暗号化通信装置、暗号化通信方法及びプログラム
【課題】全てのセレクタの情報を事前に知ることができないリモートアクセス等でも、セキュリティポリシーの項目を更新可能にする。
【解決手段】ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用した暗号化通信装置であって、IPパケットの送受信を行う通信手段101,108と、セキュリティ処理を適用するかどうかについての情報が登録されているデータベースを管理する管理手段と、データベースに登録されている情報を更新する更新手段とを持つことを特徴とする。
【解決手段】ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用した暗号化通信装置であって、IPパケットの送受信を行う通信手段101,108と、セキュリティ処理を適用するかどうかについての情報が登録されているデータベースを管理する管理手段と、データベースに登録されている情報を更新する更新手段とを持つことを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットやイントラネット等のネットワークを介したデータ送受信のセキュリティに関する。
【背景技術】
【0002】
近年、ネットワーク上におけるセキュリティについて必要性が高まってきており、特に暗号化通信によるセキュリティを確保する必要性が高まってきている。現在、セキュリティプロトコルとして幾つかのプロトコルが存在している。その中で例えばIPsec(IP Security Protocol)は、通信データを暗号化する仕組み、通信相手を認証する仕組みをIPレベルで実現している。このため上位のプロトコルに依存することなく利用でき、また、VPN(Virtual Private Network)を実現するための方法としても利用され、非常に注目されている。
【0003】
IPsecでは、IPパケットに対しての処理の方法を記述したセキュリティポリシーが必要となる。セキュリティポリシーは、処理対象となるIPパケットを指定するために利用するための情報をセレクタと呼び、始点IPアドレス、終点IPアドレス、プロトコル、ポート番号等を利用してアクセス制御を行っている。なお、この種の先行技術として特許文献1に記載のものがある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−287034号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
IPsecを利用した暗号化通信において、イントラネットのように全てのセレクタの情報を事前に知ることができる場合には問題がない。ところが、例えばリモートアクセスを行う場合など、始点IPアドレスを事前に知ることができない。そのためにセレクタの始点IPアドレスの設定に対して、全てのIPアドレスを示す“any”にしておかなければ通信ができなくなる。しかし、このように設定すると全てのIPアドレスからの通信が可能になるため、セキュリティが弱くなってしまうという問題があった。
【課題を解決するための手段】
【0006】
本発明は前記課題を解決するために、ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用した暗号化通信装置であって、IPパケットの送受信を行う通信手段と、セキュリティ処理を適用するかどうかについての情報が登録されているデータベースを管理する管理手段と、前記データベースに登録されている前記情報を更新する更新手段とを持つことを特徴とする暗号化通信装置等、を提供する。
【発明の効果】
【0007】
本発明によれば、全てのセレクタの情報を事前に知ることができないリモートアクセス等でも、セキュリティポリシーの項目を更新可能にする。これによりIPsecを利用した通信が可能となり、セキュリティを維持した通信を可能とすることができる。
【図面の簡単な説明】
【0008】
【図1】本発明のセキュリティポリシーを変更する暗号化通信方式の構成を示すブロック図である。
【図2】本発明のSPDのSPを更新する処理の流れを示すフローチャートである。
【図3】本発明におけるIPsec受信手段において処理されている受信処理動作の流れを示すフローチャートである。
【図4】本発明におけるIPsec送信手段において処理されている送信処理動作の流れを示すフローチャートである。
【図5】本発明におけるパケット処理手段の処理動作の流れを示すフローチャートである。
【図6】本発明におけるソフトウェア処理手段の処理動作の流れを示すフローチャートである。
【図7】本発明におけるパケット生成手段の処理動作の流れを示すフローチャートである。
【図8】本発明におけるSPDのSPを更新するためのパケットと拡張ヘッダのデータを示す図である。
【発明を実施するための形態】
【0009】
以下、本発明の実施の形態について図面に基づき説明する。
図1は、本実施の形態の係る暗号化通信装置の構成を示すブロック図である。同図において暗号化通信装置は、ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用する。そして、この暗号化通信装置は、受信手段101、IPsec受信手段102、復号化手段103、セキュリティポリシー(SP)更新手段104、セキュリティポリシー(SP)管理手段105を有する。
また、セキュリティアソシエーション(SA)管理手段106、パケット処理手段107、ソフトウェア処理手段108、ソフトウェア記憶手段109、IPパケット生成手段110、IPsec送信手段111、暗号化手段112、送信手段113を有している。
【0010】
まず初めに、本発明のセキュリティポリシーを変更する場合のブロック図を表している図1を基に、各手段の説明をする。
受信手段101は、ネットワーク内外から送信されてくるIPパケットのデータを受信する手段である。
IPsec受信手段102は、受信したIPパケットに対してIPsecが適用されているかどうかを判定する手段である。IPsecが適用されていない場合は、SPDからSPを検索し、検索されたSPが「破棄」の場合は、IPパケットを破棄する。また「IPsecを適用」の場合は、このIPパケットにIPsecが適用されていないためにこのIPパケットを破棄する。また「IPsecを適用しない」の場合は、受信したIPパケットと条件が一致するので次の手段にIPパケットを受け渡す。
【0011】
IPsecが適用されている場合は、まず始めにSADからSAを検索し、SAに記載されているアルゴリズムや鍵を利用して復号化手段103により復号化処理を行う。
次に、復号化処理が行われた後にSPDからSPを検索し、SPの内容と受信したIPパケットに適用されている内容と一致しているかどうかを判定する。一致していない場合は、IPパケットを破棄し、一致している場合は、次の手段にIPパケットを受け渡す。
【0012】
復号化手段103は、受信したIPパケットデータに対して、SP管理手段105に管理されているSPDと SA管理手段106に管理されているSADの情報をもとに復号化を行う手段である。
SP更新手段104は、IPパケットに記載されている情報により、SP管理手段105において管理されているSPDのSPを変更し、その後変更が完了したこと通信相手に知らせる手段である。
SP管理手段105は、実際にIPsecによるセキュリティ処理を適用するかどうかについての情報が登録されているSPD(セキュリティポリシーのデータベース)を管理する手段である。
SA管理手段106は、IPパケットに対して行うIPsec処理に関する情報が格納されているSADを管理する手段である。
【0013】
パケット処理手段107は、復号化手段103によって復号化されたIPパケットをIPヘッダやその他のヘッダ、そしてペイロードと呼ばれるデータに分ける手段である。
ソフトウェア処理手段108は、ソフトウェア記憶手段109に記憶されているソフトウェアを実行する手段である。
ソフトウェア記憶手段109は、通信を実行するのに必要なネットワークソフトウェアを記憶する手段である。
パケット生成手段110は、送信時におけるIPパケットのデータを生成する手段である。
IPsec送信手段111は、送信するIPパケットに対してIPsecを適用するかどうかを判定する手段である。
【0014】
始めにIPパケットの始点IPアドレス、終点IPアドレス、プロトコル、ポート番号の情報からSP管理手段105に管理されているSPDよりSPを検索する。SPが「破棄」の場合には、IPパケットを破棄する。また、「IPsecを適用しない」の場合は、IPsecを適用せずに送信手段113にIPパケットを送る。「IPsecを適用する」の場合は、SA管理手段106に管理されているSADよりSAを検索する。そしてSAに記載されているアルゴリズムや鍵を利用し、暗号化手段112により暗号化を実行する。
【0015】
暗号化手段112は、IPパケットデータに対して、SP管理手段105に管理されているSPDと SA管理手段106に管理されているSAD(セキュリティアソシエーションのデータベース)の情報をもとに暗号化を行う手段である。
【0016】
送信手段113は、ネットワーク内外へIPパケットのデータを送信する手段である。
また、本発明である暗号化通信方式において用いられるIPパケットデータは、インターネット上で送受信されるデータの単位である。本発明では、発明の本質ではないので、このIPパケットデータの組み立て方法については、省力してある。
また、SP管理手段とSA管理手段は、通常のIPsecを利用した暗号化通信において利用されており、本発明では、発明の本質ではないので、詳細については、省略してある。
また、暗号化通信を始める前必要となる鍵交換は、IKEまたはSSLといった一般的な方法を利用し行うことを前提としており、本発明では、発明の本質ではないので、詳細については、省略してある。
【0017】
次に、IPパケットの受信処理と送信処理を行う暗号化通信装置について、図1に基づき説明する。
受信手段101は、受信したIPパケットのデータをIPsec受信手段102に受け渡す。そして、IPsec受信手段102は、受け取ったIPパケットのデータに対してIPsecの受信処理を実行する。
IPsecの受信処理では、IPパケットデータの情報をもとにSPDからSPを検索する。IPsec処理がされていないIPパケットの場合は、SPの情報によりパケット処理手段107にIPパケットを受け渡す。
また、IPsec処理がされて、SPDのSPを更新するデータでない場合は、該当するSAの情報に基づいて復号化手段103によってIPパケットデータに復号化を実行し、パケット処理手段107にIPパケットを渡す。
【0018】
パケット処理手段107では、受け取ったIPパケットをIPヘッダやその他のヘッダ、そしてペイロードと呼ばれるデータに分割をし、ソフトウェア処理手段108へデータを受け渡す。ソフトウェア処理手段108では、ソフトウェア記憶手段109から実行するネットワークソフトウェアの情報を取得し、処理を実行する。そして、送信時には、ソフトウェア処理手段108から送信データを受け取りIPパケットデータを生成し、IPsec送信手段111へIPパケットデータを受け渡す。
【0019】
IPsec送信手段111では、受け取ったIPパケットデータに対して、SP管理手段105に管理されているSPDのSP情報とSA管理手段に管理されているSADのSA情報によりIPsec送信処理を行い、次に暗号化手段112により暗号化を行う。そして、暗号化されたIPパケットデータを送信手段113に受け渡す。送信手段113では受け取ったIPパケットデータを送信する。
IPパケットデータがSPDのSPを更新するデータだった場合は、データをSP更新手段104へ受け渡す。
SP更新手段104では、SP管理手段105に管理されているSPDのSPの値を更新する。そして、SPを更新後にIPパケットデータを生成し、IPsec送信手段111にIPパケットデータを受け渡す。
【0020】
IPsec送信手段111では、受け取ったIPパケットデータに対してSA管理手段に管理されているSADのSA情報によりIPsec送信処理を行い、次に暗号化手段112により暗号化を行う。そして、暗号化されたIPパケットデータを送信手段113に受け渡す。送信手段113では受け取ったIPパケットデータを送信する。
【0021】
次に、SA更新手段104において処理されているSP更新処理動作の流れを、図2のフローチャートに基づき説明する。
最初に、ステップ201においてIPパケットデータがSPを更新するためのものかどうかを判定する。判定は、IPパケットデータに図8(2)が示す拡張ヘッダが含まれているかどうかをチェックする。SP更新パケットでない場合は、ステップ202へ進む。ステップ202では、パケット処理手段によりIPパケットを処理し、処理を終了する。
【0022】
SP更新パケットの場合は、ステップ203へ進む。ステップ203では、SP更新手段に進む。そしてステップ204では、IPパケットデータから図8の(1)に示す更新データ調べ、ステップ205へ進む。ステップ205では、更新データの情報によりSP管理手段105に管理されているSPDのSPを更新する。
【0023】
更新できなかった場合は、ステップ206へ進み、更新不可を示すIPパケットを生成し、次のステップへ進む。更新できた場合は、ステップ207へ進む。ステップ207では、更新できたことを示すIPパケットを生成し、ステップ208へ進む。ステップ208では生成されたIPパケットを受け取り、IPsec送信手段111に受け渡す。そして、IPsec送信手段111では、送信処理を実行し、処理を終了する。
【0024】
次に、IPsec受信手段102において処理されている受信処理動作の流れを、図3のフローチャートに基づき説明する。
最初に、受信手段から受信したIPパケットデータを受け取ると、まず、ステップ301で暗号化パケットかどうか判定する。暗号化パケットではない場合は、ステップ302へ進み、IPパケットデータの情報をもとにSPDからSPを検索する。検索したSPが「discard」、「apply」の場合、ステップ303へ進み、IPパケットを破棄し、処理を終了する。
SPが「bypass」の場合は、ステップ304へ進み、復号化処理をしないで処理を終了する。
【0025】
暗号化パケットの場合は、ステップ305へ進み、SADからSAを検索し、ステップ306へ進む。ステップ306では、SAが存在したかどうか判定する。SAが存在しない場合は、ステップ303へ進み、IPパケットを破棄し、処理を終了する。SAが存在した場合は、ステップ307へ進み、IPsec受信処理を実行し、ステップ308へ進む。
【0026】
ステップ308では、IPパケットにSPを更新するためのデータが含まれているかどうかをチェックする。SPを更新するためのデータが含まれていない場合は、ステップ310へ進む。ステップ310では、IPパケットデータの情報をもとにSPDからSPを検索する。検索したSPが「discard」、「bypass」の場合、ステップ303へ進み、IPパケットを破棄し、処理を終了する。SPが「apply」の場合は、そのまま処理を終了する。
SPを更新するためのデータが含まれている場合は、ステップ309へ進み、SP更新手段によってIPパケットデータに含まれる更新データによってSPDのSPを更新し、処理を終了する。
【0027】
次に、IPsec送信手段111において処理されている送信処理動作の流れを、図4のフローチャートに基づき説明する。
最初に、送信のIPパケットデータを受け取ると、まず、ステップ401でIPパケットデータの情報をもとにSPDからSPを検索する。 検索したSPが「discard」場合は、ステップ402へ進み、IPパケットを破棄し、処理を終了する。「bypass」の場合は、ステップ403へ進み、処理をなにもしないで終了する。
「apply」の場合は、ステップ404に進む。ステップ404では、SADからSAを検索し、ステップ405に進む。ステップ405では、SAが存在するかどうかを判定する。
SAが存在しない場合は、ステップ402へ進み、IPパケットを破棄し、処理を終了する。SAが存在した場合は、ステップ406へ進む。ステップ406では、SAの内容に応じて暗号化処理を実行し、処理を終了する。
【0028】
次に、パケット処理手段107において処理されている動作の流れを、図5のフローチャートに基づき説明する。
最初に、ステップ501においてIPsec受信手段からIPパケットデータを受け取り、ステップ502へ進む。ステップ502では、受け取ったIPパケットをIPヘッダやその他のヘッダ、そしてペイロードと呼ばれるデータに分割をし、ステップ503へ進む。ステップ503では、分割したデータをソフトウェア処理手段へ送り、処理を終了する。
【0029】
次に、ソフトウェア処理手段108において処理されている動作の流れを、図6のフローチャートに基づき説明する。
最初に、ステップ601ではソフトウェア記憶手段から実行するネットワークソフトウェアの情報を取得し、ステップ602へ進む。ステップ602では、処理が送信処理か受信処理かを判定する。送信処理の場合は、ステップ603へ進み、パケット生成手段へ送信データを送り、処理を終了する。受信処理の場合は、ステップ604へ進み、パケット処理手段から受信データを取得し、処理を終了する。
【0030】
次に、パケット生成手段110において処理されている動作の流れを、図7のフローチャートに基づき説明する。
最初に、ステップ701においてソフトウェア処理手段から送信データを受け取り、ステップ702へ進む。ステップ702では、受け取った送信データをもとにIPパケットデータを生成し、ステップ703へ進む。ステップ703では、生成したIPパケットデータをIPsec送信手段へ送り、処理を終了する。
【0031】
なお、SPを更新することを示すIPパケットデータについて図8に基づき説明する。
図8の(1)は、IPパケットのペイロード部分でSPを更新するためのデータを示す。図8の(2)は、IPパケットに拡張ヘッダとして含まれ、SP更新データがIPパケットに含まれていることを示すものである。
また、前記の実施形態をコンピュータ内のプログラムによっても実現されることは当然である。
【符号の説明】
【0032】
101 受信手段
102 IPsec受信手段
103 復号化手段
104 セキュリティポリシー(SP)更新手段
105 セキュリティポリシー(SP)管理手段
106 セキュリティアソシエーション(SA)管理手段
107 パケット処理手段
108 ソフトウェア処理手段
109 ソフトウェア記憶手段
110 パケット生成手段
111 IPsec送信手段
112 暗号化手段
【技術分野】
【0001】
本発明は、インターネットやイントラネット等のネットワークを介したデータ送受信のセキュリティに関する。
【背景技術】
【0002】
近年、ネットワーク上におけるセキュリティについて必要性が高まってきており、特に暗号化通信によるセキュリティを確保する必要性が高まってきている。現在、セキュリティプロトコルとして幾つかのプロトコルが存在している。その中で例えばIPsec(IP Security Protocol)は、通信データを暗号化する仕組み、通信相手を認証する仕組みをIPレベルで実現している。このため上位のプロトコルに依存することなく利用でき、また、VPN(Virtual Private Network)を実現するための方法としても利用され、非常に注目されている。
【0003】
IPsecでは、IPパケットに対しての処理の方法を記述したセキュリティポリシーが必要となる。セキュリティポリシーは、処理対象となるIPパケットを指定するために利用するための情報をセレクタと呼び、始点IPアドレス、終点IPアドレス、プロトコル、ポート番号等を利用してアクセス制御を行っている。なお、この種の先行技術として特許文献1に記載のものがある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−287034号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
IPsecを利用した暗号化通信において、イントラネットのように全てのセレクタの情報を事前に知ることができる場合には問題がない。ところが、例えばリモートアクセスを行う場合など、始点IPアドレスを事前に知ることができない。そのためにセレクタの始点IPアドレスの設定に対して、全てのIPアドレスを示す“any”にしておかなければ通信ができなくなる。しかし、このように設定すると全てのIPアドレスからの通信が可能になるため、セキュリティが弱くなってしまうという問題があった。
【課題を解決するための手段】
【0006】
本発明は前記課題を解決するために、ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用した暗号化通信装置であって、IPパケットの送受信を行う通信手段と、セキュリティ処理を適用するかどうかについての情報が登録されているデータベースを管理する管理手段と、前記データベースに登録されている前記情報を更新する更新手段とを持つことを特徴とする暗号化通信装置等、を提供する。
【発明の効果】
【0007】
本発明によれば、全てのセレクタの情報を事前に知ることができないリモートアクセス等でも、セキュリティポリシーの項目を更新可能にする。これによりIPsecを利用した通信が可能となり、セキュリティを維持した通信を可能とすることができる。
【図面の簡単な説明】
【0008】
【図1】本発明のセキュリティポリシーを変更する暗号化通信方式の構成を示すブロック図である。
【図2】本発明のSPDのSPを更新する処理の流れを示すフローチャートである。
【図3】本発明におけるIPsec受信手段において処理されている受信処理動作の流れを示すフローチャートである。
【図4】本発明におけるIPsec送信手段において処理されている送信処理動作の流れを示すフローチャートである。
【図5】本発明におけるパケット処理手段の処理動作の流れを示すフローチャートである。
【図6】本発明におけるソフトウェア処理手段の処理動作の流れを示すフローチャートである。
【図7】本発明におけるパケット生成手段の処理動作の流れを示すフローチャートである。
【図8】本発明におけるSPDのSPを更新するためのパケットと拡張ヘッダのデータを示す図である。
【発明を実施するための形態】
【0009】
以下、本発明の実施の形態について図面に基づき説明する。
図1は、本実施の形態の係る暗号化通信装置の構成を示すブロック図である。同図において暗号化通信装置は、ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用する。そして、この暗号化通信装置は、受信手段101、IPsec受信手段102、復号化手段103、セキュリティポリシー(SP)更新手段104、セキュリティポリシー(SP)管理手段105を有する。
また、セキュリティアソシエーション(SA)管理手段106、パケット処理手段107、ソフトウェア処理手段108、ソフトウェア記憶手段109、IPパケット生成手段110、IPsec送信手段111、暗号化手段112、送信手段113を有している。
【0010】
まず初めに、本発明のセキュリティポリシーを変更する場合のブロック図を表している図1を基に、各手段の説明をする。
受信手段101は、ネットワーク内外から送信されてくるIPパケットのデータを受信する手段である。
IPsec受信手段102は、受信したIPパケットに対してIPsecが適用されているかどうかを判定する手段である。IPsecが適用されていない場合は、SPDからSPを検索し、検索されたSPが「破棄」の場合は、IPパケットを破棄する。また「IPsecを適用」の場合は、このIPパケットにIPsecが適用されていないためにこのIPパケットを破棄する。また「IPsecを適用しない」の場合は、受信したIPパケットと条件が一致するので次の手段にIPパケットを受け渡す。
【0011】
IPsecが適用されている場合は、まず始めにSADからSAを検索し、SAに記載されているアルゴリズムや鍵を利用して復号化手段103により復号化処理を行う。
次に、復号化処理が行われた後にSPDからSPを検索し、SPの内容と受信したIPパケットに適用されている内容と一致しているかどうかを判定する。一致していない場合は、IPパケットを破棄し、一致している場合は、次の手段にIPパケットを受け渡す。
【0012】
復号化手段103は、受信したIPパケットデータに対して、SP管理手段105に管理されているSPDと SA管理手段106に管理されているSADの情報をもとに復号化を行う手段である。
SP更新手段104は、IPパケットに記載されている情報により、SP管理手段105において管理されているSPDのSPを変更し、その後変更が完了したこと通信相手に知らせる手段である。
SP管理手段105は、実際にIPsecによるセキュリティ処理を適用するかどうかについての情報が登録されているSPD(セキュリティポリシーのデータベース)を管理する手段である。
SA管理手段106は、IPパケットに対して行うIPsec処理に関する情報が格納されているSADを管理する手段である。
【0013】
パケット処理手段107は、復号化手段103によって復号化されたIPパケットをIPヘッダやその他のヘッダ、そしてペイロードと呼ばれるデータに分ける手段である。
ソフトウェア処理手段108は、ソフトウェア記憶手段109に記憶されているソフトウェアを実行する手段である。
ソフトウェア記憶手段109は、通信を実行するのに必要なネットワークソフトウェアを記憶する手段である。
パケット生成手段110は、送信時におけるIPパケットのデータを生成する手段である。
IPsec送信手段111は、送信するIPパケットに対してIPsecを適用するかどうかを判定する手段である。
【0014】
始めにIPパケットの始点IPアドレス、終点IPアドレス、プロトコル、ポート番号の情報からSP管理手段105に管理されているSPDよりSPを検索する。SPが「破棄」の場合には、IPパケットを破棄する。また、「IPsecを適用しない」の場合は、IPsecを適用せずに送信手段113にIPパケットを送る。「IPsecを適用する」の場合は、SA管理手段106に管理されているSADよりSAを検索する。そしてSAに記載されているアルゴリズムや鍵を利用し、暗号化手段112により暗号化を実行する。
【0015】
暗号化手段112は、IPパケットデータに対して、SP管理手段105に管理されているSPDと SA管理手段106に管理されているSAD(セキュリティアソシエーションのデータベース)の情報をもとに暗号化を行う手段である。
【0016】
送信手段113は、ネットワーク内外へIPパケットのデータを送信する手段である。
また、本発明である暗号化通信方式において用いられるIPパケットデータは、インターネット上で送受信されるデータの単位である。本発明では、発明の本質ではないので、このIPパケットデータの組み立て方法については、省力してある。
また、SP管理手段とSA管理手段は、通常のIPsecを利用した暗号化通信において利用されており、本発明では、発明の本質ではないので、詳細については、省略してある。
また、暗号化通信を始める前必要となる鍵交換は、IKEまたはSSLといった一般的な方法を利用し行うことを前提としており、本発明では、発明の本質ではないので、詳細については、省略してある。
【0017】
次に、IPパケットの受信処理と送信処理を行う暗号化通信装置について、図1に基づき説明する。
受信手段101は、受信したIPパケットのデータをIPsec受信手段102に受け渡す。そして、IPsec受信手段102は、受け取ったIPパケットのデータに対してIPsecの受信処理を実行する。
IPsecの受信処理では、IPパケットデータの情報をもとにSPDからSPを検索する。IPsec処理がされていないIPパケットの場合は、SPの情報によりパケット処理手段107にIPパケットを受け渡す。
また、IPsec処理がされて、SPDのSPを更新するデータでない場合は、該当するSAの情報に基づいて復号化手段103によってIPパケットデータに復号化を実行し、パケット処理手段107にIPパケットを渡す。
【0018】
パケット処理手段107では、受け取ったIPパケットをIPヘッダやその他のヘッダ、そしてペイロードと呼ばれるデータに分割をし、ソフトウェア処理手段108へデータを受け渡す。ソフトウェア処理手段108では、ソフトウェア記憶手段109から実行するネットワークソフトウェアの情報を取得し、処理を実行する。そして、送信時には、ソフトウェア処理手段108から送信データを受け取りIPパケットデータを生成し、IPsec送信手段111へIPパケットデータを受け渡す。
【0019】
IPsec送信手段111では、受け取ったIPパケットデータに対して、SP管理手段105に管理されているSPDのSP情報とSA管理手段に管理されているSADのSA情報によりIPsec送信処理を行い、次に暗号化手段112により暗号化を行う。そして、暗号化されたIPパケットデータを送信手段113に受け渡す。送信手段113では受け取ったIPパケットデータを送信する。
IPパケットデータがSPDのSPを更新するデータだった場合は、データをSP更新手段104へ受け渡す。
SP更新手段104では、SP管理手段105に管理されているSPDのSPの値を更新する。そして、SPを更新後にIPパケットデータを生成し、IPsec送信手段111にIPパケットデータを受け渡す。
【0020】
IPsec送信手段111では、受け取ったIPパケットデータに対してSA管理手段に管理されているSADのSA情報によりIPsec送信処理を行い、次に暗号化手段112により暗号化を行う。そして、暗号化されたIPパケットデータを送信手段113に受け渡す。送信手段113では受け取ったIPパケットデータを送信する。
【0021】
次に、SA更新手段104において処理されているSP更新処理動作の流れを、図2のフローチャートに基づき説明する。
最初に、ステップ201においてIPパケットデータがSPを更新するためのものかどうかを判定する。判定は、IPパケットデータに図8(2)が示す拡張ヘッダが含まれているかどうかをチェックする。SP更新パケットでない場合は、ステップ202へ進む。ステップ202では、パケット処理手段によりIPパケットを処理し、処理を終了する。
【0022】
SP更新パケットの場合は、ステップ203へ進む。ステップ203では、SP更新手段に進む。そしてステップ204では、IPパケットデータから図8の(1)に示す更新データ調べ、ステップ205へ進む。ステップ205では、更新データの情報によりSP管理手段105に管理されているSPDのSPを更新する。
【0023】
更新できなかった場合は、ステップ206へ進み、更新不可を示すIPパケットを生成し、次のステップへ進む。更新できた場合は、ステップ207へ進む。ステップ207では、更新できたことを示すIPパケットを生成し、ステップ208へ進む。ステップ208では生成されたIPパケットを受け取り、IPsec送信手段111に受け渡す。そして、IPsec送信手段111では、送信処理を実行し、処理を終了する。
【0024】
次に、IPsec受信手段102において処理されている受信処理動作の流れを、図3のフローチャートに基づき説明する。
最初に、受信手段から受信したIPパケットデータを受け取ると、まず、ステップ301で暗号化パケットかどうか判定する。暗号化パケットではない場合は、ステップ302へ進み、IPパケットデータの情報をもとにSPDからSPを検索する。検索したSPが「discard」、「apply」の場合、ステップ303へ進み、IPパケットを破棄し、処理を終了する。
SPが「bypass」の場合は、ステップ304へ進み、復号化処理をしないで処理を終了する。
【0025】
暗号化パケットの場合は、ステップ305へ進み、SADからSAを検索し、ステップ306へ進む。ステップ306では、SAが存在したかどうか判定する。SAが存在しない場合は、ステップ303へ進み、IPパケットを破棄し、処理を終了する。SAが存在した場合は、ステップ307へ進み、IPsec受信処理を実行し、ステップ308へ進む。
【0026】
ステップ308では、IPパケットにSPを更新するためのデータが含まれているかどうかをチェックする。SPを更新するためのデータが含まれていない場合は、ステップ310へ進む。ステップ310では、IPパケットデータの情報をもとにSPDからSPを検索する。検索したSPが「discard」、「bypass」の場合、ステップ303へ進み、IPパケットを破棄し、処理を終了する。SPが「apply」の場合は、そのまま処理を終了する。
SPを更新するためのデータが含まれている場合は、ステップ309へ進み、SP更新手段によってIPパケットデータに含まれる更新データによってSPDのSPを更新し、処理を終了する。
【0027】
次に、IPsec送信手段111において処理されている送信処理動作の流れを、図4のフローチャートに基づき説明する。
最初に、送信のIPパケットデータを受け取ると、まず、ステップ401でIPパケットデータの情報をもとにSPDからSPを検索する。 検索したSPが「discard」場合は、ステップ402へ進み、IPパケットを破棄し、処理を終了する。「bypass」の場合は、ステップ403へ進み、処理をなにもしないで終了する。
「apply」の場合は、ステップ404に進む。ステップ404では、SADからSAを検索し、ステップ405に進む。ステップ405では、SAが存在するかどうかを判定する。
SAが存在しない場合は、ステップ402へ進み、IPパケットを破棄し、処理を終了する。SAが存在した場合は、ステップ406へ進む。ステップ406では、SAの内容に応じて暗号化処理を実行し、処理を終了する。
【0028】
次に、パケット処理手段107において処理されている動作の流れを、図5のフローチャートに基づき説明する。
最初に、ステップ501においてIPsec受信手段からIPパケットデータを受け取り、ステップ502へ進む。ステップ502では、受け取ったIPパケットをIPヘッダやその他のヘッダ、そしてペイロードと呼ばれるデータに分割をし、ステップ503へ進む。ステップ503では、分割したデータをソフトウェア処理手段へ送り、処理を終了する。
【0029】
次に、ソフトウェア処理手段108において処理されている動作の流れを、図6のフローチャートに基づき説明する。
最初に、ステップ601ではソフトウェア記憶手段から実行するネットワークソフトウェアの情報を取得し、ステップ602へ進む。ステップ602では、処理が送信処理か受信処理かを判定する。送信処理の場合は、ステップ603へ進み、パケット生成手段へ送信データを送り、処理を終了する。受信処理の場合は、ステップ604へ進み、パケット処理手段から受信データを取得し、処理を終了する。
【0030】
次に、パケット生成手段110において処理されている動作の流れを、図7のフローチャートに基づき説明する。
最初に、ステップ701においてソフトウェア処理手段から送信データを受け取り、ステップ702へ進む。ステップ702では、受け取った送信データをもとにIPパケットデータを生成し、ステップ703へ進む。ステップ703では、生成したIPパケットデータをIPsec送信手段へ送り、処理を終了する。
【0031】
なお、SPを更新することを示すIPパケットデータについて図8に基づき説明する。
図8の(1)は、IPパケットのペイロード部分でSPを更新するためのデータを示す。図8の(2)は、IPパケットに拡張ヘッダとして含まれ、SP更新データがIPパケットに含まれていることを示すものである。
また、前記の実施形態をコンピュータ内のプログラムによっても実現されることは当然である。
【符号の説明】
【0032】
101 受信手段
102 IPsec受信手段
103 復号化手段
104 セキュリティポリシー(SP)更新手段
105 セキュリティポリシー(SP)管理手段
106 セキュリティアソシエーション(SA)管理手段
107 パケット処理手段
108 ソフトウェア処理手段
109 ソフトウェア記憶手段
110 パケット生成手段
111 IPsec送信手段
112 暗号化手段
【特許請求の範囲】
【請求項1】
ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用した暗号化通信装置であって、
IPパケットの送受信を行う通信手段と、
セキュリティ処理を適用するかどうかについての情報が登録されているデータベースを管理する管理手段と、
前記データベースに登録されている前記情報を更新する更新手段とを持つことを特徴とする暗号化通信装置。
【請求項2】
ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用した暗号化通信方法であって、
IPパケットの送受信を行う通信工程と、
セキュリティ処理を適用するかどうかについての情報が登録されているデータベースを管理する管理工程と、
前記データベースに登録されている前記情報を更新する更新工程とを有することを特徴とする暗号化通信方法。
【請求項3】
請求項2記載の暗号化通信方法の各工程をコンピュータにて実施させるプログラム。
【請求項1】
ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用した暗号化通信装置であって、
IPパケットの送受信を行う通信手段と、
セキュリティ処理を適用するかどうかについての情報が登録されているデータベースを管理する管理手段と、
前記データベースに登録されている前記情報を更新する更新手段とを持つことを特徴とする暗号化通信装置。
【請求項2】
ネットワーク上を流れるデータのセキュリティを確保するプロトコルを利用した暗号化通信方法であって、
IPパケットの送受信を行う通信工程と、
セキュリティ処理を適用するかどうかについての情報が登録されているデータベースを管理する管理工程と、
前記データベースに登録されている前記情報を更新する更新工程とを有することを特徴とする暗号化通信方法。
【請求項3】
請求項2記載の暗号化通信方法の各工程をコンピュータにて実施させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−15042(P2011−15042A)
【公開日】平成23年1月20日(2011.1.20)
【国際特許分類】
【出願番号】特願2009−155740(P2009−155740)
【出願日】平成21年6月30日(2009.6.30)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成23年1月20日(2011.1.20)
【国際特許分類】
【出願日】平成21年6月30日(2009.6.30)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]