JP7188855B2 - セキュリティアソシエーションsaのキー変更の方法、ネットワークデバイス、および、ネットワークシステム - Google Patents
セキュリティアソシエーションsaのキー変更の方法、ネットワークデバイス、および、ネットワークシステム Download PDFInfo
- Publication number
- JP7188855B2 JP7188855B2 JP2021525833A JP2021525833A JP7188855B2 JP 7188855 B2 JP7188855 B2 JP 7188855B2 JP 2021525833 A JP2021525833 A JP 2021525833A JP 2021525833 A JP2021525833 A JP 2021525833A JP 7188855 B2 JP7188855 B2 JP 7188855B2
- Authority
- JP
- Japan
- Prior art keywords
- network device
- flow information
- change
- payload
- rekey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本願は、2018年11月15日出願の「Rekeying A Security Association SA」と題するインド特許出願第IN201831042955号の優先権を主張し、これは、その全体が参照により本明細書に組み込まれる。
新しいIKE SA、すなわちキー変更されたIKE SAは、IKE SAのすべての子SAを継承し、これは、キー変更が成功した後に古いIKE SAとリンクされた既存の子SAが新しいIKE SAに移動されることを意味する。
第2のシナリオは、レスポンダが暗号スイートを変更する場合である。この場合、レスポンダは、キー変更応答において変更された暗号スイートを保持するSAペイロードを保持し得る。第3のシナリオは、キー変更要求に保持される暗号スイートが、レスポンダによってサポートされる暗号スイートと一致しない場合である。この場合、レスポンダは、イニシエータにより送信されたキー変更要求に保持される暗号スイート内に一致する暗号スイートが存在しないことを示す通知ペイロードを保持する。その後、2つのエンドは、暗号スイートについての合意が達成されるまで、暗号スイートを再ネゴシエーションする。暗号スイートの詳細なネゴシエーションについては、図9に対応する詳細な説明を参照し得る。
Claims (37)
- 第1のネットワークデバイスおよび第2のネットワークデバイスを含むネットワークシステムに適用される、セキュリティアソシエーション(SA)をキー変更するための方法であって、前記第1のネットワークデバイスと前記第2のネットワークデバイスとの間にインターネットキー交換(IKE)トンネルおよびインターネットプロトコルセキュリティ(IPSec)トンネルが確立され、前記方法は、
前記第1のネットワークデバイスが、SAをキー変更するために前記第2のネットワークデバイスに第1のキー変更要求を送信する段階であって、前記第1のキー変更要求が、第1のセキュリティパラメータインデックス(SPI)、および前記第1のネットワークデバイスに関連付けられる暗号スイートを保持する、送信する段階と、
を備え、前記方法は更に、
前記第2のネットワークデバイスに関連付けられる暗号スイートに変更がない場合、
前記第1のネットワークデバイスが前記第2のネットワークデバイスから第1のキー変更応答を受信する段階であって、前記第1のキー変更応答は、第2のSPIを保持し、前記第2のネットワークデバイスに関連付けられる暗号スイートを保持しない、受信する段階と、
前記第1のネットワークデバイスが前記第1のSPIおよび前記第2のSPIに応じて前記SAをキー変更する段階と、を備え、
前記第2のネットワークデバイスに関連付けられる暗号スイートに変更がある場合、
前記第1のネットワークデバイスが前記第2のネットワークデバイスから第1のキー変更応答を受信する段階であって、前記第1のキー変更応答が、変更された暗号スイートを保持する、受信する段階、を備える、
方法。 - 前記第1のキー変更要求に保持される前記第1のネットワークデバイスに関連付けられる前記暗号スイート内に一致する暗号スイートが存在しない場合に、前記第1のキー変更応答が、前記第2のネットワークデバイスからの提案未選択通知を保持するとき、前記方法が、
ネゴシエーションされた暗号スイートが取得されるまで前記第1のネットワークデバイスが前記第2のネットワークデバイスと再ネゴシエーションする段階をさらに含み、
前記第1のネットワークデバイスが前記SAをキー変更する前記段階は、前記ネゴシエーションされた暗号スイートにさらに応じたものである、
請求項1に記載の方法。 - ネゴシエーションされた暗号スイートが取得されるまで前記第2のネットワークデバイスと再ネゴシエーションする前記段階は、
前記第1のネットワークデバイスが、前記第1のネットワークデバイスに関連付けられる更新された暗号スイートを前記第2のネットワークデバイスに送信して、前記ネゴシエーションされた暗号スイートが取得されるまで前記第2のネットワークデバイスとネゴシエーションすることを含む、
請求項1に記載の方法。 - 前記提案未選択通知が、NO_PROPOSAL_CHOSEN通知ペイロードである、
請求項2に記載の方法。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がある場合に前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードをさらに保持し、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられるフロー情報に変更がない場合には前記第2のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持せず、前記第2のネットワークデバイスに関連付けられる現在使用中のフロー情報は、前記第1のキー変更要求に保持される前記第1のネットワークデバイスに関連付けられる前記フロー情報内に存在し、
前記第1のネットワークデバイスが前記SAをキー変更する前記段階は、前記第2のネットワークデバイスに関連付けられる前記現在使用中のフロー情報にさらに応じたものである、
請求項2または3に記載の方法。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がある場合に前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードをさらに保持し、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられる前記フロー情報に変更がある場合に前記第2のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持し、前記第2のネットワークデバイスは、前記第2のネットワークデバイスに関連付けられる前記フロー情報として前記第1のキー変更要求に保持される前記第1のネットワークデバイスに関連付けられるフロー情報内のフロー情報を選択し、
前記第1のネットワークデバイスが前記SAをキー変更する前記段階は、選択された前記フロー情報にさらに応じたものである、
請求項2または3に記載の方法。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がある場合に前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードをさらに保持し、前記第1のキー変更応答は、前記第1のキー変更要求に保持される前記第1のネットワークデバイスに関連付けられる前記フロー情報内に一致するフロー情報が存在しないことを示すためにTS許容不可能通知を保持し、
前記方法はさらに、
ネゴシエーションされたフロー情報が取得されるまで前記第1のネットワークデバイスが前記第2のネットワークデバイスと再ネゴシエーションする段階を含み、
前記第1のネットワークデバイスが前記SAをキー変更する前記段階が、前記ネゴシエーションされたフロー情報にさらに応じたものである、
請求項2または3に記載の方法。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がない場合には前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持せず、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられるフロー情報に変更がない場合には前記第2のネットワークデバイスに関連付けられるTSペイロードを保持せず、
前記第1のネットワークデバイスが前記SAをキー変更する前記段階は、前記SAに関連付けられるフロー情報の変更を伴わない、
請求項2または3に記載の方法。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がない場合には前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持せず、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられるフロー情報に変更がある場合にTS許容不可能通知を保持し、
前記方法はさらに、
ネゴシエーションされたフロー情報が取得されるまで前記第1のネットワークデバイスが前記第2のネットワークデバイスと再ネゴシエーションする段階を含み、
前記第1のネットワークデバイスが前記SAをキー変更する前記段階が、前記ネゴシエーションされたフロー情報にさらに応じたものである、
請求項2または3に記載の方法。 - 前記第1のキー変更要求が、子SAをキー変更するためのCREATE_CHILD_SA要求であり、前記CREATE_CHILD_SA要求が、前記第1のSPIを保持するNEW_SPI通知ペイロードを保持するか、または前記第1のSPIを保持する軽量SAペイロードを保持し、前記CREATE_CHILD_SA要求が、前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持し、
前記第1のキー変更応答が、前記IKE SAをキー変更するためのCREATE_CHILD_SA応答であり、前記CREATE_CHILD_SA応答が、前記第2のSPIを保持するNEW_SPI通知ペイロードを保持するか、または前記第2のSPIを保持する別の軽量SAペイロードを保持し、前記CREATE_CHILD_SA応答が、前記第2のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持しない、
請求項7に記載の方法。 - 前記SAをキー変更するために前記第1のキー変更要求を前記第2のネットワークデバイスに送信する前記段階の前に、前記方法はさらに、
前記第1のネットワークデバイスが軽量キー変更をサポートすることを示す軽量キー変更サポート通知を前記第1のネットワークデバイスが前記第2のネットワークデバイスに送信する段階と、
前記第1のネットワークデバイスが、前記第2のネットワークデバイスもペイロード軽量キー変更をサポートすることを示す別の軽量キー変更サポート通知を保持する応答を受信する段階と、を含む、
請求項1から10のいずれか一項に記載の方法。 - 前記軽量キー変更サポート通知が、IKE_SA_INIT要求メッセージ内の通知ペイロードに保持され、前記別の軽量キー変更サポート通知が、IKE_SA_INIT応答メッセージまたはIKE_SA_AUTH応答メッセージ内の通知ペイロードに保持されるか、または
前記軽量キー変更サポート通知が、IKE_SA_AUTH要求メッセージ内の通知ペイロードに保持され、前記別の軽量キー変更サポート通知が、IKE_SA_AUTH応答メッセージ内の通知ペイロードに保持される、
請求項11に記載の方法。 - 前記通知ペイロードのタイプが、IKEV2_REKEY_OPTIONAL_PAYLOAD_SUPPORTEDである、請求項12に記載の方法。
- 第1のネットワークデバイスおよび第2のネットワークデバイスを含むネットワークシステムに適用される、セキュリティアソシエーション(SA)をキー変更するための方法であって、前記第1のネットワークデバイスと前記第2のネットワークデバイスとの間にインターネットキー交換(IKE)トンネルおよびインターネットプロトコルセキュリティ(IPSec)トンネルが確立され、前記方法は、
前記第2のネットワークデバイスが、SAをキー変更するために前記第1のネットワークデバイスから第1のキー変更要求を受信する段階であって、前記第1のキー変更要求が、第1のセキュリティパラメータインデックス(SPI)および前記第1のネットワークデバイスに関連付けられる暗号スイートを保持する、受信する段階と、
前記第2のネットワークデバイスが、前記第2のネットワークデバイスに関連付けられる暗号スイートに変更があるかどうかを決定する段階と、
を備え、前記方法は更に、
前記第2のネットワークデバイスに関連付けられる暗号スイートに変更がない場合に、
前記第2のネットワークデバイスが、前記第1のネットワークデバイスに第1のキー変更応答を送信する段階であって、前記第1のキー変更応答が、第2のSPIを保持し、前記第2のネットワークデバイスに関連付けられる暗号スイートを保持しない、送信する段階と、
前記第1のSPIおよび前記第2のSPIに応じて前記SAをキー変更する段階と
を備え、
前記第2のネットワークデバイスに関連付けられる暗号スイートに変更がある場合に、前記第2のネットワークデバイスが、前記第1のネットワークデバイスに第1のキー変更応答を送信する段階であって、前記第1のキー変更応答が、変更された暗号スイートを保持する、送信する段階、を備える、
方法。 - 前記第1のキー変更応答が、前記第1のキー変更要求に保持される前記第1のネットワークデバイスに関連付けられる前記暗号スイート内に一致する暗号スイートが存在しないことを示す提案未選択通知を保持し、
前記方法はさらに、
ネゴシエーションされた暗号スイートが取得されるまで前記第2のネットワークデバイスが前記第1のネットワークデバイスと再ネゴシエーションする段階を含み、
前記SAが、前記ネゴシエーションされた暗号スイートにさらに応じてキー変更される、
請求項14に記載の方法。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がある場合に前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードをさらに保持し、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられるフロー情報に変更がない場合には前記第2のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持せず、前記第2のネットワークデバイスに関連付けられる現在使用中のフロー情報は、前記第1のネットワークデバイスに関連付けられる前記フロー情報内に存在し、
前記SAが、前記第2のネットワークデバイスに関連付けられる前記現在使用中のフロー情報にさらに応じてキー変更される、
請求項14に記載の方法。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がある場合に前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードをさらに保持し、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられる前記フロー情報に変更がある場合に前記第2のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持し、前記第2のネットワークデバイスは、前記第2のネットワークデバイスに関連付けられる前記フロー情報として前記第1のキー変更要求に保持される前記第1のネットワークデバイスに関連付けられるフロー情報内のフロー情報を選択し、
前記SAは、選択された前記フロー情報にさらに応じてキー変更される、
請求項14に記載の方法。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がある場合に前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードをさらに保持し、前記第1のキー変更応答は、前記第1のキー変更要求に保持される前記第1のネットワークデバイスに関連付けられる前記フロー情報内に一致するフロー情報が存在しないことを示すためにTS許容不可能通知を保持し、
前記方法はさらに、
ネゴシエーションされたフロー情報が取得されるまで前記第2のネットワークデバイスが前記第1のネットワークデバイスと再ネゴシエーションする段階を含み、
前記SAが、前記ネゴシエーションされたフロー情報にさらに応じてキー変更される、
請求項14に記載の方法。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がない場合には前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持せず、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられるフロー情報に変更がない場合には前記第2のネットワークデバイスに関連付けられるTSペイロードを保持せず、
前記SAは、前記SAに関連付けられるフロー情報の変更を伴わずにキー変更される、
請求項14に記載の方法。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、フロー情報に変更がない場合には前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持せず、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられるフロー情報に変更がある場合にTS許容不可能通知を保持し、
前記方法はさらに、
ネゴシエーションされたフロー情報が取得されるまで前記第2のネットワークデバイスが前記第1のネットワークデバイスと再ネゴシエーションする段階を含み、
前記SAが、前記ネゴシエーションされたフロー情報にさらに応じてキー変更される、
請求項14に記載の方法。 - 前記TS許容不可能通知が、前記第1のキー変更応答に保持されるTS_UNACCEPTABLE通知ペイロードである、
請求項20に記載の方法。 - 前記SAがIKE SAであるとき、前記第1のキー変更要求は、前記IKE SAをキー変更するためのCREATE_CHILD_SA要求であり、前記CREATE_CHILD_SA要求は、前記第1のSPIと、前記第1のネットワークデバイスに関連付けられる前記暗号スイートとを保持するSAペイロードを保持し、前記第1のキー変更応答は、前記IKE SAをキー変更するためのCREATE_CHILD_SA応答であり、前記CREATE_CHILD_SA応答は、前記第2のSPIを保持するNEW_SPI通知ペイロードを保持するか、または前記第2のSPIを保持する軽量SAペイロードを保持し、
前記SAが、前記IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、子SAをキー変更するためのCREATE_CHILD_SA要求であり、前記CREATE_CHILD_SA要求は、前記第1のSPIと、前記第1のネットワークデバイスに関連付けられる前記暗号スイートとを保持するSAペイロードを保持し、前記第1のキー変更応答は、前記子SAをキー変更するためのCREATE_CHILD_SA応答であり、前記CREATE_CHILD_SA応答は、前記第2のSPIを保持するNEW_SPI通知ペイロードを保持するか、または前記第2のSPIを保持する軽量SAペイロードを保持する、
請求項14に記載の方法。 - 前記第1のネットワークデバイスから、前記SAをキー変更するための前記第1のキー変更要求を受信する前記段階の前に、前記方法がさらに、
前記第2のネットワークデバイスが、前記第1のネットワークデバイスがキー変更任意ペイロードをサポートすることを示す通知を前記第1のネットワークデバイスから受信する段階と、
前記第2のネットワークデバイスも前記キー変更任意ペイロードをサポートすることを示す応答を前記第2のネットワークデバイスが送信する段階とを含む、
請求項14から22のいずれか一項に記載の方法。 - 前記通知が、IKE_SA_INIT要求メッセージ内の通知ペイロードに保持され、前記応答を送信する前記段階が、IKE_SA_INIT応答メッセージもしくはIKE_SA_AUTH応答メッセージ内の通知ペイロードを使用することにより実行されるか、または
前記通知が、IKE_SA_AUTH要求メッセージ内の通知ペイロードに保持され、前記応答を送信する前記段階が、IKE_SA_AUTH応答メッセージ内の通知ペイロードを使用することにより実行される、
請求項23に記載の方法。 - 前記通知ペイロードのタイプが、IKEV2_REKEY_OPTIONAL_PAYLOAD_SUPPORTEDである、請求項24に記載の方法。
- 第1のネットワークデバイスおよび第2のネットワークデバイスを含むネットワークシステムにおいてセキュリティアソシエーション(SA)をキー変更するためのネットワークデバイスであって、前記第1のネットワークデバイスと前記第2のネットワークデバイスとの間にインターネットキー交換(IKE)およびインターネットプロトコルセキュリティ(IPSec)トンネルが確立され、前記ネットワークデバイスが、前記第1のネットワークデバイスとして構成され、
SAをキー変更するための第1のキー変更要求を前記第2のネットワークデバイスに送信するように構成された送信モジュールであって、前記第1のキー変更要求が、第1のセキュリティパラメータインデックス(SPI)および前記第1のネットワークデバイスに関連付けられる暗号スイートを保持する、送信モジュールと、
前記第2のネットワークデバイスから第1のキー変更応答を受信するように構成された受信モジュールであって、前記第2のネットワークデバイスに関連付けられる暗号スイートに変更がない場合、前記第1のキー変更応答が第2のSPIを保持し、前記第2のネットワークデバイスに関連付けられる暗号スイートを保持しない、受信モジュールと、
前記第1のSPIおよび前記第2のSPIに応じて前記SAをキー変更するように構成されたキー変更モジュールと、を備え、
前記第2のネットワークデバイスに関連付けられる暗号スイートに変更がある場合、前記受信モジュールは、前記第2のネットワークデバイスから第1のキー変更応答を受信するように構成され、前記第1のキー変更応答が、変更された暗号スイートを保持する、
ネットワークデバイス。 - 前記第1のキー変更要求に保持される前記第1のネットワークデバイスに関連付けられる前記暗号スイート内に一致する暗号スイートが存在しない場合に、前記第1のキー変更応答が、前記第2のネットワークデバイスからの提案未選択通知を保持し、前記ネットワークデバイスがさらに、ネゴシエーションされた暗号スイートが取得されるまで前記第2のネットワークデバイスと再ネゴシエーションするように構成された再ネゴシエーションモジュールを含み、
前記キー変更モジュールが、前記ネゴシエーションされた暗号スイートにさらに応じて前記SAをキー変更するように構成される、
請求項26に記載のネットワークデバイス。 - 前記再ネゴシエーションモジュールが、前記第1のネットワークデバイスに関連付けられる更新された暗号スイートを前記第2のネットワークデバイスに送信して、ネゴシエーションされた暗号スイートが取得されるまで前記第2のネットワークデバイスとネゴシエーションするように構成される、
請求項27に記載のネットワークデバイス。 - 第1のネットワークデバイスおよび第2のネットワークデバイスを含むネットワークシステムにおいてセキュリティアソシエーション(SA)をキー変更するためのネットワークデバイスであって、前記第1のネットワークデバイスと前記第2のネットワークデバイスとの間にインターネットキー交換(IKE)およびインターネットプロトコルセキュリティ(IPSec)トンネルが確立され、前記ネットワークデバイスが、前記第2のネットワークデバイスとして構成され、
SAをキー変更するための第1のキー変更要求を前記第1のネットワークデバイスから受信するように構成された受信モジュールであって、前記第1のキー変更要求が、第1のセキュリティパラメータインデックス(SPI)および前記第1のネットワークデバイスに関連付けられる暗号スイートを保持する、受信モジュールと、
前記第2のネットワークデバイスに関連付けられる暗号スイートに変更があるかどうかを決定するように構成された決定モジュールと、
第1のキー変更応答を前記第1のネットワークデバイスに送信するように構成された送信モジュールであって、前記第2のネットワークデバイスに関連付けられる暗号スイートに変更がない場合、前記第1のキー変更応答が、第2のSPIを保持し、前記第2のネットワークデバイスに関連付けられる前記暗号スイートを保持しない、送信モジュールと、
前記第1のSPIおよび前記第2のSPIに応じて前記SAをキー変更するように構成されたキー変更モジュールと、を備え、
前記第2のネットワークデバイスに関連付けられる暗号スイートに変更がある場合、前記送信モジュールは、前記第1のネットワークデバイスに第1のキー変更応答を送信するように構成され、前記第1のキー変更応答が、変更された暗号スイートを保持する、
ネットワークデバイス。 - 前記第1のキー変更応答が、前記第1のキー変更要求に保持される前記第1のネットワークデバイスに関連付けられる前記暗号スイート内に一致する暗号スイートが存在しないことを示す提案未選択通知を保持し、 前記ネットワークデバイスがさらに、ネゴシエーションされた暗号スイートが取得されるまで前記第1のネットワークデバイスと再ネゴシエーションするように構成された再ネゴシエーションモジュールを含み、
前記SAが、前記ネゴシエーションされた暗号スイートにさらに応じてキー変更される、
請求項29に記載のネットワークデバイス。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がある場合に前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードをさらに保持し、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられるフロー情報に変更がない場合には前記第2のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持せず、前記第2のネットワークデバイスに関連付けられる現在使用中のフロー情報は、前記第1のネットワークデバイスに関連付けられる前記フロー情報内に存在し、
前記SAが、前記第2のネットワークデバイスに関連付けられる前記現在使用中のフロー情報にさらに応じてキー変更される、
請求項29に記載のネットワークデバイス。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がある場合に前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードをさらに保持し、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられる前記フロー情報に変更がある場合に前記第2のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持し、前記第2のネットワークデバイスは、前記第2のネットワークデバイスに関連付けられる前記フロー情報として前記第1のキー変更要求に保持される前記第1のネットワークデバイスに関連付けられるフロー情報内のフロー情報を選択し、
前記SAは、選択された前記フロー情報にさらに応じてキー変更される、
請求項29に記載のネットワークデバイス。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がある場合に前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードをさらに保持し、前記第1のキー変更応答は、前記第1のキー変更要求に保持される前記第1のネットワークデバイスに関連付けられる前記フロー情報内に一致するフロー情報が存在しないことを示すためにTS許容不可能通知を保持し、
前記ネットワークデバイスがさらに、ネゴシエーションされたフロー情報が取得されるまで前記第1のネットワークデバイスと再ネゴシエーションするように構成された再ネゴシエーションモジュールを含み、
前記SAが、前記ネゴシエーションされたフロー情報にさらに応じてキー変更される、
請求項29に記載のネットワークデバイス。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、前記第1のネットワークデバイスに関連付けられるフロー情報に変更がない場合には前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持せず、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられるフロー情報に変更がない場合には前記第2のネットワークデバイスに関連付けられるTSペイロードを保持せず、
前記SAは、前記SAに関連付けられるフロー情報の変更を伴わずにキー変更される、
請求項29に記載のネットワークデバイス。 - 前記SAが、IKE SAの子SAであるIPSec SAであるとき、前記第1のキー変更要求は、フロー情報に変更がない場合には前記第1のネットワークデバイスに関連付けられるフロー情報を保持するTSペイロードを保持せず、前記第1のキー変更応答は、前記第2のネットワークデバイスに関連付けられるフロー情報に変更がある場合にTS許容不可能通知を保持し、
前記ネットワークデバイスがさらに、ネゴシエーションされたフロー情報が取得されるまで前記第1のネットワークデバイスと再ネゴシエーションするように構成された再ネゴシエーションモジュールを含み、
前記SAが、ネゴシエーションされたフロー情報にさらに応じてキー変更される、
請求項29に記載のネットワークデバイス。 - 前記TS許容不可能通知が、前記第1のキー変更応答に保持されるTS_UNACCEPTABLE通知ペイロードである、請求項35に記載のネットワークデバイス。
- セキュリティアソシエーション(SA)をキー変更するためのネットワークシステムであって、前記ネットワークシステムが、請求項26から28のいずれか一項に記載の第1のネットワークデバイスと、請求項29から36のいずれか一項に記載の第2のネットワークデバイスとを含む、ネットワークシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN201831042955 | 2018-11-15 | ||
IN201831042955 | 2018-11-15 | ||
PCT/CN2019/117884 WO2020098676A1 (en) | 2018-11-15 | 2019-11-13 | Rekeying a security association sa |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022507331A JP2022507331A (ja) | 2022-01-18 |
JP7188855B2 true JP7188855B2 (ja) | 2022-12-13 |
Family
ID=70731945
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021525833A Active JP7188855B2 (ja) | 2018-11-15 | 2019-11-13 | セキュリティアソシエーションsaのキー変更の方法、ネットワークデバイス、および、ネットワークシステム |
Country Status (5)
Country | Link |
---|---|
US (1) | US11943209B2 (ja) |
EP (1) | EP3871395A4 (ja) |
JP (1) | JP7188855B2 (ja) |
CN (1) | CN113169959B (ja) |
WO (1) | WO2020098676A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116155621B (zh) * | 2023-04-14 | 2023-07-11 | 中国科学技术大学 | 基于IPSec动态融合量子密钥的数据保护方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005253061A (ja) | 2004-02-06 | 2005-09-15 | Matsushita Electric Ind Co Ltd | 通信装置及び通信プログラム |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030031151A1 (en) | 2001-08-10 | 2003-02-13 | Mukesh Sharma | System and method for secure roaming in wireless local area networks |
FI118170B (fi) * | 2002-01-22 | 2007-07-31 | Netseal Mobility Technologies | Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi |
DE112004000817D2 (de) * | 2003-03-04 | 2006-01-19 | Lukas Wunner | Verfahren, System und Speichermedium zum Eintragen von Datennetzwerkerreichbarkeitsinformation |
US7783880B2 (en) * | 2004-11-12 | 2010-08-24 | Microsoft Corporation | Method and apparatus for secure internet protocol (IPSEC) offloading with integrated host protocol stack management |
CN101110672A (zh) * | 2006-07-19 | 2008-01-23 | 华为技术有限公司 | 通信系统中建立esp安全联盟的方法和系统 |
US20080044012A1 (en) * | 2006-08-15 | 2008-02-21 | Nokia Corporation | Reducing Security Protocol Overhead In Low Data Rate Applications Over A Wireless Link |
US20080137863A1 (en) * | 2006-12-06 | 2008-06-12 | Motorola, Inc. | Method and system for using a key management facility to negotiate a security association via an internet key exchange on behalf of another device |
US8544080B2 (en) * | 2008-06-12 | 2013-09-24 | Telefonaktiebolaget L M Ericsson (Publ) | Mobile virtual private networks |
KR101068359B1 (ko) | 2009-01-06 | 2011-09-28 | 성균관대학교산학협력단 | 인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치 |
CN102420740B (zh) * | 2010-09-28 | 2015-06-10 | 中兴通讯股份有限公司 | 用于路由协议的密钥管理方法和系统 |
CN102447690B (zh) * | 2010-10-12 | 2015-04-01 | 中兴通讯股份有限公司 | 一种密钥管理方法与网络设备 |
WO2013149041A1 (en) | 2012-03-30 | 2013-10-03 | Huawei Technologies Co., Ltd. | Enhancing ipsec performance and security against eavesdropping |
US20120266209A1 (en) * | 2012-06-11 | 2012-10-18 | David Jeffrey Gooding | Method of Secure Electric Power Grid Operations Using Common Cyber Security Services |
JP2016063234A (ja) * | 2014-09-12 | 2016-04-25 | 富士通株式会社 | 通信装置の通信制御方法,通信装置,通信制御システム |
US9516065B2 (en) | 2014-12-23 | 2016-12-06 | Freescale Semiconductor, Inc. | Secure communication device and method |
US10250578B2 (en) | 2015-11-03 | 2019-04-02 | Qualcomm Incorporated | Internet key exchange (IKE) for secure association between devices |
WO2017096596A1 (zh) * | 2015-12-10 | 2017-06-15 | 深圳市大疆创新科技有限公司 | 无人机认证方法,安全通信方法及对应系统 |
CN107769914B (zh) * | 2016-08-17 | 2021-02-12 | 华为技术有限公司 | 保护数据传输安全的方法和网络设备 |
US10798071B2 (en) * | 2017-07-31 | 2020-10-06 | Cisco Technology, Inc. | IPSEC anti-relay window with quality of service |
FR3086830B1 (fr) * | 2018-09-27 | 2023-01-06 | Gorgy Timing | Synchronisation temporelle securisee |
-
2019
- 2019-11-13 JP JP2021525833A patent/JP7188855B2/ja active Active
- 2019-11-13 CN CN201980075835.4A patent/CN113169959B/zh active Active
- 2019-11-13 EP EP19884202.3A patent/EP3871395A4/en active Pending
- 2019-11-13 WO PCT/CN2019/117884 patent/WO2020098676A1/en unknown
-
2021
- 2021-05-17 US US17/321,499 patent/US11943209B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005253061A (ja) | 2004-02-06 | 2005-09-15 | Matsushita Electric Ind Co Ltd | 通信装置及び通信プログラム |
Non-Patent Citations (2)
Title |
---|
KAUFMAN, C.,Internet Key Exchange (IKEv2) Protocol,Request for Comments [online],4306,The Internet Engineering Task Force (IETF),2005年12月,pp. 1-99,[2022年6月20日検索], インターネット<URL: https://datatracker.ietf.org/doc/html/rfc4306> |
市川 恭之,他,IPsecネゴシエーション機能に関する一検討,電子情報通信学会2008年総合大会講演論文集 通信2,日本,電子情報通信学会,2008年03月05日,p. 76 |
Also Published As
Publication number | Publication date |
---|---|
CN113169959B (zh) | 2023-03-24 |
EP3871395A1 (en) | 2021-09-01 |
US11943209B2 (en) | 2024-03-26 |
US20210273928A1 (en) | 2021-09-02 |
JP2022507331A (ja) | 2022-01-18 |
EP3871395A4 (en) | 2021-12-08 |
CN113169959A (zh) | 2021-07-23 |
WO2020098676A1 (en) | 2020-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101291501B1 (ko) | 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체 | |
US20210105348A1 (en) | System, Method and Devices for MKA Negotiation Between the Devices | |
US20070022475A1 (en) | Transmission of packet data over a network with a security protocol | |
JP6505710B2 (ja) | Tlsプロトコル拡張 | |
US10187478B2 (en) | Dynamic detection of inactive virtual private network clients | |
US20140337967A1 (en) | Data Transmission Method, System, and Apparatus | |
US9516065B2 (en) | Secure communication device and method | |
CN110191052B (zh) | 一种跨协议网络传输方法及系统 | |
NO338710B1 (no) | Fremgangsmåte for å tilveiebringe en autentisering/autorisering av en ekstern klientterminal, et kommunikasjonsnettverk og en terminal for et kommunikasjonsnettverk | |
WO2021068777A1 (en) | Methods and systems for internet key exchange re-authentication optimization | |
US20040049585A1 (en) | SERVER SIDE CONFIGURATION OF CLIENT IPSec LIFETIME SECURITY PARAMETERS | |
JP7188855B2 (ja) | セキュリティアソシエーションsaのキー変更の方法、ネットワークデバイス、および、ネットワークシステム | |
JP7204913B2 (ja) | セキュリティアソシエーションsaの鍵再生成 | |
JP2005175825A (ja) | 暗号化パケットフィルタリング装置およびそのプログラム、ならびにホスト装置 | |
US7702799B2 (en) | Method and system for securing a commercial grid network over non-trusted routes | |
Nikander et al. | Network Working Group P. Jokela Request for Comments: 5202 Ericsson Research NomadicLab Category: Experimental R. Moskowitz ICSAlabs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210630 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220525 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220705 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221003 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221101 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221129 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7188855 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |