暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラム
【課題】簡単な構成で、サーバを介することなく、Inviteメッセージの覗き見を防止して事前共有パラメータ情報を安全に保護することができる暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムを提供すること。
【解決手段】IPsec通信を行うための暗号化情報通信装置間でIPv6 Address Privacty Extentionを用いて通信路を設定し、セキュリティアソシエーション事前共有パラメータ情報の交換を行うことによりDHCP等で動的に決定される双方のIPv6 Global Addressを登録するとともに、一時的なIPv6 Privacy Extentionを用いてセキュリティアソシエーション事前共有パラメータ情報の交換を行う。また、IPv6 Address Privacy Extention上で暗号化を行ってセキュリティアソシエーション事前共有パラメータ情報の交換を行う。
【解決手段】IPsec通信を行うための暗号化情報通信装置間でIPv6 Address Privacty Extentionを用いて通信路を設定し、セキュリティアソシエーション事前共有パラメータ情報の交換を行うことによりDHCP等で動的に決定される双方のIPv6 Global Addressを登録するとともに、一時的なIPv6 Privacy Extentionを用いてセキュリティアソシエーション事前共有パラメータ情報の交換を行う。また、IPv6 Address Privacy Extention上で暗号化を行ってセキュリティアソシエーション事前共有パラメータ情報の交換を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムに関する。
【背景技術】
【0002】
IPv6においては暗号化通信を行うIPsecが標準機能としてRFC(Request For Comment)にて規格化されている。このIPsecによる暗号化通信を行うにあたっては、どの通信装置とどの通信装置が、どのような暗号鍵により、どのような暗号アルゴリズムで暗号化通信を行うかあらかじめ折衝する必要がある。このような暗号化のための折衝パラメータをIKE(Internet Key Exchange)によるプロトコルによってセキュリティアソシエーションとして確立して共有することにより、IPsecによる暗号化通信を行うことができる。しかし、インターネットの世界では、情報通信装置のIPアドレスは必ずしも、一定の値をとり続ける保証はなく、例えばDHCP(Dynamic Host Configuration Protocol)によるIPアドレスの割り当てが行われていれば、毎回の起動ごとに違うIPアドレスが割り当てられる。セキュリティアソシエーションではIPアドレスとIPアドレスの対でパラメータを登録する必要があるため、このような動的にIPアドレスが変わる場合には、特定の暗号化通信を行う相手を特定することができず、セキュリティアソシエーションが確立できない。そこで、SIP(Session Initiation Protocol)サーバに自分のIPアドレスや、暗号アルゴリズム、暗号鍵等の事前共有パラメータ情報を登録しておき、暗号化通信を開始するに先立って、相手の事前共有パラメータ情報をSIPサーバを介して取得して、IKEプロトコルによるセキュリティアソシエーションを確立する方法がとられる。
【0003】
このような暗号化情報通信システムとして、特許文献1に記載のセキュリティポリシー設定方法が挙げられる。
【0004】
特許文献1に記載の暗号化情報通信システムでは、暗号通信を行いたい暗号化情報通信装置は自分のセキュリティアソシエーションの事前共有パラメータ情報をSIPサーバに対してSDPプロトコルにより登録する。また、通信相手の暗号化情報通信装置のセキュリティアソシエーションの事前共有パラメータ情報をSIPのInviteメッセージを用いて取得を行う。これによりDHCP等で動的にIPアドレスが決定する暗号化情報通信装置間においても、お互いのIPアドレスとセキュリティアソシエーションの事前共有パラメータ情報を入手してIKEによりセキュリティアソシエーションを確立することが可能となり、IPsecによる通信を行うことができる。
【0005】
従来の暗号化情報通信システムについて具体的に説明する。
【0006】
図6は、従来の暗号化情報通信システムのセキュリティアソシエーションの事前共有パラメータ情報を交換するための処理を示すフローチャートである。送信側の暗号化情報通信装置11では、ステップS1〜ステップS7を実行し、受信側の暗号化情報通信装置12では、ステップS11〜ステップS16を実行する。メッセージの送受信は、SIPサーバ10を介して行う。
【0007】
図6において、送信側の暗号化情報通信装置11は、IPsec通信の開始にあたり、RFC2327で定義されている、Session Description Protocol(SDP)を用いて、自分のセキュリティアソシエーションに関する事前共有パラメータを設定する(ステップS1)。次いで、設定した事前共有パラメータをRFC3261で定義されているSesstion Initiation Protocol(SIP)のInviteメッセージに添付して(ステップS2)、SIPサーバ10に送信する(ステップS3)。
【0008】
SIPサーバ10は、宛先の暗号化情報通信装置を検索し、SIPのInviteメッセージを転送する。
【0009】
受信側の暗号化情報通信装置12は、SIPのInviteメッセージを受信すると(ステップS11)、送信されたメッセージから送信元のSDPの情報を取り出す(ステップS12)。次いで、受信側の暗号化情報通信装置12は、SDPを用いて、自分のセキュリティアソシエーションに関する事前共有パラメータを設定する(ステップS13)。さらに、SIPのOKメッセージにSDP情報を添付して(ステップS14)、SIPサーバ10にSIPのOKメッセージを送信する(ステップS15)。送信を完了すると、受信側の暗号化情報通信装置は送信側のセキュリティアソシエーション事前共有パラメータ情報と自分のセキュリティアソシエーション事前共有パラメータ情報を対にして、SAパラメータテーブルに設定して受信側のフローを終了する(ステップS16)。
【0010】
上記ステップS15にて送信されたSIPのOKメッセージを受信したSIPサーバ10は、最初にSIPのInviteメッセージを送信した送信元にSIPのOKメッセージを転送する。送信元の暗号化情報通信装置11は、SIPのOKメッセージを受信すると(ステップS4)、受信したメッセージから通信相手のSDPの情報を取り出す(ステップS5)。さらに、SDPから相手のセキュリティアソシエーション事前共有パラメータ情報を取り出し(ステップS6)、受信側のセキュリティアソシエーション事前共有パラメータ情報と自分のセキュリティアソシエーション事前共有パラメータ情報を対にして、SAパラメータテーブルに設定して送信側のフローを終了する(ステップS7)。
【0011】
以上のように、従来の暗号化情報通信システムは、SIPサーバ10のInviteメッセージに通信相手の事前共有パラメータ情報を載せて通信を行うことにより、不特定なIPアドレスを持つ、情報通信装置との間でセキュリティアソシエーション確立のための事前共有パラメータ情報を交換することができ、IKEによりセキュリティアソシエーション確立を行うことが可能となり、IPsecによる暗号化通信を行うことができる。
【特許文献1】特開2006−50407号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
しかしながら、このような従来の暗号化情報通信システムにあっては、SIPサーバを介することが前提であり、SIPサーバがダウンしてしまうと、セキュリティアソシエーションを確立するための、事前共有パラメータ情報を交換できない。事前共有パラメータ情報を交換できないと、機器間でSAを確立することができず、IPsec通信を行うことができなくなってしまう。
【0013】
また、特定のSIPサーバとの通信は暗号化されないため、本来暗号化通信を行うための事前共有パラメータ情報を交換する際に、やりとりする通信を覗き見されてしまい、IPsecの安全性が保証されない。例えば、SIPサーバとの通信は、秘匿されないため、SIPのInviteメッセージを覗き見して、SA確立のための事前設定情報を入手して詐称することが可能である。
