKE折衝処理要求を受け取り、IKE折衝処理を行い、SA管理部22に対してSA情報の更新要求を行なう。SA確立及びIKE折衝処理そのものについては、RFCに規定されており、本発明はその範囲を逸脱せず、説明は省略する。
ISAKMPメッセージ処理部24は、SA確立部23からの要求及びSA管理部22からの要求に対して該当するISAKMPメッセージの構築を行ない、IP処理部40に構築したメッセージを送信依頼する。また、ISAKMPメッセージ処理部24は、IP処理部40から受信したISAKMPメッセージをRFCの規定に従って解析する。受信したISAKMPメッセージが相手通信装置からのIKE折衝処理要求である場合は、SA確立部23にその処理を指示する。ISAKMPメッセージが削除通知であった場合、ISAKMPメッセージ処理部24はその削除通知に含まれる削除ペイロードを抽出し、SA管理部22にその処理を指示する。なお、ISAKMPメッセージ処理部24は、ISAKMPメッセージの送受信の際に、RFC2407〜RFC2409で規定されている所定の暗号化・復号化、認証情報の付加・認証情報の認証などを行なう。
以下に、本実施形態に係る通信装置10が行う処理の流れについて、図面を参照しながら説明する。通信装置10は、(2−1)IPsec SA削除ペイロード送信処理、(2−2)ISAKMP SA再確立処理、(2−3)削除ペイロード受信処理、(2−4)IPsec SA寿命切れ処理、(2−5)ISAKMP SA寿命切れ処理を行う。
図6は、SA管理部22が行うIPsec SA削除ペイロード送信処理の流れの一例を示すフローチャートである。この処理は、アプリケーション30または操作者からIPsec SAの削除要求があった場合に実行される。この処理により、受信側通信装置の受信条件に関わらず、IPsec SAの削除ペイロードを受信側通信装置で受け付けてもらえる確率を高めることができる。なお、本実施形態では、他の処理でも本処理を呼ぶため、本処理をサブルーチンの形式で図示している。
図7は、ISAKMP SA再確立サブルーチンの処理の流れの一例を示すフローチャートである。この処理により、暗号化通信を行う通信装置間で確立されたISAKMP SAを維持することができる。本実施形態では、他の処理の中で本処理を呼ぶため、本処理をサブルーチンの形式で図示している。
図8は、SA管理部22が行う削除ペイロード受信処理の流れの一例を示すフローチャートである。削除ペイロードは、ISAKMPの通知メッセージに分類される削除通知に含まれる。この削除通知がISAKMPメッセージ処理部24により解析され、各削除ペイロードがSA管理部22に渡されると、以下の処理が開始される。
図9は、SA管理部22が行うIPsec SA寿命切れ処理の一例を示すフローチャートである。この処理は、他の処理とは独立して並列にまたは他の処理の合間に実行される。この処理により、寿命が切れたIPsec SAは削除され、そのIPsec SAの確立に用いられたISAKMP SAのSA情報が更新される。
図10は、SA管理部22が行うISAKMP SA寿命切れ処理の流れの一例を示すフローチャートである。この処理により、寿命が切れたISAKMP SAの情報が更新または削除される。
なお、以上に述べた処理以外に、IKE処理部20は、RFCの規定に従った各SAの確立・更新処理を行う。
本実施形態の通信装置は、IPsec SAの削除ペイロードを、所定の送信条件・受信条件を満たすISAKMP SAを用いて送信・受信する。とりわけ、送信側通信装置が通信装置相互の間に存在するISAKMP SA全てを用いて削除ペイロードを送信するか、またはそのようなISAKMP SAの何れかによる削除ペイロードを受信側通信装置が受け付けるか、少なくともどちらかであれば、IPsec SAの削除が一方でのみ行われる事態の発生を防ぐことができる。従って、通信装置相互でのIPsec SAの不一致を防止することができる。
図12は、本発明の第2実施形態に係る通信装置の機能構成を示すブロック図である。図12において、図2と同じ構成要素については同じ符号を用い、説明を省略する。図12において、通信装置10’は、アプリケーション部を持たない。第1実施形態ではアプリケーション部からのデータに対して暗号通信が適用されたが、本実施形態においては、通信部50で受信されたIPパケットを他の通信装置に再送信(転送)する場合に暗号通信が適用される。この場合であっても、前述の処理は同様に行われる。
(A)前記実施形態では、あるISAKMP SAを用いて確立したIPsec SAが1つでも存在する限り、そのISAKMP SAのSA情報を管理テーブル22aから完全に削除しない。その代わり、そのISAKMP SAの状態が、「新規IPsecSA確立不可」に変更される。
2a,2b:中継器
3 通信ネットワーク
10:通信装置
Claims (21)
- IPsec(IPセキュリティプロトコル)及びIKE(Internet Key Exchange)に基づいてISAKMP SA(Internet Security Association and Key Management Protocol)及びIPsec SA(Security Association)を確立し、暗号通信を行う通信装置であって、
前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理手段と、
前記管理手段で識別子が記憶されているISAKMP SAの中から、前記相手通信装置との間で確立しているISAKMP SAであって、かつ前記管理手段が記憶するIPsec SAの削除ペイロードの送信条件を満たす1または複数のISAKMP SAを特定する判断手段と、
前記判断手段が特定した1または複数のISAKMP SAを用い、前記IPsec SAの削除ペイロードを送信する送信手段と、
前記削除ペイロードによる削除対象のIPsec SAの識別子を、前記管理手段から削除する削除手段と、
を有することを特徴とする通信装置。 - 前記管理手段に記憶された相手通信装置の特性を識別する所定の情報と、IPsec SAの削除ペイロードの送信条件と、を対応付けて記憶する条件記憶手段をさらに有し、
前記管理手段は、前記相手通信装置の特性を識別する所定の情報を、前記相手通信装置の識別子と対応付けてさらに記憶し、
前記判断手段は、前記IPsec SAを確立している相手通信装置に対応する所定の情報に対応付けられた送信条件を前記条件記憶手段から読み出し、読み出した送信条件に合致する1または複数のISAKMP SAを特定することを特徴とする、請求項1に記載の通信装置。 - 前記相手通信装置の特性を識別する所定の情報は、前記相手通信装置の製造者の識別子であり、
前記条件記憶手段は、前記製造者の識別子と製造者毎の送信条件とを対応付けて記憶し、
前記判断手段は、前記IPsec SAに対応する製造者の識別子に対応づけられた送信条件を前記条件記憶手段から読み出し、読み出した送信条件に合致する1または複数のISAKMP SAを特定することを特徴とする、請求項2に記載の通信装置。 - 前記管理手段は、ISAKMP SAと、そのISAKMP SAにより確立されたIPsec SAとの対応付けをさらに記憶し、
前記判断手段は、前記削除ペイロードによる削除対象のIPsec SA以外の他のIPsec SAであって、削除対象のIPsec SAの確立に用いられたISAKMP SAにより確立されたIPsec SAがあるか否かを判断し、
前記削除手段は、前記ISAKMP SAにより確立された他のIPsec SAがないと前記判断手段が判断した場合、前記ISAKMP SAの識別子を前記管理手段から削除することを特徴とする、請求項1に記載の通信装置。 - 前記管理手段は、前記IPsec SAの有効期限を前記IPsec SAの識別子と対応付けてさらに記憶し、
前記判断手段は、前記管理手段に識別子が記憶されているIPsec SAについて、有効期限が過ぎたものがあるか否かをさらに監視し、有効期限が過ぎたIPsec SAがある場合はそのIPsec SAの確立に用いられたISAKMP SAにより確立された他のIPsec SAがあるか否かを判断し、
前記削除手段は、前記ISAKMP SAにより確立された他のIPsec SAがないと前記判断手段が判断した場合、前記ISAKMP SAの識別子を前記管理手段から削除することを特徴とする、請求項4に記載の通信装置。 - 前記管理手段は、前記ISAKMP SAの識別子に対応付けて前記ISAKMP SAの有効期限をさらに記憶し、
前記判断手段は、前記ISAKMP SAにより確立された他のIPsec SAがなく、かつ前記ISAKMP SAの有効期限が過ぎているか否かを判断し、
前記削除手段は、前記ISAKMP SAにより確立された他のIPsec SAがなく、かつ前記ISAKMP SAの有効期限が過ぎていると前記判断手段が判断した場合、前記ISAKMP SAの識別子を前記管理手段から削除することを特徴とする、請求項4または5に記載の通信装置。 - 前記判断手段は、前記削除対象のISAKMP SAとは別のISAKMP SAが前記相手通信装置との間に確立されているか否かを判断し、
前記判断手段の判断結果に応じ、新たなISAKMP SAを確立する再確立手段をさらに備えることを特徴とする、請求項4に記載の通信装置。 - 前記再確立手段は、前記送信手段が前記IPsec SAの削除ペイロードを送信するに先立ち、または前記送信手段による前記削除ペイロードの送信に応じ、前記ISAKMP SAとは別のISAKMP SAが前記相手通信装置との間に確立されているか否かを判断し、判断結果に応じ、新たなISAKMP SAを確立することを特徴とする、請求項7に記載の通信装置。
- IPsec(IPセキュリティプロトコル)及びIKE(Internet Key Exchange)に基づいてISAKMP SA(Internet Security Association and Key Management Protocol)及びIPsec SA(Security Association)を確立し、暗号通信を行う通信装置が実行する通信方法であって、
前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理ステップと、
前記管理ステップで識別子が記憶されているISAKMP SAの中から、前記相手通信装置との間で確立しているISAKMP SAであって、かつ前記管理ステップが記憶するIPsec SAの削除ペイロードの送信条件を満たす1または複数のISAKMP SAを特定する判断ステップと、
前記判断ステップで特定された1または複数のISAKMP SAを用い、前記IPsec SAの削除ペイロードを送信する送信ステップと、
前記削除ペイロードによる削除対象のIPsec SAの識別子を、前記管理ステップでの記憶対象から削除する削除ステップと、
を有することを特徴とする通信方法。 - IPsec(IPセキュリティプロトコル)及びIKE(Internet Key Exchange)に基づいてISAKMP SA(Internet Security Association and Key Management Protocol)及びIPsec SA(Security Association)を確立し、暗号通信を行うコンピュータが実行する通信プログラムであって、
前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理手段、
前記管理手段で識別子が記憶されているISAKMP SAの中から、前記相手通信装置との間で確立しているISAKMP SAであって、かつ前記管理手段が記憶するIPsec SAの削除ペイロードの送信条件を満たす1または複数のISAKMP SAを特定する判断手段、
前記判断手段が特定した1または複数のISAKMP SAを用い、前記IPsec SAの削除ペイロードを送信する送信手段、及び
前記削除ペイロードによる削除対象のIPsec SAの識別子を、前記管理手段から削除する削除手段、
として前記コンピュータを機能させることを特徴とする通信プログラム。 - IPsec(IPセキュリティプロトコル)及びIKE(Internet Key Exchange)に基づいてISAKMP SA(Internet Security Association and Key Management Protocol)及びIPsec SA(Security Association)を確立し、暗号通信を行う通信装置であって、
前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理手段と、
前記IPsec SAの削除ペイロードを、任意のISAKMP SAを用いて前記相手通信装置から受信する受信手段と、
前記IPsec SAの削除ペイロードの受信条件を、前記ISAKMP SAが満たすか否かを判断する判断手段と、
前記判断手段が前記受信条件を満たしていると判断した場合、前記IPsec SAの識別子を前記管理手段から削除する削除手段と、
を有することを特徴とする通信装置。 - 前記管理手段に記憶された相手通信装置の特性を識別する所定の情報と、IPsec SAの削除ペイロードの受信条件と、を対応付けて記憶する条件記憶手段をさらに有し、
前記管理手段は、前記相手通信装置の特性を識別する所定の情報を、前記相手通信装置の識別子と対応付けてさらに記憶し、
前記判断手段は、前記IPsec SAを確立している相手通信装置に対応する所定の情報に対応付けられた受信条件を前記条件記憶手段から読み出し、前記削除ペイロードの受信に用いられたISAKMP SAが、読み出した受信条件を満足するか否かを判断することを特徴とする、請求項11に記載の通信装置。 - 前記相手通信装置の特性を識別する所定の情報は、前記相手通信装置の製造者の識別子であり、
前記条件記憶手段は、前記製造者の識別子と製造者毎の受信条件とを対応付けて記憶し、
前記判断手段は、前記IPsec SAに対応する製造者の識別子に対応付けられた受信条件を前記条件記憶手段から読み出し、前記削除ペイロードの受信に用いられたISAKMP SAが、読み出した受信条件を満足するか否かを判断することを特徴とする、請求項11に記載の通信装置。 - 前記管理手段は、ISAKMP SAと、そのISAKMP SAにより確立されたIPsec SAとの対応付けをさらに記憶し、
前記判断手段は、前記削除ペイロードによる削除対象のIPsec SA以外の他のIPsec SAであって、削除対象のIPsec SAの確立に用いられたISAKMP SAにより確立されたIPsec SAがあるか否かを判断し、
前記削除手段は、前記ISAKMP SAにより確立された他のIPsec SAがないと前記判断手段が判断した場合、前記ISAKMP SAの識別子を前記管理手段から削除することを特徴とする、請求項11に記載の通信装置。 - 前記管理手段は、前記IPsec SAの有効期限を前記IPsec SAの識別子と対応付けてさらに記憶し、
前記判断手段は、前記管理手段に識別子が記憶されているIPsec SAについて、有効期限が過ぎたものがあるか否かをさらに監視し、有効期限が過ぎたIPsec SAがある場合はそのIPsec SAの確立に用いられたISAKMP SAにより確立された他のIPsec SAがあるか否かを判断し、
前記削除手段は、前記ISAKMP SAにより確立された他のIPsec SAがないと前記判断手段が判断した場合、前記ISAKMP SAの識別子を前記管理手段から削除することを特徴とする、請求項14に記載の通信装置。 - 前記管理手段は、前記ISAKMP SAの識別子に対応付けて前記ISAKMP SAの有効期限をさらに記憶し、
前記判断手段は、前記ISAKMP SAにより確立された他のIPsec SAがなく、かつ前記ISAKMP SAの有効期限が過ぎているか否かを判断し、
前記削除手段は、前記ISAKMP SAにより確立された他のIPsec SAがなく、かつ前記ISAKMP SAの有効期限が過ぎていると前記判断手段が判断した場合、前記ISAKMP SAの識別子を前記管理手段から削除することを特徴とする、請求項14または15に記載の通信装置。 - 前記判断手段は、前記削除対象のISAKMP SAとは別のISAKMP SAが前記相手通信装置との間に確立されているか否かを判断し、
前記判断手段の判断結果に応じ、新たなISAKMP SAを確立する再確立手段をさらに備えることを特徴とする、請求項14に記載の通信装置。 - 前記再確立手段は、前記受信手段による前記IPsec SAの削除ペイロードの受信に応じ、前記ISAKMP SAとは別のISAKMP SAが前記相手通信装置との間に確立されているか否かを判断し、判断結果に応じ、新たなISAKMP SAを確立することを特徴とする、請求項17に記載の通信装置。
- IPsec(IPセキュリティプロトコル)及びIKE(Internet Key Exchange)に基づいてISAKMP SA(Internet Security Association and Key Management Protocol)及びIPsec SA(Security Association)を確立し、暗号通信を行う通信装置が実行する通信方法であって、
前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理ステップと、
前記IPsec SAの削除ペイロードを、任意のISAKMP SAを用いて前記相手通信装置から受信する受信ステップと、
前記IPsec SAの削除ペイロードの受信条件を、前記ISAKMP SAが満たすか否かを判断する判断ステップと、
前記判断ステップで前記受信条件を満たしていると判断した場合、前記IPsec SAの識別子を前記管理ステップでの記憶対象から削除する削除ステップと、
を有することを特徴とする通信方法。 - IPsec(IPセキュリティプロトコル)及びIKE(Internet Key Exchange)に基づいてISAKMP SA(Internet Security Association and Key Management Protocol)及びIPsec SA(Security Association)を確立し、暗号通信を行うコンピュータが実行する通信プログラムであって、
前記暗号通信の相手である相手通信装置の識別子と、その相手通信装置との間で確立しているIPsec SAの識別子と、その相手通信装置との間で確立しているISAKMP SAの識別子と、を記憶する管理手段、
前記IPsec SAの削除ペイロードを、任意のISAKMP SAを用いて前記相手通信装置から受信する受信手段、
前記IPsec SAの削除ペイロードの受信条件を、前記ISAKMP SAが満たすか否かを判断する判断手段、及び
前記判断手段が前記受信条件を満たしていると判断した場合、前記IPsec SAの識別子を前記管理手段から削除する削除手段、
として前記コンピュータを機能させることを特徴とする通信プログラム。 - IPsec(IPセキュリティプロトコル)及びIKE(Internet Key Exchange)に基づいてISAKMP SA(Internet Security Association and Key Management Protocol)及びIPsec SA(Security Association)を確立し、暗号通信を行う第1通信装置及び第2通信装置を含む通信システムであって、
前記第1通信装置は、
前記暗号通信の相手である前記第2通信装置の識別子と、前記第2通信装置との間で確立しているIPsec SAの識別子と、前記第2通信装置との間で確立しているISAKMP SAの識別子と、を記憶する第1管理手段と、
前記第1管理手段で識別子が記憶されているISAKMP SAの中から、前記第2通信装置との間で確立しているISAKMP SAであって、かつ前記第1管理手段が記憶するIPsec SAの削除ペイロードの送信条件を満たす1または複数のISAKMP SAを特定する第1判断手段と、
前記第1判断手段が特定した1または複数のISAKMP SAを用い、前記IPsec SAの削除ペイロードを送信する送信手段と、
前記削除ペイロードによる削除対象のIPsec SAの識別子を、前記第1管理手段から削除する第1削除手段と、を有し、
前記第2通信装置は、
前記暗号通信の相手である前記第1通信装置の識別子と、前記第1通信装置との間で確立しているIPsec SAの識別子と、前記第1通信装置との間で確立しているISAKMP SAの識別子と、を記憶する第2管理手段と、
前記IPsec SAの削除ペイロードを、任意のISAKMP SAを用いて前記第1通信装置から受信する受信手段と、
前記IPsec SAの削除ペイロードの受信条件を、前記ISAKMP SAが満たすか否かを判断する第2判断手段と、
前記第2判断手段が前記受信条件を満たしていると判断した場合、前記IPsec SAの識別子を前記第2管理手段から削除する第2削除手段と、
を有することを特徴とする通信システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005027242A JP4721715B2 (ja) | 2004-02-06 | 2005-02-03 | 通信装置及び通信プログラム |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004030320 | 2004-02-06 | ||
JP2004030320 | 2004-02-06 | ||
JP2005027242A JP4721715B2 (ja) | 2004-02-06 | 2005-02-03 | 通信装置及び通信プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005253061A JP2005253061A (ja) | 2005-09-15 |
JP4721715B2 true JP4721715B2 (ja) | 2011-07-13 |
Family
ID=35033060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005027242A Expired - Fee Related JP4721715B2 (ja) | 2004-02-06 | 2005-02-03 | 通信装置及び通信プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4721715B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4788264B2 (ja) * | 2005-09-27 | 2011-10-05 | 横河電機株式会社 | 暗号化通信方法および通信装置 |
JP4805185B2 (ja) * | 2007-02-15 | 2011-11-02 | 日本電信電話株式会社 | ゲートウェイ装置およびセッション管理方法 |
JP2012175121A (ja) * | 2011-02-17 | 2012-09-10 | Seiko Epson Corp | 印刷装置及び印刷装置のsa確立方法 |
JP5464232B2 (ja) * | 2012-05-23 | 2014-04-09 | 沖電気工業株式会社 | セキュア通信システム及び通信装置 |
WO2020098676A1 (en) * | 2018-11-15 | 2020-05-22 | Huawei Technologies Co., Ltd. | Rekeying a security association sa |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002305533A (ja) * | 2000-12-25 | 2002-10-18 | Matsushita Electric Ind Co Ltd | データベース管理装置、管理方法及びその記録媒体 |
JP2002344443A (ja) * | 2001-05-15 | 2002-11-29 | Mitsubishi Electric Corp | 通信システムおよびセキュリティアソシエーション切断/継続方法 |
JP3596489B2 (ja) * | 2001-07-11 | 2004-12-02 | 日本電気株式会社 | Vpnシステムおよびvpn装置およびプログラム |
JP2003338850A (ja) * | 2002-04-03 | 2003-11-28 | Docomo Communications Laboratories Usa Inc | MobileIPネットワークに適合したセキュリティアソシエーション管理サーバ |
-
2005
- 2005-02-03 JP JP2005027242A patent/JP4721715B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005253061A (ja) | 2005-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7558956B2 (en) | Communications device and communications program | |
US11038846B2 (en) | Internet protocol security tunnel maintenance method, apparatus, and system | |
JP4163215B2 (ja) | 私設ネットワークとローミング移動端末との間の通信 | |
JP4674502B2 (ja) | 情報通信システム、情報通信装置及び情報通信方法、並びにコンピュータ・プログラム | |
JP4770227B2 (ja) | Sipメッセージの暗号化方法,および暗号化sip通信システム | |
JP3629237B2 (ja) | ノード装置及び通信制御方法 | |
JP4016998B2 (ja) | 通信装置およびプログラム | |
US8364948B2 (en) | System and method for supporting secured communication by an aliased cluster | |
JP2013201537A (ja) | 鍵生成装置および鍵生成方法 | |
JP2012518302A (ja) | 非暗号化ネットワーク動作解決策 | |
JP2009021855A (ja) | 中継装置、通信方法及び通信プログラム | |
JP4721715B2 (ja) | 通信装置及び通信プログラム | |
CN113726795B (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
JP2006352500A (ja) | 自動鍵交換処理装置および自動鍵交換処理方法 | |
JP2002217896A (ja) | 暗号通信方法およびゲートウエイ装置 | |
JP4215010B2 (ja) | 可変ipアドレス環境下におけるセキュリティアソシエーション継続方法および端末装置 | |
JP2006019975A (ja) | 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム | |
CN115567205A (zh) | 采用量子密钥分发实现网络会话数据流加解密方法及系统 | |
US7756061B2 (en) | Mobile router device and home agent device | |
JP2011176395A (ja) | IPsec通信方法およびIPsec通信システム | |
JP2006185194A (ja) | サーバ装置、通信制御方法及びプログラム | |
JP2009055418A (ja) | 通信システム、中継装置、端末、及び中継処理方法並びにそのプログラム | |
US7207063B1 (en) | Method and apparatus for determining secure endpoints of tunnels in a network that uses internet security protocol | |
JP2002344443A (ja) | 通信システムおよびセキュリティアソシエーション切断/継続方法 | |
JP2006019824A (ja) | セキュア通信システム、管理装置および通信端末 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071227 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110315 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110405 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140415 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4721715 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |