WO2007069327A1 - 中継装置,中継方法,中継用プログラム,中継用プログラムを記録したコンピュータ読取可能な記録媒体および情報処理装置 - Google Patents

中継装置,中継方法,中継用プログラム,中継用プログラムを記録したコンピュータ読取可能な記録媒体および情報処理装置 Download PDF

Info

Publication number
WO2007069327A1
WO2007069327A1 PCT/JP2005/023069 JP2005023069W WO2007069327A1 WO 2007069327 A1 WO2007069327 A1 WO 2007069327A1 JP 2005023069 W JP2005023069 W JP 2005023069W WO 2007069327 A1 WO2007069327 A1 WO 2007069327A1
Authority
WO
WIPO (PCT)
Prior art keywords
transfer data
security information
identification value
relay
packet
Prior art date
Application number
PCT/JP2005/023069
Other languages
English (en)
French (fr)
Inventor
Akira Terasoma
Original Assignee
Fujitsu Limited
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Limited filed Critical Fujitsu Limited
Priority to JP2007550055A priority Critical patent/JPWO2007069327A1/ja
Priority to PCT/JP2005/023069 priority patent/WO2007069327A1/ja
Publication of WO2007069327A1 publication Critical patent/WO2007069327A1/ja
Priority to US12/136,911 priority patent/US20080244728A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Definitions

  • the present invention relates to a technique for transferring a packet by IPsec (IP Security) between a responder and a plurality of initiators by an IP masquerade (Internet Protocol masquerade) function.
  • IPsec IP Security
  • IP masquerade Internet Protocol masquerade
  • IPsec QP Security is a technology that creates a user-dedicated network (IPsec tunnel). By setting encryption and authentication information, applications and data on a remote LAN (Local Area Network) Can be used safely on the Internet
  • IPsec negotiation uses a protocol called IKE (Internet Key Exchange) to transfer packets using UDP (User Datagram Protocol) port number 500.
  • IKE Internet Key Exchange
  • FIGS. 15 (a) and 15 (b) are diagrams for explaining a process (phase) in negotiation for establishing an IPsec connection, and FIG. 15 (a) is for explaining phase 1 thereof.
  • Fig. 15 (b) is a diagram for explaining the phase 2.
  • the negotiation is divided into two steps (phases 1 and 2) as shown in Figs. 15 (a) and 15 (b).
  • phase between the initiator 131 and the responder 132 p hase ) ⁇ ⁇ AKMP (Internet Security Association Key Management Protocol) SA Security Association is established.
  • ISAKMP SA Internet Security Association Key Management Protocol
  • Selection of ISAKMP SA “Information for key creation of Inishe Taka”
  • Key creation from Responder” The ISAKMP SA is established by exchanging six messages: “Information for authentication”, “Authentication data from initiator” and “Authentication data from responder”.
  • IPsec SA is established for the security protocol.
  • a private network such as a LAN (Local Area Network) and a WAN (Wide Area Network)
  • IPsec IP Security
  • NAT Network Address Translation
  • IP masquerade function is used to enable simultaneous connection to the Internet from multiple clients.
  • This IP masquerading function changes the TCP (Transmission Control Protocol) / UDP port number so that multiple clients can connect to the Internet at the same time using the same global address.
  • TCP Transmission Control Protocol
  • Non-Patent Document 1 "What is Furukawa Electric VPN Solution? What is IPsec?", [Online], [searched on September 22, 2005], Internet URL: HYPERLINK "http: //www.iur ukawa.co.jp/ network / vpn / about_vpn / ipsec / ipsec_top.html http://www.fhrukawa.co .jp / network / vpn / about_vpn / ipsec / ipsec_top.html>
  • IPsec and NAT are not very compatible.
  • IKE In the negotiation of IPs e c, IKE is that provisions can always use UDP port No. 500, changing the port number in the IP masquerade or the like, Les such can be negotiated successfully, by Kara is there.
  • Figs. 16 (a) and 16 (b) are diagrams for explaining packets transmitted and received during IPsec negotiation when the IP masquerading function in the conventional router is used.
  • Fig. 16 (a) is an initiator (PC131a, PC131b), the packet (P11 to P18) sent and received between the router 201 and the responder (PC132).
  • Fig. 16 (b) shows the SP (Source Port), for each packet shown in Fig. 16 (a).
  • FIG. 4 is a diagram showing DP (Destination Port), SA (Source Address), and DA (Destinatio Address).
  • a LAN to which two initiators (PC131a, PCI 31b) are connected and a WAN to which one responder (PCI 32) is connected are connected via a router 201.
  • packets P11, P12, P13, and P14 shown in FIG. 16 (a) are used between PC131a (initiator) and PC132 (responder). It is assumed that the IPsec negotiation (phase 1, 2) using IKE (UDP port 500) has already been completed and that encrypted communication using IPsec is possible.
  • PC131b initiator
  • PC132 responder
  • PC131b first phase 1 packet proposal of riSAKMP SA "packet; packet P15
  • the norator 201 converts the source port of the packet from 500 to an arbitrary number (1 in the example of FIG. 16B) by IP masquerading (see packet P16).
  • the PC 132 determines that the packet is IKE and returns the next packet ("ISAKMP SA selection"packet; packet P17) to the PC 131b, the source port and destination port of this packet are Since it is sent as 500, the PC131a negotiator
  • the packet 201 is the same as the packet P13 transmitted in the case, and the router 201 cannot distinguish the packet and cannot correctly distribute it to the PCI 31b.
  • Figs. 17 (a) and 17 (b) are diagrams for explaining packets transmitted and received after IPsec negotiation is completed when the IP masquerading function in a conventional router is used.
  • Fig. 17 (a) is an initiator (PC131a , PC131b), a diagram showing the packets (P21, P22, P23, P26) transmitted and received between the router 201 and the responder (PC132), and
  • Fig. 17 (b) shows the contents of each packet in Fig. 17 (a) FIG.
  • the same abbreviations and symbols as those described above indicate the same meaning parts, and detailed description thereof will be omitted.
  • IPsec pass-through In a conventional router, using a method called IPsec pass-through, packets encrypted by IPsec or the like are passed without performing IP masquerade, and the source address is set to the global address (192.168. It is also changed to 20.1). However, in such an IPsec pass-through method, since the port number is not changed, for example, packet P23 and packet P26 in FIGS. 17 (a) and 17 (b) look the same when viewed from the router 201. End up.
  • the present invention was devised in view of such problems, and can normally perform IPsec negotiations from a plurality of initiators, and even after completion of negotiations, each LAN side PC (initiator) can be communicated.
  • the purpose is to be able to correctly sort packets encrypted by IPsec.
  • the relay device of the present invention is a relay device capable of transmitting / receiving encrypted transfer data between the first device and the second device, A first security information acquisition unit for acquiring security information from transfer data transmitted from the first device at the time of specification confirmation communication performed before encrypted communication between the first device and the second device; A first registration unit that registers the security information acquired by the first security information acquisition unit in association with the address of the first device as first routing information, and the second device power transmission. A second security information acquisition unit for acquiring security information from the transferred data, and the first routing based on the security information acquired by the second security information acquisition unit. Referring to grayed information, it is characterized in that it comprises a first distributing unit for distributing the transfer data to the first device of the destination.
  • the relay device has an IP (Internet Protocol) masquerade function, a suppression unit that suppresses the IP masquerading function during the specification confirmation communication, and a specification confirmation communication from the first device.
  • IP Internet Protocol
  • a port number setting unit capable of arbitrarily setting the source port of the transmitted transfer data, and transmitting the transfer data in which the source port is set by the port number setting unit to the second device Also good.
  • a request signal transmission unit that transmits a request signal for requesting notification of the identification value used at the time of the specification confirmation communication to the first device, and the request signal transmission
  • a response signal receiving unit that receives the identification value transmitted as a response signal from the first device as a response to the request signal transmitted from the unit, and the identification value received by the response signal receiving unit.
  • a second registration unit that associates the address of the first device with the address of the first device and registers it as second routing information, and obtains an identification value from the transfer data transmitted from the second device.
  • a second distribution unit that refers to the second routing information based on the value and distributes the transfer data to the first device as the transmission destination may be provided.
  • the relay method of the present invention is a relay method capable of transmitting and receiving encrypted transfer data between the first device and the second device, wherein the first device and the second device A first security information acquisition step for acquiring security information from transfer data transmitted from the first device at the time of specification confirmation communication prior to encrypted communication with the device; and the first security information A first registration step in which the security information acquired in the acquisition step and the address of the first device are associated with each other and registered as first routing information; and the transfer data medium transmitted from the second device A second security information acquisition step for acquiring security information, and the first security information based on the security information acquired in the second security information acquisition step. It is a special number that refers to the first distribution step of distributing the transfer data to the first device of the transmission destination with reference to the routing information.
  • a suppression step for suppressing an IP (Internet Protocol) masquerading function during the specification confirmation communication and a source port of transfer data transmitted from the first device during the specification confirmation communication are arbitrarily set.
  • a port number setting step that can be set to the port number, and in the first distribution step, the transfer data for which the source port has been set in the port number setting step may be sent to the second device. .
  • a request signal transmission step of transmitting a request signal for requesting notification of the identification value used at the time of the specification confirmation communication to the first device, and the request signal transmission A response signal receiving step for receiving the identification value transmitted as a response signal from the first device as a response to the request signal transmitted in the step; the identification value received in the response signal receiving step; A second registration step of registering as the second routing information in association with the address of the first device; an identification value acquisition step of acquiring the identification value from the transfer data transmitted from the second device; In the identification value acquisition step, the second routing information is referred to based on the identification value acquired in this step, and the transfer data is distributed to the first device as the transmission destination. There may be two sorting steps.
  • the relay program of the present invention is a relay program for causing a computer to execute a relay function for transmitting and receiving encrypted transfer data between the first device and the second device.
  • First security information is acquired from transfer data transmitted from the first device at the time of specification confirmation communication performed before the encrypted communication between the first device and the second device.
  • the second security information acquisition step for acquiring security information from the transmitted data to be transmitted, and the second security information acquisition step
  • the first routing step for referring to the first routing information based on the security information acquired by the client and allocating the transfer data to the first device as a transmission destination is executed on the computer. It is characterized by letting go.
  • a suppression step for suppressing an IP (Internet Protocol) masquerading function during the specification confirmation communication and a source port of transfer data transmitted from the first device during the specification confirmation communication are arbitrarily set.
  • a port number setting step that can be set in the first device, and in the first distribution step, the transfer data for which the source port has been set in the port number setting step is sent to the second device.
  • the computer may function to send.
  • a request signal transmission step of transmitting a request signal for requesting notification of the identification value used at the time of the specification confirmation communication to the first device, and the request signal transmission A response signal receiving step for receiving the identification value transmitted as a response signal from the first device as a response to the request signal transmitted in the step; the identification value received in the response signal receiving step; A second registration step of registering as the second routing information in association with the address of the first device; an identification value acquisition step of acquiring the identification value from the transfer data transmitted from the second device; In the identification value acquisition step, the second routing information is referred to based on the identification value acquired in this step, and the transfer data is distributed to the first device as the transmission destination.
  • the two sorting steps may be executed by the computer.
  • a computer-readable recording medium of the present invention records the above-described relay program.
  • the information processing apparatus of the present invention is an information processing apparatus that performs transmission / reception of transfer data to / from another information processing apparatus via a relay apparatus, and performs encryption with the other information processing apparatus.
  • a request signal receiving unit that receives a request signal transmitted from the relay device, and the specification confirmation when the request signal receiving unit receives the request signal. It is characterized by comprising a response signal transmission unit that transmits the identification value used during communication as a response signal to the relay device.
  • the transfer data can be reliably distributed and the specification confirmation communication can be performed.
  • Encrypted communication can be performed by correctly distributing encrypted transfer data even after the completion of specification confirmation communication.
  • FIG. 1 is a diagram schematically showing a configuration of a relay system including a router (relay device) as an embodiment of the present invention.
  • FIG. 2 is a diagram schematically showing a hardware configuration of a router as an embodiment of the present invention.
  • FIG. 3 is a diagram showing an example of a routing table used when IPsec is disabled in a router as an embodiment of the present invention.
  • FIG. 4 is a diagram showing an example of a first managing table in a router as an embodiment of the present invention.
  • FIG. 5 is a diagram showing an example of a request packet used in a router as an embodiment of the present invention.
  • FIG. 6 is a diagram showing an example of a response packet used in a router as an embodiment of the present invention.
  • FIG. 7] A diagram showing an example of the second routing table in the router as an embodiment of the present invention.
  • FIG. 8 is a diagram showing a part of a packet transmitted from an initiator to a responder in phase 2 of IPsec negotiation.
  • FIG. 9 is a diagram showing a part of a packet transmitted from the responder to the initiator in phase 2 of IPsec negotiation.
  • FIG. 10 is a diagram illustrating a configuration example of a packet transmitted from an initiator to a responder after completion of IPsec negotiation.
  • FIG. 1 l is a diagram showing a configuration example of a packet transmitted from a responder to an initiator after completion of IPsec negotiation.
  • FIG. 12 A diagram showing an example of a SAD of a responder connected to a router as an embodiment of the present invention.
  • FIG. 13 is a flowchart for explaining processing at the time of IPsec negotiation in the router as one embodiment of the present invention.
  • FIG. 15 (a) and (b) are diagrams for explaining the steps in the negotiation for establishing an IPsec connection.
  • FIG. 16 (a) and (b) are diagrams for explaining packets transmitted and received during IPsec negotiation when the IP masquerade function in a conventional router is used.
  • FIG. 17 (a) and (b) are diagrams for explaining packets transmitted / received after completion of IPsec negotiation when the IP masquerading function in the conventional router is used. Explanation of symbols
  • Initiator cookie acquisition unit (first initiator cookie acquisition unit, second cookie cookie acquisition unit, first security information acquisition unit, second security information acquisition unit) 13 First registration unit 14 First routing table (first routing information)
  • Request packet transmitter (request signal transmitter)
  • Second routing table (second routing information)
  • Fig. 1 is a diagram schematically showing the configuration of a relay system having a router (relay device) as one embodiment of the present invention
  • Fig. 2 is a schematic hardware configuration of the router according to one embodiment of the present invention.
  • a router (relay device) 10 is a relay device that connects networks so that they can communicate with each other and performs a packet relay process between these networks.
  • the router 10 relays packets (transfer data) between a private network (LAN: Local Area Network) and a global network (WAN: Wide Area Network). Packets between one or more PCs (Personal Computers) 31 a and 31b on the LAN side (two in this embodiment) and one or more PCs 32 (one in this embodiment) on the WAN side Relay (forwarding, sending and receiving).
  • LAN Local Area Network
  • WAN Wide Area Network
  • the address of PC31a (private address on the LAN) is 192.168.2.100
  • the address of PC31a is 192.168.2.101
  • the LAN side address of router 10 Assume that (private address) is 192.168.2.1
  • the WAN side address (global address) of router 10 is 192.168.20.10
  • the PC32 address (global address on WAN) is 192.168.20.1.
  • this router 10 has an IP masquerade function, and TCP / UDP (Transmission
  • this router 10 has an IPsec (lP Security) communication (encrypted communication) function.
  • IPsec IP Security
  • IPsec function IP packet (transfer data) encryption and authentication functions can be added, and packet tampering can be performed. Eavesdropping can be prevented.
  • the router 10 enables communication by IPsec between the PCs 31a and 31b on the LAN side and the PC 32 on the WAN side.
  • the routers 31a and 31b The case where a communication request by IPsec is sent from (Initiator, first device) to PC32 (Responder, second device) is explained.
  • the PC 31a and the PC 31b may be referred to as an initiator 31a and an initiator 31b.
  • a code indicating a PC when it is necessary to specify one of a plurality of PCs (inhibitors), a code 31 is used to indicate an arbitrary PC (initiator) using the codes 31a and 31b. Use.
  • this router 10 can also communicate without using the IPsec function (when IPsec is disabled; normal).
  • the setting of valid Z invalid can be made arbitrarily by the users of PCs 31 and 32, for example.
  • FIG. 3 is a diagram used when IPsec is disabled in the router 10 as an embodiment of the present invention.
  • 3 is a diagram showing an example of the routing table 16 and shows an example of information on a packet transmitted to the PC 32a, 31b force PC 32.
  • the router 10 includes a CPU 40, a memory chip 41, a PHY chip 42, 45, a WAN side MAC43, and a LAN side MAC44. .
  • the memory chip 41 stores program data for operating a CPU (Central Processing Unit) 40, and in addition to the third routing table 16 , a first routing table 14 (see FIG. 1) and a second routing table described later. Stores the routing table 25 (see Fig. 1).
  • a CPU Central Processing Unit
  • the CPU 40 performs various kinds of control processing in the router 10, and is a memory chip.
  • the initiator tack acquisition unit 12 By executing the program stored in the internal storage device, the initiator tack acquisition unit 12, the first registration unit 13, the first distribution unit 15, the deterrence unit 18, the port number setting unit 19, and the request packet, which will be described later It functions as a transmitter 20, response packet receiver 21, second registration unit 22, second distribution unit 23, and SPI value acquisition unit 24.
  • Examples of programs for realizing the functions of the unit 22, the second distribution unit 23, and the SPI value acquisition unit 24 are flexible disk, CD (CD-ROM, CD-R, CD-RW, etc.), DVD (DVD- ROM, DVD-RAM, DVD-R, DVD + R, DVD-RW, DVD + RW, etc.), magnetic disk, optical disk, magneto-optical disk, etc. Also good.
  • the computer refers to hardware and operating system.
  • the hardware when an operating system is not required and hardware is operated by an application program alone, the hardware itself corresponds to a computer.
  • the hardware includes at least a microprocessor such as a CPU and means for reading a computer program recorded on a recording medium.
  • the router 10 has a function as a computer. It is.
  • the recording medium in the present embodiment includes the above-mentioned flexible disk, CD, DVD, magnetic disk, optical disk, magneto-optical disk, IC card, ROM cartridge, magnetic tape, punch card, and the inside of the computer.
  • Various computer-readable media such as storage devices (memory such as RAM and ROM), external storage devices, and printed matter on which codes such as barcodes are printed can be used.
  • the PHY chips 42 and 45 control the physical connection and transmission of the network.
  • the PHY chip 42 is connected to the router 10 and the WAN-side Ethernet (WAN Et hernet).
  • the PHY chip 45 performs physical connection and transmission between the router 10 and the Ethernet on the LAN side (LAN Ethernet).
  • the PHY chip 45 incorporates a switching hub chip and also has a function as a switching hub.
  • the WAN side MAC (Media Access Control) 43 performs media access control between the router 10 and the WAN, and performs, for example, error detection in packet transmission / reception. Yes.
  • LAN side MAC (Media Access Control) 44 » media access control between the router 10 and the LAN side communication device (PC32 in this embodiment). For example, error detection in packet transmission / reception Is supposed to do.
  • the router 10 includes a LAN side communication unit 11, a WAN side communication unit 17, an initiator acquisition unit (first initiator cookie acquisition unit, second initiator cookie acquisition unit) 12 , First registration unit 13, first routing table 14, first distribution unit 15, suppression unit 18, port number setting unit 19, request packet transmission unit 20, response packet reception unit 21, second registration unit 22, second A distribution unit 23, an SPI value acquisition unit 24, and a second routing table 25 are provided.
  • the LAN communication unit 11 performs packet communication with the LAN side PCs 31a, 31b and the like, and is realized by the PHY chip 45, the LAN side MAC 44, etc. in FIG.
  • the WAN side communication unit 17 performs packet communication with the WAN side PC 32 and the like, and is realized by the PHY chip 42, the WAN side MAC 43, etc. in FIG.
  • the deterrence unit 18 deters the IP masquerading function in the router 10 described above during IPsec negotiation (specification confirmation communication performed prior to ⁇ ⁇ ⁇ communication). Changing the value of the National port to an arbitrary value is suppressed.
  • Port number setting unit 19 is for setting arbitrarily the source port of the packet, at the time of negotiation IP s ec, the initiator 31a, 31b force even source port of the packet of the transmitted Negoshe Shiyon of IKE It is set according to the standard, and in this embodiment, it is set to UDP (User Datagram Protocol) 500. That is, the port number setting unit 19 changes the value of the source port or destination port by the suppression unit 18 (for a packet whose IP masquerade machine verification is suppressed, the source port is changed to 500.
  • UDP User Datagram Protocol
  • Initiator cookie acquisition unit (first initiator cookie acquisition unit, second initiator cookie acquisition unit, first security information acquisition unit, second security information acquisition unit) 12 is transmitted from initiator 31 or responder 32 Initiator cookies (security information) are acquired and extracted from the received packets.
  • the initiator cookie is an arbitrary value that is created when the initiator 31 starts negotiation. For example, a 64-bit random number is used, and is an element for creating an IPsec encryption key. In general, in IPsec negotiation process phases 1 and 2, a common initiator cookie is used for all packets.
  • the initiator cookie acquisition unit 12 starts from the first packet ("ISAKMP SA proposal" packet) in Phase 1 of IKE (Internet Key Exchange) transmitted from the identifier 31 at the time of IPsec negotiation. It is now possible to get a requestor cookie created by initiator 31.
  • the initiator cookie acquisition unit 12 sets the cookie at the time of IPsec negotiation.
  • the initiator cookie can be obtained by recognizing the Aes 1 “ISAKMP SA proposal” packet and extracting a specific part of the packet.
  • the initiator cookie acquisition unit (second initiator cookie acquisition unit, second security information acquisition unit) 12 acquires the initiator cookie of the packet transmitted from the responder 32 in the IPsec negotiation process.
  • the initiator cookie is obtained by extracting a specific part in the packet transmitted from the responder 32.
  • the first registration unit 13 associates the initiator cookie acquired by the initiator cookie acquisition unit 12, the address of the initiator 31 that transmitted the packet, and the address of the responder 32 with each other. Is stored (registered) in the memory chip 31.
  • the first registration unit 13 refers to the first routing table 14 based on the initiator cookie acquired from the packet by the initiator cookie acquisition unit 12 and the source address of the packet, and Check if the initiator cookie or source address is registered (stored) in the first routing table 14, and if it is not registered, the packet is the first packet of Phase 1 (“ ISAKMP SA proposal (packet), and these initiators, NAT (Network Address Translation) source address before translation (Source address), destination address after NAT translation (Destination address) Destination address), source port before NAT translation (Source port), source address after NAT translation Spot over DOO, NAT translation before the destination port, and summer to add the destination port Contact and NAT converted destination port NAT translated to the first routing table 14 in association with each other (registered).
  • NAT Network Address Translation
  • the router 10 has a NAT (Network Address Translation) conversion function that mutually converts a private IP address and a global IP address that can be used for Internet access.
  • the NAT address, the source port after NAT translation, the destination port after NAT translation, and the destination port after NAT translation are generated by this NAT translation function. Also, such NA
  • the T conversion function can be realized by using various known methods.
  • the first routing table (first routing information) 14 associates the initiator cookie acquired by the first initiator cookie acquisition unit 12 and the address of the initiator 31 with respect to the packet to be transferred at the time of IPsec negotiation. It is what you hold.
  • FIG. 4 is a diagram showing an example of the first routing table 14 in the router 10 as an embodiment of the present invention.
  • the first managing table 14 shown in FIG. 4 includes the source address before NAT translation (Source address), the destination address after NAT translation (Destination address), and the source port before NAT translation (Source port).
  • the source port after NAT conversion, the destination port before NAT conversion, the destination port after NAT conversion, the destination port after NAT conversion, and the initiator cookie are registered in association with each other.
  • the initiator cookie acquired by the first initiator cookie acquiring unit 12 is associated with the address of the initiator 31 and the address of the responder 32, whereby the responder 32 It has become possible to handle the case where there are multiple.
  • the packet is transmitted from each of the PCs 31a and 31b to the PC 32, and the source port indicates the value of the destination port by the suppression unit 18.
  • the change IP masquerade function
  • the first routing table 14 is stored in, for example, a memory chip 41 or a storage device (not shown) such as a RAM, ROM, or hard disk.
  • the first distribution unit 15 refers to the first routing table 14 on the basis of the init / tack obtained by the initiator cookie acquisition unit 12 and distributes the packet to the destination initiator 31.
  • the first distribution unit 15 determines the packet transmitted from the responder 32 based on the initiator cookie acquired by the initiator cookie acquisition unit 12. Referring to the first managing table 14, the address (source address) of the initiator 31 corresponding to the initiator cookie is obtained, and distribution is performed so that the packet is transmitted to the initiator 31. The communication unit 11 is caused to transmit a packet to the address of the assigned initiator 31.
  • the request packet transmission unit (request signal transmission unit) 20 is the SPI (Security Parameter Index) value used for IPsec negotiation with respect to the initiator 31 after completion of IPsec negotiation between the initiator 31 and the responder 32.
  • SPI Security Parameter Index
  • a request packet (request signal) requesting notification of (identification value) is transmitted.
  • the initiator 31 (PC31a, 31b) that has received this request packet returns a “response packet (response signal)” containing the SPI value.
  • FIG. 5 is a diagram showing an example of a request packet used in the router 10 as an embodiment of the present invention
  • FIG. 6 is a diagram showing an example of a response packet used in the router 10 as an embodiment of the present invention. It is.
  • the request packet is configured with a specific character string and information (command, etc.) for requesting the initiator 31 to notify the SPI value used during IPsec negotiation.
  • a specific character string and information for requesting the initiator 31 to notify the SPI value used during IPsec negotiation.
  • It consists of a TCP / IP header and a data part, and the data part stores a command “SPWvalue” that requests transmission of the SPI value.
  • the initiator 31 when the initiator 31 detects the command “SPWvalue” in the data portion of the received packet, the initiator 31 predefines (sets) the router 10 to transmit a response packet as shown in FIG. Has been.
  • the response packet is transmitted from each initiator 31 as a response to the request packet transmitted from the request packet transmitting unit 20, and is the initiator (response packet transmission Part) 31 used in the IPsec negotiation (initiator 31 stored in the “Information for IPsec SA Proposal Proposal and Key Generation” packet)
  • the response packet containing the SPI value (see Figure 6) To be sent to.
  • the response packet includes a TCP / IP header and a data part, and the data part has a 32-bit SPI value (in the example shown in FIG. 6). "deff9c4a”) is stored.
  • the response packet receiving unit (response signal receiving unit) 21 receives the SPI value transmitted as a response packet from the initiator 31 as a response to the request packet transmitted from the request packet transmitting unit 20, and is transmitted from the initiator 31.
  • the SPI value is extracted from the data portion of the received response packet, and this SPI value is passed to the second registration unit 22.
  • the second registration unit 22 associates the SPI value received by the response packet reception unit 21, the address of the initiator 31 that transmitted the response packet, and the address of the responder 32 with each other in the second routing table ( (Second routing information) 25.
  • the source address before NAT translation, the source address after NAT translation, the destination address before NAT translation, the destination address after NAT translation, and the SPI value is registered in association.
  • the second routing table 25 holds the SPI value acquired by the response packet receiving unit 21 and the address of the initiator 31 that transmitted the response packet in association with the packet to be transferred after completion of the IPsec negotiation. To do.
  • FIG. 7 is a diagram showing an example of the second routing table 25 in the router 10 as an embodiment of the present invention.
  • the second routing table 25 shown in FIG. 7 correlates the source address before NAT translation, the source address after NAT translation, the destination address before NAT translation, the destination address after NAT translation, and the SPI value. Are registered.
  • the second managing table 25 is stored in, for example, a memory chip 41 or a storage device such as a RAM, a ROM, or a hard disk (not shown) in the same manner as the first managing table 14 described above. It has become.
  • the SPI value acquisition unit (identification value acquisition unit) 24 acquires the SPI value from the packet transmitted from the responder 32 in response to the encrypted communication performed after the IPsec negotiation is completed. Similar to the cookie acquisition unit 12, etc., the SPI value is acquired by extracting a specific part in the packet.
  • Figure 8 shows initiator 31 to responder in phase 2 of IPsec negotiation.
  • Fig. 9 shows a part of the packet sent to 32 ("IPsec SA proposal and key generation information" packet).
  • Fig. 9 shows the packet sent to the initiator 31 from the responder 32 in phase 2 of the IPsec negotiation.
  • Fig. 10 shows part of the "IPsec SA proposal and key generation information packet”.
  • Fig. 10 shows a configuration example of a packet sent from initiator 31 to responder 32 after IPsec negotiation is completed.
  • 11 is a diagram showing a configuration example of a packet transmitted from the responder 32 to the initiator 31 after completion of the IPsec negotiation
  • FIG. 12 is an example of a SAD of the responder 32 connected to the router 10 as an embodiment of the present invention.
  • the SPI value is the 32-bit used to search its own SAD (Security Association Database; see Fig. 12) when decrypting the encrypted packet with each of the initiator 31 and the responder 32 SlPsec.
  • SAD Security Association Database
  • the SPI value is sent to the initiator 31 by the responder 32 at the beginning of phase 2 of the IPsec negotiation "For IPsec SA proposal and key generation.
  • the "information" packet is also stored.
  • Responder 32 obtains the SPI value in the “Information for Proposal and Key Generation of IPsec SA” packet (see Fig. 8) sent from Initiator 31, and the packet is sent in the communication after the negotiation is completed. As shown in FIG. 10, this SPI value is stored in an encrypted packet and transmitted.
  • the initiator 31 stores the SAD configured by associating the SPI value with the destination address, the IPsec protocol, the capsule mode, etc. in a storage device (not shown) such as a memory or a hard disk.
  • a storage device such as a memory or a hard disk.
  • initiator 31 when initiator 31 sends a packet, initiator 31 sends an “IPsec SA selection and key generation information” packet sent from responder 32 at the beginning of IPsec negotiation phase 2 (see Figure 9). )
  • the SPI value is acquired from the inside, and as shown in FIG. 11, the acquired SPI value is stored in a packet to be transmitted and transmitted.
  • the second distribution unit 23 refers to the second sorting table 25 based on the SPI value acquired by the SPI value acquisition unit 24 and distributes the packet to the transmission destination initiator 31.
  • the second distribution unit 23 refers to the second managing table 25 based on the SPI value acquired by the SPI value acquisition unit 24 for the packet transmitted from the responder 32 during normal communication. Then, the address (source address) of the initiator 31 corresponding to the SPI value is acquired, the distribution is performed so that the packet is transmitted to the initiator 31, and the distribution to the LAN side communication unit 11 is performed. The packet is transmitted to the address of the designated initiator 31.
  • the SPI value plays the same role as the IP masquerade port number after the IPsec negotiation is completed.
  • the router 10 since the SPI value portion in the encrypted packet after the negotiation is not encrypted, the router 10 does not respond to the encrypted packet sent from the responder 32.
  • the encrypted packet is distributed to each initiator 31a, 31b by obtaining the SPI value in the packet and referring to the second routing table 25. That power S.
  • the second distribution unit 23 distributes packets with reference to the above-described third routing table 16 when IPsec is disabled.
  • the initiator cookie obtaining unit 12 obtains the initiator cookie of the packet, and the first registration unit 13 performs the above-mentioned tampering (step A10).
  • the first routing table 14 is referred to and it is confirmed whether or not these initiator cookie and source address are registered (stored) in the first routing table 14 (STEP). A20).
  • the first distribution unit 15 uses the first routing table 14 force that initiator. Obtain the address (source address) of the initiator 31 corresponding to the cookie, and change the source address of the packet to be transferred to the source address obtained from the first notification table 14.
  • the suppression unit 18 suppresses the IP masquerading function
  • the port number setting unit 19 sets the source port of the packet to 500
  • the first distribution unit 15 transmits the packet to the WAN side communication unit 17 To the responder 32 (step A40).
  • the first registration unit 13 uses the phase 1 at the time of IPsec negotiation.
  • NAT Network Address Translation
  • ij source address Source address; f address
  • destination after NAT conversion Address Destination address
  • Source port before NAT translation Source port
  • Source port after NAT translation Data before NAT translation
  • the destination port, the destination port after NAT translation, and the destination port after NAT translation are associated with each other and added (registered) to the first routing table 14 (step A30), and the process proceeds to step A40.
  • the initiator cookie obtaining unit 12 obtains the initiator cookie of the packet, and the first distribution unit 15 obtains the first cookie based on the obtained initiator cookie. With reference to the routing table 14, the packet is distributed to the destination initiator 31 (step A50).
  • the norator 10 checks whether or not all the processes of Phase 1 and 2 in the IPsec negotiation have been completed (Step A60), and when all the processes of the Phase 1 and 2 in the IPsec negotiation have been completed. (See the YES route in step A60), the process ends, and if all the processes of phases 1 and 2 in the IPsec negotiation are not completed (see the NO route in step A60), step A10 Return to.
  • the router 10 transmits a request packet to each initiator 31 in order to know the SPI value of each initiator 31 (step B10).
  • the initiator 31 that has received the request packet transmits a response packet including the SPI value to the router 10.
  • the router 10 receives the response packet transmitted from the initiator 31, obtains the SPI value from the response packet, and the second registration unit 22 stores the source address before NAT conversion in the second routing table 25.
  • the source address after NAT translation, the destination address before NAT translation, the destination address after NAT translation, and the SPI value are registered (added) in association with each other (step B20).
  • the SPI value acquisition unit 24 acquires the SPI value of the packet, and the second distribution unit 23 acquires the acquired value. Based on the SPI value thus obtained, the second routing table 25 is referred to, and the received packet is distributed to each user shader 31 (step B30).
  • the router 10 as one embodiment of the present invention, it is possible to negotiate IPsec between the plurality of initiators 31 (LAN side PC) and the responder 32 (WAN side PC). At the same time, it is possible to correctly sort packets that have been signed by IPsec, and to carry out communications.
  • the initiator cookie of the initiator 31 acquired by the initiator cookie acquisition unit 12, the address of the initiator 31, and the address of the responder 32 are associated with each other as the first routing table 14.
  • the first distribution unit 15 receives the packet, the first distribution unit 15 refers to the first notification table 14 based on the initiator cookie of the packet acquired by the initiator cookie acquisition unit 12, and transmits the packet.
  • the suppression unit 18 suppresses the IP masquerading function in the router 10 from changing the packet source port and destination port values to arbitrary values.
  • the port number setting unit 19 changes the source port of the negotiation packet sent from the initiators 31a and 31b to 500 according to the IKE standard, thereby ensuring IPsec negotiation. be able to.
  • a request packet is transmitted to the initiator 31 and an SPI value transmitted as a response packet is received from the initiator.
  • This SPI value, the address of the initiator 31 and the responder 32 Are registered as the second routing table 25, and the second routing table 25 is referred to based on the SPI value acquired by the SPI value acquisition unit 24, and the packet is transmitted to the initiator 3 1
  • the packets encrypted by IPsec can be sorted reliably and accurately even after the negotiation of IPsec is completed.
  • the first initiator cookie acquisition unit 12 For example, the initiator cookie and the address of the initiator 31 are stored in association with the address of the initiator cookie and the address of the responder 32. Registration may be made in association with the address. If there is only one responder 32, only the initiator cookie and the address of the initiator 31 may be registered.
  • the request packet includes a TCP / IP header and a data portion, and a command (SPWvalue) for requesting transmission of the SPI value is stored in the data portion.
  • SPWvalue command for requesting transmission of the SPI value
  • a command other than SP Wvalue may be used to request transmission of an SPI value, but information other than such command may be included in the request packet.
  • the force that the first routing table 14 and the second routing table 25 are configured separately is not limited to this.
  • the first routing table 14 and the second routing table 25 are not limited to this.
  • Two routing tables 25 may be combined into one, and a single / rating tape knob that has both functions of the first routing table 14 and the second routing table 25 may be provided.
  • the relay device of the present invention is a relay device that has an IP (Internet Protocol) masquerading function and transmits and receives packets between a responder and a plurality of initiators, and transmits from the initiator during IPsec (IP Security) negotiation.
  • IP Internet Protocol
  • a first initiator cookie acquiring unit that acquires an initiator cookie created by the initiator from the first packet in the Internet Key Exchange (IKE) phase 1 ("ISAKMP SA proposal"bucket);
  • IKE Internet Key Exchange
  • a first registration unit that registers the first cache table acquired by the initiator cookie acquisition unit, the initiator address, and the address of the responder as a first routing table, and a transmission from the responder.
  • a second instance of obtaining the initiator cookie of the packet Based on the initiator cookies acquired by the creator cookie acquisition unit and the second initiator cookie acquisition unit, the first routing table is referred to, and the first distribution is performed to distribute the packet to the destination initiator. It is characterized by having a department. [0082] It should be noted that at the time of the IPsec negotiation, a deterrence unit that deters the IP masquerading function, and a port number setting unit that sets the source port of the negotiation packet transmitted from the initiator according to the IKE standard The packet for which the source port has been set by the port number setting unit may be sent to the responder.
  • a request packet transmission unit that transmits a request packet that requests notification of an SPI (Security Parameter Index) value used at the time of the IPsec negotiation to the initiator, and the request packet transmission unit
  • a response packet receiving unit that receives the SPI value transmitted as a response packet from the initiator as a response to the transmitted request packet, the SPI value received by the response packet receiving unit, the address of the initiator, Acquired by the second registration unit that associates and registers the address of the responder as a second routing table, an SPI value acquisition unit that acquires the SPI value from the packet transmitted from the responder, and the SPI value acquisition unit Refer to the second routing table based on the SPI value obtained, It may be provided a second distributing unit for distributing the packet to the destination of the initiator.
  • SPI Security Parameter Index
  • the relay method of the present invention is a relay method for transmitting and receiving packets between a responder and a plurality of initiators using an IP (Internet Protocol) masquerading function, comprising: IP sec (IP Security)
  • IP sec IP Security
  • the first initiator cookie that obtains the initiator cookie created by the initiator from the first packet in IKE (Intern et Key Exchange) phase 1 ("ISAKMP SA proposal" packet) sent from the initiator at the time of negotiation
  • An acquisition step a first registration step of registering the initiator cookie acquired in the first initiator cookie acquisition step, the address of the initiator, and the address of the responder as a first routing table in association with each other; and the responder
  • the initiator of the packet transmitted from The second routing token acquisition step for acquiring the packet cookie and the second initiator cookie acquisition step refer to the first routing table based on the acquired initiator cookie, and the packet is transmitted to the destination packet.
  • a special feature is the provision of a first sorting step for the initiator.
  • a request packet transmission step for transmitting a request packet for requesting notification of an SPI (Security Parameter Index) value used at the time of the IPsec negotiation to the initiator, and the request packet
  • a response packet receiving step for receiving the SPI value transmitted as a response packet from the initiator as a response to the request packet transmitted in the transmitting step; and the SPI value received in the response packet receiving step;
  • a second registration step in which the address of the initiator and the address of the responder are associated and registered as a second routing table, and an SPI value acquisition step of acquiring the SPI value from the packet transmitted from the responder.
  • the second routing table is referred to, and the second allocation is performed to allocate the packet to the initiator of the transmission destination.
  • the relay program of the present invention is a relay program for causing a computer to execute a relay function for transmitting and receiving packets between a responder and a plurality of initiators using an IP (Internet Protocol) masquerading function.
  • IPsec IP Security
  • the initiator creates the first packet in the IKE (Internet Key Exchange) phase 1 ("ISAKMP SA proposal" packet) sent from the initiator.
  • IKE Internet Key Exchange
  • the first routing table in which the first initiator cookie acquisition step for acquiring the initiator cookie, the initiator clock acquired in the first initiator cookie acquisition step, the address of the initiator, and the address of the responder are associated with each other.
  • First registration step to register as A second initiator cookie obtaining step for obtaining the initiator cookie of the packet transmitted from the responder, and referring to the first routing table based on the initiator clock obtained in the second initiator cookie obtaining step, Send the packet It is characterized in that the computer executes the first distribution step of distributing to the initiator of the recipient.
  • a suppression step of suppressing the IP masquerade function, and a port number setting step of setting the source port of the negotiation packet transmitted from the initiator in accordance with the IKE standard May be executed by the computer, and the computer may be caused to function so that the packet for which the source port has been set in the port number setting step is sent to the responder.
  • the second routing table may be referred to and a second distribution step of distributing the packet to the transmission destination initiator may be executed by the computer.
  • a computer-readable recording medium of the present invention records the above-described relay program.
  • the information processing apparatus of the present invention is an information processing apparatus that transmits and receives packets to and from a responder via a relay apparatus having an IP (Internet Protocol) masquerading function, and that negotiates IPsec (IP Security). After completion, a request packet receiving unit that receives a request packet transmitted from the relay device, and when the request packet receiving unit receives the request packet, the SPI (Security Parameter Meter) used during the negotiation of the IPsec A response packet transmitting unit that transmits an (Index) value as a response packet to the relay device. Note that if an embodiment of the present invention is disclosed, the present invention can be implemented and manufactured by those skilled in the art.
  • the present invention can also be applied to various packet transfer devices that transfer packets by IP sec between a responder and a plurality of initiators by using an IP masquerade function.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

 暗号化通信に先立って行なわれる仕様確定通信時に、第1の装置から送信される転送データからセキュリティ情報を取得する第1セキュリティ情報取得部(12)と、この取得されたセキュリティ情報と第1の装置のアドレスとを対応付けて第1ルーティング情報(14)として登録する第1登録部(13)と、第2の装置から送信される転送データ中からセキュリティ情報を取得する第2セキュリティ情報取得部(12)と、第2セキュリティ情報取得部(12)によって取得されたセキュリティ情報に基づいて第1ルーティング情報(14)を参照し、転送データを送信先の第1の装置に振り分ける第1振り分け部(15)とをそなえるように構成することにより、複数の第1の装置から仕様確定通信を正常に行なうことができるとともに、仕様確定通信完了後においても、それぞれのLAN側の第1の装置に対して、暗号化されたパケットを正しく振り分けることができるようにする。                                                                                 

Description

明 細 書
中継装置, 中継方法, 中継用プログラム, 中継用プログラムを記録したコ ンピュータ読取可能な記録媒体および情報処理装置
技術分野
[0001] 本発明は、 IPマスカレード(Internet Protocol masquerade)機能により、レスボンダと 複数のイニシエータとの間で IPsec (IP Security)によるパケットの転送を行なう技術に 関する。
背景技術
[0002] IPsec QP Security)は利用者専用のネットワーク(IPsecトンネル)を作り出す技術で あって、暗号化や認証情報を設定することにより、遠隔地の LAN (Local Area Networ k)上のアプリケーションやデータをインターネット上でも安全に利用することができる
IPsecを使った通信を行なおうとする PC (イニシエータおよびレスボンダ)間におい ては、先ず IPsecのネゴシエーションを行なう。この IPsecのネゴシエーションは IKE (Int ernet Key Exchange)と呼ばれるプロトコノレを用いて、 UDP (User Datagram Protocol) ポートの 500番を用いてパケットの転送を行なうようになっている。
[0003] 図 15 (a) , (b)は IPsec接続を確立するためのネゴシエーションにおける工程(フエ ーズ)を説明するための図であり、図 15 (a)はそのフェーズ 1を説明するための図、図 15 (b)はそのフェーズ 2を説明するための図である。
ネゴシエーションは、図 15 (a) , (b)に示すような 2つの工程(フェーズ 1 , 2)に分力、 れており、イニシエータ 131とレスボンダ 132との間において、先ず、そのフェーズ(p hase)丄 \ AKMP (Internet security Association Key Management Protocol) SA Security Association)の確立が行なわれる。具体的には、イニシエータ 131とレスポ ンダ 132との間で、「ISAKMP SAのプロポーザル」, 「ISAKMP SAの選択」, 「ィニシェ 一タカ の鍵作成のための情報」, 「レスボンダからの鍵作成のための情報」, 「ィニシ エータからの認証データ」および「レスボンダからの認証データ」の 6つのメッセージを 交換することにより、 ISAKMP SAの確立が行なわれる。 [0004] その後、フェーズ 2で、イニシエータとレスボンダとの間で、「IPsec SAのプロポーサ ルと鍵生成のための情報」, 「IPsec SAの選択と鍵生成のための情報」および「認証 データ」の 3つのメッセージを交換することにより、セキュリティプロトコルのための IPse c SAの確立が行なわれる。
これらの 2つのフェーズが完了すると、イニシエータ 131とレスボンダ 132との間で IP secを使った暗号化通信が可能になる。
[0005] そして、 LAN (Local Area Network)等のプライベートネットワークと WAN (Wide Area
Network)等のグローバルネットワークとの間を、上述した IPsec機能をそなえたルータ 等を用いて接続することにより、例えば、 LAN側にある PC (イニシエータ)と WAN側に ある PC (レスボンダ)との間で、 IPsecを用いた暗号化通信を行なうことができる。
また、近年においては、一般的に、プライベートネットワークとグローバルネットヮー クとを接続する際に、プライベート IPアドレスと、 Internetアクセスに利用できるグロ一 バルな IPアドレスとを相互に変換し、ローカルな IPアドレスし力割り当てられていない ノードから、透過的に Internetをアクセスできるようにするために、 NAT (Network Addr ess Translation)と呼ばれる手法が用いられている。
[0006] グローバル IPとプライベート IPとを 1対 1で変換する NATにおいては、複数のクライア ントが同時にインターネットに接続することができなレ、。そこで、複数のクライアントか らインターネットへの同時接続を可能にするために IPマスカレード機能が用いられて いる。
この IPマスカレード機能は、 TCP (Transmission Control Protocol) /UDPのポート番 号を変更することにより、複数のクライアントが同一のグローバルアドレスを用いてイン ターネットに同時に接続できるようにするものである。
非特許文献 1: "古河電工 VPNソリューション VPNつて何だろう? IPsecとは? "、 [onl ine]、 [平成 17年 9月 22日検索]、インターネットく URL : HYPERLINK "http://www.iur ukawa.co.jp/ network/vpn/about_vpn/ipsec/ipsec_top.html http://www.fhrukawa.co .jp/network/vpn/about_vpn/ipsec/ ipsec_top.html>
発明の開示
発明が解決しょうとする課題 [0007] しかしながら、従来のルータにおいては、 IPsecと NATとは相性があまりよくなレ、。 IPs ecのネゴシエーションにおいては、 IKEは必ず UDPポート 500番を使用することが規 定されており、 IPマスカレード等でそのポート番号を変更すると、ネゴシエーションを 正常に行なうことができなレ、からである。
図 16 (a), (b)は従来のルータにおける IPマスカレード機能を用いた場合での IPsec のネゴシエーション時に送受信されるパケットを説明するための図であり、図 16 (a)は イニシエータ(PC131a, PC131b) ,ルータ 201およびレスボンダ(PC132)間にお いて送受信されるパケット(P11〜P18)を示す図、図 16 (b)は図 16 (a)に示す各パ ケットについて SP (Source Port) , DP (Destination Port) , SA (Source Address)およ び DA(Destinatio Address)をそれぞれ示す図である。
[0008] なお、これらの図 16 (a) , (b)に示す例においては、 2つのイニシエータ(PC131a, PCI 31b)が接続された LANと 1つのレスボンダ(PCI 32)が接続された WANとをル ータ 201を介して接続して構成されている。
また、これらの図 16 (a) , (b)に示す例においては、図 16 (a)中に示すパケット P11 , P12, P13, P14により、 PC131a (イニシエータ)と PC132 (レスボンダ)との間で、 既に IKE (UDPポート 500番)を使用した IPsecのネゴシエーション(phase 1, 2)が完了 し、 IPsecを使った暗号化通信が可能な状態になっているものとする。
[0009] このような状態において、新たに PC131b (イニシエータ)と PC132 (レスボンダ)と の間でネゴシエーションを開始する場合に、 PC131bがフェーズ 1の最初のパケット( riSAKMP SAのプロポーザル」パケット;パケット P15)を出力すると、ノレータ 201は IP マスカレードによりパケットの Source portを 500から任意の番号(図 16 (b)の例では 1 )に変換してしまう(パケット P16参照)。
[0010] そして、このようにルータ 201によってソースポートの番号を変更されたパケットを受 信した PC132においては、受信したパケットのポート番号が 500ではないので、この パケット IKEであると判断できないおそれがある。
また、仮に PC132がそのパケットを IKEであると判断し、次のパケット(「ISAKMP SA の選択」パケット;パケット P17)を PC131b宛に返信したとしても、このパケットの Sour ce portと Destination portはそれぞれ 500として発信されるので、 PC131aのネゴシェ ーシヨンにおいて送信されたパケット P13と同じになり、ルータ 201はそのパケットを 区別できず、 PCI 31bに正しく振り分けることができない。
[0011] このように、従来のルータ 201において、 LAN— WAN間で NATを挟んだネゴシエー シヨンを行なう場合には、 1台のイニシエータしかネゴシエーションを正常に行なうこと ができないおそれがある。
図 17 (a) , (b)は従来のルータにおける IPマスカレード機能を用いた場合での IPsec のネゴシエーション完了後に送受信されるパケットを説明するための図であり、図 17 ( a)はイニシエータ(PC131a, PC131b) ,ルータ 201およびレスボンダ(PC132)間 におレヽて送受信されるノ ケット(P21, P22, P23, P26)を示す図、図 17 (b)は図 17 (a)における各パケットの内容を模式的に示す図である。なお、以下、図中、既述の 略語や符号と同一の略号や符号は同一の意味部分を示しているので、その詳細な 説明は省略する。
[0012] これらの図 17 (a) , (b)に示すように、 IPsecのネゴシエーション完了後に送受信され る喑号ィ匕されたパケット P23, P26においては、パケットの最終的な送信先である PC 131a, 131bのアドレスやポート番号が暗号化される。
従って、たとえ複数のイニシエータから同時に IPsecのネゴシエーションが完了し、 IP secを使った暗号化通信を同時に行なえるようになったとしても、ネゴシエーション完 了後においては、パケットのポート番号自体が IPsecによって暗号化されてしまうので 、ポート番号を変更できず、 IPマスカレードを使用することができない。
[0013] なお、従来のルータにおいては、 IPsecパススルーと呼ばれる手法を用いて、 IPsec などで暗号化されたパケットは IPマスカレードを行わずに素通りさせ、送信元アドレス をルータ 201のグローバルアドレス(192.168.20.1)に付け替えることも行なわれてい る。しかしながら、このような IPsecパススルー方式においては、ポート番号の変更が行 なわないので、例えば、図 17 (a) , (b)におけるパケット P23とパケット P26とはルータ 201から見れば同じものに見えてしまう。
[0014] すなわち、この場合においても、ルータ 201は PC132から送られてきたパケットを P C131a, PC131bに正しく振り分けることができないので、結果的にルータ 201には 1台のイニシエータしか接続することができない。 本発明は、このような課題に鑑み創案されたもので、複数のイニシエータから IPsec のネゴシエーションを正常に行なうことができるとともに、ネゴシエーション完了後にお いても、それぞれの LAN側の PC (イニシエータ)に対して、 IPsecによって暗号化され たパケットを正しく振り分けることができるようにすることを目的とする。
課題を解決するための手段
[0015] 上記の目的を達成するために、本発明の中継装置は、第 1の装置と第 2の装置との 間において暗号化された転送データを送受信可能な中継装置であって、前記第 1の 装置と第 2の装置との間において暗号化通信に先立って行なわれる仕様確定通信 時に、該第 1の装置から送信される転送データから、セキュリティ情報を取得する第 1 セキュリティ情報取得部と、該第 1セキュリティ情報取得部によって取得された該セキ ユリティ情報と、当該第 1の装置のアドレスとを対応付けて第 1ルーティング情報として 登録する第 1登録部と、該第 2の装置力 送信される該転送データ中からセキュリティ 情報を取得する第 2セキュリティ情報取得部と、該第 2セキュリティ情報取得部によつ て取得された該セキュリティ情報に基づいて該第 1ルーティング情報を参照し、当該 転送データを送信先の該第 1の装置に振り分ける第 1振り分け部とをそなえることを 特徴としている。
[0016] なお、当該中継装置が IP (Internet Protocol)マスカレード機能をそなえるとともに、 該仕様確定通信時において、該 IPマスカレード機能を抑止する抑止部と、仕様確認 通信時において、該第 1の装置から送信された転送データのソースポートを任意に 設定可能なポート番号設定部とをそなえ、該ポート番号設定部によって該ソースポー トの設定が行なわれた該転送データを該第 2の装置に送出してもよい。
[0017] そして、該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に 使用した識別値の通知を要求する要求信号を送信する要求信号送信部と、該要求 信号送信部から送信された該要求信号に対する応答として該第 1の装置から応答信 号として送信される該識別値を受信する応答信号受信部と、該応答信号受信部によ つて受信された該識別値と、当該第 1の装置のアドレスとを対応付けて第 2ルーティン グ情報として登録する第 2登録部と、該第 2の装置から送信される該転送データから 該識別値を取得する識別値取得部と、該識別値取得部によって取得された該識別 値に基づいて該第 2ルーティング情報を参照し、当該転送データを送信先の該第 1 の装置に振り分ける第 2振り分け部とをそなえてもよい。
[0018] また、本発明の中継方法は、第 1の装置と第 2の装置との間において暗号化された 転送データを送受信可能な中継方法であって、前記第 1の装置と第 2の装置との間 において暗号化通信に先立って行なわれる仕様確定通信時に、該第 1の装置から 送信される転送データから、セキュリティ情報を取得する第 1セキュリティ情報取得ス テツプと、該第 1セキュリティ情報取得ステップにおいて取得された該セキュリティ情報 と、当該第 1の装置のアドレスとを対応付けて第 1ルーティング情報として登録する第 1登録ステップと、該第 2の装置から送信される該転送データ中力 セキュリティ情報 を取得する第 2セキュリティ情報取得ステップと、該第 2セキュリティ情報取得ステップ において取得された該セキュリティ情報に基づいて該第 1ルーティング情報を参照し 、当該転送データを送信先の該第 1の装置に振り分ける第 1振り分けステップとをそ なえることを特 ί数としている。
[0019] なお、該仕様確定通信時において、 IP (Internet Protocol)マスカレード機能を抑止 する抑止ステップと、仕様確認通信時において、該第 1の装置から送信された転送デ ータのソースポートを任意に設定可能なポート番号設定ステップとをそなえ、該第 1 振り分けステップにおいて、該ポート番号設定ステップにおいて該ソースポートの設 定が行なわれた該転送データを該第 2の装置に送出してもよい。
[0020] そして、該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に 使用した識別値の通知を要求する要求信号を送信する要求信号送信ステップと、該 要求信号送信ステップにおいて送信された該要求信号に対する応答として該第 1の 装置から応答信号として送信される該識別値を受信する応答信号受信ステップと、 該応答信号受信ステップにおいて受信された該識別値と、当該第 1の装置のァドレ スとを対応付けて第 2ルーティング情報として登録する第 2登録ステップと、該第 2の 装置から送信される該転送データから該識別値を取得する識別値取得ステップと、 該識別値取得ステップにおレ、て取得された該識別値に基づレ、て該第 2ルーティング 情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分けス テツプとをそなえてもよい。 [0021] また、本発明の中継用プログラムは、第 1の装置と第 2の装置との間において暗号 化された転送データの送受信を行なう中継機能をコンピュータに実行させるための 中継用プログラムであって、前記第 1の装置と第 2の装置との間において暗号化通信 に先立って行なわれる仕様確定通信時に、該第 1の装置から送信される転送データ から、セキュリティ情報を取得する第 1セキュリティ情報取得ステップと、該第 1セキユリ ティ情報取得ステップにおいて取得された該セキュリティ情報と、当該第 1の装置の アドレスとを対応付けて第 1ルーティング情報として登録する第 1登録ステップと、該 第 2の装置力 送信される該転送データ中からセキュリティ情報を取得する第 2セキ ユリティ情報取得ステップと、該第 2セキュリティ情報取得ステップにおレ、て取得され た該セキュリティ情報に基づいて該第 1ルーティング情報を参照し、当該転送データ を送信先の該第 1の装置に振り分ける第 1振り分けステップとを、該コンピュータに実 行させることを特徴としている。
[0022] なお、該仕様確定通信時において、 IP (Internet Protocol)マスカレード機能を抑止 する抑止ステップと、仕様確認通信時において、該第 1の装置から送信された転送デ ータのソースポートを任意に設定可能なポート番号設定ステップとを、該コンピュータ に実行させるとともに、該第 1振り分けステップにおいて、該ポート番号設定ステップ において該ソースポートの設定が行なわれた該転送データを該第 2の装置に送出す るように、該コンピュータを機能させてもよい。
[0023] そして、該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に 使用した識別値の通知を要求する要求信号を送信する要求信号送信ステップと、該 要求信号送信ステップにおいて送信された該要求信号に対する応答として該第 1の 装置から応答信号として送信される該識別値を受信する応答信号受信ステップと、 該応答信号受信ステップにおいて受信された該識別値と、当該第 1の装置のァドレ スとを対応付けて第 2ルーティング情報として登録する第 2登録ステップと、該第 2の 装置から送信される該転送データから該識別値を取得する識別値取得ステップと、 該識別値取得ステップにおレ、て取得された該識別値に基づレ、て該第 2ルーティング 情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分けス テツプとを、該コンピュータに実行させてもよい。 [0024] また、本発明のコンピュータ読取可能な記録媒体は、上述した中継用プログラムを 記録したものである。
さらに、本発明の情報処理装置は、中継装置を介して、他の情報処理装置との間 で転送データの送受信を行なう情報処理装置であって、該他の情報処理装置との間 において暗号化通信に先立って行なわれる仕様確定通信の完了後に、該中継装置 から送信される要求信号を受信する要求信号受信部と、該要求信号受信部が該要 求信号を受信したときに、該仕様確定通信時に使用した識別値を該中継装置に対し て応答信号として送信する応答信号送信部とをそなえることを特徴としている。
発明の効果
[0025] 本発明によれば、以下の少なくともいずれ力 1つの効果ないし利点がある。
(1)第 1の装置と第 2の装置との間において暗号化通信に先立って行なわれる仕様 確定通信時において、転送データを確実に振り分けることができ、仕様確定通信を 行なうことができる。
(2)仕様確定通信完了後においても、暗号化された転送データを正しく振り分けて 暗号化通信を行なうことができる。
図面の簡単な説明
[0026] [図 1]本発明の一実施形態としてのルータ(中継装置)をそなえた中継システムの構 成を模式的に示す図である。
[図 2]本発明の一実施形態としてのルータの構成のハードウェア構成を模式的に示 す図である。
[図 3]本発明の一実施形態としてのルータにおける IPsec無効時に用いられるルーテ イングテーブルの例を示す図である。
[図 4]本発明の一実施形態としてのルータにおける第 1ノレ一ティングテーブルの例を 示す図である。
[図 5]本発明の一実施形態としてのルータにおいて用いられる要求パケットの例を示 す図である。
[図 6]本発明の一実施形態としてのルータにおいて用いられる応答パケットの例を示 す図である。 園 7]本発明の一実施形態としてのルータにおける第 2ルーティングテーブルの例を 示す図である。
[図 8]IPsecのネゴシエーションのフェーズ 2においてイニシエータからレスボンダに送 信されるパケットの一部を示す図である。
[図 9]IPsecのネゴシエーションのフェーズ 2においてレスボンダからイニシエータに送 信されるパケットの一部を示す図である。
[図 10]IPsecのネゴシエーション完了後にイニシエータからレスボンダに送信されるパ ケットの構成例を示す図である。
[図 1 l]IPsecのネゴシエーション完了後にレスボンダからイニシエータに送信されるパ ケットの構成例を示す図である。
園 12]本発明の一実施形態としてのルータに接続されるレスボンダの SADの例を示 す図である。
[図 13]本発明の一実施形態としてのルータにおける IPsecのネゴシエーション時の処 理を説明するためのフローチャートである。
園 14]本発明の一実施形態としてのルータにおける IPsecのネゴシエーション完了後 の処理を説明するためのフローチャートである。
[図 15] (a) , (b)は IPsec接続を確立するためのネゴシエーションにおける工程を説明 するための図である。
[図 16] (a) , (b)は従来のルータにおける IPマスカレード機能を用いた場合での IPsec のネゴシエーション時に送受信されるパケットを説明するための図である。
[図 17] (a) , (b)は従来のルータにおける IPマスカレード機能を用いた場合での IPsec のネゴシエーション完了後に送受信されるパケットを説明するための図である。 符号の説明
10 ルータ(中継装置)
11 LAN側通信部
12 イニシエータクッキー取得部(第 1イニシエータクッキー取得部,第 2ィユシェ ータクッキー取得部,第 1セキュリティ情報取得部,第 2セキュリティ情報取得部) 13 第 1登録部 14 第 1ルーティングテーブル (第 1ルーティング情報)
15 第 1振り分け部
16 第 3ルーティングテーブル
17 WAN側通信部
18 抑止部
19 ポート番号設定部
20 要求パケット送信部 (要求信号送信部)
21 応答パケット受信部 (応答信号送信部)
22 第 2登録部
23 第 2振り分け部
24 SPI値取得部 (識別値取得部)
25 第 2ルーティングテーブル(第 2ルーティング情報)
31 , 31a, 31b PC (イニシエータ,第 1の装置)
32 PC (レスボンダ,第 2の装置)
40 CPU
41 メモリチップ
42, 45 PHYチップ
43 WAN側 MAC
44 LAN側 MAC
発明を実施するための最良の形態
以下、図面を参照して本発明の実施の形態を説明する。
図 1は本発明の一実施形態としてのルータ(中継装置)をそなえた中継システムの 構成を模式的に示す図、図 2は本発明の一実施形態としてのルータの構成のハード ウェア構成を模式的に示す図である。
ルータ(中継装置) 10は、ネットワーク同士を通信可能に接続し、これらのネットヮー ク間でパケットの中継処理を行なう中継装置である。本実施形態においては、ルータ 10は、プライベートネットワーク(LAN ; Local Area Network)とグローバルネットワーク (WAN ; Wide Area Network)との間でパケット(転送データ)の中継処理を行なうよう になっており、 LAN側の 1以上(本実施形態では 2つ)の PC (Personal Computer) 31 a, 31bと、 WAN側の 1以上(本実施形態では 1つ)の PC32との間でパケットの中継( 転送,送受信)を行なうようになっている。
[0029] なお、本実施形態においては、図 1に示すように、 PC31aのアドレス(LAN上におけ るプライベートアドレス)が 192.168.2.100、 PC31aのアドレスが 192.168.2.101、ルータ 10の LAN側のアドレス(プライベートアドレス)が 192.168.2.1、ルータ 10の WAN側の アドレス(グローバルアドレス)が 192.168.20.10、 PC32のアドレス(WAN上におけるグ ローバルアドレス)が 192.168.20.1であるものとする。
[0030] また、本ルータ 10は、 IPマスカレード機能をそなえており、 TCP/UDP (Transmission
Control Protocol/User Datagram Protocol)のポート番号を変更することで、一のグ ローバルアドレスを用いて LAN側の複数の PC31a, 31bが同時にインターネットに 接続することができるようになつている。
さらに、本ルータ 10は、 IPsec (lP Security)通信(暗号化通信)機能をそなえており、 この IPsec機能によって IPパケット(転送データ)の暗号化や認証機能を付加し、パケ ットの改ざんや盗聴を防止することができるようになっている。図 1に示す例において は、ルータ 10は、 LAN側の PC31a, 31bと WAN側の PC32との間において IPsecによ る通信を可能にするものであって、本実施形態においては、 PC31a, 31b (ィニシェ ータ,第 1の装置)から PC32 (レスボンダ,第 2の装置)に対して IPsecによる通信要求 を行なう場合について説明する。
[0031] 以下、本実施形態においては、 PC31aや PC31bをイニシエータ 31aやィニシエー タ 31bという場合がある。又、 PC (イニシエータ)を示す符号としては、複数の PC (ィ ユシェータ)のうち 1つを特定する必要があるときには符号 31a, 31bを用いる力 任 意の PC (イニシエータ)を指すときには符号 31を用いる。
また、本ルータ 10においては、上述の如き IPsec機能を有効にする他、 IPsec機能を 使用しないで通信を行なうこともできるようになつており(IPsec無効時;通常時)、この ような IPsec機能の有効 Z無効の設定は、例えば PC31, 32のユーザ等が任意に行 なうことができるようになつている。
[0032] 図 3は本発明の一実施形態としてのルータ 10における IPsec無効時に用いられる第 3ルーティングテーブル 16の例を示す図であって、 PC31a, 31b力 PC32へ送信し たパケットに関する情報の例を示すものである。この図 3に示すように、 IPsec無効時 においては、本ルータ 10が有する IPマスカレード機能により、パケットのソースポート( Source port)やデスティネーションポート(Destination port)の値を任意の値(1024,11 24,768,1755,53等)に変更し、後述する第 2振り分け部 23が、この第 3ルーティングテ 一ブル 16を参照してパケットの振り分けを行なレ、、正しい送信先にパケットの送信を 行なうようになっている。
[0033] 本ルータ 10は、図 2に示すように、 CPU40,メモリチップ(Memory Chip) 41 , PHY チップ(PHY Chip) 42, 45, WAN側 MAC43および LAN側 MAC44をそなえて構成さ れている。
メモリチップ 41は、 CPU (Central Processing Unit) 40を動作させるためのプログラ ムゃデータを格納したり、第 3ルーティングテーブル 16の他、後述する第 1ルーティン グテーブル 14 (図 1参照)や第 2ルーティングテーブル 25 (図 1参照)を格納するもの である。
[0034] CPU40は、ルータ 10における種々の制御'処理を行なうものであって、メモリチッ
の内部記憶装置に格納されたプログラムを実行することにより、後述する、ィニシエー タクツキ一取得部 12,第 1登録部 13,第 1振り分け部 15,抑止部 18,ポート番号設 定部 19,要求パケット送信部 20,応答パケット受信部 21,第 2登録部 22,第 2振り分 け部 23および SPI値取得部 24として機能するようになっている。
[0035] なお、これらのイニシエータクッキー取得部 12,第 1登録部 13,第 1振り分け部 15, 抑止部 18,ポート番号設定部 19,要求パケット送信部 20,応答パケット受信部 21, 第 2登録部 22,第 2振り分け部 23および SPI値取得部 24としての機能を実現するた めのプログラムは、例えばフレキシブルディスク, CD (CD-ROM, CD-R, CD— RW等), DVD (DVD -ROM, DVD -RAM, DVD-R, DVD + R, DVD-RW , DVD + RW等),磁気ディスク,光ディスク,光磁気ディスク等の、コンピュータ読取 可能な記録媒体に記録された形態で提供してもよい。
[0036] なお、本実施形態において、コンピュータとは、ハードウェアとオペレーティングシス テムとを含む概念であり、オペレーティングシステムの制御の下で動作するハードゥエ ァを意味している。又、オペレーティングシステムが不要でアプリケーションプログラム 単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンビユー タに相当する。ハードウェアは、少なくとも、 CPU等のマイクロプロセッサと、記録媒体 に記録されたコンピュータプログラムを読み取るための手段とをそなえており、本実施 形態においては、ルータ 10がコンピュータとしての機能を有しているのである。
[0037] さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク, C D, DVD,磁気ディスク,光ディスク,光磁気ディスクのほカ ICカード, ROMカート リッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMや ROMなど のメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等のコン ピュータ読取可能な種々の媒体を利用することができる。
[0038] PHYチップ 42, 45は、ネットワークの物理的(physical)な接続.伝送を制御するもの であって、 PHYチップ 42は本ルータ 10と WAN側のイーサネット(登録商標)(WAN Et hernet)との間で物理的な接続'伝送を行ない、 PHYチップ 45は本ルータ 10と LAN側 のイーサネット(LAN Ethernet)との間で物理的な接続.伝送を行なうようになっている 。又、本実施形態においては、 PHYチップ 45は、スイッチングハブチップ(Switching Hub Chip)を内蔵しており、スイッチングハブとしての機能も有している。
[0039] WAN側 MAC (Media Access Control) 43は、本ルータ 10と WANとの間でのメディア アクセス制御を行なうものであって、例えばパケットの送受信における誤り検出等を行 なうようになっている。 LAN側 MAC (Media Access Control) 44»,本ルータ 10と LAN 側の通信機器 (本実施形態では PC32)との間でのメディアアクセス制御を行なうもの であって、例えばパケットの送受信における誤り検出等を行なうようになっている。
[0040] また、ルータ 10は、図 1に示すように、 LAN側通信部 11, WAN側通信部 17,ィニシ エータクツキ一取得部(第 1イニシエータクッキー取得部,第 2イニシエータクッキー取 得部) 12,第 1登録部 13,第 1ルーティングテーブル 14,第 1振り分け部 15,抑止部 18,ポート番号設定部 19,要求パケット送信部 20,応答パケット受信部 21,第 2登 録部 22,第 2振り分け部 23, SPI値取得部 24および第 2ルーティングテーブル 25を そなえて構成されている。 [0041] LAN通信部 11は、 LAN側の PC31a, 31b等との間でパケット通信を行なうものであ り、図 2における PHYチップ 45, LAN側 MAC44等によって実現される。 WAN側通信 部 17は、 WAN側の PC32等との間でパケット通信を行なうものであり、図 2における P HYチップ 42, WAN側 MAC43等によって実現される。
抑止部 18は、 IPsecのネゴシエーション時(喑号ィ匕通信に先立って行なわれる仕様 確定通信時)において、前述した本ルータ 10における IPマスカレード機能を抑止す るものであり、パケットのソースポートやデスティネーションポートの値を任意の値に変 更することを抑止するようになってレ、る。
[0042] ポート番号設定部 19は、パケットのソースポートを任意に設定するものであって、 IP secのネゴシエーション時において、イニシエータ 31a, 31b力も送信されたネゴシェ ーシヨンのパケットのソースポートを IKEの規格に則って設定するものであり、本実施 形態においては UDP (User Datagram Protocol)の 500に設定するようになっている。 すなわち、ポート番号設定部 19は、抑止部 18によってソースポートやデスティネーシ ヨンポートの値の変更(IPマスカレード機肯 を抑止されたパケットについて、そのソー スポートを 500に変更する。
[0043] イニシエータクッキー取得部(第 1イニシエータクッキー取得部,第 2イニシエータク ツキ一取得部,第 1セキュリティ情報取得部,第 2セキュリティ情報取得部) 12は、ィニ シエータ 31やレスボンダ 32から送信されたパケットからイニシエータクッキー(セキュ リティ情報)を取得 ·抽出するものである。
イニシエータクッキーはイニシエータ 31がネゴシエーションを開始するときに作成す る任意の値であって、例えば 64bitの乱数が用いられ、 IPsecの暗号鍵を作成する要 素となるものである。なお、一般に、 IPsecネゴシエーションの工程フェーズ 1, 2にお いて、すべてのパケットで共通のイニシエータクッキーが使用される。
[0044] そして、イニシエータクッキー取得部 12は、 IPsecのネゴシエーション時に、ィユシェ ータ 31から送信される IKE (Internet Key Exchange)のフェーズ 1における最初のパケ ット(「ISAKMP SAのプロポーサル」パケット)から、イニシエータ 31により作成されるィ ユシェータクッキーを取得するようになってレ、る。
例えば、イニシエータクッキー取得部 12は、 IPsecのネゴシエーション時におけるフ エーズ 1の「ISAKMP SAのプロポーザル」パケットを認識し、このパケット中における特 定部分を抽出することにより、そのイニシエータクッキーを取得することができる。
[0045] また、イニシエータクッキー取得部(第 2イニシエータクッキー取得部,第 2セキユリテ ィ情報取得部) 12は、 IPsecのネゴシエーションの工程において、レスボンダ 32から送 信されるパケットのイニシエータクッキーを取得するようになっており、レスボンダ 32か ら送信されるパケット中における特定部分を抽出することによって、そのイニシエータ クッキーを取得するようになってレ、る。
[0046] 第 1登録部 13は、イニシエータクッキー取得部 12によって取得されたイニシエータ クッキーと、そのパケットを送出したイニシエータ 31のアドレスと、レスボンダ 32のアド レスとを対応付けて、第 1ルーティングテーブル 14としてメモリチップ 31に格納(登録 )するようになっている。
具体的には、第 1登録部 13は、イニシエータクッキー取得部 12によってパケットか ら取得されたイニシエータクッキーと、そのパケットの送信元アドレスとに基づいて第 1 ルーティングテーブル 14を参照して、これらのイニシエータクッキーや送信元アドレス が第 1ルーティングテーブル 14に登録 (格納)されているか否かを確認し、登録され ていない場合には、そのパケットが IPsecのネゴシエーション時におけるフェーズ 1の 最初のパケット(「ISAKMP SAのプロポーザル」パケット)であるとみなし、これらのィニ シエータクツキ一, NAT (Network Address Translation)変換前ソースアドレス(Source address ;送信元アドレス), NAT変換後デスティネーションアドレス(Destination addr ess ;送信先アドレス), NAT変換前ソースポート(Source port) , NAT変換後ソースポ ート, NAT変換前デスティネーションポート, NAT変換後デスティネーションポートお よび NAT変換後デスティネーションポートを互いに関連付けて第 1ルーティングテー ブル 14に追加(登録)するようになつている。
[0047] なお、本ルータ 10は、プライベート IPアドレスと、 Internetアクセスに利用できるグロ 一バルな IPアドレスとを相互に変換する NAT (Network Address Translation)変換機 能をそなえており、 NAT変換後デスティネーションアドレス, NAT変換後ソースポート , NAT変換後デスティネーションポートおよび NAT変換後デスティネーションポートは 、それぞれこの NAT変換機能によって生成されるようになっている。又、このような NA T変換機能は既知の種々の手法を用いて実現することができる。
[0048] 第 1ルーティングテーブル(第 1ルーティング情報) 14は、 IPsecのネゴシエーション 時に転送するパケットに関して、第 1イニシエータクッキー取得部 12によって取得され たイニシエータクッキーと、そのイニシエータ 31のアドレスとを対応付けて保持するも のである。
図 4は本発明の一実施形態としてのルータ 10における第 1ルーティングテーブル 1 4の例を示す図である。この図 4に示す第 1ノレ一ティングテーブル 14は、上述したよう に、 NAT変換前ソースアドレス(Source address) , NAT変換後デスティネーションアド レス(Destination address) , NAT変換前ソースポート(Source port) , NAT変換後ソー スポート, NAT変換前デスティネーションポート, NAT変換後デスティネーションポート , NAT変換後デスティネーションポートおよびイニシエータクッキーを相互に関連させ て登録することにより構成されている。
[0049] また、第 1ノレ一ティングテーブル 14においては、第 1イニシエータクッキー取得部 12 によって取得されたイニシエータクッキーと、そのイニシエータ 31のアドレスとレスポン ダ 32のアドレスとを対応付けることにより、レスボンダ 32が複数ある場合に対応するこ とができるようになつている。
なお、この図 4に示す第 1ルーティングテーブル 14においては、 PC31a, 31bのそ れぞれから PC32に対して送信されたパケットであって、抑止部 18によってソースポ ートゃデスティネーションポートの値の変更(IPマスカレード機能)を抑止された後に、 ポート番号設定部 19によってソースポートを 500に変更された各パケットについての 情報がそれぞれ表示されてレ、る。
[0050] また、この第 1ルーティングテーブル 14は、例えば、メモリチップ 41や図示しない R AMや ROM,ハードディスク等の記憶装置内に格納されるようになっている。
第 1振り分け部 15は、イニシエータクッキー取得部 12によって取得されたィニシェ 一タクツキ一に基づいて第 1ルーティングテーブル 14を参照し、そのパケットを送信 先のイニシエータ 31に振り分けるものである。
[0051] 具体的には、第 1振り分け部 15は、レスボンダ 32から送信されるパケットについて、 イニシエータクッキー取得部 12によって取得されたイニシエータクッキーに基づいて 第 1ノレ一ティングテーブル 14を参照して、そのイニシエータクッキーに対応するィニ シエータ 31のアドレス(ソースアドレス)を取得し、そのパケットがそのイニシエータ 31 に送信されるように振り分けを行ない、 LAN側通信部 11に、その振り分けられたィニ シエータ 31のアドレスに対してパケットを送信させるようになつている。
[0052] すなわち、本ルータ 10においては、 IPsecのネゴシエーション時において、ィユシェ 一タクツキ一が IPマスカレードにおけるポート番号と同様の役割を果たすようになって おり、このイニシエータクッキーを用いることにより、レスボンダ 32からイニシエータ 31 へ返信されるソースポートやデスティネーションポートが 500のパケットを、その送信 先のイニシエータ 31に正しく振り分けることができる。
[0053] 要求パケット送信部(要求信号送信部) 20は、イニシエータ 31とレスボンダ 32との 間における IPsecのネゴシエーション完了後に、そのイニシエータ 31に対して IPsecの ネゴシエーション時に使用した SPI (Security Parameter Index)値(識別値)の通知を 要求する要求パケット(要求信号)を送信するものである。
また、この要求パケットを受信したイニシエータ 31 (PC31a, 31b)は、 SPI値を格納 した「応答パケット (応答信号)」を返信するようになってレ、る。
[0054] 図 5は本発明の一実施形態としてのルータ 10において用いられる要求パケットの 例を示す図、図 6は本発明の一実施形態としてのルータ 10において用いられる応答 パケットの例を示す図である。
要求パケットはイニシエータ 31に対して IPsecのネゴシエーション時に使用した SPI 値の通知を要求するための特定の文字列や情報 (コマンド等)をそなえて構成され、 図 5に示す例においては、要求パケットは TCP/IPヘッダとデータ部とをそなえて構成 されており、そのデータ部には SPI値の送信を要求するコマンド "SPWvalue"が格納さ れている。
[0055] 一方、イニシエータ 31は、受信したパケットのデータ部にコマンド "SPWvalue"を検 出すると、ルータ 10に対して、図 6に示すような応答パケットを送信するように予め規 定 (設定)されている。
応答パケットは、要求パケット送信部 20から送信された要求パケットに対する応答と して各イニシエータ 31から送信されるものであって、イニシエータ (応答パケット送信 部) 31は、 IPsecのネゴシエーション時に使用した(イニシエータ 31が「IPsec SAのプ 口ポーサルと鍵生成のための情報」パケット内に格納した) SPI値を含む応答パケット( 図 6参照)をルータ 10に送信するようになっている。
[0056] なお、図 6に示す例においては、応答パケットは TCP/IPヘッダとデータ部とをそな えて構成されており、そのデータ部には 32ビットの SPI値(図 6に示す例では" deff9c4a ")が格納されている。
応答パケット受信部 (応答信号受信部) 21は、要求パケット送信部 20から送信され た要求パケットに対する応答としてイニシエータ 31から応答パケットとして送信される SPI値を受信するものであって、イニシエータ 31から送信された応答パケットのデータ 部から SPI値を抽出して、この SPI値を第 2登録部 22に渡すようになつている。
[0057] 第 2登録部 22は、応答パケット受信部 21によって受信された SPI値と、その応答パ ケットを送信したイニシエータ 31のアドレスと、レスボンダ 32のアドレスとを対応付け て第 2ルーティングテーブル (第 2ルーティング情報) 25として登録するものであり、本 実施形態においては、 NAT変換前ソースアドレス, NAT変換後ソースアドレス, NAT 変換前デスティネーションアドレス, NAT変換後デスティネーションアドレスおよび SPI 値を相互に関連させて第 2ルーティングテーブル 25として登録するようになっている
[0058] 第 2ルーティングテーブル 25は、 IPsecのネゴシエーション完了後に転送するバケツ トに関して、応答パケット受信部 21によって取得された SPI値と、その応答パケットを 送信したイニシエータ 31のアドレスとを対応付けて保持するものである。
図 7は本発明の一実施形態としてのルータ 10における第 2ルーティングテーブル 2 5の例を示す図である。この図 7に示す第 2ルーティングテーブル 25は、上述したよう に、 NAT変換前ソースアドレス, NAT変換後ソースアドレス, NAT変換前デスティネー シヨンアドレス, NAT変換後デスティネーションアドレスおよび SPI値を相互に関連させ て登録することにより構成されている。
[0059] また、第 2ルーティングテーブル 25においては、応答パケット受信部 21によって取 得された SPI値と、その応答パケットを送信したイニシエータ 31のアドレスと、レスボン ダ 32のアドレスとを対応付けることにより、レスボンダ 32が複数ある場合に対応するこ とができるようになつている。
また、この第 2ノレ一ティングテーブル 25は、上述した第 1ノレ一ティングテーブル 14と 同様に、例えば、メモリチップ 41や図示しない RAMや ROM,ハードディスク等の記 憶装置内に格納されるようになっている。
[0060] なお、この図 7に示す第 2ルーティングテーブル 25においては、 PC31a, 31bのそ れぞれから PC32に対して送信された各パケットについての情報がそれぞれ表示さ れている。
SPI値取得部(識別値取得部) 24は、 IPsecのネゴシエーション完了後に行なわれる 暗号化通信にぉレ、て、レスボンダ 32から送信されるパケットから SPI値を取得するもの であって、前述したイニシエータクッキー取得部 12等と同様に、パケット中における 特定部分を抽出することにより、その SPI値を取得するようになっている。
[0061] 図 8は IPsecのネゴシエーションのフェーズ 2においてイニシエータ 31からレスボンダ
32に送信されるパケット(「IPsec SAのプロポーザルと鍵生成のための情報」パケット) の一部を示す図、図 9は IPsecのネゴシエーションのフェーズ 2においてレスボンダ 32 力らイニシエータ 31に送信されるパケット(「IPsec SAのプロポーザルと鍵生成のため の情報」パケット)の一部を示す図、図 10は IPsecのネゴシエーション完了後にィニシ エータ 31からレスボンダ 32に送信されるパケットの構成例を示す図、図 11は IPsecの ネゴシエーション完了後にレスボンダ 32からイニシエータ 31に送信されるパケットの 構成例を示す図、図 12は本発明の一実施形態としてのルータ 10に接続されるレス ボンダ 32の SADの例を示す図である。
[0062] ここで、 SPI値は、イニシエータ 31 ,レスボンダ 32それぞれ力 SlPsecで暗号化パケット を復号化する時に、 自身が持つ SAD (Security Association Database ;図 12参照)を 検索するために使われる 32ビットの任意の値であり、イニシエータ 31によって生成さ れ、図 8に示すように、 IPsecのネゴシエーションのフェーズ 2の最初にイニシエータ 31 が送信する「IPsec SAのプロポーザルと鍵生成のための情報」パケットに格納されるよ うになつている。
[0063] また、図 9に示すように、 SPI値は、 IPsecのネゴシエーションのフェーズ 2の最初にレ スボンダ 32がイニシエータ 31に送信する「IPsec SAのプロポーザルと鍵生成のため の情報」パケットにも格納されるようになっている。
レスボンダ 32は、イニシエータ 31から送信された「IPsec SAのプロポーザルと鍵生 成のための情報」パケット(図 8参照)内にある SPI値を取得し、ネゴシエーション完了 後の喑号ィ匕通信においてパケットを送る場合に、図 10に示すように、この SPI値を喑 号化パケットに格納して送信するようになっている。
[0064] イニシエータ 31は、図 12に示すように、宛先アドレス, IPsecプロトコル,カプセルィ匕 モード等に SPI値を関連付けて構成した SADをメモリやハードディスク等の図示しない 記憶装置に格納しており、暗号化パケットを受信すると、その SPI値を用いて自身の S ADの中を検索して復号化するようになつている。
一方、イニシエータ 31がパケットを送信する場合には、イニシエータ 31は、 IPsecの ネゴシエーションのフェーズ 2の最初にレスボンダ 32から送信される「IPsec SAの選択 と鍵生成のための情報」パケット(図 9参照)内から SPI値を取得し、図 11に示すように 、この取得した SPI値を送信するパケットに格納して送信するようになっている。
[0065] 第 2振り分け部 23は、 SPI値取得部 24によって取得された SPI値に基づいて第 2ノレ 一ティングテーブル 25を参照し、そのパケットを送信先のイニシエータ 31に振り分け るものである。
具体的には、第 2振り分け部 23は、通常通信時にレスボンダ 32から送信されるパケ ットについて、 SPI値取得部 24によって取得された SPI値に基づいて第 2ノレ一ティング テーブル 25を参照して、その SPI値に対応するイニシエータ 31のアドレス(ソースアド レス)を取得し、そのパケットがそのイニシエータ 31に送信されるように振り分けを行 なレ、、 LAN側通信部 11に対して、その振り分けられたイニシエータ 31のアドレスに対 してパケットを送信させるようになつている。
[0066] すなわち、本ルータ 10においては、 IPsecのネゴシエーション完了後において、 SPI 値が IPマスカレードのポート番号と同様の役割を果たすようになつている。
図 10および図 11に示すように、ネゴシエーション完了後の暗号化パケット中におけ る SPI値の部分は暗号化されていないので、本ルータ 10は、レスボンダ 32から送られ てきた暗号化パケットに対しては、パケット内の SPI値を取得して第 2ルーティングテー ブル 25を参照することにより各イニシエータ 31a, 31bに暗号化パケットを振り分ける こと力 Sできる。又、イニシエータ 31a, 31bから送られてきたパケットに対してはそのソ ースアドレス(Source address)のみを変更してレスボンダ 32に送ればよレ、。
[0067] また、第 2振り分け部 23は、 IPsec無効時には、前述した第 3ルーティングテーブル 1 6を参照してパケットの振り分けを行なうようになっている。
上述のごとく構成された本発明の一実施形態としてのルータ 10における IPsecのネ ゴシエーシヨン時の処理を、図 13に示すフローチャート(ステップ A10〜A60)に従 つて説明する。
[0068] ルータ 10がイニシエータ 31から IKEのパケットを受信すると、イニシエータクッキー 取得部 12がそのパケットのイニシエータクッキーを取得し、第 1登録部 13が、このィ ユシェ一タクツキ一と(ステップ A10)、そのパケットの送信元アドレスとに基づいて第 1ルーティングテーブル 14を参照して、これらのイニシエータクッキーや送信元ァドレ スが第 1ルーティングテーブル 14に登録 (格納)されているか否かを確認する(ステツ プ A20)。
[0069] これらのイニシエータクッキーや送信元アドレスが第 1ルーティングテーブル 14に登 録されている場合には (ステップ A20の YESルート参照)、第 1振り分け部 15は、第 1 ルーティングテーブル 14力 そのイニシエータクッキーに対応するイニシエータ 31の アドレス(ソースアドレス)を取得し、転送するパケットのソースアドレスを第 1ノレ一ティ ングテーブル 14から取得したソースアドレスに変更する。
[0070] また、抑止部 18が IPマスカレード機能を抑止するとともに、ポート番号設定部 19が そのパケットのソースポートを 500に設定し、第 1振り分け部 15が、そのパケットを WA N側通信部 17にレスボンダ 32に対して送信させる(ステップ A40)。
一方、これらのイニシエータクッキーや送信元アドレスが第 1ルーティングテーブル 14に登録されていない場合には(ステップ A20の NOルート参照)、第 1登録部 13は 、そのパケットが IPsecのネゴシエーション時におけるフェーズ 1の最初のパケット(「IS AKMP SAのプロポーサル」パケット)であるとみなし、これらのイニシエータクッキー, NAT (Network Address Translation)変 目 ijソースアドレス (Source address ; f 兀ァ ドレス), NAT変換後デスティネーションアドレス(Destination address ;送信先アドレス ) , NAT変換前ソースポート(Source port) , NAT変換後ソースポート, NAT変換前デ スティネーションポート, NAT変換後デスティネーションポートおよび NAT変換後デス ティネーシヨンポートを互いに関連付けて第 1ルーティングテーブル 14に追加(登録) して(ステップ A30)、ステップ A40に移行する。
[0071] そして、レスボンダ 32からの返信パケットを受信すると、イニシエータクッキー取得 部 12が、そのパケットのイニシエータクッキーを取得し、第 1振り分け部 15が、この取 得されたイニシエータクッキーに基づいて第 1ルーティングテーブル 14を参照し、そ のパケットを送信先のイニシエータ 31に振り分ける(ステップ A50)。
ノレータ 10は、 IPsecのネゴシエーションにけるフェーズ 1 , 2の全ての処理が完了し たか否かを確認し(ステップ A60)、 IPsecのネゴシエーションにけるフェーズ 1 , 2の全 ての処理が完了した場合には (ステップ A60の YESルート参照)、処理を終了し、又 、 IPsecのネゴシエーションにけるフェーズ 1 , 2の全ての処理が完了していない場合 には(ステップ A60の N〇ルート参照)、ステップ A10に戻る。
[0072] 次に、本発明の一実施形態としてのルータ 10における IPsecのネゴシエーション完 了後の処理を、図 14に示すフローチャート(ステップ B10〜B30)に従って説明する
IPsecのネゴシエーション(フェーズ 1, 2)が完了すると、ルータ 10は、各ィニシエー タ 31の SPI値を知るために、各イニシエータ 31に対して要求パケットを送信する(ステ ップ B10)。 要求パケットを受信したイニシエータ 31は、ルータ 10に対してその SPI 値を含む応答パケットを送信する。
[0073] ルータ 10は、イニシエータ 31から送信された応答パケットを受信して、この応答パ ケットから SPI値を取得し、第 2登録部 22が、第 2ルーティングテーブル 25に NAT変換 前ソースアドレス, NAT変換後ソースアドレス, NAT変換前デスティネーションアドレス , NAT変換後デスティネーションアドレスおよび SPI値を相互に関連させて登録(追加 )する(ステップ B20)。
[0074] そして、ノレータ 10は、以下、レスボンダ 32から喑号ィ匕されたパケットを受信すると、 S PI値取得部 24によりそのパケットの SPI値を取得し、第 2振り分け部 23が、この取得し た SPI値に基づレ、て第 2ルーティングテーブル 25を参照して、受信したパケットを各ィ ユシェータ 31に振り分ける(ステップ B30)。 このように、本発明の一実施形態としてのルータ 10によれば、複数のイニシエータ 3 1 (LAN側 PC)とレスボンダ 32 (WAN側 PC)との間で、 IPsecのネゴシエーションを行な うことができるとともに、 IPsecによって喑号ィ匕されたパケットを正しく振り分けて喑号ィ匕 通信を行なうことができる。
[0075] すなわち、 IPsecのネゴシエーション時において、イニシエータクッキー取得部 12に よって取得されたイニシエータ 31のイニシエータクッキーと、そのイニシエータ 31の アドレスと、レスボンダ 32のアドレスとを対応付けて第 1ルーティングテーブル 14とし て登録し、パケットを受信する際に、第 1振り分け部 15が、イニシエータクッキー取得 部 12によって取得されたそのパケットのイニシエータクッキーに基づいて第 1ノレーテ イングテーブル 14を参照して、そのパケットを送信先のイニシエータ 31に振り分ける ことにより、 IPsecのネゴシエーション時においてパケットを確実に振り分けることができ 、 IPsecのネゴシエーションを行なうことができる。
[0076] また、 IPsecのネゴシエーション時において、抑止部 18が、本ルータ 10における IP マスカレード機能を抑止することにより、パケットのソースポートやデスティネーション ポートの値を任意の値に変更することを抑止し、ポート番号設定部 19が、ィニシエー タ 31a, 31b力ら送信されたネゴシエーションのパケットのソースポートを IKEの規格に 則ってソースポートを 500に変更することにより、 IPsecのネゴシエーションを確実に行 なうことができる。
[0077] さらに、 IPsecのネゴシエーション完了後に、イニシエータ 31に対して要求パケットを 送信して、イニシエータから応答パケットとして送信される SPI値を受信し、この SPI値と 、そのイニシエータ 31のアドレスおよびレスボンダ 32のアドレスを対応付けて第 2ル 一ティングテーブル 25として登録し、 SPI値取得部 24によって取得された SPI値に基 づいて第 2ルーティングテーブル 25を参照し、そのパケットを送信先のイニシエータ 3 1に振り分けることにより、 IPsecのネゴシエーション完了後においても、 IPsecによって 暗号化されたパケットを確実且つ正確に振り分けることができる。
[0078] そして、本発明は上述した実施形態に限定されるものではなぐ本発明の趣旨を逸 脱しなレ、範囲で種々変形して実施することができる。
例えば、上述した実施形態においては、第 1イニシエータクッキー取得部 12によつ て取得されたイニシエータクッキーと、そのイニシエータ 31のアドレスとレスボンダ 32 のアドレスとを対応付けて登録している力 これに限定されるものではなぐ例えば、 これら以外の情報をイニシエータクッキーやそのイニシエータ 31のアドレスに対応付 けて登録してもよぐ又、レスボンダ 32が 1つだけの場合には、イニシエータクッキーと そのイニシエータ 31のアドレスとだけを登録してもよい。
[0079] また、上述した実施形態においては、要求パケットは TCP/IPヘッダとデータ部とを そなえて構成され、そのデータ部には SPI値の送信を要求するコマンド(SPWvalue)が 格納されているが、これに限定されるものではなぐ SPI値の送信を要求するために SP Wvalue以外の他のコマンドを用いてもよぐ又、このようなコマンド以外の情報を要求 パケットにそなえてもよい。
[0080] さらに、上述した実施形態においては、第 1ルーティングテーブル 14と第 2ルーティ ングテーブル 25とが別々に構成されている力 これに限定されるものではなぐこれら の第 1ルーティングテーブル 14と第 2ルーティングテーブル 25とを 1つにまとめて構 成し、第 1ノレ一ティングテーブル 14と第 2ルーティングテーブル 25との両方の機能を そなえた 1つの/レーティングテープノレをそなえてもよい。
[0081] また、本発明は以下に示すように要約することができる。
本発明の中継装置は、 IP (Internet Protocol)マスカレード機能をそなえ、レスボンダ と複数のイニシエータとの間でパケットの送受信を行なう中継装置であって、 IPsec (IP Security)のネゴシエーション時に、該イニシエータから送信される IKE (Internet Key Exchange)のフェーズ 1における最初のパケット(「ISAKMP SAのプロポーザル」バケツ ト)から、該イニシエータにより作成されるイニシエータクッキーを取得する第 1ィニシ エータクッキー取得部と、該第 1イニシエータクッキー取得部によって取得された該ィ ユシェ一タクツキ一と、当該イニシエータのアドレスと、該レスボンダのアドレスとを対 応付けて第 1ルーティングテーブルとして登録する第 1登録部と、該レスボンダから送 信される該パケットの該イニシエータクッキーを取得する第 2イニシエータクッキー取 得部と、該第 2イニシエータクッキー取得部によって取得された該イニシエータクッキ 一に基づいて該第 1ルーティングテーブルを参照し、当該パケットを送信先の該ィニ シエータに振り分ける第 1振り分け部とをそなえることを特徴としている。 [0082] なお、前記 IPsecのネゴシエーション時において、該 IPマスカレード機能を抑止する 抑止部と、該イニシエータから送信されたネゴシエーションのパケットのソースポート を前記 IKEの規格に則って設定するポート番号設定部とをそなえ、該ポート番号設定 部によって該ソースポートの設定が行なわれた該パケットを該レスボンダに送出して あよい。
そして、前記 IPsecのネゴシエーション完了後に、該イニシエータに対して前記 IPsec のネゴシエーション時に使用した SPI (Security Parameter Index)値の通知を要求する 要求パケットを送信する要求パケット送信部と、該要求パケット送信部から送信された 該要求パケットに対する応答として前記イニシエータから応答パケットとして送信され る該 SPI値を受信する応答パケット受信部と、該応答パケット受信部によって受信され た該 SPI値と、当該イニシエータのアドレスと、該レスボンダのアドレスとを対応付けて 第 2ルーティングテーブルとして登録する第 2登録部と、該レスボンダから送信される 該パケットから該 SPI値を取得する SPI値取得部と、該 SPI値取得部によって取得され た該 SPI値に基づレ、て該第 2ルーティングテーブルを参照し、当該パケットを送信先 の該イニシエータに振り分ける第 2振り分け部とをそなえてもよい。
[0083] また、本発明の中継方法は、 IP (Internet Protocol)マスカレード機能を用いて、レス ボンダと複数のイニシエータとの間でパケットの送受信を行なう中継方法であって、 IP sec (IP Security)のネゴシエーション時に、該イニシエータから送信される IKE (Intern et Key Exchange)のフェーズ 1における最初のパケット(「ISAKMP SAのプロポーザル 」パケット)から、該イニシエータにより作成されるイニシエータクッキーを取得する第 1 イニシエータクッキー取得ステップと、該第 1イニシエータクッキー取得ステップにおい て取得した該イニシエータクッキーと、当該イニシエータのアドレスと、該レスボンダの アドレスとを対応付けて第 1ルーティングテーブルとして登録する第 1登録ステップと、 該レスボンダから送信される該パケットの該イニシエータクッキーを取得する第 2ィニ シエータクツキ一取得ステップと、該第 2イニシエータクッキー取得ステップにおレ、て 取得した該イニシエータクッキーに基づいて該第 1ルーティングテーブルを参照し、 当該パケットを送信先の該イニシエータに振り分ける第 1振り分けステップとをそなえ ることを特 ί敷としてレ、る。 [0084] なお、前記 IPsecのネゴシエーション時において、該 IPマスカレード機能を抑止する 抑止ステップと、該イニシエータから送信されたネゴシエーションのパケットのソース ポートを前記 IKEの規格に則って設定するポート番号設定ステップとをそなえ、該ポ ート番号設定ステップにおいて該ソースポートの設定が行なわれた該パケットを該レ スボンダに送出してもよい。
[0085] そして、前記 IPsecのネゴシエーション完了後に、該イニシエータに対して前記 IPsec のネゴシエーション時に使用した SPI (Security Parameter Index)値の通知を要求する 要求パケットを送信する要求パケット送信ステップと、該要求パケット送信ステップに おいて送信された該要求パケットに対する応答として前記イニシエータから応答パケ ットとして送信される該 SPI値を受信する応答パケット受信ステップと、該応答パケット 受信ステップにおいて受信された該 SPI値と、当該イニシエータのアドレスと、該レス ボンダのアドレスとを対応付けて第 2ルーティングテーブルとして登録する第 2登録ス テツプと、該レスボンダから送信される該パケットから該 SPI値を取得する SPI値取得ス テツプと、該 SPI値取得ステップにおレ、て取得された該 SPI値に基づレ、て該第 2ルーテ イングテーブルを参照し、当該パケットを送信先の該イニシエータに振り分ける第 2振
Figure imgf000028_0001
また、本発明の中継用プログラムは、 IP (Internet Protocol)マスカレード機能を用い て、レスボンダと複数のイニシエータとの間でパケットの送受信を行なう中継機能をコ ンピュータに実行させるための中継用プログラムであって、 IPsec (IP Security)のネゴ シエーシヨン時に、該イニシエータから送信される IKE (Internet Key Exchange)のフ エーズ 1における最初のパケット(「ISAKMP SAのプロポーザル」パケット)から、該ィニ シエータにより作成されるイニシエータクッキーを取得する第 1イニシエータクッキー 取得ステップと、該第 1イニシエータクッキー取得ステップにおいて取得した該ィニシ エータクツキ一と、当該イニシエータのアドレスと、該レスボンダのアドレスとを対応付 けて第 1ルーティングテーブルとして登録する第 1登録ステップと、該レスボンダから 送信される該パケットの該イニシエータクッキーを取得する第 2イニシエータクッキー 取得ステップと、該第 2イニシエータクッキー取得ステップにおいて取得した該ィニシ エータクツキ一に基づいて該第 1ルーティングテーブルを参照し、当該パケットを送 信先の該イニシエータに振り分ける第 1振り分けステップとを、該コンピュータに実行 させることを特徴としている。
[0087] なお、前記 IPsecのネゴシエーション時において、該 IPマスカレード機能を抑止する 抑止ステップと、該イニシエータから送信されたネゴシエーションのパケットのソース ポートを前記 IKEの規格に則って設定するポート番号設定ステップとを、該コンピュー タに実行させるとともに、該ポート番号設定ステップにおいて該ソースポートの設定が 行なわれた該パケットを該レスボンダに送出するように、該コンピュータを機能させて あよい。
[0088] そして、前記 IPsecのネゴシエーション完了後に、該イニシエータに対して前記 IPse cのネゴシエーション時に使用した SPI (Security Parameter Index)値の通知を要求す る要求パケットを送信する要求パケット送信ステップと、該要求パケット送信ステップ において送信された該要求パケットに対する応答として前記イニシエータから応答パ ケットとして送信される該 SPI値を受信する応答パケット受信ステップと、該応答バケツ ト受信ステップにおいて受信された該 SPI値と、当該イニシエータのアドレスと、該レス ボンダのアドレスとを対応付けて第 2ルーティングテーブルとして登録する第 2登録ス テツプと、該レスボンダから送信される該パケットから該 SPI値を取得する SPI値取得ス テツプと、該 SPI値取得ステップにおレ、て取得された該 SPI値に基づレ、て該第 2ルーテ イングテーブルを参照し、当該パケットを送信先の該イニシエータに振り分ける第 2振 り分けステップとを、該コンピュータに実行させてもよい。
[0089] そして、本発明のコンピュータ読取可能な記録媒体は、上述した中継用プログラム を記録したものである。
また、本発明の情報処理装置は、 IP (Internet Protocol)マスカレード機能をそなえ た中継装置を介して、レスボンダとの間でパケットの送受信を行なう情報処理装置で あって、 IPsec (IP Security)のネゴシエーション完了後に、該中継装置から送信される 要求パケットを受信する要求パケット受信部と、該要求パケット受信部が該要求パケ ットを受信したときに、前記 IPsecのネゴシエーション時に使用した SPI (Security Param eter Index)値を該中継装置に対して応答パケットとして送信する応答パケット送信部 とをそなえることを特徴としてレ、る。 [0090] なお、本発明の実施形態が開示されていれば、本発明を当業者によって実施,製 造することが可能である。
産業上の利用可能性
[0091] ルータの他、 IPマスカレード機能により、レスボンダと複数のイニシエータとの間で IP secによるパケットの転送を行なう種々のパケット転送用機器にも適用できる。

Claims

請求の範囲
[1] 第 1の装置と第 2の装置との間において暗号化された転送データを送受信可能な 中,継装置であって、
前記第 1の装置と第 2の装置との間において暗号化通信に先立って行なわれる仕 様確定通信時に、該第 1の装置から送信される転送データから、セキュリティ情報を 取得する第 1セキュリティ情報取得部と、
該第 1セキュリティ情報取得部によって取得された該セキュリティ情報と、当該第 1の 装置のアドレスとを対応付けて第 1ルーティング情報として登録する第 1登録部と、 該第 2の装置から送信される該転送データ中からセキュリティ情報を取得する第 2セ キユリティ情報取得部と、
該第 2セキュリティ情報取得部によって取得された該セキュリティ情報に基づいて該 第 1ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分け る第 1振り分け部とをそなえることを特徴とする、中継装置。
[2] 当該中継装置が IP (Internet Protocol)マスカレード機能をそなえるとともに、
該仕様確定通信時にぉレ、て、該 IPマスカレード機能を抑止する抑止部と、 仕様確認通信時において、該第 1の装置から送信された転送データのソースポート を任意に設定可能なポート番号設定部とをそなえ、
該ポート番号設定部によって該ソースポートの設定が行なわれた該転送データを 該第 2の装置に送出することを特徴とする、請求項 1記載の中継装置。
[3] 該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に使用し た識別値の通知を要求する要求信号を送信する要求信号送信部と、
該要求信号送信部から送信された該要求信号に対する応答として該第 1の装置か ら応答信号として送信される該識別値を受信する応答信号受信部と、
該応答信号受信部によって受信された該識別値と、当該第 1の装置のアドレスとを 対応付けて第 2ルーティング情報として登録する第 2登録部と、
該第 2の装置から送信される該転送データから該識別値を取得する識別値取得部 と、
該識別値取得部によって取得された該識別値に基づいて該第 2ルーティング情報 を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分け部とを そなえることを特徴とする、請求項 1又は請求項 2記載の中継装置。
[4] 第 1の装置と第 2の装置との間において暗号化された転送データを送受信可能な 中,継方法であって、
前記第 1の装置と第 2の装置との間において暗号化通信に先立って行なわれる仕 様確定通信時に、該第 1の装置から送信される転送データから、セキュリティ情報を 取得する第 1セキュリティ情報取得ステップと、
該第 1セキュリティ情報取得ステップにおいて取得された該セキュリティ情報と、当該 第 1の装置のアドレスとを対応付けて第 1ルーティング情報として登録する第 1登録ス テツプと、
該第 2の装置から送信される該転送データ中からセキュリティ情報を取得する第 2セ キユリティ情報取得ステップと、
該第 2セキュリティ情報取得ステップにおいて取得された該セキュリティ情報に基づ レ、て該第 1ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に 振り分ける第 1振り分けステップとをそなえることを特徴とする、中継方法。
[5] 該仕様確定通信時にぉレ、て、 IP (Internet Protocol)マスカレード機能を抑止する抑 止ステップと、
仕様確認通信時において、該第 1の装置から送信された転送データのソースポート を任意に設定可能なポート番号設定ステップとをそなえ、
該第 1振り分けステップにおいて、該ポート番号設定ステップにおいて該ソースポー トの設定が行なわれた該転送データを該第 2の装置に送出することを特徴とする、請 求項 4記載の中継方法。
[6] 該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に使用し た識別値の通知を要求する要求信号を送信する要求信号送信ステップと、
該要求信号送信ステップにおいて送信された該要求信号に対する応答として該第 1の装置から応答信号として送信される該識別値を受信する応答信号受信ステップと 該応答信号受信ステップにおいて受信された該識別値と、当該第 1の装置のァドレ スとを対応付けて第 2ルーティング情報として登録する第 2登録ステップと、 該第 2の装置から送信される該転送データから該識別値を取得する識別値取得ス テツプと、
該識別値取得ステップにおレ、て取得された該識別値に基づレ、て該第 2ルーティン グ情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分け ステップとをそなえることを特徴とする、請求項 4又は請求項 5記載の中継方法。
[7] 第 1の装置と第 2の装置との間において暗号化された転送データの送受信を行なう 中継機能をコンピュータに実行させるための中継用プログラムであって、
前記第 1の装置と第 2の装置との間において暗号化通信に先立って行なわれる仕 様確定通信時に、該第 1の装置から送信される転送データから、セキュリティ情報を 取得する第 1セキュリティ情報取得ステップと、
該第 1セキュリティ情報取得ステップにおいて取得された該セキュリティ情報と、当該 第 1の装置のアドレスとを対応付けて第 1ルーティング情報として登録する第 1登録ス テツプと、
該第 2の装置から送信される該転送データ中からセキュリティ情報を取得する第 2セ キユリティ情報取得ステップと、
該第 2セキュリティ情報取得ステップにおいて取得された該セキュリティ情報に基づ レ、て該第 1ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に 振り分ける第 1振り分けステップとを、該コンピュータに実行させることを特徴とする、 中継用プログラム。
[8] 該仕様確定通信時にぉレ、て、 IP (Internet Protocol)マスカレード機能を抑止する抑 止ステップと、
仕様確認通信時において、該第 1の装置から送信された転送データのソースポート を任意に設定可能なポート番号設定ステップとを、該コンピュータに実行させるととも に、
該第 1振り分けステップにおいて、該ポート番号設定ステップにおいて該ソースポー トの設定が行なわれた該転送データを該第 2の装置に送出するように、該コンピュー タを機能させることを特徴とする、請求項 7記載の中継用プログラム。
[9] 該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に使用し た識別値の通知を要求する要求信号を送信する要求信号送信ステップと、
該要求信号送信ステップにおいて送信された該要求信号に対する応答として該第 1の装置から応答信号として送信される該識別値を受信する応答信号受信ステップと 該応答信号受信ステップにおいて受信された該識別値と、当該第 1の装置のァドレ スとを対応付けて第 2ルーティング情報として登録する第 2登録ステップと、
該第 2の装置から送信される該転送データから該識別値を取得する識別値取得ス テツプと、
該識別値取得ステップにおレ、て取得された該識別値に基づレ、て該第 2ルーティン グ情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分け ステップとを、該コンピュータに実行させることを特徴とする、請求項 7又は請求項 8記 載の中継用プログラム。
[10] 第 1の装置と第 2の装置との間において暗号化された転送データの送受信を行なう 中継機能をコンピュータに実行させるための中継用プログラムを記録したコンビユー タ読取可能な記録媒体であって、
該中継用プログラムが、
前記第 1の装置と第 2の装置との間において暗号化通信に先立って行なわれる仕 様確定通信時に、該第 1の装置から送信される転送データから、セキュリティ情報を 取得する第 1セキュリティ情報取得ステップと、
該第 1セキュリティ情報取得ステップにおいて取得された該セキュリティ情報と、当該 第 1の装置のアドレスとを対応付けて第 1ルーティング情報として登録する第 1登録ス テツプと、
該第 2の装置から送信される該転送データ中からセキュリティ情報を取得する第 2セ キユリティ情報取得ステップと、
該第 2セキュリティ情報取得ステップにおいて取得された該セキュリティ情報に基づ レ、て該第 1ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に 振り分ける第 1振り分けステップとを、該コンピュータに実行させることを特徴とする、 中継用プログラムを記録したコンピュータ読取可能な記録媒体。
[11] 該中継用プログラムが、
該仕様確定通信時において、 IP (Internet Protocol)マスカレード機能を抑止する抑 止ステップと、
仕様確認通信時において、該第 1の装置から送信された転送データのソースポート を任意に設定可能なポート番号設定ステップとを、該コンピュータに実行させるととも に、
該第 1振り分けステップにおいて、該ポート番号設定ステップにおいて該ソースポー トの設定が行なわれた該転送データを該第 2の装置に送出するように、該コンピュー タを機能させることを特徴とする、請求項 10記載の中継用プログラムを記録したコン ピュータ読取可能な記録媒体。
[12] 該中継用プログラムが、
該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に使用し た識別値の通知を要求する要求信号を送信する要求信号送信ステップと、
該要求信号送信ステップにおいて送信された該要求信号に対する応答として該第 1の装置から応答信号として送信される該識別値を受信する応答信号受信ステップと 該応答信号受信ステップにおいて受信された該識別値と、当該第 1の装置のァドレ スとを対応付けて第 2ルーティング情報として登録する第 2登録ステップと、
該第 2の装置から送信される該転送データから該識別値を取得する識別値取得ス テツプと、
該識別値取得ステップにおレ、て取得された該識別値に基づレ、て該第 2ルーティン グ情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分け ステップとを、該コンピュータに実行させることを特徴とする、請求項 10又は請求項 1 1記載の中継用プログラムを記録したコンピュータ読取可能な記録媒体。
[13] 中継装置を介して、他の情報処理装置との間で転送データの送受信を行なう情報 処理装置であって、
該他の情報処理装置との間において暗号ィヒ通信に先立って行なわれる仕様確定 通信の完了後に、該中継装置から送信される要求信号を受信する要求信号受信部 と、
該要求信号受信部が該要求信号を受信したときに、該仕様確定通信時に使用した 識別値を該中継装置に対して応答信号として送信する応答信号送信部とをそなえる ことを特徴とする、情報処理装置。
PCT/JP2005/023069 2005-12-15 2005-12-15 中継装置,中継方法,中継用プログラム,中継用プログラムを記録したコンピュータ読取可能な記録媒体および情報処理装置 WO2007069327A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2007550055A JPWO2007069327A1 (ja) 2005-12-15 2005-12-15 中継装置,中継方法,中継用プログラム,中継用プログラムを記録したコンピュータ読取可能な記録媒体および情報処理装置
PCT/JP2005/023069 WO2007069327A1 (ja) 2005-12-15 2005-12-15 中継装置,中継方法,中継用プログラム,中継用プログラムを記録したコンピュータ読取可能な記録媒体および情報処理装置
US12/136,911 US20080244728A1 (en) 2005-12-15 2008-06-11 Relay apparatus, relay method, a computer-readable recording medium recording a relay program therein and information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2005/023069 WO2007069327A1 (ja) 2005-12-15 2005-12-15 中継装置,中継方法,中継用プログラム,中継用プログラムを記録したコンピュータ読取可能な記録媒体および情報処理装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US12/136,911 Continuation US20080244728A1 (en) 2005-12-15 2008-06-11 Relay apparatus, relay method, a computer-readable recording medium recording a relay program therein and information processing apparatus

Publications (1)

Publication Number Publication Date
WO2007069327A1 true WO2007069327A1 (ja) 2007-06-21

Family

ID=38162649

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2005/023069 WO2007069327A1 (ja) 2005-12-15 2005-12-15 中継装置,中継方法,中継用プログラム,中継用プログラムを記録したコンピュータ読取可能な記録媒体および情報処理装置

Country Status (3)

Country Link
US (1) US20080244728A1 (ja)
JP (1) JPWO2007069327A1 (ja)
WO (1) WO2007069327A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008092108A (ja) * 2006-09-29 2008-04-17 Fujitsu Access Ltd IPsecの複数セッションを処理する通信装置
JP2022188397A (ja) * 2021-06-09 2022-12-21 Necプラットフォームズ株式会社 通信管理システム、レスポンダ、通信管理方法、及び通信管理プログラム

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9054923B2 (en) * 2008-12-26 2015-06-09 Panasonic Intellectual Property Management Co., Ltd. Communication terminal, communication method, and program
US8289970B2 (en) * 2009-07-17 2012-10-16 Microsoft Corporation IPSec encapsulation mode
CN102045314B (zh) * 2009-10-10 2016-08-03 中兴通讯股份有限公司 匿名通信的方法、注册方法、信息收发方法及系统
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
CN110365570B (zh) * 2019-07-19 2021-05-28 杭州迪普科技股份有限公司 IPSec流量转发方法、装置、电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040205245A1 (en) * 2003-03-28 2004-10-14 Jean-Francois Le Pennec Data transmission system with a mechanism enabling any application to run transparently over a network address translation device
WO2005015827A1 (ja) * 2003-08-08 2005-02-17 T.T.T.Kabushikikaisha 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2405300B (en) * 2002-06-13 2006-07-12 Nvidia Corp Method and apparatus for enhanced security for communication over a network
JP3821813B2 (ja) * 2003-12-17 2006-09-13 Necインフロンティア株式会社 通信転送装置及び通信転送方法
JP4339184B2 (ja) * 2004-06-07 2009-10-07 パナソニック株式会社 サーバ装置、通信機器、通信システム、通信方法、プログラム及び記録媒体

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040205245A1 (en) * 2003-03-28 2004-10-14 Jean-Francois Le Pennec Data transmission system with a mechanism enabling any application to run transparently over a network address translation device
WO2005015827A1 (ja) * 2003-08-08 2005-02-17 T.T.T.Kabushikikaisha 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
ABODA B. ET AL.: "IPsec-Network Address Translation (NAT) Compatibility Requirements", RFC3715, March 2004 (2004-03-01), pages 1 - 18, XP003014442 *
ASO K.: "Tokushu I IPsec Maruwakari Koza Anzen ni Tsukaeru Himitsu wa Tunneling", NIKKEI NETWORK, vol. 44, 22 November 2003 (2003-11-22), pages 51 - 71, XP003014440 *
HUTTUNEN ET AL.: "UDP Encapsulation of IPsec ESP Packets", RFC 3948, January 2005 (2005-01-01), pages 1 - 15, XP003014444 *
KIVINEN ET AL.: "Negotiation of NAT-Traversal in the IKE", RFC 3947, January 2005 (2005-01-01), pages 1 - 16, XP003014443 *
NAKA M.: "Virtual Private Network Donyu no Susume", NIKKEI BYTE, vol. 213, 22 January 2001 (2001-01-22), pages 102 - 111, XP003014441 *
SMITH M. AND HUNT R.: "Network Security Using NAT and NAP", PROCEEDINGS 10TH IEEE INTERNATIONAL CONFERENCE ON NETWORKS (ICON2002), SINGAPORE, 27 August 2002 (2002-08-27) - 30 August 2002 (2002-08-30), pages 355 - 360, XP003014439 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008092108A (ja) * 2006-09-29 2008-04-17 Fujitsu Access Ltd IPsecの複数セッションを処理する通信装置
JP2022188397A (ja) * 2021-06-09 2022-12-21 Necプラットフォームズ株式会社 通信管理システム、レスポンダ、通信管理方法、及び通信管理プログラム
JP7473217B2 (ja) 2021-06-09 2024-04-23 Necプラットフォームズ株式会社 通信管理システム、レスポンダ、通信管理方法、及び通信管理プログラム

Also Published As

Publication number Publication date
JPWO2007069327A1 (ja) 2009-05-21
US20080244728A1 (en) 2008-10-02

Similar Documents

Publication Publication Date Title
JP4047303B2 (ja) 提供装置、提供プログラム、及び、提供方法
CN105591926B (zh) 一种流量保护方法及装置
JP4579934B2 (ja) レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置
JP4766574B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
US7346770B2 (en) Method and apparatus for traversing a translation device with a security protocol
JP4482601B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
JP4707992B2 (ja) 暗号化通信システム
EP2730081B1 (en) Dynamic vpn address allocation
WO2007069327A1 (ja) 中継装置,中継方法,中継用プログラム,中継用プログラムを記録したコンピュータ読取可能な記録媒体および情報処理装置
EP1798932A2 (en) Data communication method and data communication system
JP2009111437A (ja) ネットワークシステム
KR20010087322A (ko) 로컬 아이피 주소와 변환할 수 없는 포트 주소를 이용한랜 네트워크 주소 변환 게이트웨이
TW200401540A (en) Peer to peer network communication
JP3944182B2 (ja) セキュリティ通信方法
TW200534653A (en) Communication system using TCP/IP protocols
Montenegro et al. RSIP Support for End-to-end IPSEC
Stapp DHCPv6 Bulk Leasequery
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
JP4612528B2 (ja) ネットワーク接続システム、ネットワーク接続装置およびそのプログラム
Komu et al. Basic host identity protocol (HIP) extensions for traversal of network address translators
JP2008199420A (ja) ゲートウェイ装置および認証処理方法
JP3911697B2 (ja) ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体
JP5084716B2 (ja) Vpn接続装置、dnsパケット制御方法、及びプログラム
JP5692662B2 (ja) Lan用の保護システムおよび方法
JP4091619B2 (ja) ゲートウェイ装置とその制御方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2007550055

Country of ref document: JP

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 05816621

Country of ref document: EP

Kind code of ref document: A1