KR20010098513A - 시큐리티 통신방법, 통신시스템 및 그 장치 - Google Patents

시큐리티 통신방법, 통신시스템 및 그 장치 Download PDF

Info

Publication number
KR20010098513A
KR20010098513A KR1020010019260A KR20010019260A KR20010098513A KR 20010098513 A KR20010098513 A KR 20010098513A KR 1020010019260 A KR1020010019260 A KR 1020010019260A KR 20010019260 A KR20010019260 A KR 20010019260A KR 20010098513 A KR20010098513 A KR 20010098513A
Authority
KR
South Korea
Prior art keywords
security
communication
information
type
communication terminal
Prior art date
Application number
KR1020010019260A
Other languages
English (en)
Inventor
야마구치마사시
다나카유타카
야마우치히로키
오타유사쿠
Original Assignee
모리시타 요이찌
마쯔시다덴기산교 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 모리시타 요이찌, 마쯔시다덴기산교 가부시키가이샤 filed Critical 모리시타 요이찌
Publication of KR20010098513A publication Critical patent/KR20010098513A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

데이터 송신을 행하는 유저별로 시큐리티통신의 레벨을 설정할 수 있고, 쉽게 각종 시큐리티통신의 접속파라메터를 변경할 수 있고, 접속상대와의 시큐리티통신의 레벨을 자동으로 설정하는 시큐리티통신장치, 시스템, 및 방법을 제공한다.
본 발명은 통신말단을 사용하는 유저의 정보와 시큐리티유형을 대응시킨 대응정보를 기억하고, 상기 대응정보로부터 시큐리티유형을 결정한다. 또, 인터넷어드레스 정보와 시큐리티유형을 대응시킨 대응정보를 기억하고, 상기 인터넷어드레스정보에 기초하여 상기 대응정보로부터 시큐리티유형을 결정한다. 또한, 시큐리티유형을 소정 시큐리티 정보장치에 문의하고, 그 문의의 회답에 기초하여 상기 시큐리티유형을 결정한다.