【0014】
本発明は、上記に鑑みてなされたものであり、簡単な構成で、サーバを介することなく、Inviteメッセージの覗き見を防止して事前共有パラメータ情報を安全に保護することができる暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0015】
本発明の暗号化情報通信装置は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信装置であって、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換手段と、前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除手段と、前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段と、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立手段とを備える構成を採る。
【0016】
本発明の暗号化情報通信システムは、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信システムであって、上記暗号化情報通信装置を用いる構成を採る。
【0017】
本発明の暗号化情報通信方法は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信方法であって、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換ステップと、前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除ステップと、前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信ステップと、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立ステップとを有する。
【0018】
また他の観点から、本発明は、上記暗号化情報通信方法の各ステップをコンピュータに実行させるためのプログラムである。
【発明の効果】
【0019】
本発明によれば、暗号通信を行う2つの暗号化情報通信装置の間でセキュリティアソシエーション事前共有パラメータ情報を交換するため、サーバが不要となり、サーバがダウンすると暗号化通信を行うことができないという事態を防ぐことができる。
【0020】
また、セキュリティアソシエーション事前共有パラメータ情報をIPv6プロトコルのIPv6 Address Privacy Extention間で交換するため、毎回通信に利用するアドレスが異なり、覗き見を防止することができる。また、セキュリティアソシエーション事前共有パラメータ情報を暗号化して交換するため、仮に覗き見されても、セキュリティアソシエーション事前共有パラメータ情報を安全に保護することができる。
【0021】
さらに、一時的に生成するIPv6 Address Privacy Extention間で通信を行うため、あらかじめデータをキャプチャしようとすることを未然に防ぐことができる。
【発明を実施するための最良の形態】
【0022】
以下、本発明の実施の形態について図面を参照して詳細に説明する。
【0023】
(実施の形態)
図1は、本発明の一実施の形態に係る暗号化情報通信システムの暗号化情報通信装置内部の概略構成を示すブロック図である。
【0024】
図1において、暗号化情報通信システム100は、暗号化情報通信装置110と、暗号化情報通信装置110と同一の構成を有する暗号化情報通信装置120と、暗号化情報通信装置110と暗号化情報通信装置120とを接続するIPv6ネットワーク130とを含んで構成される。
【0025】
暗号化情報通信装置110は、送信側の暗号化情報通信装置、暗号化情報通信装置120は、受信側の暗号化情報通信装置として説明する。なお、暗号化情報通信装置120は、暗号化情報通信装置110と同一構成をとるため説明を省略する。
【0026】
暗号化情報通信装置110は、セキュリティアソシエーション事前共有パラメータ格納部111、セキュリティアソシエーション事前共有パラメータ情報交換部112、IPv6 Address Privacy Extention交換部113、暗号鍵生成部114、暗号鍵格納部115、暗号路生成部116、IPv6 Address Privacy Extention生成・削除部117、パラメータ送信部118、及びパラメータ受信部119を備えて構成される。
【0027】
また、暗号化情報通信装置110は、起動時にDHCPプロトコルやIPv6のRAにより、動的に決定されるIPv6 Global Address121が付与され、セキュリティアソシエーション事前共有パラメータ情報を交換するにあたって、一時的にIPv6 Address Privacy Extention122が付与される。IPv6 Address Privacy Extention122については、図2により後述する。
【0028】
セキュリティアソシエーション事前共有パラメータ情報交換部112は、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換する。また、セキュリティアソシエーション事前共有パラメータ情報交換部112は、生成された暗号鍵で前記セキュリティアソシエーション事前共有パラメータ情報を暗号化する。セキュリティアソシエーション事前共有パラメータ情報は、送信側もしくは受信側のIPv6 Global AddressとIKEプロトコルで使用する事前共有鍵を含む。具体的には、セキュリティアソシエーション事前共有パラメータ情報交換部112は、IPsec通信のIKEによる鍵交換時に必要となる、自分のIPv6 Global Addressを含むセキュリティアソシエーション事前共有パラメータ情報をパラメータ送信部118及びパラメータ受信部119により交換して、セキュリティアソシエーション事前共有パラメータ格納部111に登録する。
【0029】
IPv6 Address Privacy Extention交換部113は、一時的なIPv6 Address Privacy Extentionを用いて通信路を設定する。
【0030】
暗号鍵生成部114は、パラメータの交換時、送信側及び受信側のIPv6 Address Privacy ExtentionのインタフェースIDを用いて、暗号鍵を生成する。
【0031】
暗号鍵格納部115は、暗号鍵生成部114により生成された暗号鍵を格納する。
【0032】
暗号路生成部116は、SA確立に必要な事前情報を交換するための暗号路を生成する。暗号路を確保するための鍵情報は、双方のIPv6 Privacy Extention Addressから生成する。
【0033】
IPv6 Address Privacy Extention生成・削除部117は、IPv6ネットワーク130を介して接続された、送信側の暗号化情報通信装置110、及び受信側の暗号化情報通信装置120との間で互いに割り当てを行う。
【0034】
パラメータ送信部118及びパラメータ受信部119は、IPv6 Address Privacy Extention生成・削除機能と、IPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段を構成する。
【0035】
図2は、セキュリティアソシエーション事前共有パラメータ情報を交換するための暗号鍵を生成する際のブロック図である。
【0036】
図2において、IPv6 Address Privacy Extention122は、プレフィックス部122aと、インタフェースID部122bとから構成される。
【0037】
暗号鍵生成部114は、送信側のIPv6 Address Privacy Extention122のインタフェースID部122bと、受信側のIPv6 Address Privacy Extention122のインタフェースID部122bが入力されると、暗号鍵を生成し、暗号鍵格納部115に保存する。暗号鍵生成部114がインタフェースIDから暗号鍵を生成するアルゴリズムは例えば、送信側のインタフェースIDを上位64ビット、受信側のインタフェースIDを下位64ビットに設定する方法や、それぞれのインタフェースIDのビットを1ビットずつ交互に配置する方法等が考えられる。
【0038】
図3は、セキュリティアソシエーション事前共有パラメータ格納部111に格納されるセキュリティアソシエーション事前共有パラメータ情報の一例を示す図である。
【0039】
図3において、セキュリティアソシエーション事前共有パラメータ情報200は、識別ID201、通信相手のIPv6 Global Address202、IKEの事前共有鍵203、IPsec通信を行うプロトコル204、ポート番号205、及び暗号タイプ206が格納されている。例えば、プロトコル204は、TCP/UDP/ICMPやすべてを含むANYが設定される。ポート番号205は、指定したいポートやすべてのポート番号を示すANYが設定される。暗号タイプ206は、IPsecの暗号タイプ206であるAHやESP、AHとESP両方を行うAH+ESP等が設定される。
【0040】
以下、上述のように構成された暗号化情報通信システム100の動作について説明する。
【0041】
図4は、IPv6 Address Privacy Extention間のアドレス情報交換を行う手順を示すフローチャートである。送信側の暗号化情報通信装置110では、ステップS21〜ステップS25を実行し、受信側の暗号化情報通信装置120では、ステップS31〜ステップS33を実行する。
【0042】
図4において、送信側の暗号化情報通信装置110は、IPv6 Address Privacy Extention要求処理が起動されている(ステップS20)。また、受信側の暗号化情報通信装置120は、Address Privacy Extention応答処理が起動されている(ステップS30)。
【0043】
送信側の暗号化情報通信装置110は、接続先である受信側の暗号化情報通信装置120に関するセキュリティアソシエーション(SA)事前共有パラメータ情報が、セキュリティアソシエーション事前共有パラメータ格納部111に存在するか否かチェックする(ステップS21)。
【0044】
パラメータ情報が存在しなければ、送信側の暗号化情報通信装置110は、接続先のDNS(Domain Name System)を参照してIPアドレスの解決を行う(ステップS22)。次いで、送信側の暗号化情報通信装置110の、IPv6 Address Privacy Extention生成・削除部117は、自分の送信アドレスとして、新しいIPv6 Address Privacy Extentionを生成する(ステップS23)。次いで、送信側の暗号化情報通信装置110の、IPv6 Privacy Address交換部113は、パラメータ送信部118から、接続先にIPv6 Address Privacy Extentionを要求する(ステップS24)。
【0045】
一方、受信側の暗号化情報通信装置120は、パケットを受信待ち状態にある(ステップS31)。受信側の暗号化情報通信装置120は、パケットを受信すると、IPv6 Address Privacy Extention生成・削除部117から、自分の応答アドレスとして、新しいIPv6 Address Privacy Extentionを生成する(ステップS32)。次いで、受信側の暗号化情報通信装置120は、IPv6 Privacy Address交換部113により、応答するためのパケットを生成し、パラメータ送信部118から、要求元に自分のIPv6 Address Privacy Extentionを応答する(ステップS33)。
【0046】
送信側の暗号化情報通信装置10は、接続先から応答メッセージを受信すると(ステップS25)、IPv6 Address Privacy Extention要求処理を終了する。
【0047】
次に、セキュリティアソシエーション(SA)事前共有パラメータ情報を交換する処理について説明する。
【0048】
図5は、セキュリティアソシエーション(SA)事前共有パラメータ情報を交換する処理を示すフローチャートである。送信側の暗号化情報通信装置110では、ステップS41〜ステップS46を実行し、受信側の暗号化情報通信装置120では、ステップS51〜ステップS56を実行する。
【0049】
前記図2に示すように、送信側の暗号化情報通信装置110の暗号鍵生成部114は、前記図4のステップS25で取得した、送信側及び受信側双方のIPv6 Address Privacy Extentionから、セキュリティアソシエーション事前共有パラメータ情報200(図3参照)を交換するための暗号鍵を生成する(図5のステップS41)。生成した暗号鍵は、暗号鍵格納部115に格納する。
【0050】
次いで、送信側の暗号化情報通信装置110は、自分のIPv6 Global Address及び、IKEの事前共有鍵を含むセキュリティアソシエーション事前共有パラメータ情報200を生成し、暗号鍵格納部115に格納された暗号鍵を用いて暗号化を行う(ステップS42)。その後、接続先にステップS42で暗号化された、セキュリティアソシエーション事前共有パラメータ情報200を送信する(ステップS43)。
【0051】
一方、受信側の暗号化情報通信装置120は、送信側の暗号化情報通信装置110の暗号鍵生成部114と同様の動作を行う。すなわち、受信側の暗号化情報通信装置120の暗号鍵生成部114は、前記図4のステップS31及びステップS32で取得した、送信側及び受信側双方のIPv6 Address Privacy Extentionから、セキュリティアソシエーション事前共有パラメータ情報を交換するための暗号鍵を生成し(ステップS51)する。生成した暗号鍵は、暗号鍵格納部115に格納する。
【0052】
次いで、送信側の暗号化情報通信装置110から、暗号化された、セキュリティアソシエーション事前共有パラメータ情報を受信する(ステップS52)。パラメータを受信すると、暗号鍵格納部115に格納された暗号鍵を用いて、受信したセキュリティアソシエーション事前共有パラメータ情報の復号化を行う(ステップS53)。正常にセキュリティアソシエーション事前共有パラメータ情報の復号化が行えると応答メッセージを送信する(ステップS54)。応答メッセージの送信が終了すると、受信側の暗号化情報通信装置120は、セキュリティアソシエーション事前共有パラメータ格納部111に、セキュリティアソシエーション事前共有パラメータ情報を格納する(ステップS55)。次いで、通信路として使用したIPv6 Address Privacy Extentionを削除して(ステップS56)、受信側の暗号化情報通信装置120の事前共有パラメータ情報交換処理を終了する。
【0053】
一方、送信側の暗号化情報通信装置110は、受信側の暗号化情報通信装置120から、応答メッセージを受信する(ステップS44)。応答メッセージを受信すると、送信側の暗号化情報通信装置110は、セキュリティアソシエーション事前共有パラメータ格納部111に、セキュリティアソシエーション事前共有パラメータ情報を格納する(ステップS45)。次いで、通信路として使用したIPv6 Address Privacy Extentionを削除して(ステップS46)、送信側の暗号化情報通信装置110の事前共有パラメータ情報交換処理を終了する。
【0054】
以上詳細に説明したように、本実施の形態によれば、IPsec通信を行うための暗号化情報通信装置間でIPv6 Address Privacty Extentionを用いて通信路を設定し、セキュリティアソシエーション事前共有パラメータ情報の交換を行うことによりDHCP等で動的に決定される双方のIPv6 Global Addressを登録するとともに、一時的なIPv6 Privacy Extentionを用いてセキュリティアソシエーション事前共有パラメータ情報の交換を行うため、パケットキャプチャによる覗き見を防止することができる。また、IPv6 Address Privacy Extention上で暗号化を行ってセキュリティアソシエーション事前共有パラメータ情報の交換を行うため、仮に覗き見が行われたとしても、パラメータ情報を安全に保護することができる。
【0055】
以上の説明は本発明の好適な実施の形態の例証であり、本発明の範囲はこれに限定されることはない。例えば、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信システムに適用した例であるが、IPvネットワークであればよく、IPv6ネットワークの機能を含む上位バージョンが策定された場合はこれも包含するものである。
【0056】
また、本実施の形態では暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法という名称を用いたが、これは説明の便宜上であり、暗号化通信システム、セキュリティアソシエーション方法等であってもよいことは勿論である。
【0057】
さらに、上記暗号化情報通信装置及び暗号化情報通信システムを構成する各部、例えば暗号鍵生成部の種類、その数及び接続方法などはどのようなものでもよい。
【0058】
以上説明した暗号化情報通信方法は、この暗号化情報通信方法を機能させるためのプログラムでも実現される。このプログラムはコンピュータで読み取り可能な記録媒体に格納されている。
【産業上の利用可能性】
【0059】
以上のように、本発明にかかる暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムは、IPsec通信に必要となるセキュリティアソシエーション確立のためのセキュリティアソシエーション事前共有パラメータ情報を暗号化した上で、IPv6 Address Privacy Extention上の通信路で交換を行うため、安全にパラメータの交換を行うことができ、悪意のあるユーザが暗号鍵情報を覗き見することを防止できるという効果を有し、かつ、DHCP等の動的にIPアドレスが決定されるネットワーク環境においても、セキュリティアソシエーション確立を行うことができる、暗号化情報通信システムとして有用である。
【図面の簡単な説明】
【0060】
【図1】本発明の実施の形態に係る暗号化情報通信システムの暗号化情報通信装置内部の概略構成を示すブロック図
【図2】本実施の形態に係る暗号化情報通信装置のセキュリティアソシエーション事前共有パラメータ情報を交換するための暗号鍵を生成する際のブロック図
【図3】本実施の形態に係る暗号化情報通信装置のセキュリティアソシエーション事前共有パラメータ格納部に格納されるセキュリティアソシエーション事前共有パラメータ情報の一例を示す図
【図4】本実施の形態に係る暗号化情報通信装置のIPv6 Address Privacy Extention間のアドレス情報交換を行う手順を示すフロー図
【図5】本実施の形態に係る暗号化情報通信装置のセキュリティアソシエーション(SA)事前共有パラメータ情報を交換する処理を示すフロー図
【図6】従来の暗号化情報通信システムのセキュリティアソシエーションの事前共有パラメータ情報を交換するための処理を示すフロー図
【符号の説明】
【0061】
100 暗号化情報通信システム
110,120 暗号化情報通信装置
130 IPv6ネットワーク
111 セキュリティアソシエーション事前共有パラメータ格納部
112 セキュリティアソシエーション事前共有パラメータ情報交換部
113 IPv6 Address Privacy Extention交換部
114 暗号鍵生成部
115 暗号鍵格納部
116 暗号路生成部
117 IPv6 Address Privacy Extention生成・削除部
118 パラメータ送信部
119 パラメータ受信部
【技術分野】
【0001】
本発明は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムに関する。
【背景技術】
【0002】
IPv6においては暗号化通信を行うIPsecが標準機能としてRFC(Request For Comment)にて規格化されている。このIPsecによる暗号化通信を行うにあたっては、どの通信装置とどの通信装置が、どのような暗号鍵により、どのような暗号アルゴリズムで暗号化通信を行うかあらかじめ折衝する必要がある。このような暗号化のための折衝パラメータをIKE(Internet Key Exchange)によるプロトコルによってセキュリティアソシエーションとして確立して共有することにより、IPsecによる暗号化通信を行うことができる。しかし、インターネットの世界では、情報通信装置のIPアドレスは必ずしも、一定の値をとり続ける保証はなく、例えばDHCP(Dynamic Host Configuration Protocol)によるIPアドレスの割り当てが行われていれば、毎回の起動ごとに違うIPアドレスが割り当てられる。セキュリティアソシエーションではIPアドレスとIPアドレスの対でパラメータを登録する必要があるため、このような動的にIPアドレスが変わる場合には、特定の暗号化通信を行う相手を特定することができず、セキュリティアソシエーションが確立できない。そこで、SIP(Session Initiation Protocol)サーバに自分のIPアドレスや、暗号アルゴリズム、暗号鍵等の事前共有パラメータ情報を登録しておき、暗号化通信を開始するに先立って、相手の事前共有パラメータ情報をSIPサーバを介して取得して、IKEプロトコルによるセキュリティアソシエーションを確立する方法がとられる。
【0003】
このような暗号化情報通信システムとして、特許文献1に記載のセキュリティポリシー設定方法が挙げられる。
【0004】
特許文献1に記載の暗号化情報通信システムでは、暗号通信を行いたい暗号化情報通信装置は自分のセキュリティアソシエーションの事前共有パラメータ情報をSIPサーバに対してSDPプロトコルにより登録する。また、通信相手の暗号化情報通信装置のセキュリティアソシエーションの事前共有パラメータ情報をSIPのInviteメッセージを用いて取得を行う。これによりDHCP等で動的にIPアドレスが決定する暗号化情報通信装置間においても、お互いのIPアドレスとセキュリティアソシエーションの事前共有パラメータ情報を入手してIKEによりセキュリティアソシエーションを確立することが可能となり、IPsecによる通信を行うことができる。
【0005】
従来の暗号化情報通信システムについて具体的に説明する。
【0006】
図6は、従来の暗号化情報通信システムのセキュリティアソシエーションの事前共有パラメータ情報を交換するための処理を示すフローチャートである。送信側の暗号化情報通信装置11では、ステップS1〜ステップS7を実行し、受信側の暗号化情報通信装置12では、ステップS11〜ステップS16を実行する。メッセージの送受信は、SIPサーバ10を介して行う。
【0007】
図6において、送信側の暗号化情報通信装置11は、IPsec通信の開始にあたり、RFC2327で定義されている、Session Description Protocol(SDP)を用いて、自分のセキュリティアソシエーションに関する事前共有パラメータを設定する(ステップS1)。次いで、設定した事前共有パラメータをRFC3261で定義されているSesstion Initiation Protocol(SIP)のInviteメッセージに添付して(ステップS2)、SIPサーバ10に送信する(ステップS3)。
【0008】
SIPサーバ10は、宛先の暗号化情報通信装置を検索し、SIPのInviteメッセージを転送する。
【0009】
受信側の暗号化情報通信装置12は、SIPのInviteメッセージを受信すると(ステップS11)、送信されたメッセージから送信元のSDPの情報を取り出す(ステップS12)。次いで、受信側の暗号化情報通信装置12は、SDPを用いて、自分のセキュリティアソシエーションに関する事前共有パラメータを設定する(ステップS13)。さらに、SIPのOKメッセージにSDP情報を添付して(ステップS14)、SIPサーバ10にSIPのOKメッセージを送信する(ステップS15)。送信を完了すると、受信側の暗号化情報通信装置は送信側のセキュリティアソシエーション事前共有パラメータ情報と自分のセキュリティアソシエーション事前共有パラメータ情報を対にして、SAパラメータテーブルに設定して受信側のフローを終了する(ステップS16)。
【0010】
上記ステップS15にて送信されたSIPのOKメッセージを受信したSIPサーバ10は、最初にSIPのInviteメッセージを送信した送信元にSIPのOKメッセージを転送する。送信元の暗号化情報通信装置11は、SIPのOKメッセージを受信すると(ステップS4)、受信したメッセージから通信相手のSDPの情報を取り出す(ステップS5)。さらに、SDPから相手のセキュリティアソシエーション事前共有パラメータ情報を取り出し(ステップS6)、受信側のセキュリティアソシエーション事前共有パラメータ情報と自分のセキュリティアソシエーション事前共有パラメータ情報を対にして、SAパラメータテーブルに設定して送信側のフローを終了する(ステップS7)。
【0011】
以上のように、従来の暗号化情報通信システムは、SIPサーバ10のInviteメッセージに通信相手の事前共有パラメータ情報を載せて通信を行うことにより、不特定なIPアドレスを持つ、情報通信装置との間でセキュリティアソシエーション確立のための事前共有パラメータ情報を交換することができ、IKEによりセキュリティアソシエーション確立を行うことが可能となり、IPsecによる暗号化通信を行うことができる。
【特許文献1】特開2006−50407号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
しかしながら、このような従来の暗号化情報通信システムにあっては、SIPサーバを介することが前提であり、SIPサーバがダウンしてしまうと、セキュリティアソシエーションを確立するための、事前共有パラメータ情報を交換できない。事前共有パラメータ情報を交換できないと、機器間でSAを確立することができず、IPsec通信を行うことができなくなってしまう。
【0013】
また、特定のSIPサーバとの通信は暗号化されないため、本来暗号化通信を行うための事前共有パラメータ情報を交換する際に、やりとりする通信を覗き見されてしまい、IPsecの安全性が保証されない。例えば、SIPサーバとの通信は、秘匿されないため、SIPのInviteメッセージを覗き見して、SA確立のための事前設定情報を入手して詐称することが可能である。
【0014】
本発明は、上記に鑑みてなされたものであり、簡単な構成で、サーバを介することなく、Inviteメッセージの覗き見を防止して事前共有パラメータ情報を安全に保護することができる暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0015】
本発明の暗号化情報通信装置は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信装置であって、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換手段と、前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除手段と、前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段と、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立手段とを備える構成を採る。
【0016】
本発明の暗号化情報通信システムは、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信システムであって、上記暗号化情報通信装置を用いる構成を採る。
【0017】
本発明の暗号化情報通信方法は、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信方法であって、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換ステップと、前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除ステップと、前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信ステップと、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立ステップとを有する。
【0018】
また他の観点から、本発明は、上記暗号化情報通信方法の各ステップをコンピュータに実行させるためのプログラムである。
【発明の効果】
【0019】
本発明によれば、暗号通信を行う2つの暗号化情報通信装置の間でセキュリティアソシエーション事前共有パラメータ情報を交換するため、サーバが不要となり、サーバがダウンすると暗号化通信を行うことができないという事態を防ぐことができる。
【0020】
また、セキュリティアソシエーション事前共有パラメータ情報をIPv6プロトコルのIPv6 Address Privacy Extention間で交換するため、毎回通信に利用するアドレスが異なり、覗き見を防止することができる。また、セキュリティアソシエーション事前共有パラメータ情報を暗号化して交換するため、仮に覗き見されても、セキュリティアソシエーション事前共有パラメータ情報を安全に保護することができる。
【0021】
さらに、一時的に生成するIPv6 Address Privacy Extention間で通信を行うため、あらかじめデータをキャプチャしようとすることを未然に防ぐことができる。
【発明を実施するための最良の形態】
【0022】
以下、本発明の実施の形態について図面を参照して詳細に説明する。
【0023】
(実施の形態)
図1は、本発明の一実施の形態に係る暗号化情報通信システムの暗号化情報通信装置内部の概略構成を示すブロック図である。
【0024】
図1において、暗号化情報通信システム100は、暗号化情報通信装置110と、暗号化情報通信装置110と同一の構成を有する暗号化情報通信装置120と、暗号化情報通信装置110と暗号化情報通信装置120とを接続するIPv6ネットワーク130とを含んで構成される。
【0025】
暗号化情報通信装置110は、送信側の暗号化情報通信装置、暗号化情報通信装置120は、受信側の暗号化情報通信装置として説明する。なお、暗号化情報通信装置120は、暗号化情報通信装置110と同一構成をとるため説明を省略する。
【0026】
暗号化情報通信装置110は、セキュリティアソシエーション事前共有パラメータ格納部111、セキュリティアソシエーション事前共有パラメータ情報交換部112、IPv6 Address Privacy Extention交換部113、暗号鍵生成部114、暗号鍵格納部115、暗号路生成部116、IPv6 Address Privacy Extention生成・削除部117、パラメータ送信部118、及びパラメータ受信部119を備えて構成される。
【0027】
また、暗号化情報通信装置110は、起動時にDHCPプロトコルやIPv6のRAにより、動的に決定されるIPv6 Global Address121が付与され、セキュリティアソシエーション事前共有パラメータ情報を交換するにあたって、一時的にIPv6 Address Privacy Extention122が付与される。IPv6 Address Privacy Extention122については、図2により後述する。
【0028】
セキュリティアソシエーション事前共有パラメータ情報交換部112は、IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換する。また、セキュリティアソシエーション事前共有パラメータ情報交換部112は、生成された暗号鍵で前記セキュリティアソシエーション事前共有パラメータ情報を暗号化する。セキュリティアソシエーション事前共有パラメータ情報は、送信側もしくは受信側のIPv6 Global AddressとIKEプロトコルで使用する事前共有鍵を含む。具体的には、セキュリティアソシエーション事前共有パラメータ情報交換部112は、IPsec通信のIKEによる鍵交換時に必要となる、自分のIPv6 Global Addressを含むセキュリティアソシエーション事前共有パラメータ情報をパラメータ送信部118及びパラメータ受信部119により交換して、セキュリティアソシエーション事前共有パラメータ格納部111に登録する。
【0029】
IPv6 Address Privacy Extention交換部113は、一時的なIPv6 Address Privacy Extentionを用いて通信路を設定する。
【0030】
暗号鍵生成部114は、パラメータの交換時、送信側及び受信側のIPv6 Address Privacy ExtentionのインタフェースIDを用いて、暗号鍵を生成する。
【0031】
暗号鍵格納部115は、暗号鍵生成部114により生成された暗号鍵を格納する。
【0032】
暗号路生成部116は、SA確立に必要な事前情報を交換するための暗号路を生成する。暗号路を確保するための鍵情報は、双方のIPv6 Privacy Extention Addressから生成する。
【0033】
IPv6 Address Privacy Extention生成・削除部117は、IPv6ネットワーク130を介して接続された、送信側の暗号化情報通信装置110、及び受信側の暗号化情報通信装置120との間で互いに割り当てを行う。
【0034】
パラメータ送信部118及びパラメータ受信部119は、IPv6 Address Privacy Extention生成・削除機能と、IPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段を構成する。
【0035】
図2は、セキュリティアソシエーション事前共有パラメータ情報を交換するための暗号鍵を生成する際のブロック図である。
【0036】
図2において、IPv6 Address Privacy Extention122は、プレフィックス部122aと、インタフェースID部122bとから構成される。
【0037】
暗号鍵生成部114は、送信側のIPv6 Address Privacy Extention122のインタフェースID部122bと、受信側のIPv6 Address Privacy Extention122のインタフェースID部122bが入力されると、暗号鍵を生成し、暗号鍵格納部115に保存する。暗号鍵生成部114がインタフェースIDから暗号鍵を生成するアルゴリズムは例えば、送信側のインタフェースIDを上位64ビット、受信側のインタフェースIDを下位64ビットに設定する方法や、それぞれのインタフェースIDのビットを1ビットずつ交互に配置する方法等が考えられる。
【0038】
図3は、セキュリティアソシエーション事前共有パラメータ格納部111に格納されるセキュリティアソシエーション事前共有パラメータ情報の一例を示す図である。
【0039】
図3において、セキュリティアソシエーション事前共有パラメータ情報200は、識別ID201、通信相手のIPv6 Global Address202、IKEの事前共有鍵203、IPsec通信を行うプロトコル204、ポート番号205、及び暗号タイプ206が格納されている。例えば、プロトコル204は、TCP/UDP/ICMPやすべてを含むANYが設定される。ポート番号205は、指定したいポートやすべてのポート番号を示すANYが設定される。暗号タイプ206は、IPsecの暗号タイプ206であるAHやESP、AHとESP両方を行うAH+ESP等が設定される。
【0040】
以下、上述のように構成された暗号化情報通信システム100の動作について説明する。
【0041】
図4は、IPv6 Address Privacy Extention間のアドレス情報交換を行う手順を示すフローチャートである。送信側の暗号化情報通信装置110では、ステップS21〜ステップS25を実行し、受信側の暗号化情報通信装置120では、ステップS31〜ステップS33を実行する。
【0042】
図4において、送信側の暗号化情報通信装置110は、IPv6 Address Privacy Extention要求処理が起動されている(ステップS20)。また、受信側の暗号化情報通信装置120は、Address Privacy Extention応答処理が起動されている(ステップS30)。
【0043】
送信側の暗号化情報通信装置110は、接続先である受信側の暗号化情報通信装置120に関するセキュリティアソシエーション(SA)事前共有パラメータ情報が、セキュリティアソシエーション事前共有パラメータ格納部111に存在するか否かチェックする(ステップS21)。
【0044】
パラメータ情報が存在しなければ、送信側の暗号化情報通信装置110は、接続先のDNS(Domain Name System)を参照してIPアドレスの解決を行う(ステップS22)。次いで、送信側の暗号化情報通信装置110の、IPv6 Address Privacy Extention生成・削除部117は、自分の送信アドレスとして、新しいIPv6 Address Privacy Extentionを生成する(ステップS23)。次いで、送信側の暗号化情報通信装置110の、IPv6 Privacy Address交換部113は、パラメータ送信部118から、接続先にIPv6 Address Privacy Extentionを要求する(ステップS24)。
【0045】
一方、受信側の暗号化情報通信装置120は、パケットを受信待ち状態にある(ステップS31)。受信側の暗号化情報通信装置120は、パケットを受信すると、IPv6 Address Privacy Extention生成・削除部117から、自分の応答アドレスとして、新しいIPv6 Address Privacy Extentionを生成する(ステップS32)。次いで、受信側の暗号化情報通信装置120は、IPv6 Privacy Address交換部113により、応答するためのパケットを生成し、パラメータ送信部118から、要求元に自分のIPv6 Address Privacy Extentionを応答する(ステップS33)。
【0046】
送信側の暗号化情報通信装置10は、接続先から応答メッセージを受信すると(ステップS25)、IPv6 Address Privacy Extention要求処理を終了する。
【0047】
次に、セキュリティアソシエーション(SA)事前共有パラメータ情報を交換する処理について説明する。
【0048】
図5は、セキュリティアソシエーション(SA)事前共有パラメータ情報を交換する処理を示すフローチャートである。送信側の暗号化情報通信装置110では、ステップS41〜ステップS46を実行し、受信側の暗号化情報通信装置120では、ステップS51〜ステップS56を実行する。
【0049】
前記図2に示すように、送信側の暗号化情報通信装置110の暗号鍵生成部114は、前記図4のステップS25で取得した、送信側及び受信側双方のIPv6 Address Privacy Extentionから、セキュリティアソシエーション事前共有パラメータ情報200(図3参照)を交換するための暗号鍵を生成する(図5のステップS41)。生成した暗号鍵は、暗号鍵格納部115に格納する。
【0050】
次いで、送信側の暗号化情報通信装置110は、自分のIPv6 Global Address及び、IKEの事前共有鍵を含むセキュリティアソシエーション事前共有パラメータ情報200を生成し、暗号鍵格納部115に格納された暗号鍵を用いて暗号化を行う(ステップS42)。その後、接続先にステップS42で暗号化された、セキュリティアソシエーション事前共有パラメータ情報200を送信する(ステップS43)。
【0051】
一方、受信側の暗号化情報通信装置120は、送信側の暗号化情報通信装置110の暗号鍵生成部114と同様の動作を行う。すなわち、受信側の暗号化情報通信装置120の暗号鍵生成部114は、前記図4のステップS31及びステップS32で取得した、送信側及び受信側双方のIPv6 Address Privacy Extentionから、セキュリティアソシエーション事前共有パラメータ情報を交換するための暗号鍵を生成し(ステップS51)する。生成した暗号鍵は、暗号鍵格納部115に格納する。
【0052】
次いで、送信側の暗号化情報通信装置110から、暗号化された、セキュリティアソシエーション事前共有パラメータ情報を受信する(ステップS52)。パラメータを受信すると、暗号鍵格納部115に格納された暗号鍵を用いて、受信したセキュリティアソシエーション事前共有パラメータ情報の復号化を行う(ステップS53)。正常にセキュリティアソシエーション事前共有パラメータ情報の復号化が行えると応答メッセージを送信する(ステップS54)。応答メッセージの送信が終了すると、受信側の暗号化情報通信装置120は、セキュリティアソシエーション事前共有パラメータ格納部111に、セキュリティアソシエーション事前共有パラメータ情報を格納する(ステップS55)。次いで、通信路として使用したIPv6 Address Privacy Extentionを削除して(ステップS56)、受信側の暗号化情報通信装置120の事前共有パラメータ情報交換処理を終了する。
【0053】
一方、送信側の暗号化情報通信装置110は、受信側の暗号化情報通信装置120から、応答メッセージを受信する(ステップS44)。応答メッセージを受信すると、送信側の暗号化情報通信装置110は、セキュリティアソシエーション事前共有パラメータ格納部111に、セキュリティアソシエーション事前共有パラメータ情報を格納する(ステップS45)。次いで、通信路として使用したIPv6 Address Privacy Extentionを削除して(ステップS46)、送信側の暗号化情報通信装置110の事前共有パラメータ情報交換処理を終了する。
【0054】
以上詳細に説明したように、本実施の形態によれば、IPsec通信を行うための暗号化情報通信装置間でIPv6 Address Privacty Extentionを用いて通信路を設定し、セキュリティアソシエーション事前共有パラメータ情報の交換を行うことによりDHCP等で動的に決定される双方のIPv6 Global Addressを登録するとともに、一時的なIPv6 Privacy Extentionを用いてセキュリティアソシエーション事前共有パラメータ情報の交換を行うため、パケットキャプチャによる覗き見を防止することができる。また、IPv6 Address Privacy Extention上で暗号化を行ってセキュリティアソシエーション事前共有パラメータ情報の交換を行うため、仮に覗き見が行われたとしても、パラメータ情報を安全に保護することができる。
【0055】
以上の説明は本発明の好適な実施の形態の例証であり、本発明の範囲はこれに限定されることはない。例えば、IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信システムに適用した例であるが、IPvネットワークであればよく、IPv6ネットワークの機能を含む上位バージョンが策定された場合はこれも包含するものである。
【0056】
また、本実施の形態では暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法という名称を用いたが、これは説明の便宜上であり、暗号化通信システム、セキュリティアソシエーション方法等であってもよいことは勿論である。
【0057】
さらに、上記暗号化情報通信装置及び暗号化情報通信システムを構成する各部、例えば暗号鍵生成部の種類、その数及び接続方法などはどのようなものでもよい。
【0058】
以上説明した暗号化情報通信方法は、この暗号化情報通信方法を機能させるためのプログラムでも実現される。このプログラムはコンピュータで読み取り可能な記録媒体に格納されている。
【産業上の利用可能性】
【0059】
以上のように、本発明にかかる暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラムは、IPsec通信に必要となるセキュリティアソシエーション確立のためのセキュリティアソシエーション事前共有パラメータ情報を暗号化した上で、IPv6 Address Privacy Extention上の通信路で交換を行うため、安全にパラメータの交換を行うことができ、悪意のあるユーザが暗号鍵情報を覗き見することを防止できるという効果を有し、かつ、DHCP等の動的にIPアドレスが決定されるネットワーク環境においても、セキュリティアソシエーション確立を行うことができる、暗号化情報通信システムとして有用である。
【図面の簡単な説明】
【0060】
【図1】本発明の実施の形態に係る暗号化情報通信システムの暗号化情報通信装置内部の概略構成を示すブロック図
【図2】本実施の形態に係る暗号化情報通信装置のセキュリティアソシエーション事前共有パラメータ情報を交換するための暗号鍵を生成する際のブロック図
【図3】本実施の形態に係る暗号化情報通信装置のセキュリティアソシエーション事前共有パラメータ格納部に格納されるセキュリティアソシエーション事前共有パラメータ情報の一例を示す図
【図4】本実施の形態に係る暗号化情報通信装置のIPv6 Address Privacy Extention間のアドレス情報交換を行う手順を示すフロー図
【図5】本実施の形態に係る暗号化情報通信装置のセキュリティアソシエーション(SA)事前共有パラメータ情報を交換する処理を示すフロー図
【図6】従来の暗号化情報通信システムのセキュリティアソシエーションの事前共有パラメータ情報を交換するための処理を示すフロー図
【符号の説明】
【0061】
100 暗号化情報通信システム
110,120 暗号化情報通信装置
130 IPv6ネットワーク
111 セキュリティアソシエーション事前共有パラメータ格納部
112 セキュリティアソシエーション事前共有パラメータ情報交換部
113 IPv6 Address Privacy Extention交換部
114 暗号鍵生成部
115 暗号鍵格納部
116 暗号路生成部
117 IPv6 Address Privacy Extention生成・削除部
118 パラメータ送信部
119 パラメータ受信部
【特許請求の範囲】
【請求項1】
IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信装置であって、
IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換手段と、
前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除手段と、
前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段とを備え、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立する暗号化情報通信装置。
【請求項2】
前記IPv6 Address Privacy Extention生成・削除手段は、送信側と受信側で前記セキュリティアソシエーション事前共有パラメータ情報交換を行うにあたり、各々IPv6 Address Privacy Extentionを生成し、
前記通信手段は、生成した送信側のIPv6 Address Privacy Extentionと受信側のIPv6 Address Privacy Extention間で通信路を設定し、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段は、前記セキュリティアソシエーション事前共有パラメータ情報交換を行い、
前記IPv6 Address Privacy Extention生成・削除手段は、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によるセキュリティアソシエーション事前共有パラメータ情報交換が終了すると、各々のIPv6 Address Privacy Extentionを削除する請求項1記載の暗号化情報通信装置。
【請求項3】
送信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDと、受信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDから、暗号鍵を生成する暗号鍵生成手段と、
生成した暗号鍵を格納する暗号鍵格納手段と
をさらに備える請求項1記載の暗号化情報通信装置。
【請求項4】
前記セキュリティアソシエーション事前共有パラメータ情報交換手段は、前記暗号鍵生成手段により生成された暗号鍵を基に前記セキュリティアソシエーション事前共有パラメータ情報を暗号化する請求項3記載の暗号化情報通信装置。
【請求項5】
前記セキュリティアソシエーション事前共有パラメータ情報は、送信側もしくは受信側のIPv6 Global AddressとIKEプロトコルで使用する事前共有鍵を含む請求項1記載の暗号化情報通信装置。
【請求項6】
IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信システムであって、
請求項1乃至請求項5のいずれかに記載の暗号化情報通信装置を用いる暗号化情報通信システム。
【請求項7】
IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信方法であって、
IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換ステップと、
前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除ステップと、
前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信ステップと、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立ステップと
を有する暗号化情報通信方法。
【請求項8】
前記IPv6 Address Privacy Extention生成・削除ステップでは、送信側と受信側で前記セキュリティアソシエーション事前共有パラメータ情報交換を行うにあたり、各々IPv6 Address Privacy Extentionを生成し、
前記通信ステップでは、生成した送信側のIPv6 Address Privacy Extentionと受信側のIPv6 Address Privacy Extention間で通信路を設定し、
前記セキュリティアソシエーション事前共有パラメータ情報交換ステップでは、前記セキュリティアソシエーション事前共有パラメータ情報交換を行い、
前記IPv6 Address Privacy Extention生成・削除ステップでは、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によるセキュリティアソシエーション事前共有パラメータ情報交換が終了すると、各々のIPv6 Address Privacy Extentionを削除する請求項7記載の暗号化情報通信方法。
【請求項9】
送信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDと、受信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDから、暗号鍵を生成する暗号鍵生成ステップと、
生成した暗号鍵を格納する暗号鍵格納ステップとをさらに備える請求項7記載の暗号化情報通信方法。
【請求項10】
前記セキュリティアソシエーション事前共有パラメータ情報交換ステップでは、前記暗号鍵生成手段により生成された暗号鍵を基に前記セキュリティアソシエーション事前共有パラメータ情報を暗号化する請求項7記載の暗号化情報通信方法。
【請求項11】
前記セキュリティアソシエーション事前共有パラメータ情報は、送信側もしくは受信側のIPv6 Global AddressとIKEプロトコルで使用する事前共有鍵を含む請求項7記載の暗号化情報通信方法。
【請求項12】
請求項7乃至請求項11のいずれかに記載の暗号化情報通信方法の各ステップをコンピュータに実行させるためのプログラム。
【請求項1】
IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う暗号化情報通信装置であって、
IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換手段と、
前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除手段と、
前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信手段とを備え、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立する暗号化情報通信装置。
【請求項2】
前記IPv6 Address Privacy Extention生成・削除手段は、送信側と受信側で前記セキュリティアソシエーション事前共有パラメータ情報交換を行うにあたり、各々IPv6 Address Privacy Extentionを生成し、
前記通信手段は、生成した送信側のIPv6 Address Privacy Extentionと受信側のIPv6 Address Privacy Extention間で通信路を設定し、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段は、前記セキュリティアソシエーション事前共有パラメータ情報交換を行い、
前記IPv6 Address Privacy Extention生成・削除手段は、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によるセキュリティアソシエーション事前共有パラメータ情報交換が終了すると、各々のIPv6 Address Privacy Extentionを削除する請求項1記載の暗号化情報通信装置。
【請求項3】
送信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDと、受信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDから、暗号鍵を生成する暗号鍵生成手段と、
生成した暗号鍵を格納する暗号鍵格納手段と
をさらに備える請求項1記載の暗号化情報通信装置。
【請求項4】
前記セキュリティアソシエーション事前共有パラメータ情報交換手段は、前記暗号鍵生成手段により生成された暗号鍵を基に前記セキュリティアソシエーション事前共有パラメータ情報を暗号化する請求項3記載の暗号化情報通信装置。
【請求項5】
前記セキュリティアソシエーション事前共有パラメータ情報は、送信側もしくは受信側のIPv6 Global AddressとIKEプロトコルで使用する事前共有鍵を含む請求項1記載の暗号化情報通信装置。
【請求項6】
IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信システムであって、
請求項1乃至請求項5のいずれかに記載の暗号化情報通信装置を用いる暗号化情報通信システム。
【請求項7】
IPv6ネットワークを介してIPsecプロトコルにより暗号化通信を行う複数の暗号化情報通信装置から構成される暗号化情報通信方法であって、
IPsecのセキュリティアソシエーション(SA)情報をIKEプロトコルにより確立するために必要となる事前共有パラメータ情報を交換するセキュリティアソシエーション事前共有パラメータ情報交換ステップと、
前記IPv6ネットワークを介して接続された送信側と受信側で互いに割り当てを行うIPv6 Address Privacy Extentionを生成/削除するIPv6 Address Privacy Extention生成・削除ステップと、
前記互いに割り当てられたIPv6 Address Privacy Extention間でセキュリティアソシエーション事前共有パラメータ情報交換のためのプロトコル手順を送受信する通信ステップと、
前記セキュリティアソシエーション事前共有パラメータ情報交換手段によって交換したセキュリティアソシエーション事前共有パラメータ情報によりIKE通信を行い、IPsecのためのセキュリティアソシエーションを確立するセキュリティアソシエーション確立ステップと
を有する暗号化情報通信方法。
【請求項8】
前記IPv6 Address Privacy Extention生成・削除ステップでは、送信側と受信側で前記セキュリティアソシエーション事前共有パラメータ情報交換を行うにあたり、各々IPv6 Address Privacy Extentionを生成し、
前記通信ステップでは、生成した送信側のIPv6 Address Privacy Extentionと受信側のIPv6 Address Privacy Extention間で通信路を設定し、
前記セキュリティアソシエーション事前共有パラメータ情報交換ステップでは、前記セキュリティアソシエーション事前共有パラメータ情報交換を行い、
前記IPv6 Address Privacy Extention生成・削除ステップでは、前記セキュリティアソシエーション事前共有パラメータ情報交換手段によるセキュリティアソシエーション事前共有パラメータ情報交換が終了すると、各々のIPv6 Address Privacy Extentionを削除する請求項7記載の暗号化情報通信方法。
【請求項9】
送信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDと、受信側のIPv6 Address Privacy Extentionの下位64ビットのインタフェースIDから、暗号鍵を生成する暗号鍵生成ステップと、
生成した暗号鍵を格納する暗号鍵格納ステップとをさらに備える請求項7記載の暗号化情報通信方法。
【請求項10】
前記セキュリティアソシエーション事前共有パラメータ情報交換ステップでは、前記暗号鍵生成手段により生成された暗号鍵を基に前記セキュリティアソシエーション事前共有パラメータ情報を暗号化する請求項7記載の暗号化情報通信方法。
【請求項11】
前記セキュリティアソシエーション事前共有パラメータ情報は、送信側もしくは受信側のIPv6 Global AddressとIKEプロトコルで使用する事前共有鍵を含む請求項7記載の暗号化情報通信方法。
【請求項12】
請求項7乃至請求項11のいずれかに記載の暗号化情報通信方法の各ステップをコンピュータに実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2009−38512(P2009−38512A)
【公開日】平成21年2月19日(2009.2.19)
【国際特許分類】
【出願番号】特願2007−199754(P2007−199754)
【出願日】平成19年7月31日(2007.7.31)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
【公開日】平成21年2月19日(2009.2.19)
【国際特許分類】
【出願日】平成19年7月31日(2007.7.31)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]