JP6228370B2 - 通信装置、通信方法、及びプログラム - Google Patents

通信装置、通信方法、及びプログラム Download PDF

Info

Publication number
JP6228370B2
JP6228370B2 JP2013040032A JP2013040032A JP6228370B2 JP 6228370 B2 JP6228370 B2 JP 6228370B2 JP 2013040032 A JP2013040032 A JP 2013040032A JP 2013040032 A JP2013040032 A JP 2013040032A JP 6228370 B2 JP6228370 B2 JP 6228370B2
Authority
JP
Japan
Prior art keywords
communication
ipsec
packet
ike
started
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013040032A
Other languages
English (en)
Other versions
JP2014168204A5 (ja
JP2014168204A (ja
Inventor
暁央 木下
暁央 木下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2013040032A priority Critical patent/JP6228370B2/ja
Publication of JP2014168204A publication Critical patent/JP2014168204A/ja
Publication of JP2014168204A5 publication Critical patent/JP2014168204A5/ja
Application granted granted Critical
Publication of JP6228370B2 publication Critical patent/JP6228370B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明はセキュリティを確保した通信のための技術に関する。
近年、ネットワーク上におけるセキュリティの重要性が高まってきており、特に、暗号化通信によるセキュリティの確保の重要性が高まってきている。現在、セキュリティプロトコルとして幾つかのプロトコルが存在し、IPsec(Security Architecture for Internet Protocol)がその中に含まれる。IPsecは、AH(Authentication Header)プロトコルとESP(Encapsulating Security Payload)プロトコルとを含む。AHプロトコルは、送信元の認証とデータの完全性保証を提供する機能であり、ESPプロトコルはIPパケットの機密性の確保と安全性保証と送信元の認証を提供する機能である。IPsecは、IPレベル(OSI参照モデルではネットワーク層)で実現されるセキュリティプロトコルであるため、IPパケット単位でAH及びESPのIPsec処理が行われる。
なお、IPsecの処理では、通信装置は、AHやESPで使用するアルゴリズム、鍵等のパラメータを持つIPsec SA(Security Association)を使用する(非特許文献1参照)。また、通信装置は、IPsecにおいて、鍵管理プロトコルであるIKEを利用した相手方装置との鍵交換により、IPsec SAを確立する(非特許文献2参照)。
通信装置は、IPsecによるIPパケットの送信を開始する際にIPsec SAが確立されていない場合は、IKE(Internet Key Exchange)を用いてIPsec SAを構築する。このとき、通信装置は、自らがIKE要求を相手方装置へ発行することとなるため、イニシエータ(Initiator)として相手方装置との間でIPsec SAを確立する。なお、通信装置は、IPsec SAを確立するまでは、IPsecの処理を行うことはできない。ここで、IPsecの処理を行うことができない場合のIPパケットの処理方式には、IPsec SAが確立されるまでの期間において、IPパケットを破棄する方式とIPパケットをキューに格納する方式(特許文献1参照)とがある。
特開2009−60245号公報
IPsec(RFC2401、RFC2402、RFC2406) IKE(RFC2408、RFC2409)
しかしながら、IPパケットを破棄する方式は、IPsec SAが確立されるまでの期間、パケットロスの状態になるため、再送の発生による通信の遅延や通信データの欠落が発生するという課題があった。
一方、IPパケットをキューに格納する方式は、IPsec機能がIKE機能へIPsec SA確立要求行い、IKE機能がその要求に応じてイニシエータとしてIKE処理を行い、IPsec SAを確立する。IPsec機能はIKE機能からのIPsec SA確立通知を受け取った後、確立したIPsec SAに対応するIPパケットをキューから取り出してIPsec処理を行った上でIPパケットの送信を行う。したがって、IPsec SAの確立後、キューから確立したIPsec SAに対応するIPパケットを探索するための、一定の処理量及び処理時間が要求されるという課題があった。
また、相手方装置がイニシエータとして、そして通信装置がレスポンダ(Responder)として実行されるIKE処理と、その逆の役割によるIKE処理とが同時に実行される場合がある。ここで、通信装置では、イニシエータとして実行したIKE処理が失敗すると、IPsec機能がIPsec SA確立失敗通知を受け取り、キューに格納したIPパケットが削除される。このため、通信装置がレスポンダとして実行したIKE処理が成功し、レスポンダによって使用できるIPsec SAが確立している場合であっても、IPパケットが削除され、送信されなくなってしまう、という課題があった。
本発明は上記課題に鑑みなされたものであり、上述の課題の少なくとも1つを解消することを目的とする。
上記目的を達成するため、本発明による通信装置は、通信セッションが確立されている相手装置に対して送信する送信データを生成する生成手段と、前記相手装置との前記通信セッションにおいてIPSec(Security Architecture for Internet Protocol)を利用した通信をするための設定がなされていない状態において、前記生成手段により前記送信データが生成された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第1の処理が前記相手装置により開始されているかを判定する判定手段と、前記判定手段により、前記第1の処理が開始されていないと判定された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第2の処理を開始する開始手段と、前記判定手段により、前記第1の処理が開始されていると判定された場合、当該第1の処理により前記設定がなされたことに応じて、前記第1の処理により設定されたIPSecを利用して、前記送信データを送信し、前記判定手段により、前記第1の処理が開始されていないと判定された場合、前記第2の処理により前記設定がなされたことに応じて、前記第2の処理により設定されたIPSecを利用して、前記送信データを送信する送信手段と、を有する。
本発明によれば、低処理量で、破棄されるパケットの量を低減することができる。
通信装置の機能構成例を示すブロック図。 IPsec処理部がIKE処理部に対して行うSA確立要求の処理を示すフローチャート。 IKE処理部のPhase1セッションの処理を示すフローチャート。 IKE処理部のPhase2セッションの処理を示すフローチャート。 イニシエータ及びレスポンダとしての同時鍵交換時にイニシエータが失敗し、レスポンダが成功した際の処理を示すフローチャート。
以下、本発明の実施の形態について図面に基づき説明する。
<<実施形態1>>
本実施形態では、IPsec通信時に通信セッションについてSAが確立されていない場合、IKEによりSAが確立されるまでその通信セッションと関連付けてIPパケットを保持し、SA確立後にIKEが代理送信を行う。図1は、本実施形態に係る通信装置の機能構成例を示すブロック図である。
図1において、通信装置は、プロトコル処理部101、IPsec処理機能部102、IKE処理機能部103、及びネットワークインタフェース部104を有する。なお、IPsec処理機能部102は、例えば、SP管理部201、SA管理部202、及びIPsec処理部203を有する。なお、SPは、Security Policyの略である。また、IKE処理機能部103は、例えば、IKE Policy管理部301、Phase1(ISAKMP SA)管理部302、Phase2管理部303、及びIKE処理部304を有する。
プロトコル処理部101は、OSI参照モデルにおけるネットワーク層以上の上位層の処理を行う機能部であり、ネットワークを介して通信をするための処理を行う。プロトコル処理部101は、ネットワークインタフェース部104へIPパケットを渡す。
IPsec処理機能部102は、プロトコル処理部101から受け取ったIPパケットに対してIPsecの適用処理を行い、IPsec適用後のIPパケットをプロトコル処理部101に渡す。
IKE処理機能部103は、IPsec処理機能部102からの要求、又は通信の相手方装置からの要求により、通信相手とSA確立のための鍵交換処理を行う。そして、IKE処理機能部103は、プロトコル処理部101に対して、鍵交換処理における信号の送信時にはISAKMPメッセージを渡し、信号の受信時にはISAKMPメッセージを受け取る。
ネットワークインタフェース部104は、OSI参照モデルにおけるデータリンク層と物理層の処理を行う機能部であり、IPパケットをネットワーク上へ送信する。
なお、以下に示す暗号化通信方式において用いられるIPパケットデータは、インターネット上で送受信される1単位のデータである。なお、以下では、IPパケットデータの組成手法については説明を省略するが、IPパケットデータは、一般的な手法を用いて組成することができる。
また、暗号化通信を始める前に必要となる鍵交換は、IKEまたはSSLといった方法を利用して行うものとし、詳細な説明を省略する。
次に、IPsec処理機能部102について説明する。SP管理部201は、実際にIPsecによるセキュリティ処理を適用するかどうかについての情報が登録されるSPD(Security Policy Database)を管理する。SA管理部202は、IPパケットに対して行うIPsec処理に関する情報(IPsec SA)が格納されるSAD(Security Association Database)を管理する。なお、SP管理部201とSA管理部202は、通常のIPsecを利用した暗号化通信において利用されるものと同様であるため、詳細な説明は省略する。
IPsec処理部203は、プロトコル処理部101から受け取ったIPパケットに対してIPsecを適用する。IPsec処理部203は、送信時の処理において、IPパケットに対してIPsecを適用するかどうかを判定する。このため、IPsec処理部203は、まず、IPパケットの送信元IPアドレス、宛先IPアドレス、プロトコル、ポート番号などの情報に基づき、SP管理部201で管理されているSPDからIPパケットに対応するSPを検索する。そして、IPパケットに対応するSPが「破棄」を示す場合には、IPsec処理部203はそのIPパケットを破棄する。また、IPパケットに対応するSPが「IPsecを適用しない」旨を示す場合は、IPsec処理部203は、IPsecを適用せずに、そのIPパケットをプロトコル処理部101に渡す。
一方、IPパケットに対応するSPが「IPsecを適用する」旨を示す場合は、IPsec処理部203は、SA管理部202で管理されているSADから、そのIPパケットに対応するSAを検索する。そして、そのIPパケットに対応するSAが確立されている場合は、IPsec処理部203は、SAに記載されているアルゴリズムや鍵を利用して、そのIPパケットに対する暗号化処理を実行する。そして、暗号化処理後のIPパケットはプロトコル処理部101に渡される。IPパケットに対応するSAが確立されていない場合は、IPsec処理部203は、そのIPパケットをIKE処理機能部103に渡し、SA確立要求を行う。
IPsec処理部203は、受信時の処理において、受信したIPパケットに対してIPsecが適用されているかどうかを判定する。そして、そのIPパケットにIPsecが適用されていない場合は、IPsec処理部203は、SP管理部201に管理されているSPDからSPを検索する。そして、受信したIPパケットに対応するSPが「破棄」を示す場合は、IPsec処理部203は、そのIPパケットを破棄する。また受信したIPパケットに対応するSPが「IPsecを適用する」旨を示す場合は、この受信したIPパケットにはIPsecが適用されていないため、IPsec処理部203はこのIPパケットを破棄する。また受信したIPパケットに対応するSPが「IPsecを適用しない」旨を示す場合は、IPsec処理部203は、受信したIPパケットと条件が一致するため、プロトコル処理部101にIPパケットを渡す。
受信したIPパケットに対してIPsecが適用されている場合、IPsec処理部203は、まず、SA管理部202に管理されているSADから、そのIPパケットに対応するSAを検索する。そして、IPsec処理部203は、SAに記載されているアルゴリズムや鍵を利用して、そのIPパケットに対して復号化処理を実行する。次に、IPsec処理部203は、復号化処理が行われた後に、SPDからそのIPパケットに対応するSPを検索する。そして、IPsec処理部203は、検索により得たSPの内容と、受信したIPパケットに適用されているセキュリティ処理とが一致しているかどうかを判定する。そして、IPsec処理部203は、これらが一致していない場合はそのIPパケットを破棄し、これらが一致している場合はプロトコル処理部101にそのIPパケットを渡す。
次に、IKE処理機能部103について図1に基づき説明する。IKE Policy管理部301は、IKEがPhase1セッションにおいて通信相手とISAKMP SAを確立するための情報が登録されるIKE Policyを管理する。
Phase1管理部302は、IKE Policy管理部301に格納されている情報により相手方装置とのネゴシエーションを行ったPhase1セッション中の情報を格納する。そして、Phase1管理部302は、Phase1セッション終了時に、Phase1セッション情報により確立されたISAKMP SAを格納する。
Phase2管理部303は、SP管理部201に格納されている情報を用いて相手方装置とネゴシエーションを行ったPhase2セッション中の情報を格納する。また、Phase2管理部303は、Phase2セッション情報においてSAが確立されていないことに起因してIPsec処理部203がIPsecを適用できなかったIPパケットを保持する。
IKE処理部304は、IPsec処理部203からのSA確立要求を受けると、イニシエータとしてIKE処理を実行する。IKE処理部304は、そのときに、SAが確立されていないため送信できなかったIPパケットをIPsec処理部203から受け取り、Phase2管理部303のPhase2セッション情報にそのIPパケットを登録する。また、IKE処理部304は、相手方装置からIKE要求を発行した鍵交換における、レスポンダとしてのIKE処理も実行する。
IKE処理では、IKE Policy管理部301に格納された情報によりPhase1セッションを行ってISAKMP SAが確立され、確立したISAKMP SAは、Phase1管理部302に格納される。Phase1セッション終了後、IKE処理では、ISAKMP SAを用いて暗号化したPhase2セッションによりSAが確立され、確立したSAはSA管理部202に格納される。IKE処理部304は、Phase2セッション情報にSAが確立されていないため送信できなかったIPパケットが登録されている場合は、SAのSA管理部202への格納後に、そのIPパケットの代理送信処理を実行する。なお、代理送信処理とは、IPsec処理機能部102(IPsec処理部203)に代わって、IKE処理機能部103(IKE処理部304)がプロトコル処理部101を介してIPパケットを送信する処理である。
次に、IPsec処理部203がIKE処理部304に対して行うSA確立要求の流れを、図2のフローチャートに基づいて説明する。IPsec処理部203は、まず、S401において、プロトコル処理部101から受け取ったIPパケットの情報に基づいて、SP管理部201に管理されているSPDから、そのIPパケットに対応するSPを検索する。ここで、IPパケットの情報は、例えば、IPパケットの送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先のポート番号の情報を含む。
続いて、IPsec処理部203は、S402において、SP管理部に管理されているSPDにおいて、IPパケットに対応するSPが存在するか否かを判定する。そしてSPが存在しない場合は、IPsec処理を適用する必要がないため、IPsec処理部203は、IPパケットをプロトコル処理部101に受け渡して処理を終了する。一方、SPが存在する場合は、IPsec処理部203は、処理をS403へ進め、IPパケットの情報に基づいて、SA管理部202に管理されているSADから、そのIPパケットに対応するSAを検索する。
そして、IPsec処理部203は、S404において、IPパケットに対応するSAが存在する場合は処理をS406へ進め、その対応するSAに基づいてそのIPパケットにIPsec処理を適用する。そして、IPsec処理の適用後のIPパケットは、プロトコル処理部101へ渡される。一方、IPsec処理部203は、IPパケットに対応するSAが存在しない場合は、処理をS405へ進め、そのIPパケットをIKE処理機能部103へ渡してSA確立要求を行う。なお、この場合のIPパケットは、SAが存在しないことによりIPsecを適用できなかったIPパケットである。
IPsec処理部203がIKE処理機能部103へSA確立要求を行うと、続いて、IKE処理部304がIKE処理のPhase1セッションを実行する。IKE処理部304において処理されるIKE処理のPhase1セッションの動作について、図3のフローチャートを用いて説明する。
IKE処理部304は、IPsec処理部203がSA確立要求を実行したことに応じて、IKE処理を開始する。まず、IKE処理部304は、S501において、IPsec処理部203から受け取ったIPパケットの情報に基づいて、そのIPパケットに対応するPhase2セッション情報がPhase2管理部303に存在するかを確認する。IKE処理部304は、IPパケットに対応するPhase2セッション情報が存在する場合は処理をS502へ進め、発見されたPhase2セッション情報にそのIPパケットを登録し、処理を終了する。IPパケットに対応するPhase2セッション情報が存在しない場合は、IKE処理部304は、処理をS503へ進める。
S503では、IKE処理部304は、IPsec処理部より受け取ったIPパケットの情報に基づいてPhase2セッション情報を生成して、生成したPhase2セッション情報にそのIPパケットを登録する。また、IKE処理部304は、Phase2管理部303にPhase2セッション情報の登録を行い、処理をS504へ進める。なお、ここでのIPパケットの情報は、例えば、送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先のポート番号の情報を含む。
IKE処理部304は、S504において、送信元と宛先IPアドレスの情報を基にIKE Policy管理部301からIPパケットに対応するIKE Policyを検索し、処理をS505へ進める。S505では、IKE処理部304は、IPパケットに対応するIKE Policyが存在するかどうかを判定し、そのようなIKE Policy存在しない場合は、処理をS507へ進める。この場合、IKE処理部304は、IKE Policyが存在しないため、Phase1セッションの開始ができない。このため、IKE処理部304は、S507において、生成したPhase2セッション情報と、受け取ったIPパケットとを削除し、処理を終了する。
一方、IPパケットに対応するIKE Policyが存在する場合は、IKE処理部304は、処理をS506へ進める。S506においては、IKE処理部304は、送信元と宛先のIPアドレスの情報に基づいて、Phase1セッション情報を生成してPhase1管理部302に登録し、Phase1セッションを実行する。そして、IKE処理部304は、S508において、Phase1セッションが正常に終了したかを確認し、正常に終了しなかった場合は、処理をS509へ進める。S509では、IKE処理部304は、生成したPhase1セッション情報を削除する。
一方、S509においては、送信元と宛先のIPアドレスが同一の、セッション中のPhase1セッション情報がPhase1管理部に存在する場合は、生成されたPhase2セッション情報とIPパケットは削除されない。同様に、送信元と宛先のIPアドレス、プロトコル番号、及び送信元と宛先のポート番号が同一の、セッション中のPhase2セッション情報がPhase2管理部に存在する場合、生成されたPhase2セッション情報とIPパケットは削除されない。すなわち、これらの場合は、生成されたPhase2セッション情報とIPパケットは削除されず、Phase2管理部に残される。セッション中のPhase1セッション情報又はPhase2セッション情報が存在しない場合は、IKE処理部304は、生成したPhase2セッション情報と受け取ったIPパケットとを削除し、処理を終了する。
一方、S508において、Phase1セッションが正常に終了すると、続いて、IKE処理部304は、IKE処理のPhase2セッションを実行する。続いて、IKE処理部304において処理されるIKE処理のPhase2セッションの動作について、図4のフローチャートを用いて説明する。
IKE処理部304は、Phase1セッションが成功したことに応じて、Phase2セッション処理を開始する。IKE処理部304は、まず、S601において、送信元と宛先のIPアドレスの情報に基づいて、Phase2管理部303からPhase2セッション情報を取得する。続いて、IKE処理部304は、S602において、送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先ポート番号の情報に基づいて、SP管理部201よりIPパケットに対応するSPを検索する。そして、IKE処理部304は、S603において、IPパケットに対応するSPが存在するかどうかを確認し、存在しない場合は処理をS605へ進め、Phase2セッション情報とIPパケットとを削除して処理を終了する。
一方、IPパケットに対応するSPが存在する場合は、IKE処理部304は、S604において、Phase2セッションを実行して、処理をS606へ進める。S606では、IKE処理部304は、Phase2セッションが成功したかを判定し、失敗した場合は処理をS607へ進め、成功した場合は処理をS608に進める。S607では、送信元と宛先のIPアドレスが同一の、セッション中のPhase1セッション情報がPhase1管理部に存在する場合は、生成されたPhase2セッション情報とIPパケットは削除されない。同様に、送信元と宛先のIPアドレス、プロトコル番号、及び送信元と宛先のポート番号が同一の、セッション中のPhase2セッション情報がPhase2管理部に存在する場合、生成されたPhase2セッション情報とIPパケットは削除されない。すなわち、これらの場合、生成されたPhase2セッション情報とIPパケットは削除されずにPhase2管理部に残される。一方、IKE処理部304は、セッション中のPhase1セッション情報又はPhase2セッション情報が存在しない場合は、生成したPhase2セッション情報と受け取ったIPパケットとを削除し、処理を終了する。
S608では、IKE処理部304は、Phase2セッションにより確立されたSAがSA管理部202に登録された後に、IPパケットを代理送信するため、プロトコル処理部101にIPパケットを渡す。S609では送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先ポート番号の情報に基づいて、同じ相手方装置についてのPhase2セッション情報がPhase2管理部303に存在しないかチェックする。そして、IKE処理部304は、同じ相手方装置についてのPhase2セッション情報が存在しない場合は処理を終了する。同じ相手方装置についてのPhase2セッション情報が存在し、IPパケットがPhase2セッション情報に登録されている場合は、IKE処理部304は、処理をS608へ戻し、IPパケットの代理送信を実行する。S608とS609は同じ通信相手のPhase2セッション情報が存在する場合は繰り返し行う。
以上のように、本実施形態においては、通信セッション単位でセキュリティ確保のための処理(SAの確立、及びそのためのIKE処理)を行う。そして、その処理が完了しておらず、セキュリティが確保されていないセッションにおいて送信すべき信号(IPパケット)が生じると、IPパケットはセッションに関連付けられて保持される(Phase1セッション情報、Phase2セッション情報)。そして、そのIPパケットに関連付けられたセッションについてのセキュリティ確保のための処理が完了した後に、そのIPパケットが送信される。これにより、あるセッションについてSAの確立が完了した時点において、そのセッションに対してIPパケットが対応付けられている状態となるため、キューからIPパケットを検索する処理が不要となる。また、IPパケットは、SAの確立まで保持されるため、破棄されることがなくなり、パケットロスの状態となることがなくなり、その結果、通信データの再送または欠落が生じなくなる。
<<実施形態2>>
本実施形態では、相手方装置との間で、イニシエータ及びレスポンダとして同時鍵交換が実行される際、Phase2セッションにおいてイニシエータとしての処理が失敗し、レスポンダとしての処理が成功した場合を検討する。この場合の、IKE処理部304によるIPパケットの代理送信処理について、図5のフローチャートを用いて以下説明する。
IKE処理部304は、まず、S701のIKE Policyに基づいてイニシエータ及びレスポンダとして、Phase1セッションを実行する。そして、IKE処理部304は、S702において、実行された鍵交換がイニシエータとして行われたものかレスポンダとして行われたものかをチェックし、イニシエータとして行われたものである場合は処理をS703へ進める。一方、実行された鍵交換がレスポンダとして行われたものである場合は、IKE処理部304は、処理をS704へ進める。S703では、IKE処理部304は、Phase2セッション情報を生成後、そのPhase2セッションに関連付けてIPパケットを登録し、処理をS704へ進める。
IKE処理部304は、Phase1セッションがS704において正常終了すると、S705において、IPsec SPに基づいてPhase2セッションを開始する。続いて、S706において、IKE処理部304は、レスポンダとしてのPhase2セッションが成功したか失敗したかを判定し、失敗した場合は処理を終了し、成功した場合は、処理をS707へ進める。S707では、IKE処理部304は、同時鍵交換で失敗したイニシエータとしてのPhase2セッションが存在するかどうかを判定し、存在しない場合は処理を終了し、存在する場合は処理をS708へ進める。S708では、IKE処理部304は、見つかった同時鍵交換で失敗したイニシエータとしてのPhase2セッション情報にIPパケットが登録されている場合、そのIPパケットの代理送信を行い、処理を終了する。
このように、本実施形態では、通信装置は、イニシエータとしてのIKE処理が失敗した場合であっても、レスポンダとしてのIKE処理が成功していれば、その成功したIKE処理によって交換した鍵を用いてセキュリティを確保することが可能となる。一方、通信装置は、イニシエータとしてIKE処理が成功していれば、IPsecによりセキュリティを確保して信号を送信することができる。このとき、レスポンダとしてIKE処理が失敗した場合でも、相手方装置が、その成功したIKE処理に基づくIPsecによりセキュリティを確保して信号を送信することができる。すなわち、IPパケットは、セッションに関連付けられて保持されるところ、そのセッションに関連付けられた複数のIKE処理のいずれかが成功さえすれば、IPsecによるセキュリティを確保した通信を行うことができる。この結果、1つのセッションに関連付けられた複数のIKE処理のうち、いずれかが成功すればよいため、IKE処理が失敗してパケットを破棄する確率を低減することができる。
なお、上述の2つの実施形態では、通信装置においてSAが確立されていない場合に送信すべきIPパケットが生じたことにより、イニシエータとしてIKE処理を実行する場合について説明したが、これに限られない。すなわち、SAが確立されていないセッションにおいて送信すべきIPパケットが生じたとしても、通信装置は、IKE処理を自らイニシエータとして開始する必要はない。例えば、送信すべきIPパケットの宛先である相手方装置が、既にイニシエータとしてIKE処理を実行している場合は、通信装置は、自らをレスポンダとしたIKE処理が完了するのを待ってもよい。そして、IPパケットは、進行中のIKE処理についてのセッションに関連付けられて保持され、IKE処理が完了した後に、IPsecによる暗号化を施された後に相手方装置へ送信されてもよい。すなわち、IPパケットは、通信装置が開始したIKE処理の完了後、又は相手方装置が開始したIKE処理の完了後のいずれかに送信されればよい。また、通信装置は、相手方装置がIKE処理を開始していない場合に限ってイニシエータとしてIKE処理を開始するようにしてもよいし、相手方装置がIKE処理を開始しているかによらず、自らをイニシエータとしたIKE処理を別途開始してもよい。
<<その他の実施形態>>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。

Claims (10)

  1. 通信セッションが確立されている相手装置に対して送信する送信データを生成する生成手段と、
    前記相手装置との前記通信セッションにおいてIPSec(Security Architecture for Internet Protocol)を利用した通信をするための設定がなされていない状態において、前記生成手段により前記送信データが生成された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第1の処理が前記相手装置により開始されているかを判定する判定手段と、
    前記判定手段により、前記第1の処理が開始されていないと判定された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第2の処理を開始する開始手段と、
    前記判定手段により、前記第1の処理が開始されていると判定された場合、当該第1の処理により前記設定がなされたことに応じて、前記第1の処理により設定されたIPSecを利用して、前記送信データを送信し、
    前記判定手段により、前記第1の処理が開始されていないと判定された場合、前記第2の処理により前記設定がなされたことに応じて、前記第2の処理により設定されたIPSecを利用して、前記送信データを送信する送信手段と、
    を有することを特徴とする通信装置。
  2. 前記生成手段により生成された前記送信データを前記通信セッションと対応付けて管理する管理手段をさらに有する、
    ことを特徴とする請求項1に記載の通信装置。
  3. 前記第1の処理は、前記相手装置が開始した鍵交換処理であり、
    前記第2の処理は、前記通信装置が開始した鍵交換処理である、
    ことを特徴とする請求項1または2に記載の通信装置。
  4. 前記第1の処理または前記第2の処理によって交換され、前記通信セッションにおいてIPSecを利用した通信をするために利用される暗号鍵を用いて、前記送信データを暗号化する暗号化手段をさらに有し、
    前記送信手段は、前記暗号化手段により暗号化された前記送信データを送信する、
    ことを特徴とする請求項1から3のいずれか1項に記載の通信装置。
  5. 前記第1の処理、および、前記第2の処理は、IKE(Internet Key Exchange)プロトコルに準拠した処理である、
    ことを特徴とする請求項1から4のいずれか1項に記載の通信装置。
  6. 前記判定手段により、前記第1の処理が開始されていると判定された場合、前記開始手段は、前記第2の処理を開始しない、
    ことを特徴とする請求項1から5のいずれか1項に記載の通信装置。
  7. 前記判定手段により、前記第1の処理が開始されていると判定された場合において、前記第1の処理による前記通信セッションにおいてIPSecを利用した通信をするための設定処理が失敗した場合、前記送信データを破棄する第1の破棄手段をさらに有する、
    ことを特徴とする請求項1から6のいずれか1項に記載の通信装置。
  8. 前記判定手段により、前記第1の処理が開始されていないと判定された場合において、前記第2の処理による通信セッションにおいてIPSecを利用した通信をするための設定処理が失敗した場合、前記送信データを破棄する第2の破棄手段をさらに有する、
    ことを特徴とする請求項1から7のいずれか1項に記載の通信装置。
  9. 通信セッションが確立されている相手装置に対して送信する送信データを生成する生成工程と、
    前記相手装置との前記通信セッションにおいてIPSec(Security Architecture for Internet Protocol)を利用した通信をするための設定がなされていない状態において、前記送信データが生成された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第1の処理が前記相手装置により開始されているかを判定する判定工程と、
    前記第1の処理が開始されていないと判定された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第2の処理を開始する開始工程と、
    前記第1の処理が開始されていると判定された場合、当該第1の処理により前記設定がなされたことに応じて、前記第1の処理により設定されたIPSecを利用して、前記送信データを送信する第1の送信工程と、
    前記第1の処理が開始されていないと判定された場合、前記第2の処理により前記設定がなされたことに応じて、前記第2の処理により設定されたIPSecを利用して、前記送信データを送信する第2の送信工程と、
    を有することを特徴とする通信方法。
  10. コンピュータを請求項1から8のいずれか1項に記載の通信装置として動作させるためのプログラム。
JP2013040032A 2013-02-28 2013-02-28 通信装置、通信方法、及びプログラム Active JP6228370B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013040032A JP6228370B2 (ja) 2013-02-28 2013-02-28 通信装置、通信方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013040032A JP6228370B2 (ja) 2013-02-28 2013-02-28 通信装置、通信方法、及びプログラム

Publications (3)

Publication Number Publication Date
JP2014168204A JP2014168204A (ja) 2014-09-11
JP2014168204A5 JP2014168204A5 (ja) 2016-03-24
JP6228370B2 true JP6228370B2 (ja) 2017-11-08

Family

ID=51617675

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013040032A Active JP6228370B2 (ja) 2013-02-28 2013-02-28 通信装置、通信方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP6228370B2 (ja)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07288870A (ja) * 1994-04-15 1995-10-31 Kyocera Corp 携帯電話機の制御方式
JP2005354556A (ja) * 2004-06-14 2005-12-22 Matsushita Electric Ind Co Ltd 鍵交換装置、鍵交換システム、鍵交換方法、および暗号通信システム
JP2009060245A (ja) * 2007-08-30 2009-03-19 Seiko Epson Corp 通信制御方法、プログラム及び通信装置
JP2009081779A (ja) * 2007-09-27 2009-04-16 Oki Semiconductor Co Ltd 通信路確立方法および方式
JP4405569B1 (ja) * 2008-07-23 2010-01-27 株式会社東芝 電子機器および通信制御方法
JP5609202B2 (ja) * 2010-03-26 2014-10-22 カシオ計算機株式会社 端末装置及びプログラム

Also Published As

Publication number Publication date
JP2014168204A (ja) 2014-09-11

Similar Documents

Publication Publication Date Title
EP3866434B1 (en) Message sending method and network device
Jokela et al. Using the encapsulating security payload (ESP) transport format with the host identity protocol (HIP)
JP7408766B2 (ja) セキュリティアソシエーションsaの鍵再生成
CN107534665B (zh) 利用ssl会话票证扩展的可扩缩中间网络设备
US9197616B2 (en) Out-of-band session key information exchange
CN109936529B (zh) 一种安全通信的方法、装置和系统
US12316619B2 (en) Methods and systems for internet key exchange re-authentication optimization
JP3629237B2 (ja) ノード装置及び通信制御方法
US9350711B2 (en) Data transmission method, system, and apparatus
US8782772B2 (en) Multi-session secure tunnel
US20140095862A1 (en) Security association detection for internet protocol security
WO2010003335A1 (zh) IPv6网络中协商SA的方法、系统和设备
KR100948604B1 (ko) 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
WO2009117844A1 (en) Methods and entities using ipsec esp to support security functionality for udp-based oma enablers
CN114095195B (zh) 用于安全套接字层代理的自适应控制的方法、网络设备以及非瞬态计算机可读介质
CN103053143A (zh) 用于通过ip网络的安全通信的方法和装置
US9467471B2 (en) Encrypted communication apparatus and control method therefor
CN109040059B (zh) 受保护的tcp通信方法、通信装置及存储介质
CN110752921A (zh) 一种通信链路安全加固方法
JP2006352500A (ja) 自動鍵交換処理装置および自動鍵交換処理方法
JP6228370B2 (ja) 通信装置、通信方法、及びプログラム
CN114039812B (zh) 数据传输通道建立方法、装置、计算机设备和存储介质
CN118511480A (zh) 用于促进ike通信的通信设备和其中的方法
JP2009060245A (ja) 通信制御方法、プログラム及び通信装置
JP2008199420A (ja) ゲートウェイ装置および認証処理方法

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160203

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160203

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170324

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170518

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170915

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171013

R151 Written notification of patent or utility model registration

Ref document number: 6228370

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151