Description

시큐리티 통신방법, 통신시스템 및 그 장치{SECURITY COMMUNICATION METHOD, SECURITY COMMUNICATION SYSTEM, AND APPARATUS THEREOF}
본 발명은 시큐리티 통신방법에 관한 것으로, 상세하게는 필요에 따라 시큐리티유형을 변경가능한 시큐리티 통신방법, 통신시스템 및 그 장치에 관한 것이다.
근년, 퍼스널컴퓨터와 인터넷 기술의 급격한 보급에 따라 용이하고 게다가 염가로 인터넷상에 공개되는 홈페이지에 의한 정보제공 및 정보수집이 가능하게 되어 있다. 또한 그것에만 그치지 않고 인터넷 또는 기업간의 인터넷을 통하여 전자메일 교환이나 이들을 이용한 전자상거래나 전자결제가 일반화되고 있다. 이같은 서비스를 이용할 경우, 특히 중요한 정보를 내포하는 통신에는 전용선 마다의 시큐리티 확보가 중요한다.
상기와 같은 시큐리티를 확보하는 기술로서 가령 인터넷과 같은 광역 네트워크를 가상 사설망으로 하는 VPN(Virtual Private Network)기술등의 시큐리티 통신기술이 주목되고 있다. VPN을 실현하는 시큐리티 통신을 위한 접속수순으로서 터널링프로토콜이 있고, L2F(Layer 2 Forwarding), PPTP(Point-to-point Tunneling Pretocol), L2TP(Layer 2 Tunneling Protocol), ATMP(Ascend Tunnel Management Protocol), Bay DVS(Bay Stream Dial VPN Service), IPSEC(Internet Protocol Security Protocol)등이 제안되어 있다. 상기 시큐리티 통신을 위한 프로토콜을 사용함으로써 제 3자가 통신등을 도청가능한 상기 광역네트워크에 있어서 통신 등의 시큐리티를 확보하기가 가능해진다.
이들 기술중, 상기 IPSEC는 네트워크층(OSI참조모델(Open System Interconnection reference model)제 3층)으로 인증, 암호화를 행하는 시큐리티프로톨콜로, 인터넷 기술표준화 위원회(IETF)에서 표준화되어 있다(RFC2401에서2412, 2451). 상기 IPSEC기능을 탑재한 컴퓨터와 네트워크 접속장치인 루터 등을 통하여 인터넷에 접속함으로써 상기 VPN을 구축하는 것이 가능하다. 즉, 유저는 네트워크 유형을 의식하지 않고 안전하게 인터넷을 이용할 수 있다. 또한, IPSEC를 이용한 통신을 행함에 있어서는 어떤 인증알고리즘이나 암호화 알고리즘을 사용할지, 또는 어떤 암호화 키를 사용할지 등을 사전에 송신원과 수신측의 IPSEC기능을 탑재한 컴퓨터 또는 네트워크 접속장치가 정합을 취해둘 필요가 있다. 이 인증, 암호화 알고리즘의 정합을 취하기 위한 상호통신을 시큐리티 통신을 위한 접속이라 한다. IPSEC에 있어서는 이 접속은 SA(Security Association)에 의해 실현되고 잇다. 상기 SA는 인증과 시큐어메시지 교환기능을 제공하는 기본적인 프레임워크로서 통신의 콘텍스트를 확립하고, 그 통신에 있어서의 시큐리티의 몇몇 측면을 정의한다.
이하에, 도 14, 도 15, 도 17, 도 18을 참조하면서 종래의 시큐리티 통신으로서 IPSEC를 사용한 통신방법에 대하여 설명한다. 또, 여기에 통신단말이란 네트워크 접속장치 및 컴퓨터를 포함한다.
도 14는 종래의 시큐리티 통신으로서 IPSEC기능을 탑재한 루터를 사용하여 VPN네트워크를 구성한 네트워크 시스템 개략도, 도 15는 상기 IPSEC기능을 탑재한 네트워크 접속장치간에서의 시큐리티 통신의 접속수순 도시도, 도 17은 종래기술에 있어서의 IPSEC의 처리방침을 결정하는 데이터 베이스인 SPD(Security Policy Database)의 예, 도 18은 종래기술에 있어서의 SA데이터 베이스인 SAD(Security Association Database)의 예이다. 여기에, SPD란 시큐리티폴리시를 구성하는 데이터 베이스이다. 또, 시큐리티폴리시란 시큐리티가 확보된 시스템에의 엑세스규제를 말함이고, 일반적으로 시큐리티요건, 시큐리티상의 리스크 및 시큐리티의 측정수단을 포함한다. 통신단말간의 시큐리티를 확보하는 시스템에 있어서는 시큐리티를 적용하는 상대 통신단말을 구별하는 정보, 시큐리티를 적용할지 여부의 정보등을 구비한다. 또한, IPSEC에 있어서는 시큐리티폴리시는 상기 SPD에 기술되고, 그 SPD는 상기 SA가 격납되는 메모리상의 어드레스의 위치정보를 구비한다. 또, 그 SA에는 송신선 통신단말의 IP어드레스, IPSEC처리의 유무, 인증, 암호화 알고리즘 등의 내용이 기술되어 있다.
컴퓨터(1401)는 LAN(1407; Local Area Network)에서 다른 컴퓨터(1405) 및 네트워크 접속장치(1402)와 접속되어 있고, 네트워크 접속장치(1402)를 경유하여 외부의 인터넷(1409)이나 인터라넷 등의 WAN에 접속되어 있다. 이 인터넷(1409)에는 다른 네트워크 접속장치(1403)를 통하여 컴퓨터(1404, 1406)가 접속되는 LAN(1408)이 접속되어 있다. 여기서, 상기 네트워크 접속장치(1402, 1403)는 루터, 게이트웨이, 프록시서버 등의 파이어월이나 VPN전용장치 등이다. 여기서, 컴퓨터(1401)외는 퍼스널컴퓨터, 워크스테이션, 서버, 노트형 퍼스널컴퓨터, IP전화, IP텔레비젼전화, IP휴대전화 등의 통신기능을 갖는 단말이면 된다.
여기서는 상기 네트워크 접속장치(1402, 1403)에 IPSEC기능을 탑재하고, 네트워크 접속장치(1402, 1403)간에서 IPSEC에 의한 통신을 행하는 것으로서 설명한다. 또, 상기 컴퓨터(1401 및 1404)에 IPSEC 기능을 탑재하고, 상기 컴퓨터(1401, 1404)간에서 IPSEC에 의한 통신을 행하는 것도 가능하다. 또한, 동일하게 IPSEC기능을 탑재한 컴퓨터(1401)와 IPSEC기능을 탑재하고 있는 네트워크 접속장치(1403)간에서 IPSEC에 의한 통신을 행하는 것도 가능하다.
그런데, 컴퓨터(1401)가 인터넷(1409)을 통하여 컴퓨터(1404)에 데이터를 송신할 경우에는 미리 상기 네트워크 접속장치(1402, 1403)간에 있어서, 상기 시큐리티 통신을 위한 접속을 행할 필요가 있다. 이하에 그 시큐리티 통신을 위한 접속에 대하여 설명한다.
IPSEC통신을 시작함에 있어서, 우선 IPSEC의 암호키 교환을 위한 프로토콜인 IKE(Internet Key Exchange)가 사용된다. 그 IKE를 사용한 통신은 IKE페이즈 1과 IKE페이즈 2로 나누어 설명할 수 있고, 상기 네트워크 접속장치(1402, 1403)간에서 행해진다. 또, IKE에 의한 자동키 교환을 행하지 않고, 수동으로 비밀키 교환을 행하여도 된다.
상기 IKE페이즈 1(1501)은 IKE자체가 안전하게 통신을 행하기 위하여 서로 이용가능한 SA(Security Association)를 확립하기 위한 정보를 교환한다. 여기서 SA란 가령, 인증알고리즘이나 인증파라미터, 암호화 알고리즘이나 암호화 파라미터 등을 포함하는 일련의 정의정보군이다.
다음에, IKE페이즈2(1502)는 상기 IKE페이즈1에서 확립한 상기 SA를 사용하여 IPSEC통신용 SA에 관한 정보를 교환한다. 여기서 IPSEC통신용 SA의 1예에 대하여 도 18에 도시한다. 도 18은 복수의 상기 SA인 SA-1(1802)∼SA-M(1803)을 포함하는 SAD(1801)이고, 또한 각 SA에는 어드레스정보(1804), 인덱스정보인 SPI(1805; Security Parameters Index)및 시큐리티 파라메터인 SAP(1806)가 포함된다. 상기어드레스정보(1804)에는 송신선 IP어드레스, 송신선 포트번호, 송신원 IP어드레스, 송신원 포트번호, 프로토콜번호 등이 포함된다. 또, 상기 SPI(1805)에는 의사난수 등이 사용되고, 상기 SAP(1806)는 인증알고리즘, 암호화알고리즘, 암호화키 등의 시큐리티통신의 레벨에 직접관련하는 정보를 갖는다. 가령 상기 SAP-1(1806)의 경우, 인증알고리즘으로서 HMAC-MD5를, 암호화 알고리즘으로서 DES-CBC가 포함된다.
상기 IKE페이즈2(1502)에서 행해지는 IPSEC통신용 SA에 관한 정보교환은 구체적으로, 네트워크 접속장치(1402)가 네트워크 접속장치(1403)에 대하여 IPSEC통신에 사용되는 상기 SA구성의 제안을 송신하고, 그 네트워크 접속장치(1403)는 상기 제안중에서 수용가능한 SA를 반신하는 것이다. 여기서, 상기 SA의 구성제안은 상기 네트워크 접속장치(1402)의 후기하는 데이터 기억부(2103)에 미리 기억되어 있는 인증알고리즘, 암호화 알고리름 등을 사용하여 구성된다. 상기 네트워크 접속장치(1402)가 어떤 인증알고리즘, 암호화 알고리즘을 탑재하고 있는지는 네트워크 접속장치에 따라 다르다. 또, 미리 상기 네트워크 접속장치(1402)가 제안하는 SA를 정해두는 것도 가능하다.
상기 SA의 반송처리에 의해 IPSEC통신에 사용되는 SA가 확립된다. 상기 확립된 IPSEC통신에 사용되는 SA정보는 도 18의 SAD(1801) 및 도 17의 SPD(1701)에 격납된다. 그 SPD(1701)의 구성은 이하의 예로 도시된다. 송신선 IP어드레스(1702), IPSEC처리 유무(1703), 상기 SAD(1801)에 있어서의 각 SA위치를 나타내는 어드레스 포인터(1704) 및 상기 송신선 IP어드레스(1702)에 데이터를 송신할 경우에 IPSEC패킷을 송신할 상대 통신단말의 IP어드레스(1705)이다. 여기서, 상기IP어드레스(1705)는 구체적으로는 네트워크 접속장치(1403)의 IP어드레스가 된다. 여기서 통신단말이 IPSEC기능을 탑재하고 있을 경우, 상기 IP어드레스(1702)가 상기 IP어드레스(1705)와 동일하게 된다. 또 상기 송신선 IP어드레스(1702 및 1705)는 범위지정이 가능하다. 범위지정이란, 구체적으로는 IP어드레스를 사용하여 가령"192.168.1.1∼192.168.1.200"이라는 지정을 가르키고, 상기 범위지정에 의해 하나의 지정으로 가령 200대의 통신단말로의 데이터 송신을 지정할 수 있다. 또, 상기 SA는 한쪽방향으로 하나 설정되기 때문에 쌍방통신의 경우는 독립된 SA가 네트워크 접속장치(1402, 1403)로 각각 설정된다.
상기 IPSEC통신에 사용되는 SA가 확립된 후, 송신원 컴퓨터(1401)에서 상기 컴퓨터(1404)에 송신되는 데이터는 그 컴퓨터(1401)에서 IP헤더가 부가되고, IP패킷으로서 LAN(1407)을 통하여 네트워크 접속장치(1402)에 보내진다. 그 네트워크 접속장치(1402)는 후술의 IPSEC처리를 행함으로써 상기 IP패킷을 IPSEC패킷(1503)으로하여 상기 네트워크 접속장치(1403)에 송신한다. 상기 IPSEC패킷(1503)을 송신한 상기 네트워크 접속장치(1403)는 동일하게 후술하는 IPSEC처리로 상기 IPSEC패킷(1503)을 IP패킷으로 변환하고, 상기 LAN(1408)을 통하여 상기 컴퓨터(1404)에 송신한다. 즉, 상기 인터넷(1409)을 통하여 접속되는 상기 네트워크 접속장치(1402, 1403)사이에는 송신원 컴퓨터(1401)에서 상기 컴퓨터(1404)에 송신되는 데이터는 IPSEC에 시큐리티가 확보된다.
이어서, 도 14, 도 16, 도 19, 도 20을 사용하여 상기 네트워크 접속장치(1402 및 1403)에 있어서의 IPSEC처리의 상세를 설명한다. 여기에 도 16은AH(Authentication Header)포맷 및 ESP(Encapsulation Security Payload)헤더포맷의 상세도, 도 19는 송신원 네크워크 접속장치에 있어서의 IPSEC처리의 흐름도, 도 20은 수신측 네트워크 접속장치에 있어서의 IPSEC처리의 흐름도이다.
또, 후기의 SPD, SAD는 각 네트워크 접속장치내의 데이터 기억부(2103)에 기억되어 있다. 여기서, 도 19, 도 20에 있어서의 S는 스텝을 뜻한다.
상기 네트워크 접속장치(1402)에서는 송신원 컴퓨터(1401)에서 송신된 IP패킷을 수신하면, 우선 그 송신선 IP어드레스를 판독한다(도 19:S1901). 이어서 그 송신선 IP어드레스를 기초로 상기 네트워크 접속장치(1402)에 격납되는 상기 SPD(1701)의 송신선 IP어드레스(1702)를 검색하고, 대응하는 IPSEC패킷을 송신할 상대 통신단말의 IP어드레스(1705)IPSEC처리유무(1703) 및 SA위치를 나타내는 어드레스포인터(1704)를 판독한다(도 19: S1902).
여기서 IPSEC처리를 행하지 않는 설정, 즉 IPSEC처리유무(1703)가 "무"의 경우는 상기 송신한 IP패킷을 그대로 상기 네트워크 접속장치(1403)에 송신한다(도 19: S 1903의 No).
IPSEC처리를 행하는 설정, 즉 IPSEC처리유무(1703)가 "유"의 경우, 다시 상기 SA의 위치를 나타내는 어드레스포인터(1704)를 사용하여 상기 SAD(1801)를 검색하여 해당 SA내용을 판독한다(도 19: S1903의 Yes-S1905). 그 SA는 상기 IKE페이즈2(1502)에서 확립된 SA이다. 다음에, 상기 네트워크 접속장치(1402)는 상기 SA의 내용에 따라 가령 인증알고리즘으로서 HMAC-MD5를, 암호화알고리즘으로서 DES-CBC를 사용하여 상기 IP패킷으로부터 인증/암호화데이터를작성한다(도19:S1905). 또한 상기 네트워크 접속장치(1402)는 상기 인증/암호화 데이터에 인증헤더 AH 또는 인증/암호화 헤더 ESP를 추가하여 IPSEC처리를 실시한 IP패킷(IPSEC패킷1503)으로 한다(도 19:S1906). 여기서, 상기 AH 및 ESP에는 상기 IKE페이즈2에서 확립한 SA를 구성하는 상기 SPI(1805)가 포함된다. 이어서 상기 IPSEC패킷(1503)은 인터넷(1409)을 통하여 상기 SPD(1701)의 IP어드레스(1705)가 나타내는 상기 네트워크 접속장치(1403)에 송신된다. 여기서, IPSEC처리에는 "트랜스포트모드"와 "터널모드"가 있고, 상기 설명은 터널모드의 설명이나, 가령 상기 트랜스포트모드를 사용할 경우는 상기 IP패킷의 송신선 IP어드레스는 암호화되지 않는다. 또, 상기 트랜스포트모드 및 터널모드는 적당히 선택가능하다. 또, 상기 AH포맷 및 ESP헤더포맷의 상세를 도 16(a),(b)에 도시한다.
다음에, 상기 네트워크 접속장치(1403)는 수신한 IP패킷이 IPSEC패킷인지를 판별한다(도20:S2001).
여기서, IPSEC패킷이 아닐 경우는 상기 IP패킷은 그대로 LAN(1408)을 통하여 컴퓨터(1404)에 송신된다(도20:S2001의 No).
수신한 IP패킷이 IPSEC패킷일 경우, 이하의 처리를 행한다(도20:S2001의 Yes). 즉, 우선 상기 IPSEC패킷내의 상기 AH나 ESP헤더를 조사하여 그 AH나 ESP헤더에 포함되는 SPI를 판독한다(도20:S2002). 다음에, 상기 네트워크 접속장치(1403)에 격납되는 SAD를 상기 SPI를 사용하여 검색하고, 상기 SPI에 해당하는 상기 IKE페이즈 2에서 확립한 SA의 내용을 판독한다(도20:S2003). 이에 따라, 상기 IKE페이즈 2에서 확립한 해당 SA가 판독되게 된다. 여기서, S2002에서 해당SPI가 없을 경우는 유저에 그 뜻을 도시하여 처리를 종료한다(도시생략).
또한, 상기 네트워크 접속장치(1403)는 상기 판독한 SA에서 지정된 인증/암호화 알고리즘 등을 사용하여 상기 IPSEC패킷의 인증/암호화데이터를 인증/복호화한다(도20:S2004). 또, 필요에 따라 상기 SA의 어드레스정보(1804)에서 SPD(1701)를 검색하여 송신원 IP어드레스 및 IPSEC처리의 유무를 확인하고, 원 IP패킷을 생성한다(도20:S2005→2006). 이이서 상기 네트워크 접속장치(1403)는 생성한 상기 IP패킷을 컴퓨터(1404)에 송신한다.
이상에 따라, 상기 인증/복호화된 상기 IPSEC패킷의 인증/암호화 데이터는 IP패킷으로서 LAN(1408)을 통하여 컴퓨터(1404)에 송신된다. 즉, 상기 네트워크 접속장치(1402, 1403)간에는 송신원 컴퓨터(1401)에서 상기 컴퓨터(1404)에 송신되는 데이터는 IPSEC로 시큐리티가 확보된다.
이어서, 도 21을 사용하여 상기 네트워크 접속장치(1402)의 구성개략을 설명한다. 또, 네트워크 접속장치(1403)도 같은 구성이다.
상기 네트워크 접속장치(1402, 1403)는 일반적으로 도 21과 같은 구성을 갖는다. 즉, 처리부(2101), 일시데이터 기억부(2102), 데이터 기억부(2103), 시스템제어부(2104), 네트워크제어부(2106), 회전제어부(2107)가 내부버스 또는 스위치(2105)에 각각 접속되어 있다. 또, 상기 네트워크 제어부(2106)는 상기 LAN(1407)과 상기 회전제어부(2107)는 인터넷(1409)과 각각 접속되어 있다.
상기 SPD, SAD는 프래쉬메모리, 하드디스크, ROM등의 불휘발성 메모리로 구성된 상기 데이터 기억부(2103)에 격납된다. 상기 처리부(2101)는 상기 네트워크접속장치(1402)의 전원투입시에 상기 데이터기억부(2103)로부터 시스템 제어부(2104)를 경유하여 상기 SPD, SAD를 판독하고, DRAM, SRAM등의 휘발메모리로 구성되는 상기 일시 데이터 기억부(1202)에 격납하든지 또는 필요할때에 판독하여 일시 데이터 기억부(2102)에 격납한다. 또, 상기 SPD, SAD의 갱신은 상기 데이터 기억부(2103)에 격납되어 있는 SPD, SAD에 대하여 행해진다.
LAN(1407) 또는 인터넷(1409)에서 각각 네트워크 제어부(2106), 회선제어부(2107)를 경유하여 수신한 개개의 IP패킷(IPSEC패킷)은 상기 처리부(2101)에서 상기 IPSEC처리가 행해진다. 즉, 상기 처리부(2101)는 개개의 IPSEC패킷의 상기 AH, ESP정보를 판독하고, 상기 처리플로우에 따라 상기 일시데이터기억부(2102)에 격납된 필요한 SPD, SAD를 검색하여 IPSEC에 관한 인증/암호화, 인증/복호화를 행한후, 송신선 어드레스로 송신한다. 또, 기타 기능(루팅기능등)도 상기 처리부(2101)에서 제공된다.
여기서, 개개 IP패킷 처리시에 일시 데이터 기억부(2102)에 격납된 SPD, SAD를 검색하는 이유는 상기 일시 데이터 기억부(2102)가 데이터 기억부(2103)에 비하여 고속으로 엑세스 가능하고, 상기 IPSEC처리의 고속화를 도모할 수 있기 때문이다.
이와같이, IP패킷처리는 일시데이터 기억부(2102)에 격납된 SPD, SAD를 참조하여 행해진다. 따라서, 가령 SA에 관한 파라메터가 변경된 경우, 변경후의 SA파라메터가 상기 IPSEC를 사용한 통신에 반영되는 것은 일반적으로 상기 네트워크 접속장치(1402)의 전원투입시 및 리세트시 등의 기동시만이다. 이는 통상 루터 등의 네트워크 접속장치(1402)는 연속통전되어서, 상시 운용되고 있고, 일시데이터 기억부(2102)에 격납된 SA에 관한 파라메터와 변경된 파라메터의 정합을 취할 기구가 필요하다는 것과, 또한 현상의 IPSEC를 사용한 통신은 주로 가령 본사와 지사간 등, 정해진 네트워크 접속장치 사이에서의 LAN간 접속에 사용되고 있기 때문에, 상기 데이터 기억부(2103)에 격납되는 SPD, SAD, 기타의 설정파라메터에 대하여 변경될 기회가 적다는 것등을 전제로 하고 있기 때문이다.
상기와 같은 네트워크 층에서의 시큐리티 프로토콜은 통신 패킷전체에 대하여 시큐리티를 확보하기 위하여 애플리케이션 마다 시큐리티를 실시할 필요가 없으며, LAN간 접속시의 시큐리티 대책으로서 편의성이 높다. 그러나, 시큐리티에 관한 인증/암호화 등의 처리는 대단히 계산량이 많고, 시큐리티의 강도(즉 안전성)를 높게하면 통신이 누설될 가능성이 저하되나, 그만큼 각 컴퓨터나 네트워크 접속장치의 부하가 높아져서, 즉, 처리의 지연을 초래한다. 여기서, 시큐리티의 강도를 낮추면 당연히 통신이 누설될 가능성이 높아진다.
종래기술에서는 상기와 같이 상대 단말에 대응하여 세쿠리티통신의 레벨을 설정하고 있기 때문에 가령 복수의 유저가 사용하는 송신원 단말로부터 암호화가 필요없는 유저가 송신하는 데이터로도 일정강도의 시큐리티를 부여할 필요가 있었다. 이러한 통신은 각 컴퓨터와 네트워크 접속장치가 불필요한 부하를 증대시켜서, 즉 처리지연을 일으키기에 이르고 있다. 반대로, 레벨이 높은 시큐리티를 필요로 하는 유저가 송신하는 데이터에 있어서도 그 보다 낮은 레벨의 시큐리티 밖에 송신하지 못하는 난점이 있었다.
또, 종래의 IPSEC기능을 탑재한 루터 등에서는 상기와 같이 통신상대의 IP어드레스에 대하여 사용하는 SA를 대응시킬 필요가 있고, 또한 그 대응시키는 절차의 곤란성 때문에 시큐리티통신의 레벨을 유연하게 변경할 수 없을 뿐만 아니라, 전문지식이 없는 유저가 각자 적절히 시큐리티통신의 레벨을 바꾸기가 곤란하였다. 그러나, 인터넷 또는 기업간 인트라넷을 통하여 전자메일의 교환이나 이들을 이용한 전자상 거래가 일반화되고 있기 때문에 네트워크에 관한 전문적 기술을 갖는 보수자가 있는 대기업 등 뿐만이 아니라 그와 같은 전문적 기술자를 기대할 수 없는 SOHO(Small Office Home Office)나 가정에 있어서도 사용할 수 있도록 용이한 설정방법이 요망된다. 또, 접속상대나 전자상거래시의 크레디트 번호발신 등, 통신에 의해 시큐리티 통신의 레벨을 최적으로 바꾸고 싶을 경우가 있으나, 종래기술은 접속시의 시큐리티 통신의 레벨이 최적인지 여부를 알 수 없다는 과제가 있다. 본 발명은 상기 과제를 해결하기 위하여 제안하는 것으로, 종래의 편의성을 손상하지 않고 데이터 송신을 행하는 유저별 시큐리티 통신의 레벨를 설정가능함과 동시에 네트워크에 관한 전문지식이 없이도 쉽게 각종 시큐리티통신을 위한 접속 파라메터를 변경할 수 있고, 또 즉시 그 변경의 유효성 확인 및 반영을 행하기가 가능하고, 또, 접속상대와의 통신에 어느 정도의 시큐리티통신 레벨을 설정하면 되는가를 자동으로 설정할 수 있는 시큐리티 통신방법을 제공하는 것이다.
도 1은 본 발명에 관한 시큐리티 통신방법을 사용한 시스템의 개략도,
도 2는 실시형태 1에 있어서의 유저별 SPD 및 유저별 SAD의 예,
도 3은 실시형태 1에 있어서의 네트워크 처리장치의 IPSEC처리의 흐름도,
도 4는 실시형태 1에 있어서의 네트워크 처리장치의 구성개략도,
도 5는 실시형태 2에 있어서의 인터넷어드레스를 이용한 SPD의 예,
도 6은 실시형태 2에 있어서의 IPSEC기능을 탑재한 네트워크 접속장치의 설정을 행하는 컴퓨터등의 통신단말장치의 개략도,
도 7은 실시형태 2에 있어서의 네트워크 접속장치의 설정확인처리의 흐름도,
도 8은 실시형태 2에 있어서의 유저별 인테넷어드레스를 이용한 SPD의 예,
도 9는 실시형태 3에 있어서의 시큐리티 정보장치를 이용한 시스템의 개략도시도,
도 10은 시큐리티 정보장치를 이용한 시스템 처리를 설명하기 위한 간이도,
도 11은 시큐리티 정보장치에 있어서의 제 1데이터베이스의 예,
도 12는 시큐리티 정보장치에 있어서의 제 2데이터베이스의 예,
도 13은 실시형태 3에 있어서의 각종 장치를 개략적으로 나타낸 블록도,
도 14는 IPSEC기능을 탑재한 루터를 사용하여 VPN 네트워크를 구성한 네트워크시스템의 개략도,
도 15는 IPSEC기능을 탑재한 네트워크 접속장치간에서의 시큐리티 통신의 접속수순 도시도,
도 16은 AH포맷, ESP헤더포맷 상세도,
도 17은 종래기술에 있어서의 IPSEC의 처리방침을 결정하는 데이터베이스인 SPD(Security Policy Database)의 예,
도 18은 종래기술에 있어서의 SA데이터 베이스인 SAD(Security Association Database)의 예,
도 19는 종래기술에 있어서의 송신원 네트워크 접속장치의 IPSEC처리의 흐름도,
도 20은 종래기술에 있어서의 수신측 네트워크 접속장치의 IPSEC처리의 흐름도,
도 21은 종래기술에 있어서의 네트워크 접속장치의 구성개략도.
* 도면의 주요부분에 대한 부호의 설명 *
101,104,105,106: 컴퓨터 102,103:네트워크 접속장치
109:인터넷 110,111: 유저인증장치
본 발명은 상기 목적을 달성하기 위하여 이하의 수단을 구비하고 있다.
즉, 통신단말을 사용하는 유저의 정보와 시큐리티 유형을 대응시킨 대응정보를 기억하는 기억수단과, 상기 유저의 정보에 기초하여 상기 대응정보로부터 시큐리티 유형을 결정하는 상기 시큐리티유형 선택수단을 구비한다.
또한, 상기 시큐리티유형 선택수단이 상기 대응정보 변경시에 상기 변경후의 정보에 기초한 통신확립을 즉시 확인하는 구성이 있다.
유저마다 시큐리티유형을 대응시킴으로써 종래의 편의성을 손상하지 않고 데이터 송신을 행하는 유저마다 시큐리티 통신의 레벨을 설정할 수 있다. 또, 상기 대응정보 변경시에 상기 변경후의 정보에 기초한 통신의 확립을 즉시 확인할 수 있으므로 곧 그 변경의 유효성 확인 및 반영을 행하기가 가능하다.
또, 통신단말에서 동작하는 에플리케이션에 입력되는 인터넷어드레스 정보와, 시큐리티 유형을 대응시킨 대응정보를 기억하는 기억수단과,
상기 인터넷어드레스 정보에 기초하여 상기 대응정보로부터 시큐리티유형을 결정하는 상기 시큐리티유형 선택수단을 구비한다.
또한, 상기 통신단말을 사용하는 유저의 정보와 시큐리티유형을 대응시킨 구성이 있다.
그 수단에 의해 유저에 친숙도가 깊은 인터넷어드레스 정보를 시큐리티유형과 대응시킴으로써 네트워크에 관한전문지식이 없더라도 각종 시큐리티 통신을 위한 접속파라미터를 변경할 수 있다.
또, 통신장치가 시큐리티유형을 소정 시큐리티 정보장치에 문의하는 문의수단과, 상기 문의에 대응하는 회답에 기초하여 상기 시큐리티유형을 결정하는 상기시큐리티유형 선택수단을 구비하고, 또한 상기 시큐리티 정보장치가 통신장치의 단말특정정보와, 그 통신장치와의 통신에 있어서 추장되는 시큐리티유형을 대응시킨 대응정보를 기억하는 기억수단과, 타 통신장치로 부터의 상기 통신장치에 대하여 추장되는 시큐리티유형의 문의에 대하여 상기추장되는 시큐리티유형을 선택하는 추장 시큐리티유형 관리수단과, 상기 선택된 추장되는 시큐리티유형을 송신하는 송신수단을 구비한다.
그 수단에 의해 상기 시큐리티 정보장치에 시큐리티유형을 문의함으로써 접속상대와의 통신에 어느정도의 시큐리티통신 레벨을 설정하면 되는지를 자동적으로 결정할 수 있다.
또, 상기 시큐리티유형이 시큐리티프로토콜일 경우나, 인증알고리즘이나 암호화 알고리즘을 포함하는 정의정보군인 구성이 있다.
또, 시큐리티 통신방법은 각 통신장치 또는 통신단말에 상기 수단을 각각 구비함으로써 실현한다.
이하, 첨부도면을 참조하여 주로 종래예와의 차이에 대하여 본 발명의 실시형태에 관해 설명하여 본 발명의 이해를 돕겠다. 또, 이하의 실시형태는 본 발명을 구체화한 1예로서, 본 발명의 기술적 범위를 한정하는 성격의 것은 아니다.
실시형태 1
먼저 도 1, 도 2(a), 도 2(b), 도 4를 참조하면서 실시형태 1에 있어서의 시큐리티 통신방법, 통신시스템 및 그 장치의 개략에 대하여 설명한다.
도 1은 본 발명에 관한 시큐리티 통신방법을 사용한 시스템 개략을 도시한도면이다. 그 도 1에 있어서 컴퓨터(101)는 LAN(107)으로 다른 컴퓨터(105) 및 네트워크 접속장치(102)와 접속해 있고, 네트워크 접속장치(102)를 경유하여 외부의 인터넷(109)이나 인트라넷 등의 WAN에 접속되어 있다. 이 인터넷(109)에는 다른 네트워크 접속장치(103), LAN(108)이 접속되어 있고, 그 LAN에는 컴퓨터(104, 106)가 접속되어 있다. 여기서, 상기 네트워크 접속장치(102, 103)는 루터, 게이트웨이, 프록시서버 등의 파이어월이나 VPN전용장치 등이다. 또한, 상기 컴퓨터(101, 105)에는 각각 유저 인증장치(110, 111)가 접속되어 있다. 여기서, 컴퓨터(101)외는 퍼스널컴퓨터, 워크스테이션, 서버, 노트형 퍼스널컴퓨터, IP전화, IP텔레비젼전화, IP휴대전화 등의 통신기능을 갖는 단말이면 된다. 이하, 종래예와 같이 네트워크 접속장치(102, 103)간에서 IPSEC처리를 행하는 것으로서 설명한다. 또, IPSEC처리를 행하는 것은 상기 네트워크 접속장치(102, 103)에 한정되는 것은 아니고, 송신원 컴퓨터(101), 송신선 컴퓨터(104)간이라도 되고, 또 컴퓨터(101), 네트워크 접속장치(103)간이라도 되는 것은 종래예와 동일하다. 또, 도 2(a)는 본 실시형태 1에 있어서 사용되는 유저별 SPD이고, 도 2(b)는 유저별 SAD의 예이다. 상기 유저별 SPD 및 유저별 SAD내용의 상세는 후기한다.
우선, 도 4의 상기 네트워크 접속장치(102(103)도 같은 구성이다)구성의 개략도를 사용하여 상기 네트워크 접속장치(102, 103)의 내부처리를 설명한다.
본 실시형태에 있어서의 상기 네트워크 접속장치에서는 유저마다 다른 시큐리티 레벨을 설정하는 것을 가능하게 하기 위하여 후기하는 유저의 설정 및 송신선의 IP어드레스 설정을 행한다. 때문에, 종래 사용되고 있는 네트워크 접속장치와같은 본사와 지사간 등의 정해진 LAN을 접속하고 있을 경우에도 가령 유저의 추가등, 설정의 갱신이 종래보다 많을 것이 예상된다. 종래장치에서는 이같은 갱신때 마다 전원투입이나 장치리세트 등을 행하면 통신이 단시간으로도 스톱되게 되어서 유저에 있어서는 불편하다. 그래서, 상기 네트워크 접속장치의 내부처리를 이하와 같이함으로써 장치전원 투입이나 장치 리세트 등을 행하지 않고 상기 운용을 실현한다.
즉, 도 4에 있어서, 네트워크 접속장치(102, 103)는 처리부(401), 일시데이터 기억부(402), 데이터 기억부(403), 시스템 제어부(404), 네트워크 제어부(406), 회선제어부(407)를 구비하고 각각 내부버스 또는 스위치(405)로 접속되어 있다. 여기서, 상기 처리부(401), 일시데이터 기억부(402), 시스템 제어부(404)는 후기하는 처리에 있어서의 시큐리티유형 선택수단(408)으로서 기능한다.
또한, 상기 유저별 SPD(201) 및 상기 유저별 SAD(207)는 프래쉬메모리, 하드디스크, ROM등의 불휘발성 메모리로 구성된 데이터 기억부(403)에 격납되어 있다. 또, 상기 네트워크 접속장치(102)의 전원투입시에 상기 처리부(401)는 상기 데이터 기억부(403)로부터 시스템 제어부(404)를 경유하여 상기 유저별 SPD(201), 유저별 SAD(207)를 판독하고, DRAM, SRAM 등의 휘발성 메모리로 구성되는 상기 일시데이터 기억부(402)에 격납한다. 이후, 상기 처리부(401)에서는 상기 일시데이터 기억부(402)에 격납된 상기유저별 SPD(201), 유저별 SAD(207)를 이용하여 IPSEC처리를 행한다. 또, 설정한 변경에 따른 상기 유저별 SPD(201), 유저별 SAD(207)의 갱신은 데이터 기억부(403)에 격납되어 있는 유저별 SPD(201), 유저별 SAD(207)에대하여 행해진다. 지금까지의 처리는 상기 유저별 SPD(201) 및 유저별 SAD(207)의 구조를 제외하고는 상기 종래기술과 동일하다.
여기서, 종래기술은 일시데이터 기억부에 격납된 SPD, SAD를 참조하여 IPSEC처리를 진행시키고, 재차 데이터 기억부에서 SPD, SAD가 판독되는 것은 장치전원투입이나 장치리세트 등을 행한 후의 장치기동시 뿐이었다. 이때문에 SPD, SAD가 변경된 경우, 그 갱신된 SA가 IPSEC처리에 반영되는 것은 동일하게 장치전원투입시 및 장치리세트시 등의 장치기동후였다.
그러나, 본 실시형태는 상기 데이터 기억부(403)의 상기 SPD, SAD가 설정한 변경등에 의해 갱신된 경우에는 이하의 처리를 행한다. 즉, 상기 처리부(401)는, 상기 일시데이터 기억부(402)에 격납되어 있는 SPD, SAD를 사용하여 통신처리를 행하고 있는 경우에는 그 처리중의 처리가 끝나면 통신을 중단함과 동시에 갱신된 SPD, SAD를 데이터 기억부(103)로부터 판독하고, 상기 일시데이터 기억부(402)에 격납된 해당 SPD, SAD에 덮어쓰기한다. 여기서, 덮어쓰기하는 것은 상기 갱신된 SPD, SAD만이고, 유저별 SPD중 갱신되지 않는 것에 대해서는 갱신을 행하지 않는다. 이에 따라 갱신에 관계없는 SPD, SAD를 이용하여 통신을 행하고 있는 유저의 IPSEC통신에는 영향을 미치지 않는다.
다음에, 그 격납된 SPD, SAD를 사용하여 상기 IKE페이즈 2를 사용하여 SA를 재확립하고, 새롭게 확립된 그 SA를 사용하여 IPSEC처리를 재개한다.
상기 SPD, SAD의 갱신처리를 행함으로써 시큐리티 통신의 레벨을 갱신한 경우에도 장치를 재차 기동할 필요가 없고, 곧 갱신의 유효성 확인, 즉 IKE페이즈 2를 이용한 SA재확립 및 갱신의 반영을 행하는 것이 가능하다.
또, IPSEC통신중의 SA의 재확립에 대해서는 통신을 중단하여 즉시 재확립을 행하는 방법이나 처리중의 IPSEC통신이 종료하고 나서 재확립을 행하는 방법을 미리 선택할 수 있음과 함께, 처리하는 패킷의 유형에 따라 상기 재확립 방법을 선택할 수 있는 것으로 한다.
다음에, 시큐리티 통신을 시작함에 있어서 미리 상기 네트워크 접속장치(102)에 있어, 도 2의 유저별 SPD, 유저별 SAD 등의 정의 정보군을 설정하는 수순의 상세를 설명한다.
즉, 먼저 상기 네트워크 접속장치(102)관리자는 그 네트워크 접속장치(102)의 상기 처리부(401)에 대하여 상기 컴퓨터(101, 105)를 사용하는 유저별로 각 송신선 IP어드레스와, 통신할때의 IPSEC처리를 행할지 여부의 설정을 행하고, 유저별 SPD(SPD-1∼SPD-N)설정을 행하다. 또, 유저를 식별하는 방법에 대하여는 후술한다. 여기서, 상기 각 송신선 IP어드레스가 가령 상기 컴퓨터(104, 106)의 IP어드레스를 가르킨다는 것은 종래예와 같다. 또, 그 설정은 상기 컴퓨터(101, 105)등의 가령 WEB브라우저 등으로 행하거나 또는 직접 네트워크 접속장치(102)로 행할 수 있다. 또, 상기 각 송신선 IP어드레스는 종래기술과 같은 범위지정이 가능하다.
다음에, IPSEC처리를 행할 경우에는 그 IPSEC처리에 사용하는 SA의 내용인 인증알고리즘이나 인증파라메터, 암호화 알고리즘이나 암호화 파라메터 등을 포함하는 유저별 일련의 정의 정보군 SAD(SAD-1∼SAD-N)의 설정도 행한다. 상기 설정에 의해 도 2(a)에 도시하는 유저별 SPD(201)가 상기 네트워크 접속장치(102)의 데이터 기억부(403)에 복수등록되고, 또, 상기 SA의 내용인 인증알고리즘이나 인증파라메터, 암호화알고리즘이나 암호화파라메터 등을 포함하는 일련의 정의 정보군이 유저별 SAD(207)로서 등록되어 있다. 상기 등록된 SAD(207)가 포함하는 SA는 후기의 IKE페이즈 2에서 네트워크 접속장치(103)에 제안된다.
여기서, 도 2(a)에 도시한 유저별 SPD(201)는 상기 종래기술에 있어서의 SPD(1701)과 같이 송신선 어드레스(202), IPSEC처리 유무(203), SA의 위치를 나타내는 어드레스포인터(204), 송신선 IP어드레스(202)에 데이터를 송신할 경우, IPSEC패킷을 송신할 상대 통신단말의 IP어드레스(206)를 포함하지만, 또한 유저명(205)에 의해 구별되어 있는 점에서 종래기술과 다르다. 또 도 2(a)에는 유저별로 SPD를 설정하는 예를 도시하였으나 하나의 SPD내에 개개 유저를 식별하는 항목을 설정함으로써 유저별 SA를 지정하여도 된다.
동일하게, 도 2(b)의 유저별 SAD(207)는 도 18의 종래기술에 있어서의 SAD(1801)과 같은 구성을 가지고, 하나의 SAD에 복수의 SA를 포함한다. 가령, SAD-1에는 SA-11로부터 SA-1M(211)을 포함하고, 동일하게 SAD-N에는 SA-N1로부터 SA-NM을 포함한다. 또, 어드레스정보(209), 인덱스정보인 SPI(210), 시큐리티파라메터인 SAP(212)를 갖는다. 상기 어드레스정보(209)에는 송신선 IP어드레스, 송신선포트번호, 송신원 IP어드레스, 송신원 포트번호, 프로토콜 번호등이 포함되는 점도 종래기술과 같다. 단, 유저명(208)에 의해 구별되어 있는 점에서 종래기술과 다르다. 또, 도 2(b)에는 유저별로 SAD 설정한 예를 도시했으나, 하나의 SAD내에 개개 유저를 식별하는 항목을 설정함으로써 유저별 SA를 관리하여도 된다.
상기 설정이 끝나면, 상기 네트워크 접속장치(102)는 후기의 유저정보를 기초로 상기 설정의 유효성을 확인하기 위하여 상기 종래기술과 같이 IKE페이즈 1 및 페이즈 2를 이용하여 상기 네트워크 접속장치(103)와 통신을 행하고, 상기 설정된 내용에 기초하여 IPSEC통신이 가능한지를 확인함과 동시에, 통신이 가능하면 SA를 확립한다. 또, 상기 SA의 확립은 상기 설정종료시에 꼭 행할 필요는 없고, 가령 컴퓨터(101)와 컴퓨터(104)가 상기 네트워크 접속장치(102) 및 네트워크 접속장치(103)를 통하여 통신을 개시할 경우에 행하여도 된다.
또, 상기 네트워크 접속장치(103)에 대해서도 상기 네트워크 접속장치(102)에 대하여 행한 경우와 같이 상기 컴퓨터(104, 106)에 유저 인증장치를 접속하는 등하여 그 컴퓨터(104, 106)를 사용하는 유저별로 각 송신선 IP어드레스에 관한 설정을 행하여도 된다.
이어서, 상기 컴퓨터(101)를 사용하는 유저의 식별방법에 대하여 설명한다.
상기 컴퓨터(101)를 사용하는 유저는 그 컴퓨터(101)사용시에 상기 유저를 특정할 수 있는 고유번호를 기억하고 있는 IC카드를 상기 유저인증장치(110)에 통해서 입력한다. 다음에, 그 유저인증장치(110)에서 상기 고유번호에 대응하는 패스워드를 입력한다. 상기 유저인증장치(110)에 입력된 IC카드의 고유번호와 상기 패스워드가 사전에 설정되어 있는 것과 일치하면 상기 유저는 인증되어서, 상기 컴퓨터(101)를 사용가능케 한다. 또, 상기 유저의 인증에 의해 얻은 유저명이 상기 컴퓨터(101)에 기억된다.
또, 상기 유저의 인증은 IC카드일 필요는 없으며, 가령 자기카드, 원타임 패스워드, 지문, 장형(掌形), 손금, 필적, 홍채, 안면형상, 성문, DNA 등으로 개인을 식별하는 장치도 되고, 또는 상기 유저 인증장치를 설치하지 않고 상기 컴퓨터(101)로의 유저명과 패스워드의 입력에 의해 상기 인증을 행하여도 된다. 또, 상기 사전에 설정된 고유번호 또는 패스워드의 기억장소는 상기 컴퓨터(101)일 필요는 없고, 가령 고유번호 및 패스워드를 일원관리하는 컴퓨터를 별도로 설치하여 유저인증시에 상기 컴퓨터(101)에서 상기 일원관리 컴퓨터에 조회를 행하여도 된다.
다음에, 도 1, 도 2, 도 3을 사용하여 상기 컴퓨터(101)가 인터넷(109)을 통하여 접속되는 상기 컴퓨터(104)와 통신을 행할 경우의 처리 상세를 설명한다. 이하의 처리는 상기 도 4에 있어서의 시큐리티유형 선택수단(408)으로 실행된다.
또, 상기 IPSEC통신에 사용되는 SA가 확립된 후, 송신원 컴퓨터(101)에서 상기 컴퓨터(104)에 송신되는 데이터는 상기 컴퓨터(101)로 IP헤더가 부가되고, IP패킷으로서 LAN(107)을 통하여 네트워크 접속장치(102)에 보내지는 점은 상기 종래기술과 동일하다. 단, 본 실시형태에 있어서는 이에 덧붙여 상기 유저인증으로 얻은 유저명을 상기 IP헤더의 옵션부에 삽입하는 처리가 행해지고 있다. 상기 옵션부는 상기 IP헤더중에서 유저(설계자)가 임의로 사용가능한 데이터 에어리어이다.
네트워크 접속장치(102)에서는 송신원 컴퓨터(101)에서 송신된 IP패킷을 수신하면 먼저 그 IP패킷에 포함되는 유저명 및 송신선 IP어드레스를 판독한다(도3:S301). 이어서 복수의 유저별 SPD(201)로부터 상기 유저명에 대응하는 SPD를 선택하고, 또, 그 유저명에 대응하는 SPD로부터 상기 송신선 IP어드레스를 기초로 송신선 IP어드레스(202)를 검색한다(도3:S302). 또, 대응하는 IPSEC처리(203)유무를 확인한다.
여기서, 상기 IPSEC처리(203)가 "무" 즉 IPSEC처리를 행하지 않는 설정일 경우, 후술하는 IPSEC처리는 행하지 않고 상기 수신한 IP패킷을 그대로 상기 네트워크 접속장치(103)에 송신한다(도3:S303의 No).
상기 IPSEC처리(203)가 "유" 즉 IPSEC처리를 행하는 설정일 경우, 다시 대응하는 상기 IPSEC패킷을 송신할 상대 통신단말의 IP어드레스(206) 및 SA의 위치를 나타내는 어드레스포인터(204)를 판독함과 동시에, 그 어드레스포인터(204)에 기초하여 해당 SA를 판독한다(도3:S304). 또, 해당 SA는 상기 IKE페이즈 2에서 확립된 SA인 점은 종래기술과 동일하다.
다음에, 상기 네트워크 접속장치(102)는 상기 SA의 내용에 따라 소정의 인증알고리즘 및 암호화 알고리즘을 사용하여 상기 IP패킷에서 인증/암호화 데이터를 작성한다(도3:S305). 또한, 상기 네트워크 접속장치(102)는 상기 인증/암호화 데이터에 인증헤더인 AH 또는 인증/암호화 헤더인 ESP를 추가하고, 이어서 송신선 어드레스를 상기 IPSEC패킷을 송신할 상대의 통신단말 어드레스(206)로서 인터넷(109)을 통하여 상기 네트워크 접속장치(103)에 송신한다(도3:S306).
이후, 상기 네트워크 접속장치(103)가 수신한 IP패킷이 IPSEC패킷인지를 판별하여 원 IP패킷을 생성하기까지의 처리는 상기 종래기술과 동일하다.
이상과 같이 미리 유저별로 SPD를 설정하고, 또 각 통신단말에 있어서의 유저인증정보를 이용하여 시큐리티 통신의 내용을 나타내는 SA를 결정하기 때문에 종래의 편리성을 손상하지 않고 유저에 따라 최적의 시큐리티 통신의 레벨을 설정할 수 있다.
또, 상기 실시형태 1에서는 네트워크 접속장치에 IPSEC기능을 탑재하고 있으나, 당연히 컴퓨터(101, 104)등에 IPSEC기능을 탑재하여 시큐리티통신을 행하여도 문제없다.
또, SA가 확립된 상태로 유저명에 대응하는 SPD를 검색할 경우에 해당 SPD가 없을 경우 및 SPD에 해당 IP어드레스가 없을 경우(도시생략), 유저에 그 취지를 도시하여, 시큐리티처리를 실시하지 않고 IP패킷을 송출하여도 되고, 또 송신을 행하지 않는 것도 가능하다. 또, 유저에 송신할지 여부를 문의하는 대응을 행하여도 된다. 또, SPD로 IPSEC처리를 행하지 않는 설정으로 되어 있을 경우는 그대로 IPSEC처리를 행하지 않고 송신선 IP어드레스에 IP패킷을 송출한다.
또한, 본 실시형태는 시큐리티통신의 프로토콜을 IPSEC에 한정하고 있지만 네트워크 접속장치가 복수의 시큐리티통신의 프로토콜을 탑재하고 있을 경우는 상기 유저정보와 상기 시큐리티통신의 프로토콜을 대응시킴으로써 유저에 의해 시큐리티통신의 프로토콜을 분할사용하는 것이 가능해진다. 상기 시큐리티통신이 프로토콜을 분할사용함으로써 더욱 다종다양한 시큐리티통신을 행할 수 있다.
또한, 본실시형태는 IPSEC를 이용하여 각 유저에 대응하는 SPD를 지정하고 있으나 IPSEC이외의 프로토콜을 이용할 경우에 대하여도 동일하고, 유저인증정보에서 대응하는 SPD 또는 SPD에 상당하는 데이터 베이스를 참조하여 SA 또는 SA에 상당하는 정보를 지정함으로서 인증알고리즘, 암호화알고리즘 등의 일련의 정의정보군을 지정할 수 있다. 당연히, 사용하는 프로토콜의 유형에 따라서는 SPD를 참조하지 않고 직접 SA를 지정하여도 된다.
또, 유저수가 다수일 경우 등에는 유저별 SPD를 작성하지 않고 각 유저가 소속된 그룹을 작성하여 그 그룹별로 시큐리티통신의 레벨을 변경하여도 된다. 이 경우에는 유저인증시에 그룹정보도 함께 관리하고, 그 그룹정보를 가지고 상기 SPD를 참조한다.
또, 본 실시형태는 유저인증으로 얻은 유저명을 IP헤더의 옵션부에 삽입함으로써 각 IP패킷과 유저명을 대응시키고 있으나, 가령 유저인증시에 그 인증내용을 각 컴퓨터가 네트워크 접속장치에 통지하고, 그 네트워크 접속장치에서 각 유저명과 컴퓨터를 각각 대응시키는 데이터 베이스를 가짐으로써 각 IP패킷과 유저명의 대응시킴을 행하여도 된다.
실시형태 2
다음에, 도 5, 도 6을 참조하며서 실시형태 2에 있어서의 애플리케이션층의 어드레스정보를 SA에 대응시키는 방법에 대하여 설명한다. 여기서 애플리케이션층이란, OSI참조모델의 제 7층을 가르키고, 주로 통신처리가 관계하는 애플리케이션을 뜻한다. 여기서, 애플리케이션층의 인터넷 어드레스 정보는 포스트명 또는 포스트명과 접속프로토콜을 조합시킨 URL(Uniform Resource Locator)표기를 포함하는 것으로 한다. 또, 후기하는 네트워크 접속장치는 상기 실시형태 1에서 나타낸 경우와 같이 시큐리티통신의 레벨을 변경한 경우등이라도 장치를 다시 재기동시키지 않고 변경을 반영할 수 있는 것이다.
도 5에 도시한 인터넷 어드레스를 이용한 SPD(501)는 인터넷 어드레스(502), 송신선 IP어드레스(503), IPSEC처리유무(504), SA의 위치를 나타내는 어드레스포인터(505), 송신선 IP어드레스(503)에 데이터를 송신할 경우에 IPSECC패킷을 송신할 상대의 통신단말 IP어드레스(506)를 구비한다. 상기 인터넷 어드레스(502)를 구비한 점을 제외하고는 종래기술에 있어서의 SPD(1701)과 동일하다. 또, 상기 어드레스 포인터(505)가 가리키는 SA가 포함되는 SAD구성도 종래기술의 SAD(1801)와 동일하다. 또한, 상기 인터넷 어드레스(502)는 구체적으로는 가령 "http://abc.def.com"이라는 URL이나 "abc@def.com"이라는 전자메일 어드레스, 동일하게 전자메일의 송수신에 사용되는 POP서버(post office protocol서버), SMTP서버(Simple Mail Transfer Protocol서버)등의 어드레스가 격납된다.
우선 먼저 도 6을 사용하여 본실시형태 2에 있어서의 애플리케이션층의 어드레스정보를 SA에 대응시키는 구체적 조작예를 설명한다. 도 6은 IPSEC기능을 탑재한 네트워크 접속장치의 설정을 행하는 컴퓨터등의 통신단말장치의 개략도이다.
도 6에 있어서, 통신단말장치본체(608)는 제어수단(609), 디스플레이(601), 네트워크 접속장치 관리수단(610), 입력수단(611), 지시입력수단(612)을 구비한다. 또, 후기의 각 소프트웨어는 상기 제어수단(609)또는 그 상기 제어수단(609)을 구성하는 상기 네트워크 접속장치 관리수단으로 실행된다. 또, 상기 통신단말 장치본체(608)를 사용하는 유저에 대한 정보 도시 등은 필요에 따라 상기 각 소프트웨어의 도시기능에 의해 상기 디스플레이(601)에 도시된다.
우선, 상기 통신단말 장치본체(608)의 상기 제어수단(609)으로 애플리케이션층의 어드레스정보가 되는 URL(603)을 도시하는 애플리케이션 소프트웨어인 WEB열람 소프트웨어(602)등을 실행한다.
또한, 상기 네트워크 접속장치 관리수단(610)으로 네트워크 접속장치 관리소프트웨어(605)를 실행한다. 그 네트워크 접속장치 관리소프트웨어(605)는 파라메터 설정용 윈도(606) 및 설정버튼(607)을 도시하는 기능을 가지고, 상기 파라메터 설정용 윈도(606)에는 상기 네트워크 접속장치가 서포트하는 복수의 SA가 도시되어 있다. 또, 상기 복수의 SA는 인증알고리즘, 암호화알고리즘 등이 상이하고, 이 차이에 따라 시큐리티통신의 레벨이 상이한 것이다. 또, 상기 디스플레이(601)는 상기네트워크 접속장치에 직접 접속되고, 그 네트워크 접속장치가 상기 제어수단(609) 및 네트워크 접속장치 관리수단(610)의 기능을 제공하여도 되지만 네트워크 접속장치와 네트워크를 통하여 접속되어 있는 컴퓨터(가령 컴퓨터(101))로 상기 제어수단(609) 및 네트워크 접속장치 관리수단(610)의 기능을 제공하여도 된다. 이 경우에는 상기 조작은 상기 컴퓨터에 의해 행해지고, 통신에 의해 상기 조작의 변경이 상기 네트워크 접속장치에 반영된다.
상기 네트워크 접속장치의 설정을 행하는 유저는 상기 통신단말 장치본체(608)로 디스플레이(601)에 도시되어 있는 어드레스정보인 상기 URL(603)등을 지시입력수단(612)을 사용하여 드래그하고, 상기 파라메터설정용 윈도(606)에 도시되어 있는 복수의 SA중, 희망하는 임의의 하나에 드롭한다. 상기 지시입력수단(612)이란, 가령 컴퓨터에서 일반적으로 사용되는 마우스, 트랙볼, 조이스틱, 터치펜, 손가락 등의 포인터지시수단이다. 이 조작에 의해 상기 애플리케이션층의 어드레스정보를 SA에 대응시킬 수 있다. 이어서, 상기 설정버튼(607)을 클릭함으로써 상기 네트워크 접속장치로 후기의 설정처리를 행한다. 또, 설정버튼(607)을 클릭한 경우, IPSEC통신도중이라도 그 통신을 중단하여 즉시 해당 설정갱신처리를 행하거나, 해당 통신이 종료하고 나서 즉시 해당 설정갱신처리를 행할지는 설정등으로 선택가능한 것이다. 또, 통신을 행할 경우에 처음에 해당설정갱신이 있던 통신상대와 시큐리티통신을 위한 접속을 행할지, 즉시 상기 접속을 행할지에 대해서도 설정등으로 선택이 가능한 것으로 한다.
다음에, 도 4, 도 5, 도 7을 사용하여 상기 유저에 의한 조작이 종료된 후의 상기 네트워크 접속장치에서 행해지는 설정처리를 설명한다. 우선, 네트워크 접속장치의 설정을 행하는 유저가 상기와 같이 상기 애플리케이션층의 어드레스정보를 SA에 대응시킨후, 상기 네트워크 접속장치 처리부(401)는 데이터 기억부(403)에 격납되는 SPD(501)의 인터넷 어드레스(502)에 애플리케이션층의 어드레스 정보를 격납한다(도 7:S701∼S720).
다음에, 상기 처리부(401)는 DNS서버(Donain Name System 서버)를 사용하여 상기 어드레스정보를 IP어드레스로 변환한다(도 7:S703). 여기에, DNS서버란, 인터넷 접속환경이 있으면 일반적으로 사용되는 서비스로, 상기 어드레스 정보라면 가령 "abc.def.com"라는 문자열을 이용해서 문의함으로써 상기 "abc.def.com"에 대응하는 IP어드레스를 회답하는 서버이다. 다음에, 상기 처리부(401)는 상기 변환한 IP어드레스를 상기 SPD(501)의 송신선 IP어드레스(503)에 격납하고, 또 상기 데이터 기억부(403)에 격납되는 SAD(1801)를 구성하는 어드레스정보(1804)에 필요한 송신선 IP어드레스, 송신선 포토번호, 송신원 IP어드레스, 송신원 포토번호, 프로토콜번호 등을 각각 상기 SAD에 격납한다(도 7:S704). 여기서, 상기 송신선, 송신원 포트번호 및 프로토콜번호는 가령 상기 어드레스 정보의 일부인 "http"에 의해 판단된다.
상기 SPD(501) 및 SAD(1801)에 필요한 정보가 모인후, 상기 네트워크 접속장치의 시큐리티 선택수단(408)은 상기 설정에 의한 접속의 확인을 행할지를 유저에 문의한다(도 7:S705). 또, 유저에의 문의는 별도설정으로 자동적으로 행할지 여부를 설정하여도 되고, 또 접속의 확인을 행하는 설정 아이콘 또는 버튼을 설정하여 그 설정 아이콘 또는 버튼을 누르면 접속확인이 행해지도록 하여도 된다.
접속확인을 행할 경우는 상기 송신선 IP어드레스에 대하여 종래기술과 같이 IKE페이즈 1, 페이즈 2 및 새로이 설정된 상기 SPD(501) 및 SAD(1801)의 정보를 이용하여 접속확인을 행하고, 그 결과를 유저에 통지한다(도 7:S705의 Yes→S707). 이상의 처리에 의해 애플리케이션층의 어드레스정보의 SA에의 대응이 완료된다. 설정후에는 상기 새롭게 설정된 SPD(501) 및 SAD(1801)를 이용하여 시큐리티 통신이 행해진다.
또, 상기 접속확인을 특별히 유저에 문의할 필요는 없고, 자동으로 확인을 행하게 하여도 된다. 또, 후기하는 시큐리티 정보장치를 도입함으로써 상기 IPSEC기능을 탑재한 통신단말의 IP어드레스의 입력을 자동으로 행하는 것도 가능하다.
이와같이 평소에 잘 사용하는 애플리케이션으로 지정하는 어드레스 정보를 이용하여 SA의 설정을 행함으로써 전문지식이 없는 유저라도 SA의 지정을 쉽게 행할 수 있다.
또한, 상기 파라메터 설정용 윈도(606)의 SA도시를 가령 "시큐리티고(高)", "시큐리티중", "시큐리티저", "시큐리티 없음"등의 도시로 함으로써 유저에 의한 어드레스정보의 SA에의 대응을 더욱 알기 쉽게 할 수 있다.
또, 본 실시형태 2에서는 IPSEC를 사용한 경우의 어드레스정보의 SA에의 대응례를 도시하고 있으나 IPSEC이외의 프로토콜을 사용할 경우에 대해서도 동일하다.
당연히 상기 실시형태 1에서 실시되는 유저별 시큐리티통신과 동시에 실시하여도 아무 문제없다. 이 경우의 SPD의 예를 도 8의 SPD(801)에 도시한다.
실시형태 3
다음에 도 9, 도 10, 도 11, 도 12, 도 13을 참조하면서 실시형태 3에 있어서의 시큐리티 정보장치의 기능에 대하여 설명한다. 도 9에 도시하는 각종 기기등(101∼111)은 도 1의 것과 같으나, 또한 네트워크 접속장치(902)를 통하여 시큐리티 정보장치(901)가 인터넷(109)에 접속되어 있다. 여기서, 상기 네트워크 접속장치(902)는 특별히 IPSEC 기능을 탑재하고 있을 필요는 없고, 상기 시큐리티 정보장치(901)에 대한 외부로 부터의 부정한 엑세스를 방지하는 것이면 된다.
상기 시큐리티 정보장치(901)는 도 13(a)의 구성 갖는다. 즉, 추장 SA관리수단(1301), 기억수단(1302)을 구비하고, 상기 추장 SA관리수단(1301)은 송신수단(1304)을 통하여 상기 네트워크 접속장치(902)와 접속되어 있다. 또, 도 11에 도시하는 추장하는 SA를 검색하기 위한 제 1 데이터 베이스(1101)및 도 12에도시하는 추장하는 SA를 검색하기 위한 제 2 데이터 베이스(1201)가 상기 기억수단(1302)에 격납되어 있고, 필요에 따라 상기 추장 SA관리수단이 판독가능하다.
또, 네트워크 접속장치(102, 103)는 도 13(b)에 도시한 바와 같이 송수신수단(1308), 기억수단(1309), 제어수단(1305)을 구비하고, 그 제어수단(1305)은 다시 문의 수단(1306) 및 문의 회답수단(1307)을 구비한다.
다음에, 컴퓨터(104)는 도 13(c)에 도시한 바와 같이 송수신수단(1312), 문의 회답수단(1311)을 구비한다. 또, 각 수단의 기능은 적당히 설명한다.
상기 제 1 데이터 베이스는 송신선 IP어드레스(1102), IPSEC패킷을 송신할 상대 통신단말의 IP어드레스(1103), IPSEC처리의 유무(1104), SA의 위치를 도시하는 어드레스포인터(1105)로 구성된다. 여기서, 상기 송신선 IP어드레스(1102) 및 IPSEC 패킷을 송신할 상대 통신단말의 IP어드레스(1103)는 IP어드레스의 범위를 등록할 수도 있다. 또, 상기 IPSEC 패킷을 송신할 상대 통신단말의 IP어드레스(1103)는 IP어드레스(1102)에 대하여 IPSEC처리를 행하는 IPSEC기능을 탑재한 통신단말의 IP어드레스이다.
또한 도 12는 추장하는 SA를 격납하는 제 2 데이터 베이스(1201)이고, 복수의 추장 SA가 격납되어 있다. 그 추장 SA란 송신선인 IPSEC기능을 탑재한 통신단말이 추장하는 SA나 제 3자 기관이 규정한 SA이고, 송신선이 제공하는 서비스에 의해 시큐리티통신의 레벨이 다르다. 또, 도 10은 이해를 돕기 위하여 도 9에서 설명에 불필요한 기기를 생략한 것이다. 본 실시형태 3에서는 우선, 도 9에 있어서, 네트워크 접속장치(102)가 IPSEC통신을 행하고자 하는 네트워크 접속장치(103)와의 사이에서 SA의 확립을 행하기 전에 시큐리티 정보장치(901)에 상기 IPSEC통신에 걸맞는 추장 SA를 문의한다. 상기 네트워크 접속장치(102)와 네트워크 접속장치(103)사이에서 SA의 확립을 행하는 것은 가령 상기 네트워크 접속장치(102) 및 네트워크 접속장치(103)의 초기설정시에나 컴퓨터(101)와 컴퓨터(104)가 상기 네트워크 접속장치(102) 및 네트워크 접속장치(103)를 통하여 통신을 개시할 경우 등이다. 또, 추장 SA에서 SA의 확립을 도모했음에도 불구하고 희망하는 추장 SA에서 SA를 확립할 수 없는 경우, 송신을 중지한다. 또는 유저에 문의하는 그대로 추장 SA이외의 SA에서 SA확립을 행한다. IPSEC통신을 행하는 등의 방법을 고려할 수 있다.
여기서 컴퓨터(101)와 컴퓨터(104)가 상기 네트워크 접속장치(102) 및 네트워크 접속장치(103)를 통하여 통신을 개시할 경우의 상기 추장 SA의 문의를 상정하면 아래와 같다.
즉, 네트워크 접속장치(102)가 상기 컴퓨터(101)에서 상기 컴퓨터(104)에 송신하는 IP패킷을 상기 송수신수단(1308)을 통하여 수신하면, 상기 제어수단(1305)은 상기 네트워크 접속장치(102)의 상기 기억수단(1309)에 격납되는 SPD를 판독한다.
여기서 그 SPD에 상기 컴퓨터(104)의 정보가 없을 경우, 상기 네트워크 접속장치(102)는 상기 문의수단(1306)에 의해 시큐리티 정보장치(901)에 상기 IPSEC통신에 걸맞는 추장 SA를 문의한다(도10 S1001). 또, 상기 시큐리티 정보장치(901)의 어드레스는 미리 상기 네트워크 접속장치(102)의 기억수단(1309)에 격납되어 있는것으로 한다.
상기 추장 SA의 문의에 있어, 상기 네트워크 접속장치(102)는 송신선의 컴퓨터(104)의 IP어드레스를 상기 시큐리티 정보장치(901)에 송신한다. 상기 송수신수단(1304)을 통하여 상기 컴퓨터(104)의 IP어드레스를 수신한 상기 시큐리티 정보장치(901)의 추장 SA관리수단(1301)은 상기 컴퓨터(104)의 IP어드레스를 기초로 상기 기억수단(1302)에 격납되어 있는 상기 제 1 데이터 베이스(1101)의 송신선 IP어드레스(1102)를 검색하여 대응하는 상기 IPSEC 패킷을 송신할 상대 통신단말의 IP어드레스(1103), IPSEC처리 유무(1104) 및 SA의 위치를 도시하는 어드레스 포인터(1105)를 얻는다.
또한, 상기 추장 SA관리수단(1301)은 상기 어드레스 포인터(1105)를 사용하여 상기 기억수단(1302)에 격납되어 있는 제 2 데이터 베이스(1201)에서 추장 SA를 얻고, 그 추장하는 SA를 상기 송수신수단(1304)을 통하여 IPSEC패킷을 송신할 상대 통신단말의 IP어드레스(1103), IPSEC처리 유무(1104)와 함께 상기 네트워크 접속장치(102)에 반송한다(도10 S1002).
여기서, 상기 IPSEC패킷를 송신할 상대 통신단말의 IP어드레스(1103)에는 미리 등록된 상기 네트워크 접속장치(103)의 IP어드레스가 기억되어 있다. 또, 반송하는 추장 SA수는 복수라도 상관없다.
다음에, 상기 추장 SA, 상기 IPSEC패킷을 송신할 상대 통신단말의 IP어드레스(1103) 및 IPSEC처리 유무(1104)를 수신한 네트워크 접속장치(102)의 상기 제어수단(1305)은 상기 수신한 IPSEC패킷을 송신할 상대 통신단말의 IP어드레스(1103)에 기초하여 네트워크 접속장치(103)와의 사이에서 종래기술에서 설명한 SA의 확립을 행하고, IKE페이즈 2에 있어서의 SA의 후보로서 추장 SA를 제안한다(도10 S1003).
네트워크 접속장치(103)는 수취한 추장 SA에서의 IPSEC 통신이 가능할 경우는 네트워크 접속장치(102)에 그 추장 SA를 반송해서 SA의 확립이 행해진다(도10 S1004).
따라서, 상기 네트워크 접속장치(102)가 시큐리티 정보장치(901)에 추장 SA를 문의함으로써 상대과 안전하게 통신이 가능한 SA를 알 수 있고, 그 추장 SA에 의해 IPSEC통신이 가능해진다.
여기서, 상기 네트워크 통신장치(102)가 상기 IPSEC통신에 걸맞는 추장 SA의 문의를 행한 경우로, 상기 시큐리티 정보장치(901)의 상기 제 1 데이터 베이스중에 해당 IP어드레스의 등록이 없는 경우를 고려할 수 있다(도10 S1001).
이같은 경우, 상기 시큐리티 정보장치(901)의 상기 추장 SA관리수단(1301)은 해당 컴퓨터(104)에 시큐리티 통신에 필요한 SA의 후보를 문의한다(도10 S1005).
문의를 받은 상기 컴퓨터(104)는 문의 회답수단(1311)에 의해 그 컴퓨터(104)에 미리 등록되어 있는 IPSEC 기능을 탑재한 네트워크 접속장치(103)의 IP어드레스를 상기 시큐리티 정보장치(901)에 반송한다(도10 S1006).
상기 IPSEC기능을 탑재한 네트워크 접속장치(103)의 IP어드레스를 수신한 상기 시큐리티 정보장치(901)의 추장 SA관리수단(1301)은 상기 네트워크 접속장치(103)에 대하여 SA의 후보를 문의한다(도10 S1007). 문의를 받은 상기 네트워크 접속장치(103)의 제어수단(1305)은 그 네트워크 접속장치(103)의 기억수단(1309)에 격납되어 있는 SA의 후보를 문의회답수단(1307)에 의해 상기 인증서버(901)에 송신한다(도10 S1008).
상기 SA의 후보를 수신한 시큐리티 정보장치(901)의 추장 SA관리수단(1301)은 상기 제 2 데이터 베이스(1201)에 상기 후보의 SA를 등록함과 동시에, 상기 제 1 데이터 베이스(1101)에 상기 네트워크 통신장치(102)에서 문의에 사용된 IP어드레스와 상기 후보의 SA위치를 도시하는 어드레스 포인터(1105), IPSEC패킷을 송신할 상대 통신단말의 IP어드레스(1103), IPSEC처리 유무(1104)를 등록한다. 또한, 상기 추장하는 SA를 상기 송신수단(1304)을 통하여 IPSEC패킷을 송신할 상대 통신단말의 IP어드레스(1103), IPSEC처리 유무(1104)와 함께 상기 네트워크 접속장치(102)에 반송한다(도10 S1002).
단, 문의를 받은 상기 컴퓨터(104)에 상기 네트워크 접속장치(103)의 IP어드레스가 등록되어 있지 않은 경우나 IPSEC기능을 탑재한 통신단말 등이 없는 경우, 또는 상기 문의 회답수단(1311)을 구비하지 않은 경우, 그 뜻을 상기 시큐리티 정보장치(901)에 반답(返答)하거나 또는 반답을 행하지 않는다. 그 반답을 받은 또는 반답을 받을수 없었던 상기 시큐리티 정보장치(901)는 상기 뜻을 상기 네트워크 접속장치(102)에 통지함과 동시에, 상기 제 1 데이터 베이스(1101)의 송신선 IP어드레스(1102)에 상기 컴퓨터(104)가 IP어드레스를 등록하고, 또한 IPSEC처리 유무(1104)를 "없슴"으로 한다. 이같은 경우에는 상기 네트워크 접속장치(102)의 제어수단(1305)은 상기 컴퓨터(101)의 유저에 시큐리티 통신을 행할 수 없다는 뜻을 통지하고, 또는 통신을 행하지 않는다는 대응을 행하여도 된다.
또, 상기 종래기술에서 설명한 바와같이, IKE페이즈 2에서는 쌍방통신의 경우는 독립된 2개의 SA가 설정된다. 따라서, 네트워크 접속장치(102)의 요청에 의해 IKE페이즈 2에 의한 SA의 확립을 행할때에 상기 네트워크 접속장치(103)의 제어수단(1305)은 상기 시큐리티 정보장치(901)에 대하여 상기 네트워크 접속장치(102)의 추장 SA의 문의를 행하여도 된다(도10 S1009).
상기 시큐리티 정보장치(901)의 상기 제 1 데이터 베이스(1101)에 상기 네트워크 접속장치(102)의 추장 SA가 등록되지 않은 경우, 상기 시큐리티 정보장치(901)의 추장 SA관리수단(1301)이 상기 네트워크 접속장치(102)에 SA의 문의라는 처리가 행해진다.(도10 S1010∼S1011). 이어서 상기 문의에 대응하는 회답이 상기 네트워크 접속장치(103)에 통지된다(도10 S1012). 이 수순은 상기 처리(S1001∼S1002, S1007∼S1008)와 같기 때문에 상세는 생략한다.
이와 같이 시큐리티 정보장치를 설치함으로써 유저가 통신상대 시큐리티 통신의 레벨을 생각할 필요는 없이, 적절한 SA를 설정가능하게 된다. 또한 가령 상기 시큐리티 정보장치를 제 3자기관이 관리함으로써 통신상대 어드레스에 의해 통신상대가 제공하는 서비스 내용에 따라 시큐리티 통신의 레벨을 최적으로 하는 것이 가능해진다. 또, 시큐리티 정보장치가 자동적으로 해당하는 통신단말에 SA후보를 문의하여 그 문의 내용을 수집함으로써 추장 SA를 일원관리할 수 있고, 각 IPSEC 기능을 탑재한 통신단말은 상기 시큐리티 정보장치에 문의를 행하는 것만으로 추장 SA의 후보를 얻을 수 있게 된다. 이같은 시스템은 가령 복수회사를 IPSEC기능을 탑재한 루터등으로 접속할 경우 등, IPSEC통신을 적용하는 규모가 큰 경우는 특히 통신단말에 대한 설정이 간단히 행해지고, 관리자 및 유저의 부담경감 등에 유효하다.
또, 상기 시큐리티 정보장치가 격납된 데이터 베이스를 2개로 나누고 있으나 특별히 나눌 필요는 없고, 상기 기능이 실현된다면 1개의 데이터 베이스로 하여도 된다. 또한, 상기 항목에 한하지 않고 기타 SA에 필요한 정보를 격납할 수 있다.
또한, 시큐리티 정보장치가 RADIUS(Remote Authentication Dial-In User Service)서버를 겸하여도 되고, IKE로 교환되는 키정보의 관리나 SA와 대응하는 SPI정보의 관리를 동시에 행해서, 이들 정보를 제공하여도 된다.
또, 각 컴퓨터가 IPSEC기능을 탑재할 경우에도 상기 네트워크 접속장치와 같이 시큐리티 정보장치에 문의를 행할 수 있다.
또, 상기 송신선 IP어드레스나 IPSEC패킷을 송신할 상대 통신단말의 IP어드레스는 IP어드레스를 사용하고 있으나 특별히 IP어드레스에 한정되는 것은 아니고, 송신선 통신단말(컴퓨터)을 특정하는 단말특정정보이면 되고, 가령 컴퓨터명이나 MAC어드레스(Media Access Control Address), 전화번호 등이라도 된다.
또, 실시형태 3은 상기 실시형태 1과 조합시켜서 사용할 수 있고, 이 경우에는 상기 제어수단(1305) 및 기억수단(1309)이 시큐리티유형 선택수단(408)이 되고, 송수신 제어부(1308)가 네트워크 제어부(406) 및 회전제어부(407)가 된다.
본 발명은 상기 과제를 해결하기 위하여 제안하는 것으로, 본 발명에 의하면종래의 편의성을 손상하지 않고 데이터 송신을 행하는 유저별 시큐리티 통신의 레벨를 설정가능함과 동시에 네트워크에 관한 전문지식이 없이도 쉽게 각종 시큐리티통신을 위한 접속 파라메터를 변경할 수 있고, 또 즉시 그 변경의 유효성 확인 및 반영을 행하기가 가능하고, 또, 접속상대와의 통신에 어느 정도의 시큐리티통신 레벨을 설정하면 되는가를 자동으로 설정할 수 있는 시큐리티 통신방법을 제공할 수 있다.

Claims (40)

  1. 송신원 통신단말로부터 네트워크를 통하여 접속되는 송신선 통신단말로 송신되는 통신의 시큐리티를 확보하는 시큐리티 통신장치에 있어서,
    상기 송신원 통신단말을 사용하는 유저의 정보와 시큐리티유형을 대응시킨 대응정보를 기억하는 기억수단과,
    상기 유저의 정보에 기초하여 상기 대응정보로부터 시큐리티유형을 결정하는 시큐리티유형 선택수단을 구비하는 것을 특징으로 하는 시큐리티 통신장치.
  2. 제 1 항에 있어서, 상기 시큐리티유형 선택수단이 또한 상기 대응정보 변경시에 상기 변경후의 정보에 기초한 통신의 확립을 즉시 확인하는 것을 특징으로 하는 시큐리티 통신장치.
  3. 제 1 항 또는 제 2 항에 있어서, 상기 시큐리티유형 선택수단이 결정하는 시큐리티유형이 시큐리티 프로토콜의 유형인 것을 특징으로 하는 시큐리티 통신장치.
  4. 제 3 항에 있어서, 상기 시큐리티 프로토콜이 IPSEC인 것을 특징으로 하는 시큐리티 통신장치.
  5. 제 1 항 또는 제 2 항에 있어서, 상기 시큐리티유형 선택수단이 결정하는 시큐리티유형이 시큐리티 통신시에 사용하는 정의정보군인 것을 특징으로 하는 시큐리티 통신장치.
  6. 제 5 항에 있어서, 상기 정의정보군이 시큐리티 폴리시인 것을 특징으로 하는 시큐리티 통신장치.
  7. 제 5 항에 있어서, 상기 정의 정보군이 인증알고리즘 또는 암호화 알고리즘의 적어도 하나를 포함하는 것을 특징으로 하는 시큐리티 통신장치.
  8. 송신원 통신단말로부터 네트워크를 통하여 접속되는 송신원 통신단말로 송신되는 통신의 시큐리티를 확보하는 시큐리티 통신시스템에 있어서,
    상기 송신원 통신단말을 사용하는 유저의 인증을 행하는 유저인증수단과,
    상기 유저와 시큐리티유형을 대응시킨 대응정보를 기억하는 기억수단과, 상기 유저인증수단에 의해 인증된 유저의 정보에 기초하여 상기 대응정보로부터 시큐리티유형을 결정하는 시큐리티유형 선택수단을 구비한 것을 특징으로 하는 시큐리티 통신시스템.
  9. 제 8 항에 있어서, 상기 시큐리티유형 선택수단이 또한 상기 대응정보 변경시에, 상기 변경후의 정보에 기초한 통신의 확립을 즉시 확인하는 것을 특징으로 하는 시큐리티 통신시스템.
  10. 네트워크를 통하여 접속되는 통신단말간의 통신의 시큐리티를 확보하는 시큐리티 통신방법에 있어서,
    상기 통신단말을 사용하는 유저의 정보에 기초하여 시큐리티유형을 결정하는 것을 특징으로 하는 시큐리티 통신방법.
  11. 송신원 통신단말로부터 네트워크를 통하여 접속되는 송신선 통신단말로 송신되는 통신의 시큐리티를 확보하는 시큐리티 통신장치에 있어서,
    상기 송신원 통신단말로 동작하는 애플리케이션에 입력되는 인터넷 어드레스 정보와, 시큐리티유형을 대응시킨 대응정보를 기억하는 기억수단과.
    상기 인터넷 어드레스 정보에 기초하여 상기 대응정보로부터 시큐리티유형을 결정하는 시큐리티유형 선택수단을 구비한 것을 특징으로 하는 시큐리티 통신장치.
  12. 제 11 항에 있어서, 상기 대응정보가 또한 상기 송신원 통신단말을 사용하는 유저의 정보와 시큐리티유형이 대응되어 있음과 함께,
    상기 유저의 정보에도 기초하여 상기 시큐리티유형을 결정하는 것을 특징으로 하는 시큐리티 통신장치.
  13. 제 11 항 또는 제 12 항에 있어서, 상기 시큐리티유형의 결정을, 시각화된 상기 시큐리티유형의 일람에 대하여, 동일하게 시각화된 상기 인터넷 어드레스 정보를 시각적으로 대응시킴으로써 행하는 것을 특징으로 하는 시큐리티 통신장치.
  14. 제 11 항에 있어서, 상기 인터넷 어드레스 정보의 IP어드레스로의 변환에 도메인네임 시스템 서버를 이용하는 것을 특징으로 하는 시큐리티 통신장치.
  15. 제 11 항 내지 제 14 항중의 어느 한항에 있어서, 상기 시큐리티유형이 시큐리티 프로토콜인 것을 특징으로 하는 시큐리티 통신장치.
  16. 제 15 항에 있어서, 상기 시큐리티 프로토콜이 IPSEC인 것을 특징으로 하는 시큐리티 통신장치.
  17. 제 11 항 내지 제 14 항중 어느 한항에 있어서, 상기 시큐리티유형이 시큐리티 통신시에 사용하는 정의정보군인 것을 특징으로 하는 시큐리티 통신장치.
  18. 제 17 항에 있어서, 상기 정의정보군이 시큐리티 폴리시인 것을 특징으로 하는 시큐리티 통신장치.
  19. 제 17 항에 있어서, 상기 정의정보군이 인증알고리즘 또는 암호화 알고리즘의 적어도 하나를 포함하는 것을 특징으로 하는 시큐리티 통신장치.
  20. 송신원 통신단말로부터 네트워크를 통하여 접속되는 송신원 통신단말로 송신되는 통신의 시큐리티를 확보하는 시큐리티 통신시스템에 있어서,
    상기 송신원 통신단말로 동작하는 애플리케이션에 입력되는 인터넷 어드레스 정보와 시큐리티유형을 대응시킨 대응정보를 기억하는 기억수단과.
    상기 인터넷 어드레스 정보에 기초하여 상기 대응정보로부터 시큐리티유형을 결정하는 시큐리티유형 선택수단을 구비한 것을 특징으로 하는 시큐리티 통신시스템.
  21. 제 20 항에 있어서, 상기 송신원 통신단말을 사용하는 유저의 인증을 행하는 유저인증수단을 더 구비함과 동시에,
    상기 대응정보가 상기 송신원 통신단말을 사용하는 유저의 정보와 시큐리티유형이 대응되고,
    상기 유저의 정보에도 기초하여 상기 시큐리티유형을 결정하는 것을 특징으로 하는 시큐리티 통신시스템.
  22. 제 20 항 또는 제 21 항에 있어서, 상기 시큐리티유형의 결정을 시각화된 상기 시큐리티유형의 일람에 대하여 동일하게 시각화된 상기 인터넷 어드레스 정보를 시각적으로 대응시킴으로써 행하는 것을 특징으로 하는 시큐리티 통신시스템.
  23. 네트워크를 통하여 접속되는 통신단말간의 통신의 시큐리티를 확보하는 시큐리티 통신방법에 있어서,
    상기 통신단말로 동작하는 애플리케이션에 입력되는 인터넷 어드레스 정보와 시큐리티유형을 대응시키고,
    상기 인터넷 어드레스 정보에 기초하여 시큐리티유형을 결정하는 것을 특징으로 하는 시큐리티 통신방법.
  24. 통신단말을 특정하는 단말특정정보와, 그 통신단말과의 통신에 있어서 추장되는 시큐리티유형을 대응시킨 대응정보를 기억하는 기억수단과,
    상기 통신단말과는 다른 단말로부터의 상기 통신단말에 대하여 추장되는 시큐리티유형의 문의에 대하여, 상기 단말특정정보에 기초하여 상기 대응정보로부터 상기 추장되는 시큐리티유형을 선택하는 추장시큐리티유형 관리수단과,
    상기 선택된 추장되는 시큐리티유형을 송신하는 송신수단을 구비한 것을 특징으로 하는 시큐리티 정보장치.
  25. 제 24 항에 있어서, 상기 단말특정정보가 상기 대응정보에 없을 경우에 상기 통신단말에 대하여 그 통신단말과의 통신에 있어서 추장되는 시큐리티유형을 문의하는 문의수단을 더 구비한 것을 특징으로 하는 시큐리티 정보장치.
  26. 제 24 항 또는 제 25 항에 있어서, 상기 시큐리티유형이 시큐리티 프로토콜인 것을 특징으로 하는 시큐리티 정보장치.
  27. 제 26 항에 있어서, 상기 시큐리티 프로토콜이 IPSEC인 것을 특징으로 하는 시큐리티 정보장치.
  28. 제 24 항 또는 제 25 항에 있어서, 상기 시큐리티유형이 시큐리티 통신시에 사용하는 정의정보군인 것을 특징으로 하는 시큐리티 정보장치.
  29. 제 28 항에 있어서, 상기 정의정보군이 시큐리티 폴리시인 것을 특징으로 하는 시큐리티 정보장치.
  30. 제 28 항에 있어서, 상기 정의정보군이 인증알고리즘 또는 암호화 알고리즘의 적어도 하나를 포함하는 것을 특징으로 하는 시큐리티 정보장치.
  31. 송신원 통신단말로부터 네트워크를 통하여 접속되는 송신선 통신단말로 송신되는 통신의 시큐리티를 확보하는 시큐리티 통신장치에 있어서,
    상기 시큐리티의 확보에 사용되는 시큐리티유형을 소정의 시큐리티 정보장치에 문의하는 문의수단과,
    상기 문의에 대응하는 상기 소정의 시큐리티 정보장치로 부터의 회답에 기초하여 상기 시큐리티유형을 결정하는 시큐리티유형 선택수단을 구비한 것을 특징으로 하는 시큐리티 통신장치.
  32. 제 31 항에 있어서, 상기 회답이 1 또는 복수의 상기 시큐리티유형을 포함하는 것을 특징으로 하는 시큐리티 통신장치.
  33. 제 31 항 또는 제 32 항에 있어서, 상기 시큐리티유형이 시큐리티 프로토콜인 것을 특징으로 하는 시큐리티 통신장치.
  34. 제 33 항에 있어서, 상기 시큐리티 프로토콜이 IPSEC인 것을 특징으로 하는 시큐리티 통신장치.
  35. 제 31 항 또는 제 32 항에 있어서, 상기 시큐리티유형이 시큐리티통신시에 사용하는 정의정보군인 것을 특징으로 하는 시큐리티 통신장치.
  36. 제 35 항에 있어서, 상기 정의정보군이 시큐리티폴리시인 것을 특징으로 하는 시큐리티 통신장치.
  37. 제 35 항에 있어서, 상기 정의정보군이 인증알고리즘 또는 암호화 알고리즘의 적어도 하나를 포함하는 것을 특징으로 하는 시큐리티 통신장치.
  38. 송신원 통신단말로부터 네트워크를 통하여 접속되는 송신선 통신단말로 송신되는 통신의 시큐리티를 확보하는 통신장치를 구비한 시큐리티 통신시스템에 있어서,
    상기 통신장치가 상기 시큐리티의 확보에 사용되는 시큐리티유형을 소정의 시큐리티 정보장치에 문의하는 문의수단과,
    상기 문의에 대응하는 상기 소정의 시큐리티 정보장치로부터의 회답에 기초하여 상기 시큐리티유형을 결정하는 시큐리티유형 선택수단을 구비함과 동시에,
    상기 소정의 시큐리티 정보장치가 통신단말을 특정하는 단말특정정보와, 그 통신단말과의 통신에 있어서 추장되는 시큐리티유형을 대응시킨 대응정보를 기억하는 기억수단과,
    상기 통신단말과는 상이한 단말로 부터의 상기 통신단말에 대하여 추장되는 시큐리티유형 문의에 대하여, 상기 단말특정정보에 기초하여 상기 대응정보로부터 상기 추장되는 시큐리티유형을 선택하는 추장시큐리티유형 관리수단과,
    상기 선택된 추장되는 시큐리티유형을 송신하는 송신수단을 구비한 것을 특징으로 하는 시큐리티 통신시스템.
  39. 제 38 항에 있어서, 상기 소정의 시큐리티 정보장치가, 상기 단말특정정보가 상기 대응정보에 없을 경우에 상기 송신선 통신단말에 대하여 그 송신선 통신단말과의 통신에 있어서 추장되는 시큐리티유형을 문의하는 문의수단을 더 구비한 것을 특징으로 하는 시큐리티 통신시스템.
  40. 네트워크를 통하여 접속되는 통신단말간의 통신의 시큐리티를 확보하는 통신장치를 구비한 시큐리티 통신방법에 있어서,
    상기 통신장치가 그 통신장치와는 상이한 통신장치에 대하여 추장되는 시큐리티유형을 소정의 시큐리티 정보장치에 문의하고,
    상기 소정의 시큐리티 정보장치가 상기 통신장치로 부터의 상기 문의에 대하여 상기 추장되는 시큐리티유형을 선택하여 상기 통신장치에 송신하고,
    상기 통신장치가 상기 시큐리티 정보장치로부터 송신된 상기 추장되는 시큐리티유형에 기초하여 상기 시큐리티유형을 결정하는 것을 특징으로 하는 시큐리티 통신방법.
KR1020010019260A 2000-04-12 2001-04-11 시큐리티 통신방법, 통신시스템 및 그 장치 KR20010098513A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2000110651A JP2001298449A (ja) 2000-04-12 2000-04-12 セキュリティ通信方法、通信システム及びその装置
JP2000-110651 2000-04-12

Publications (1)

Publication Number Publication Date
KR20010098513A true KR20010098513A (ko) 2001-11-08

Family

ID=18623129

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010019260A KR20010098513A (ko) 2000-04-12 2001-04-11 시큐리티 통신방법, 통신시스템 및 그 장치

Country Status (6)

Country Link
US (1) US20010042201A1 (ko)
EP (2) EP1170927B1 (ko)
JP (1) JP2001298449A (ko)
KR (1) KR20010098513A (ko)
CN (1) CN1317899A (ko)
DE (2) DE60121483T2 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449809B1 (ko) * 2001-12-27 2004-09-22 한국전자통신연구원 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법
KR100850362B1 (ko) * 2007-04-12 2008-08-04 한국전자통신연구원 개인 휴대 임베디드 단말에 대한 보안성 강화 방법 및 그시스템
KR100888471B1 (ko) * 2002-07-05 2009-03-12 삼성전자주식회사 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법
US8438629B2 (en) 2005-02-21 2013-05-07 Samsung Electronics Co., Ltd. Packet security method and apparatus

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6546425B1 (en) * 1998-10-09 2003-04-08 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US8078727B2 (en) 1998-10-09 2011-12-13 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US8060656B2 (en) 1998-10-09 2011-11-15 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7293107B1 (en) 1998-10-09 2007-11-06 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7778260B2 (en) 1998-10-09 2010-08-17 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7882247B2 (en) 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
FR2822318B1 (fr) 2001-03-14 2003-05-30 Gemplus Card Int Dispositif portable pour securiser le trafic de paquets dans une plate-forme hote
GB0109299D0 (en) * 2001-04-12 2001-05-30 British Telecomm Hybrid network
US7061899B2 (en) * 2001-05-01 2006-06-13 Hewlett-Packard Development Company, L.P. Method and apparatus for providing network security
US7360076B2 (en) * 2001-06-13 2008-04-15 Itt Manufacturing Enterprises, Inc. Security association data cache and structure
US6982984B1 (en) * 2001-08-28 2006-01-03 Redback Networks Inc. Method and apparatus for virtual private networks
US20030056111A1 (en) * 2001-09-19 2003-03-20 Brizek John P. Dynamically variable security protocol
US7260650B1 (en) * 2001-11-28 2007-08-21 Cisco Technology, Inc. Method and apparatus for tunneling information
JP2003204326A (ja) 2002-01-09 2003-07-18 Nec Corp 通信システムと暗号処理機能付きlan制御装置、及び通信制御プログラム
AU2003205094A1 (en) * 2002-01-14 2003-07-30 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
JP3764125B2 (ja) * 2002-04-26 2006-04-05 富士通株式会社 ゲートウェイ、通信端末装置、および通信制御プログラム
JP4563662B2 (ja) * 2002-07-17 2010-10-13 パナソニック株式会社 記録媒体不正使用防止システム
JP4159328B2 (ja) 2002-09-11 2008-10-01 Necインフロンティア株式会社 ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法
JP2004112461A (ja) 2002-09-19 2004-04-08 Sony Corp データ処理方法、そのプログラムおよびその装置
EP1592189A4 (en) 2003-02-05 2012-05-23 Nippon Telegraph & Telephone FIREWALL DEVICE
JP4524996B2 (ja) * 2003-04-03 2010-08-18 パナソニック株式会社 テレビ電話機
GB0321335D0 (en) * 2003-09-11 2003-10-15 Rogers Paul J Method and apparatus for use in security
US7631181B2 (en) 2003-09-22 2009-12-08 Canon Kabushiki Kaisha Communication apparatus and method, and program for applying security policy
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US8186026B2 (en) * 2004-03-03 2012-05-29 Rockstar Bidco, LP Technique for maintaining secure network connections
JP3944182B2 (ja) 2004-03-31 2007-07-11 キヤノン株式会社 セキュリティ通信方法
JP2005347789A (ja) * 2004-05-31 2005-12-15 Niigata Seimitsu Kk Ip電話機を終端端末とした暗号システム
JP4047303B2 (ja) * 2004-06-04 2008-02-13 キヤノン株式会社 提供装置、提供プログラム、及び、提供方法
US20050283441A1 (en) * 2004-06-21 2005-12-22 Ipolicy Networks, Inc., A Delaware Corporation Efficient policy change management in virtual private networks
JPWO2006087819A1 (ja) * 2005-02-21 2008-07-03 富士通株式会社 通信装置
US20070011448A1 (en) * 2005-07-06 2007-01-11 Microsoft Corporation Using non 5-tuple information with IPSec
GB2428317A (en) * 2005-07-13 2007-01-24 Hewlett Packard Development Co Data collation system
US8056124B2 (en) * 2005-07-15 2011-11-08 Microsoft Corporation Automatically generating rules for connection security
JP4890866B2 (ja) * 2006-01-17 2012-03-07 Necエンジニアリング株式会社 構内交換機
US7675854B2 (en) 2006-02-21 2010-03-09 A10 Networks, Inc. System and method for an adaptive TCP SYN cookie with time validation
JP4690918B2 (ja) * 2006-03-14 2011-06-01 株式会社リコー ネットワーク機器
JP4994683B2 (ja) * 2006-03-17 2012-08-08 株式会社リコー ネットワーク機器
JP2007323553A (ja) * 2006-06-05 2007-12-13 Hitachi Ltd ネットワーク上の暗号化通信を行うアダプタ装置及びicカード
US20080005558A1 (en) * 2006-06-29 2008-01-03 Battelle Memorial Institute Methods and apparatuses for authentication and validation of computer-processable communications
EP2043296A4 (en) * 2006-07-13 2011-04-20 Keiko Ogawa RELAY DEVICE
JP4874037B2 (ja) * 2006-09-12 2012-02-08 株式会社リコー ネットワーク機器
US20080072033A1 (en) * 2006-09-19 2008-03-20 Mcalister Donald Re-encrypting policy enforcement point
JP4916270B2 (ja) * 2006-10-04 2012-04-11 株式会社リコー 情報処理装置、通信方法およびプログラム
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US8584199B1 (en) 2006-10-17 2013-11-12 A10 Networks, Inc. System and method to apply a packet routing policy to an application session
JP2008140295A (ja) * 2006-12-05 2008-06-19 Hitachi Ltd 計算機システム及び在席管理計算機
JP4774375B2 (ja) * 2007-02-20 2011-09-14 株式会社リコー ネットワーク通信機器
JP4812123B2 (ja) * 2007-06-15 2011-11-09 株式会社リコー 情報処理装置およびプログラム
US8935748B2 (en) * 2007-10-31 2015-01-13 Microsoft Corporation Secure DNS query
JP5121494B2 (ja) * 2008-02-21 2013-01-16 株式会社リコー 画像形成装置、情報処理方法、及び情報処理プログラム
DE102008057934C5 (de) 2008-11-19 2020-09-17 Nordex Energy Gmbh Windenergieanlage mit einer zentralen Steuerungseinrichtung und einer Steuerungseinheit im Rotor sowie Verfahren zum Betreiben einer derartigen Windenergieanlage
US9960967B2 (en) 2009-10-21 2018-05-01 A10 Networks, Inc. Determining an application delivery server based on geo-location information
US9215275B2 (en) 2010-09-30 2015-12-15 A10 Networks, Inc. System and method to balance servers based on server load status
US9609052B2 (en) 2010-12-02 2017-03-28 A10 Networks, Inc. Distributing application traffic to servers based on dynamic service response time
US8897154B2 (en) 2011-10-24 2014-11-25 A10 Networks, Inc. Combining stateless and stateful server load balancing
US9094364B2 (en) 2011-12-23 2015-07-28 A10 Networks, Inc. Methods to manage services over a service gateway
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US9015798B1 (en) * 2012-02-16 2015-04-21 Google Inc. User authentication using pointing device
US9118618B2 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
WO2014052099A2 (en) 2012-09-25 2014-04-03 A10 Networks, Inc. Load distribution in data networks
US9843484B2 (en) 2012-09-25 2017-12-12 A10 Networks, Inc. Graceful scaling in software driven networks
US9338225B2 (en) 2012-12-06 2016-05-10 A10 Networks, Inc. Forwarding policies on a virtual service network
US9531846B2 (en) 2013-01-23 2016-12-27 A10 Networks, Inc. Reducing buffer usage for TCP proxy session based on delayed acknowledgement
US9900252B2 (en) 2013-03-08 2018-02-20 A10 Networks, Inc. Application delivery controller and global server load balancer
US9992107B2 (en) 2013-03-15 2018-06-05 A10 Networks, Inc. Processing data packets using a policy based network path
WO2014179753A2 (en) 2013-05-03 2014-11-06 A10 Networks, Inc. Facilitating secure network traffic by an application delivery controller
US10230770B2 (en) 2013-12-02 2019-03-12 A10 Networks, Inc. Network proxy layer for policy-based application proxies
US9942152B2 (en) 2014-03-25 2018-04-10 A10 Networks, Inc. Forwarding data packets using a service-based forwarding policy
US9942162B2 (en) 2014-03-31 2018-04-10 A10 Networks, Inc. Active application response delay time
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US9992229B2 (en) 2014-06-03 2018-06-05 A10 Networks, Inc. Programming a data network device using user defined scripts with licenses
US10129122B2 (en) 2014-06-03 2018-11-13 A10 Networks, Inc. User defined objects for network devices
US9986061B2 (en) 2014-06-03 2018-05-29 A10 Networks, Inc. Programming a data network device using user defined scripts
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
US10268467B2 (en) 2014-11-11 2019-04-23 A10 Networks, Inc. Policy-driven management of application traffic for providing services to cloud-based applications
US10581976B2 (en) 2015-08-12 2020-03-03 A10 Networks, Inc. Transmission control of protocol state exchange for dynamic stateful service insertion
US10243791B2 (en) 2015-08-13 2019-03-26 A10 Networks, Inc. Automated adjustment of subscriber policies

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5577209A (en) * 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US6005939A (en) * 1996-12-06 1999-12-21 International Business Machines Corporation Method and apparatus for storing an internet user's identity and access rights to world wide web resources
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6438612B1 (en) * 1998-09-11 2002-08-20 Ssh Communications Security, Ltd. Method and arrangement for secure tunneling of data between virtual routers
US6330562B1 (en) * 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
US6708218B1 (en) * 2000-06-05 2004-03-16 International Business Machines Corporation IpSec performance enhancement using a hardware-based parallel process

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449809B1 (ko) * 2001-12-27 2004-09-22 한국전자통신연구원 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법
KR100888471B1 (ko) * 2002-07-05 2009-03-12 삼성전자주식회사 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법
US8438629B2 (en) 2005-02-21 2013-05-07 Samsung Electronics Co., Ltd. Packet security method and apparatus
KR100850362B1 (ko) * 2007-04-12 2008-08-04 한국전자통신연구원 개인 휴대 임베디드 단말에 대한 보안성 강화 방법 및 그시스템

Also Published As

Publication number Publication date
DE60121483D1 (de) 2006-08-24
DE60121483T2 (de) 2007-07-19
EP1418728A1 (en) 2004-05-12
EP1170927B1 (en) 2006-06-28
DE60121101D1 (de) 2006-08-10
CN1317899A (zh) 2001-10-17
JP2001298449A (ja) 2001-10-26
DE60121101T2 (de) 2006-12-07
EP1170927A3 (en) 2002-12-18
US20010042201A1 (en) 2001-11-15
EP1170927A2 (en) 2002-01-09
EP1418728B1 (en) 2006-07-12

Similar Documents

Publication Publication Date Title
KR20010098513A (ko) 시큐리티 통신방법, 통신시스템 및 그 장치
JP4707992B2 (ja) 暗号化通信システム
US7984290B2 (en) System and method for encrypted communication
JP3992579B2 (ja) 鍵交換代理ネットワークシステム
EP1880525B1 (en) Host identity protocol method and apparatus
JP3599552B2 (ja) パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
US20020035685A1 (en) Client-server system with security function intermediary
JP4634349B2 (ja) IPSec処理装置、ネットワークシステム、及びIPSec処理プログラム
US20050081066A1 (en) Providing credentials
JPH11167536A (ja) コンピュータ・ネットワークを利用したクライアント/ホスト間の通信方法と装置
US20040243837A1 (en) Process and communication equipment for encrypting e-mail traffic between mail domains of the internet
US20050209975A1 (en) System, method and computer program product for conducting a secure transaction via a network
JP3296514B2 (ja) 暗号通信端末
US20040156374A1 (en) Router and routing method for providing linkage with mobile nodes
JP4358795B2 (ja) Tlsセッション情報の引継ぎ方法及びコンピュータシステム
JP4933286B2 (ja) 暗号化パケット通信システム
CN100499649C (zh) 一种实现安全联盟备份和切换的方法
WO2010082095A2 (en) Secure handling of identification tokens
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
JP2008199420A (ja) ゲートウェイ装置および認証処理方法
Fischer et al. Enhancing privacy in collaborative scenarios utilising a flexible proxy layer
JP3911697B2 (ja) ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体
CN114268499B (zh) 数据传输方法、装置、系统、设备和存储介质
RU2390959C2 (ru) Способ и устройство протокола идентификации хост-узла
JP3741963B2 (ja) データ配送方法および装置およびプログラムおよび記録媒体

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid