通信システム、通信方法、および、通信システムに用いられる応答側終端装置
【課題】セキュリティ通信およびアクセス制御を実行する通信システムにおいて、セキュリティ強度を高めるとともに、コストを抑制すること。
【解決手段】応答側終端装置2の接続応答部21は、要求側終端装置1の接続要求部11から所定の通信トンネル7を確立するための要求メッセージを受信すると、応答側記憶手段から通信ポリシ22を読み取り、その通信ポリシ22で規定される、所定の通信トンネル7内でデータ転送するフローの識別情報を、接続要求部11に送信し、接続要求部11が受信したフローの識別情報を、自装置内における所定の通信トンネル7内のデータ転送に適用しないときには、接続要求部11との間に所定の通信トンネル7の確立を中断することを特徴とする。
【解決手段】応答側終端装置2の接続応答部21は、要求側終端装置1の接続要求部11から所定の通信トンネル7を確立するための要求メッセージを受信すると、応答側記憶手段から通信ポリシ22を読み取り、その通信ポリシ22で規定される、所定の通信トンネル7内でデータ転送するフローの識別情報を、接続要求部11に送信し、接続要求部11が受信したフローの識別情報を、自装置内における所定の通信トンネル7内のデータ転送に適用しないときには、接続要求部11との間に所定の通信トンネル7の確立を中断することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システム、通信方法、および、通信システムに用いられる応答側終端装置に関する。
【背景技術】
【0002】
IPsecの通信トンネルを用いてセキュリティが高いデータ通信を行うVPN(Virtual Private Network)の形態が、IPsecVPNとして知られている。この通信トンネルを確立する手順において、例えば、鍵交換プロトコルのIKEv2(Internet Key Exchange version 2)が用いられる。IKEv2は、非特許文献1(概要説明),非特許文献2(詳細仕様)にそれぞれ記載されている。
【0003】
図6は、IPsecVPNにおいて、アクセス制御を実施するときの構成図を示す。要求側終端装置91と応答側終端装置92との間には、IPsecの通信トンネル97がキャリア網98に確立され、この通信トンネル97を介して通信ノード93間のデータ通信が実行される。
さらに、ルータなどのアクセス制御装置94a,94bは、各拠点(管理網95、IP−VPN99)に設けられ、通信ノード93が送受信するパケットに対して、ACL(Access Control List)によるパケットフィルタリング処理を実行する。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】C. Kaufman, Ed.、“Internet Key Exchange (IKEv2) Protocol”、[online]、December 2005、IETF、[平成21年8月18日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc4306.txt>
【非特許文献2】P. Eronen、P. Hoffman、“IKEv2 Clarifications and Implementation Guidelines”、[online]、October 2006、IETF、[平成21年8月18日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc4718.txt>
【発明の概要】
【発明が解決しようとする課題】
【0005】
前記図6で示した通信システムでは、セキュリティ強度およびシステムコストの点で、以下の2つの課題が存在する。
【0006】
まず、セキュリティ強度が充分でないという課題がある。これは、図6の管理網95内のアクセス制御装置94aに設定されるACLと、IP−VPN99内のアクセス制御装置94bに設定されるACLとで、管理主体が異なる場合は、セキュリティ強度にばらつきが発生するためである。つまり、管理網95内のセキュリティ強度の充分なACLをIP−VPN99内に強制するしくみがないため、管理者側から拠点側に適切なフィルタリング設定を行わせる強制力がない。よって、不要パケットの網内流入を防ぐことは出来ず、場合によっては回線の非効率化に繋がるケースも想定される。
【0007】
次に、余分なシステムコストがかかってしまうという課題がある。アクセス制御装置94bは独立して各ネットワークに点在しているため、これらのアクセス制御装置94bごとに、ACLを設定する必要がある。そして、拠点数や識別フロー数の増加によりACLの内容が複雑化・多様化すると、設定稼働の増大や、設定ミスによる通信不具合・不要パケットの網内流入などを招くリスクが高くなる。
【0008】
そこで、本発明は、前記した問題を解決し、セキュリティ通信およびアクセス制御を実行する通信システムにおいて、セキュリティ強度を高めるとともに、コストを抑制することを、主な目的とする。
【課題を解決するための手段】
【0009】
前記課題を解決するために、本発明は、要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムであって、前記要求側終端装置が、接続要求部と、前記通信ポリシを記憶する要求側記憶手段と、を有し、前記応答側終端装置が、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、前記接続応答部が、前記接続要求部から所定の通信トンネルを確立するための要求メッセージを受信すると、前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記接続要求部に送信し、前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するために前記要求側記憶手段に書き込むときには、前記接続要求部との間に前記所定の通信トンネルを確立し、前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記接続要求部との間に前記所定の通信トンネルの確立を中断することを特徴とする。
【0010】
これにより、通信トンネルの確立と引き替えに、1台の応答側終端装置で管理している通信ポリシを、1台以上の要求側終端装置に強制できるので、管理者のセキュリティポリシが通信システム全体に適用され、セキュリティの向上が期待できる。
【0011】
本発明は、前記接続応答部が、複数の前記フローの識別情報を前記応答メッセージとして前記接続要求部に送信し、前記接続要求部が、受信した複数の前記フローの識別情報を1つの前記所定の通信トンネル内でデータ転送するように対応づけて、前記要求側記憶手段に格納することを特徴とする。
【0012】
これにより、応答メッセージに含まれるフローの本数を増加するように標準仕様から拡張したことで、通信ポリシの情報欠落を抑制でき、きめ細やかなアクセス制御を実施することができる。
【0013】
本発明は、前記接続応答部が、前記フローの識別情報として、データ転送するパケットの優先度クラスを指定した前記応答メッセージで前記接続要求部に送信し、前記要求側終端装置が、前記応答メッセージで指定されたパケットの優先度クラスに適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする。
【0014】
これにより、応答メッセージに含まれるフローの表現力を向上するように標準仕様から拡張したことで、通信ポリシの情報欠落を抑制でき、きめ細やかなアクセス制御を実施することができる。
【0015】
本発明は、前記接続応答部が、前記フローの識別情報として、データ転送するパケットのパケットサイズを指定した前記応答メッセージで前記接続要求部に送信し、前記要求側終端装置が、前記応答メッセージで指定されたパケットサイズに適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする。
【0016】
これにより、応答メッセージに含まれるフローの表現力を向上するように標準仕様から拡張したことで、通信ポリシの情報欠落を抑制でき、きめ細やかなアクセス制御を実施することができる。
【0017】
本発明は、前記接続応答部が、前記フローの識別情報に加えて、そのフローのデータ転送の通信方向を示す情報を指定した前記応答メッセージで前記接続要求部に送信し、前記要求側終端装置が、前記応答メッセージで指定された通信方向に適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする。
【0018】
これにより、応答メッセージに含まれるフローの表現力を向上するように標準仕様から拡張したことで、通信ポリシの情報欠落を抑制でき、きめ細やかなアクセス制御を実施することができる。
【0019】
本発明は、要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムによる通信方法であって、前記要求側終端装置が、接続要求部と、前記通信ポリシを記憶する要求側記憶手段と、を有し、前記応答側終端装置が、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、前記接続応答部が、前記接続要求部から所定の通信トンネルを確立するための要求メッセージを受信すると、前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記接続要求部に送信し、前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するために前記要求側記憶手段に書き込むときには、前記接続要求部との間に前記所定の通信トンネルを確立し、前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記接続要求部との間に前記所定の通信トンネルの確立を中断することを特徴とする。
【0020】
これにより、通信トンネルの確立と引き替えに、1台の応答側終端装置で管理している通信ポリシを、1台以上の要求側終端装置に強制できるので、管理者のセキュリティポリシが通信システム全体に適用され、セキュリティの向上が期待できる。
【0021】
本発明は、要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムに用いられる前記応答側終端装置であって、前記応答側終端装置が、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、前記接続応答部が、前記要求側終端装置から所定の通信トンネルを確立するための要求メッセージを受信すると、前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記要求側終端装置に送信し、前記要求側終端装置が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するときには、前記要求側終端装置との間に前記所定の通信トンネルを確立し、前記要求側終端装置が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記要求側終端装置との間に前記所定の通信トンネルの確立を中断することを特徴とする。
【0022】
これにより、通信トンネルの確立と引き替えに、1台の応答側終端装置で管理している通信ポリシを、1台以上の要求側終端装置に強制できるので、管理者のセキュリティポリシが通信システム全体に適用され、セキュリティの向上が期待できる。
【発明の効果】
【0023】
本発明によれば、セキュリティ通信およびアクセス制御を実行する通信システムにおいて、セキュリティ強度を高めるとともに、コストを抑制することができる。
【図面の簡単な説明】
【0024】
【図1】本発明の一実施形態に関する通信システムを示す構成図である。
【図2】本発明の一実施形態に関する図1の通信システムを構成する要求側終端装置および応答側終端装置を示す構成図である。
【図3】本発明の一実施形態に関する応答側終端装置「A」から要求側終端装置「G」へと送信される接続応答を示すパケット図である。
【図4】本発明の一実施形態に関する応答側終端装置「B」から要求側終端装置「G」へと送信される接続応答を示すパケット図である。
【図5】本発明の一実施形態に関するカプセリング区間とアクセス制御の位置を示す説明図である。
【図6】IPsecVPNにおいて、アクセス制御を実施するときの構成図である。
【発明を実施するための形態】
【0025】
以下、本発明の一実施形態を、図面を参照して詳細に説明する。
【0026】
図1は、通信システムを示す構成図である。この通信システムは、キャリア(通信事業者)が提供するキャリア網8と、そのキャリア網8に接続されるユーザ網であるIP−VPN9とにより構成されるIPsecVPNである。なお、通信システムは、IPsecVPNとする代わりに、ユーザ拠点間を直接接続するようなインターネットVPNや、リモートアクセス用のIPsecにも適応可能である。さらに、図1では、IPsecのESP(Encapsulating Security Payload)におけるトンネルモードを例示したが、ESPの代わりにAH(Authentication Header)を用いてもよいし、トンネルモードの代わりにトランスポートモードを用いてもよい。
要求側終端装置1および応答側終端装置2は、キャリア網8とIP−VPN9との中継地点に位置する。通信ノード3は、IP−VPN9内に位置する。
なお、通信システムを構成する各装置(要求側終端装置1、応答側終端装置2、通信ノード3)は、それぞれ制御装置としてのCPUと、記憶手段としてのメモリと、ネットワークインタフェースとを備えるコンピュータとして構成される。なお、図1の各装置の名称の後に記載される括弧内の記号(例えば、通信ノード(a1)における「a1」)は、その装置のアドレスを示す。
【0027】
要求側終端装置1は、通信トンネル7の終端に位置する装置であり、その通信トンネル7を確立するための接続要求5を応答側終端装置2に送信する装置である。つまり、要求側終端装置1は、非特許文献1における始動装置(Initiator)に該当し、接続要求5は、「IKE_AUTH request」メッセージまたは「CREATE_CHILD_SA request」メッセージに該当する。
応答側終端装置2は、通信トンネル7の終端に位置する装置であり、その通信トンネル7を確立するための接続要求5への接続応答6を要求側終端装置1に応答する装置である。つまり、応答側終端装置2は、非特許文献1における応答装置(Responder)に該当し、接続応答6は、「IKE_AUTH response」メッセージまたは「CREATE_CHILD_SA response」メッセージに該当する。
【0028】
通信ノード3は、通信トンネル7を介して、互いに通信を行うノード端末である。通信トンネル7は、要求側終端装置1と応答側終端装置2との間でUNI(User Network Interface)をまたいで、例えばIPsec/IKEv2の規定に従って接続される回線交換用トンネルである。この通信トンネル7内で転送されるデータの内容は、IPsecによるセキュリティが保証されることにより、盗み見や改ざんが防止される。
【0029】
要求側終端装置1および応答側終端装置2は、それぞれ通信ノード3から到着するパケットを受信すると、自装置に設定されているTS(Traffic Selector)を参照し、そのパケットを通信トンネル7内に転送するか否か、および、複数の通信トンネル7が存在するときには、どの通信トンネル7に転送するかを決定する。そして、転送するパケットは、カプセリング処理されることで、通信トンネル7内に送信される。このように、要求側終端装置1および応答側終端装置2は、TSを元に通信トンネル7に転送するパケットを選択する旨のアクセス制御を実行する。
【0030】
TSは、セキュリティポリシを示す設定データであり、応答側終端装置2のTSが接続応答6に含まれて通知されることで、要求側終端装置1のTSへと設定される。このように、TSの設定手順を応答側終端装置2から要求側終端装置1への片方向の通知にすることにより、最新状況を反映するTSの管理を応答側終端装置2の側だけで行えばよいので、セキュリティポリシの管理コストを抑制することができる。この際のTSの更新は、非特許文献1における、CHILD_SAのRekeyを行うことにより可能である。
【0031】
要求側終端装置1は、TSの交渉処理(Traffic Selector Negotiation)において、接続応答6に含まれるTSを自装置に設定しない(換言すると、応答側終端装置2から提案されたセキュリティポリシを拒否する)場合には、その拒否する旨の応答(例えば、TS_UNACCEPTABLE)を応答側終端装置2に送信する。
一方、要求側終端装置1はTSを受け入れる場合には、拒否する旨の応答を送信しない。そして、応答側終端装置2は、拒否する旨の応答を受信したときには、自装置から提案したセキュリティポリシが受け入れられないので、通信トンネル7の確立を中断する。
さらに、通信トンネル7の確立後に、セキュリティポリシに適合しない不正パケットを受信した応答側終端装置2は、不正パケットの送信元である要求側終端装置1に対して、セキュリティポリシ違反の通知メッセージ(例えば、INVALID_SELECTORS)を通知してもよい。
これにより、応答側終端装置2は、要求側終端装置1に対して、通信トンネル7の確立時に自装置から提案したセキュリティポリシを強制することができる。よって、要求側終端装置1から通信トンネル7内に送信されるパケットは、セキュリティポリシに適合したパケットに絞り込むことができる。
【0032】
図2は、図1の通信システムを構成する要求側終端装置1および応答側終端装置2を示す構成図である。
要求側終端装置1は、接続要求部11と、通信ポリシ12と、アクセス制御部13とを有する。
応答側終端装置2は、接続応答部21と、通信ポリシ22と、アクセス制御部23とを有する。
【0033】
接続要求部11は、接続応答部21に対して、通信トンネル7を確立するための接続要求5を送信し、その応答としての接続応答6を受信する。そして、接続要求部11は、受信した接続応答6に含まれているTSが示すセキュリティポリシを、通信ポリシ12として書き込む。
通信ポリシ12は、通信ポリシ22(後記する表1を参照)と同様の内容が、接続要求部11によって書き込まれる。
アクセス制御部13は、アクセス制御部13との間に通信トンネル7を設け、データ転送を実行する。このデータ転送において、通信ポリシ12を参照することで、受信したパケットを通信トンネル7内に転送するか否か、および、複数の通信トンネル7が存在するときには、どの通信トンネル7に転送するかを決定する。
【0034】
接続応答部21は、接続要求5への応答としての接続応答6を、接続要求部11に返信する。この接続応答6には、通信ポリシ22の内容を元に作成されるTSが含まれている。
アクセス制御部23は、アクセス制御部13との間に通信トンネル7を設け、データ転送を実行する。このデータ転送において、通信ポリシ22を参照することで、受信したパケットを通信トンネル7内に転送するか否か、および、複数の通信トンネル7が存在するときには、どの通信トンネル7に転送するかを決定する。
【0035】
【表1】
【0036】
表1は、通信ポリシ22の一例を示すテーブルである。通信ポリシ22は、1行が1つのフローに関するセキュリティポリシを示し、1つ以上のフローが、1つの通信トンネル7に対応づけられる。
通信ポリシ22は、フローIDと、IPレイヤと、拠点Aアドレスと、許可方向と、拠点Bアドレスと、優先度クラスと、パケットサイズとを対応づけて、フローを管理する。
フローIDは、フローの識別子である。
IPレイヤは、後記する拠点Aアドレスおよび拠点BアドレスのプロトコルIDを示す。
拠点Aアドレスおよび拠点Bアドレスは、それぞれ通信ノード3のアドレスを示す。
許可方向は、拠点Aアドレスと拠点Bアドレスとの間の通信について、許可する方向を示す。
優先度クラスは、フローに割り当てられている優先度を示す。表1内のEF(Expedited Forwarding)や、AF(Assured Forwarding)という値は、DiffServ(Differentiated Services)で規定されている。
パケットサイズは、フローを識別するためのパケットサイズを示す。
【0037】
【表2】
【0038】
表2は、接続要求5および接続応答6におけるTSのフォーマットを示す。非特許文献1に記載されている標準仕様に対して、「(拡張有)」で示すフィールドが拡張されている。なお、このフォーマットは、CREATE_CHILD_SAメッセージだけでなく、IKE_AUTHメッセージに含めてもよい。
【0039】
まず、非特許文献1に記載されている標準仕様では、以下の5つの情報による組合せでフローを定義する。
・送信元(ソース)アドレス
・送信先(ディスティネーション)アドレス
・送信元(ソース)ポート
・送信先(ディスティネーション)ポート
・通信プロトコル
表2内のスタートアドレス〜エンドアドレスで示されるアドレス範囲が、フローのソースアドレスまたはフローのディスティネーションアドレスを示す。
表2内のスタートポート〜エンドポートで示されるアドレス範囲が、フローのソースポートまたはフローのディスティネーションポートを示す。
表2内のプロトコルIDは、フローの通信プロトコルを示す。
【0040】
そして、本実施形態では、以下に示す拡張がなされている。この拡張により、きめ細やかなフロー識別によるアクセス制御が実施できる。
・表2内のTSタイプのビット番号「1」の値が「0(許可)」であるときには、許可方向の制御として、TSi(要求側終端装置1が収容する各通信ノード3)宛の通信が許可される。
・表2内のTSタイプのビット番号「2」の値が「0(許可)」であるときには、許可方向の制御として、TSr(応答側終端装置2が収容する各通信ノード3)宛の通信が許可される。
・表2内のTSタイプのビット番号「3」の値が「1(有り)」であるときには、パケットに付されている優先度クラスによりフローを識別する。その優先度クラスは、トラフィックセレクタ内のスタート優先度クラス〜エンド優先度クラスが示す範囲によって指示される。一方、ビット番号「3」の値が「0(無し)」であるときには、スタート優先度クラスおよびエンド優先度クラスの各フィールドは、トラフィックセレクタ内には不要である。
・表2内のTSタイプのビット番号「4」の値が「1(有り)」であるときには、パケットのパケットサイズによりフローを識別する。一方、ビット番号「4」の値が「0(無し)」であるときには、パケットサイズのフィールドは、トラフィックセレクタ内には不要である。
・表2内のTSタイプのビット番号「5〜8」の値は、非特許文献1に記載されている標準仕様のままであり、拡張は行っていない。
【0041】
【表3】
【0042】
表3は、表1の通信ポリシ22から、接続応答6に含まれるTSタイプに変換した結果を示す。接続応答部21は、通信ポリシ22を記憶手段から読みとって、変換処理を実行して表3のTSタイプを作成し、送信する予定の接続応答6へと書き込む。
例えば、フローID「F1」は、TSi宛通信「0(許可)」、TSr宛通信「0(許可)」、優先度クラスによる制御「1(有り)」、パケットサイズによる制御「0(無し)」、通信プロトコルの種別「0111(IPv4)」という通信ポリシ22が、ビット列「00100111」というTSタイプに変換される。
【0043】
【表4】
【0044】
表4は、複数のフローを通知するための接続応答6のペイロード例を示す。まず、非特許文献1に記載されている標準仕様では、1つの通信トンネル7を作成するための1回の接続応答6の送信において、その接続応答6には、フローの識別情報である「TSiおよびTSr」の組は、1組だけしか設定できなかった。そのため、表1などの通信ポリシ22が示すような、複数のフローによるセキュリティポリシを設定するためには、フロー数と同数の通信トンネル7を作成する必要があり、ネットワーク資源の利用効率を低下させていた。
【0045】
そこで、接続応答6を拡張し、ペアとなるTSiペイロードとTSrペイロードは必ず連続させて格納し、連続したTSi、TSrを一つの通信フローとして識別するようにルール化することにした。これにより、1つの接続応答6内に「TSiおよびTSr」の組を複数組格納することができるので、1つの通信トンネル7を作成するときに、複数のフローと対応づけることができる。
【0046】
以上、通信システムの構成について、説明した。次に、通信システムの動作を説明する。以下の(1)〜(6)の順に実行され、TSの交渉処理(Traffic Selector Negotiation)は、そのうちの(1)〜(4)である。
(1)応答側終端装置2は、ネットワークの管理者などから、通信ポリシ22の入力を受け付けると、自装置内の記憶手段に格納する。
(2)要求側終端装置1の接続要求部11は、応答側終端装置2に対して、接続要求5(表5で後記)を送信する。
(3)応答側終端装置2の接続応答部21は、受信した接続要求5に対して、通信ポリシ22から変換したTSを含む接続応答6(応答側終端装置2のアドレスが「A」なら図3で、応答側終端装置2のアドレスが「B」なら図4で、それぞれ後記)を作成し、要求側終端装置1に返信する。
(4)要求側終端装置1の接続要求部11は、受信した接続応答6からTSを読み取り、通信ポリシ12に変換して自装置内の記憶手段に格納する。もし、受信したTSを拒否するときには、その旨を要求側終端装置1に通知する。
(5)応答側終端装置2の接続応答部21は、受信したTSが拒否されないときには、要求側終端装置1との間に通信トンネル7を確立する。
(6)要求側終端装置1のアクセス制御部13は、通信ノード3からパケットを受信すると、そのパケットが通信ポリシ12に適合しているか否かを照合する。そして、アクセス制御部13は、通信ポリシ12に適合しているパケットについて、通信トンネル7を介して、応答側終端装置2のアクセス制御部23に送信する。
【0047】
前記(6)の処理の一例として、アドレス「a1」からアドレス「b1」へ送信するパケットについて、その優先度クラスがEFまたはAFなら、フローID「F1」に該当するので、送信が許可される。一方、アドレス「a1」からアドレス「b1」へ送信するパケットでも、その優先度クラスがEFでもAFでもないときには、フローID「F1」に該当しないので、廃棄される。
【0048】
前記(6)の処理の一例として、アドレス「a2」からアドレス「b2」へ送信するパケットについて、そのパケットサイズが1000byte以下なら、フローID「F2」に該当するので、送信が許可される。一方、アドレス「a2」からアドレス「b2」へ送信するパケットでも、そのパケットサイズが1000byteより大きいときには、フローID「F2」に該当しないので、廃棄される。
【0049】
【表5】
【0050】
表5は、接続要求5の一例を示す。1つのフィールド内に、そのフィールドの名称(例えば、セレクタ数)と、そのフィールドの値(例えば、括弧内の「1」)とを併記する。接続要求5には、表2で示したフォーマットに従って作成された、1つのTSiと1つのTSrとの組が、含まれている。なお、イニシエータ側が提案するTSiとTSrは、レスポンダ側から回答する範囲を含んでいればどのような値であっても問題ないが、ここではモデルの簡素化のために、IPv4アドレスを、任意の値を示す「any(0.0.0.0〜255.255.255.255)」とする。
【0051】
図3は、応答側終端装置2「A」から要求側終端装置1「G」へと送信される接続応答6である。各行のTSタイプには、表3で示した8ビットの値がそれぞれ格納される。
フローID「F1」のTSi(1行目)のスタートアドレス〜エンドアドレスには「a1」を格納する。
フローID「F1」のTSr(2行目)のスタートアドレス〜エンドアドレスには「b1」を格納する。
フローID「F2」のTSi(3行目)のスタートアドレス〜エンドアドレスには「a2」を格納する。
フローID「F2」のTSr(4行目)のスタートアドレス〜エンドアドレスには「b2」を格納する。
フローID「F3」のTSi(5行目)のスタートアドレス〜エンドアドレスには「a3」を格納する。
フローID「F3」のTSr(6行目)のスタートアドレス〜エンドアドレスには「b3」を格納する。
【0052】
図4は、応答側終端装置2「B」から要求側終端装置1「G」へと送信される接続応答6である。各行のTSタイプには、表3で示した8ビットの値がそれぞれ格納される。
フローID「F1」のTSi(1行目)のスタートアドレス〜エンドアドレスには「b1」を格納する。
フローID「F1」のTSr(2行目)のスタートアドレス〜エンドアドレスには「a1」を格納する。
フローID「F2」のTSi(3行目)のスタートアドレス〜エンドアドレスには「b2」を格納する。
フローID「F2」のTSr(4行目)のスタートアドレス〜エンドアドレスには「a2」を格納する。
フローID「F3」のTSi(5行目)のスタートアドレス〜エンドアドレスには「b3」を格納する。
フローID「F3」のTSr(6行目)のスタートアドレス〜エンドアドレスには「a3」を格納する。
【0053】
以上説明した本実施形態によれば、要求側終端装置1の通信ポリシ12と、応答側終端装置2の通信ポリシ22とが共有されるとともに、要求側終端装置1と応答側終端装置2との間の通信トンネル7を介する通信に、それぞれの通信ポリシが使用される。
これにより、1台の応答側終端装置2で管理している通信ポリシ22を、1台以上の要求側終端装置1に強制できるので、管理者のセキュリティポリシが通信システム全体に適用され、セキュリティの向上が期待できる。
そして、接続応答6に含まれるTSの表現力を向上するように標準仕様から拡張(複数フローの収納、優先度クラスなどのフローの詳細定義)したことで、通信ポリシ22を接続応答6に含ませるときに、セキュリティポリシの情報欠落を抑制でき、きめ細やかなアクセス制御を実施することができる。
【0054】
さらに、各通信ポリシを管理する装置と、その通信ポリシをもとにアクセス制御する装置とが、同一筐体として構成されることで、通信システムの装置数が削減され、各種コスト(機器購入コスト、運用コスト、保守コスト)を削減することができる。以下、比較例を示す。
【0055】
図5(a)は、図6などの比較例における、カプセリング区間外でアクセス制御を実施する説明図である。ルータなどで行うACL(Access Control List)によるパケットフィルタリング相当のアクセス制御は、パケットがトンネルによってカプセリングされる区間では、適用されない。
図5(b)は、本実施形態における、カプセリング区間内でアクセス制御を実施する説明図である。トンネルの終端装置がアクセス制御を実施するため、アクセス制御用のルータを設けなくても済む。
【0056】
以上説明した本実施形態は、あくまで一例であり、以下に示すように変形実施してもよい。
【0057】
例えば、通信トンネル7内でデータ転送するフローの識別情報を応答メッセージに含ませて送信するときに、そのフローの識別情報の応答メッセージ内における格納場所については、前記表2で示したフォーマットに限定されず、任意に変更可能である。例えば、表2の「TSタイプ」フィールドを拡張する代わりに、フローの識別情報を格納する独自のフィールドを設けて、そのフィールド内にフローの識別情報をまとめて格納してもよい。
【0058】
また、フローの識別情報の内容として、フローの通信方向、優先度クラス、パケットサイズを例示したが、その他のフローの識別情報を設定を強制する通信ポリシとして応答メッセージに含ませてもよい。その他のフローの識別情報とは、例えば、tcpのフラグが挙げられる。
【0059】
さらに、1つの接続応答6内に「TSiおよびTSr」の組を複数組格納するときの格納位置について、表4に示したように、連続したTSi、TSrを一つの通信フローとして識別することとしたが、その他の格納位置のルールを用いてもよい。例えば、TSiを複数個列挙したあとに、TSrを複数個列挙し、列挙された順序(1つめのTSiと、1つめのTSrのペアなど)でペアを組むようにしてもよい。
【符号の説明】
【0060】
1 要求側終端装置
2 応答側終端装置
3 通信ノード
5 接続要求
6 接続応答
7 通信トンネル
8 キャリア網
9 IP−VPN
11 接続要求部
12 通信ポリシ
13 アクセス制御部
21 接続応答部
22 通信ポリシ
23 アクセス制御部
【技術分野】
【0001】
本発明は、通信システム、通信方法、および、通信システムに用いられる応答側終端装置に関する。
【背景技術】
【0002】
IPsecの通信トンネルを用いてセキュリティが高いデータ通信を行うVPN(Virtual Private Network)の形態が、IPsecVPNとして知られている。この通信トンネルを確立する手順において、例えば、鍵交換プロトコルのIKEv2(Internet Key Exchange version 2)が用いられる。IKEv2は、非特許文献1(概要説明),非特許文献2(詳細仕様)にそれぞれ記載されている。
【0003】
図6は、IPsecVPNにおいて、アクセス制御を実施するときの構成図を示す。要求側終端装置91と応答側終端装置92との間には、IPsecの通信トンネル97がキャリア網98に確立され、この通信トンネル97を介して通信ノード93間のデータ通信が実行される。
さらに、ルータなどのアクセス制御装置94a,94bは、各拠点(管理網95、IP−VPN99)に設けられ、通信ノード93が送受信するパケットに対して、ACL(Access Control List)によるパケットフィルタリング処理を実行する。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】C. Kaufman, Ed.、“Internet Key Exchange (IKEv2) Protocol”、[online]、December 2005、IETF、[平成21年8月18日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc4306.txt>
【非特許文献2】P. Eronen、P. Hoffman、“IKEv2 Clarifications and Implementation Guidelines”、[online]、October 2006、IETF、[平成21年8月18日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc4718.txt>
【発明の概要】
【発明が解決しようとする課題】
【0005】
前記図6で示した通信システムでは、セキュリティ強度およびシステムコストの点で、以下の2つの課題が存在する。
【0006】
まず、セキュリティ強度が充分でないという課題がある。これは、図6の管理網95内のアクセス制御装置94aに設定されるACLと、IP−VPN99内のアクセス制御装置94bに設定されるACLとで、管理主体が異なる場合は、セキュリティ強度にばらつきが発生するためである。つまり、管理網95内のセキュリティ強度の充分なACLをIP−VPN99内に強制するしくみがないため、管理者側から拠点側に適切なフィルタリング設定を行わせる強制力がない。よって、不要パケットの網内流入を防ぐことは出来ず、場合によっては回線の非効率化に繋がるケースも想定される。
【0007】
次に、余分なシステムコストがかかってしまうという課題がある。アクセス制御装置94bは独立して各ネットワークに点在しているため、これらのアクセス制御装置94bごとに、ACLを設定する必要がある。そして、拠点数や識別フロー数の増加によりACLの内容が複雑化・多様化すると、設定稼働の増大や、設定ミスによる通信不具合・不要パケットの網内流入などを招くリスクが高くなる。
【0008】
そこで、本発明は、前記した問題を解決し、セキュリティ通信およびアクセス制御を実行する通信システムにおいて、セキュリティ強度を高めるとともに、コストを抑制することを、主な目的とする。
【課題を解決するための手段】
【0009】
前記課題を解決するために、本発明は、要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムであって、前記要求側終端装置が、接続要求部と、前記通信ポリシを記憶する要求側記憶手段と、を有し、前記応答側終端装置が、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、前記接続応答部が、前記接続要求部から所定の通信トンネルを確立するための要求メッセージを受信すると、前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記接続要求部に送信し、前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するために前記要求側記憶手段に書き込むときには、前記接続要求部との間に前記所定の通信トンネルを確立し、前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記接続要求部との間に前記所定の通信トンネルの確立を中断することを特徴とする。
【0010】
これにより、通信トンネルの確立と引き替えに、1台の応答側終端装置で管理している通信ポリシを、1台以上の要求側終端装置に強制できるので、管理者のセキュリティポリシが通信システム全体に適用され、セキュリティの向上が期待できる。
【0011】
本発明は、前記接続応答部が、複数の前記フローの識別情報を前記応答メッセージとして前記接続要求部に送信し、前記接続要求部が、受信した複数の前記フローの識別情報を1つの前記所定の通信トンネル内でデータ転送するように対応づけて、前記要求側記憶手段に格納することを特徴とする。
【0012】
これにより、応答メッセージに含まれるフローの本数を増加するように標準仕様から拡張したことで、通信ポリシの情報欠落を抑制でき、きめ細やかなアクセス制御を実施することができる。
【0013】
本発明は、前記接続応答部が、前記フローの識別情報として、データ転送するパケットの優先度クラスを指定した前記応答メッセージで前記接続要求部に送信し、前記要求側終端装置が、前記応答メッセージで指定されたパケットの優先度クラスに適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする。
【0014】
これにより、応答メッセージに含まれるフローの表現力を向上するように標準仕様から拡張したことで、通信ポリシの情報欠落を抑制でき、きめ細やかなアクセス制御を実施することができる。
【0015】
本発明は、前記接続応答部が、前記フローの識別情報として、データ転送するパケットのパケットサイズを指定した前記応答メッセージで前記接続要求部に送信し、前記要求側終端装置が、前記応答メッセージで指定されたパケットサイズに適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする。
【0016】
これにより、応答メッセージに含まれるフローの表現力を向上するように標準仕様から拡張したことで、通信ポリシの情報欠落を抑制でき、きめ細やかなアクセス制御を実施することができる。
【0017】
本発明は、前記接続応答部が、前記フローの識別情報に加えて、そのフローのデータ転送の通信方向を示す情報を指定した前記応答メッセージで前記接続要求部に送信し、前記要求側終端装置が、前記応答メッセージで指定された通信方向に適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする。
【0018】
これにより、応答メッセージに含まれるフローの表現力を向上するように標準仕様から拡張したことで、通信ポリシの情報欠落を抑制でき、きめ細やかなアクセス制御を実施することができる。
【0019】
本発明は、要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムによる通信方法であって、前記要求側終端装置が、接続要求部と、前記通信ポリシを記憶する要求側記憶手段と、を有し、前記応答側終端装置が、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、前記接続応答部が、前記接続要求部から所定の通信トンネルを確立するための要求メッセージを受信すると、前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記接続要求部に送信し、前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するために前記要求側記憶手段に書き込むときには、前記接続要求部との間に前記所定の通信トンネルを確立し、前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記接続要求部との間に前記所定の通信トンネルの確立を中断することを特徴とする。
【0020】
これにより、通信トンネルの確立と引き替えに、1台の応答側終端装置で管理している通信ポリシを、1台以上の要求側終端装置に強制できるので、管理者のセキュリティポリシが通信システム全体に適用され、セキュリティの向上が期待できる。
【0021】
本発明は、要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムに用いられる前記応答側終端装置であって、前記応答側終端装置が、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、前記接続応答部が、前記要求側終端装置から所定の通信トンネルを確立するための要求メッセージを受信すると、前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記要求側終端装置に送信し、前記要求側終端装置が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するときには、前記要求側終端装置との間に前記所定の通信トンネルを確立し、前記要求側終端装置が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記要求側終端装置との間に前記所定の通信トンネルの確立を中断することを特徴とする。
【0022】
これにより、通信トンネルの確立と引き替えに、1台の応答側終端装置で管理している通信ポリシを、1台以上の要求側終端装置に強制できるので、管理者のセキュリティポリシが通信システム全体に適用され、セキュリティの向上が期待できる。
【発明の効果】
【0023】
本発明によれば、セキュリティ通信およびアクセス制御を実行する通信システムにおいて、セキュリティ強度を高めるとともに、コストを抑制することができる。
【図面の簡単な説明】
【0024】
【図1】本発明の一実施形態に関する通信システムを示す構成図である。
【図2】本発明の一実施形態に関する図1の通信システムを構成する要求側終端装置および応答側終端装置を示す構成図である。
【図3】本発明の一実施形態に関する応答側終端装置「A」から要求側終端装置「G」へと送信される接続応答を示すパケット図である。
【図4】本発明の一実施形態に関する応答側終端装置「B」から要求側終端装置「G」へと送信される接続応答を示すパケット図である。
【図5】本発明の一実施形態に関するカプセリング区間とアクセス制御の位置を示す説明図である。
【図6】IPsecVPNにおいて、アクセス制御を実施するときの構成図である。
【発明を実施するための形態】
【0025】
以下、本発明の一実施形態を、図面を参照して詳細に説明する。
【0026】
図1は、通信システムを示す構成図である。この通信システムは、キャリア(通信事業者)が提供するキャリア網8と、そのキャリア網8に接続されるユーザ網であるIP−VPN9とにより構成されるIPsecVPNである。なお、通信システムは、IPsecVPNとする代わりに、ユーザ拠点間を直接接続するようなインターネットVPNや、リモートアクセス用のIPsecにも適応可能である。さらに、図1では、IPsecのESP(Encapsulating Security Payload)におけるトンネルモードを例示したが、ESPの代わりにAH(Authentication Header)を用いてもよいし、トンネルモードの代わりにトランスポートモードを用いてもよい。
要求側終端装置1および応答側終端装置2は、キャリア網8とIP−VPN9との中継地点に位置する。通信ノード3は、IP−VPN9内に位置する。
なお、通信システムを構成する各装置(要求側終端装置1、応答側終端装置2、通信ノード3)は、それぞれ制御装置としてのCPUと、記憶手段としてのメモリと、ネットワークインタフェースとを備えるコンピュータとして構成される。なお、図1の各装置の名称の後に記載される括弧内の記号(例えば、通信ノード(a1)における「a1」)は、その装置のアドレスを示す。
【0027】
要求側終端装置1は、通信トンネル7の終端に位置する装置であり、その通信トンネル7を確立するための接続要求5を応答側終端装置2に送信する装置である。つまり、要求側終端装置1は、非特許文献1における始動装置(Initiator)に該当し、接続要求5は、「IKE_AUTH request」メッセージまたは「CREATE_CHILD_SA request」メッセージに該当する。
応答側終端装置2は、通信トンネル7の終端に位置する装置であり、その通信トンネル7を確立するための接続要求5への接続応答6を要求側終端装置1に応答する装置である。つまり、応答側終端装置2は、非特許文献1における応答装置(Responder)に該当し、接続応答6は、「IKE_AUTH response」メッセージまたは「CREATE_CHILD_SA response」メッセージに該当する。
【0028】
通信ノード3は、通信トンネル7を介して、互いに通信を行うノード端末である。通信トンネル7は、要求側終端装置1と応答側終端装置2との間でUNI(User Network Interface)をまたいで、例えばIPsec/IKEv2の規定に従って接続される回線交換用トンネルである。この通信トンネル7内で転送されるデータの内容は、IPsecによるセキュリティが保証されることにより、盗み見や改ざんが防止される。
【0029】
要求側終端装置1および応答側終端装置2は、それぞれ通信ノード3から到着するパケットを受信すると、自装置に設定されているTS(Traffic Selector)を参照し、そのパケットを通信トンネル7内に転送するか否か、および、複数の通信トンネル7が存在するときには、どの通信トンネル7に転送するかを決定する。そして、転送するパケットは、カプセリング処理されることで、通信トンネル7内に送信される。このように、要求側終端装置1および応答側終端装置2は、TSを元に通信トンネル7に転送するパケットを選択する旨のアクセス制御を実行する。
【0030】
TSは、セキュリティポリシを示す設定データであり、応答側終端装置2のTSが接続応答6に含まれて通知されることで、要求側終端装置1のTSへと設定される。このように、TSの設定手順を応答側終端装置2から要求側終端装置1への片方向の通知にすることにより、最新状況を反映するTSの管理を応答側終端装置2の側だけで行えばよいので、セキュリティポリシの管理コストを抑制することができる。この際のTSの更新は、非特許文献1における、CHILD_SAのRekeyを行うことにより可能である。
【0031】
要求側終端装置1は、TSの交渉処理(Traffic Selector Negotiation)において、接続応答6に含まれるTSを自装置に設定しない(換言すると、応答側終端装置2から提案されたセキュリティポリシを拒否する)場合には、その拒否する旨の応答(例えば、TS_UNACCEPTABLE)を応答側終端装置2に送信する。
一方、要求側終端装置1はTSを受け入れる場合には、拒否する旨の応答を送信しない。そして、応答側終端装置2は、拒否する旨の応答を受信したときには、自装置から提案したセキュリティポリシが受け入れられないので、通信トンネル7の確立を中断する。
さらに、通信トンネル7の確立後に、セキュリティポリシに適合しない不正パケットを受信した応答側終端装置2は、不正パケットの送信元である要求側終端装置1に対して、セキュリティポリシ違反の通知メッセージ(例えば、INVALID_SELECTORS)を通知してもよい。
これにより、応答側終端装置2は、要求側終端装置1に対して、通信トンネル7の確立時に自装置から提案したセキュリティポリシを強制することができる。よって、要求側終端装置1から通信トンネル7内に送信されるパケットは、セキュリティポリシに適合したパケットに絞り込むことができる。
【0032】
図2は、図1の通信システムを構成する要求側終端装置1および応答側終端装置2を示す構成図である。
要求側終端装置1は、接続要求部11と、通信ポリシ12と、アクセス制御部13とを有する。
応答側終端装置2は、接続応答部21と、通信ポリシ22と、アクセス制御部23とを有する。
【0033】
接続要求部11は、接続応答部21に対して、通信トンネル7を確立するための接続要求5を送信し、その応答としての接続応答6を受信する。そして、接続要求部11は、受信した接続応答6に含まれているTSが示すセキュリティポリシを、通信ポリシ12として書き込む。
通信ポリシ12は、通信ポリシ22(後記する表1を参照)と同様の内容が、接続要求部11によって書き込まれる。
アクセス制御部13は、アクセス制御部13との間に通信トンネル7を設け、データ転送を実行する。このデータ転送において、通信ポリシ12を参照することで、受信したパケットを通信トンネル7内に転送するか否か、および、複数の通信トンネル7が存在するときには、どの通信トンネル7に転送するかを決定する。
【0034】
接続応答部21は、接続要求5への応答としての接続応答6を、接続要求部11に返信する。この接続応答6には、通信ポリシ22の内容を元に作成されるTSが含まれている。
アクセス制御部23は、アクセス制御部13との間に通信トンネル7を設け、データ転送を実行する。このデータ転送において、通信ポリシ22を参照することで、受信したパケットを通信トンネル7内に転送するか否か、および、複数の通信トンネル7が存在するときには、どの通信トンネル7に転送するかを決定する。
【0035】
【表1】
【0036】
表1は、通信ポリシ22の一例を示すテーブルである。通信ポリシ22は、1行が1つのフローに関するセキュリティポリシを示し、1つ以上のフローが、1つの通信トンネル7に対応づけられる。
通信ポリシ22は、フローIDと、IPレイヤと、拠点Aアドレスと、許可方向と、拠点Bアドレスと、優先度クラスと、パケットサイズとを対応づけて、フローを管理する。
フローIDは、フローの識別子である。
IPレイヤは、後記する拠点Aアドレスおよび拠点BアドレスのプロトコルIDを示す。
拠点Aアドレスおよび拠点Bアドレスは、それぞれ通信ノード3のアドレスを示す。
許可方向は、拠点Aアドレスと拠点Bアドレスとの間の通信について、許可する方向を示す。
優先度クラスは、フローに割り当てられている優先度を示す。表1内のEF(Expedited Forwarding)や、AF(Assured Forwarding)という値は、DiffServ(Differentiated Services)で規定されている。
パケットサイズは、フローを識別するためのパケットサイズを示す。
【0037】
【表2】
【0038】
表2は、接続要求5および接続応答6におけるTSのフォーマットを示す。非特許文献1に記載されている標準仕様に対して、「(拡張有)」で示すフィールドが拡張されている。なお、このフォーマットは、CREATE_CHILD_SAメッセージだけでなく、IKE_AUTHメッセージに含めてもよい。
【0039】
まず、非特許文献1に記載されている標準仕様では、以下の5つの情報による組合せでフローを定義する。
・送信元(ソース)アドレス
・送信先(ディスティネーション)アドレス
・送信元(ソース)ポート
・送信先(ディスティネーション)ポート
・通信プロトコル
表2内のスタートアドレス〜エンドアドレスで示されるアドレス範囲が、フローのソースアドレスまたはフローのディスティネーションアドレスを示す。
表2内のスタートポート〜エンドポートで示されるアドレス範囲が、フローのソースポートまたはフローのディスティネーションポートを示す。
表2内のプロトコルIDは、フローの通信プロトコルを示す。
【0040】
そして、本実施形態では、以下に示す拡張がなされている。この拡張により、きめ細やかなフロー識別によるアクセス制御が実施できる。
・表2内のTSタイプのビット番号「1」の値が「0(許可)」であるときには、許可方向の制御として、TSi(要求側終端装置1が収容する各通信ノード3)宛の通信が許可される。
・表2内のTSタイプのビット番号「2」の値が「0(許可)」であるときには、許可方向の制御として、TSr(応答側終端装置2が収容する各通信ノード3)宛の通信が許可される。
・表2内のTSタイプのビット番号「3」の値が「1(有り)」であるときには、パケットに付されている優先度クラスによりフローを識別する。その優先度クラスは、トラフィックセレクタ内のスタート優先度クラス〜エンド優先度クラスが示す範囲によって指示される。一方、ビット番号「3」の値が「0(無し)」であるときには、スタート優先度クラスおよびエンド優先度クラスの各フィールドは、トラフィックセレクタ内には不要である。
・表2内のTSタイプのビット番号「4」の値が「1(有り)」であるときには、パケットのパケットサイズによりフローを識別する。一方、ビット番号「4」の値が「0(無し)」であるときには、パケットサイズのフィールドは、トラフィックセレクタ内には不要である。
・表2内のTSタイプのビット番号「5〜8」の値は、非特許文献1に記載されている標準仕様のままであり、拡張は行っていない。
【0041】
【表3】
【0042】
表3は、表1の通信ポリシ22から、接続応答6に含まれるTSタイプに変換した結果を示す。接続応答部21は、通信ポリシ22を記憶手段から読みとって、変換処理を実行して表3のTSタイプを作成し、送信する予定の接続応答6へと書き込む。
例えば、フローID「F1」は、TSi宛通信「0(許可)」、TSr宛通信「0(許可)」、優先度クラスによる制御「1(有り)」、パケットサイズによる制御「0(無し)」、通信プロトコルの種別「0111(IPv4)」という通信ポリシ22が、ビット列「00100111」というTSタイプに変換される。
【0043】
【表4】
【0044】
表4は、複数のフローを通知するための接続応答6のペイロード例を示す。まず、非特許文献1に記載されている標準仕様では、1つの通信トンネル7を作成するための1回の接続応答6の送信において、その接続応答6には、フローの識別情報である「TSiおよびTSr」の組は、1組だけしか設定できなかった。そのため、表1などの通信ポリシ22が示すような、複数のフローによるセキュリティポリシを設定するためには、フロー数と同数の通信トンネル7を作成する必要があり、ネットワーク資源の利用効率を低下させていた。
【0045】
そこで、接続応答6を拡張し、ペアとなるTSiペイロードとTSrペイロードは必ず連続させて格納し、連続したTSi、TSrを一つの通信フローとして識別するようにルール化することにした。これにより、1つの接続応答6内に「TSiおよびTSr」の組を複数組格納することができるので、1つの通信トンネル7を作成するときに、複数のフローと対応づけることができる。
【0046】
以上、通信システムの構成について、説明した。次に、通信システムの動作を説明する。以下の(1)〜(6)の順に実行され、TSの交渉処理(Traffic Selector Negotiation)は、そのうちの(1)〜(4)である。
(1)応答側終端装置2は、ネットワークの管理者などから、通信ポリシ22の入力を受け付けると、自装置内の記憶手段に格納する。
(2)要求側終端装置1の接続要求部11は、応答側終端装置2に対して、接続要求5(表5で後記)を送信する。
(3)応答側終端装置2の接続応答部21は、受信した接続要求5に対して、通信ポリシ22から変換したTSを含む接続応答6(応答側終端装置2のアドレスが「A」なら図3で、応答側終端装置2のアドレスが「B」なら図4で、それぞれ後記)を作成し、要求側終端装置1に返信する。
(4)要求側終端装置1の接続要求部11は、受信した接続応答6からTSを読み取り、通信ポリシ12に変換して自装置内の記憶手段に格納する。もし、受信したTSを拒否するときには、その旨を要求側終端装置1に通知する。
(5)応答側終端装置2の接続応答部21は、受信したTSが拒否されないときには、要求側終端装置1との間に通信トンネル7を確立する。
(6)要求側終端装置1のアクセス制御部13は、通信ノード3からパケットを受信すると、そのパケットが通信ポリシ12に適合しているか否かを照合する。そして、アクセス制御部13は、通信ポリシ12に適合しているパケットについて、通信トンネル7を介して、応答側終端装置2のアクセス制御部23に送信する。
【0047】
前記(6)の処理の一例として、アドレス「a1」からアドレス「b1」へ送信するパケットについて、その優先度クラスがEFまたはAFなら、フローID「F1」に該当するので、送信が許可される。一方、アドレス「a1」からアドレス「b1」へ送信するパケットでも、その優先度クラスがEFでもAFでもないときには、フローID「F1」に該当しないので、廃棄される。
【0048】
前記(6)の処理の一例として、アドレス「a2」からアドレス「b2」へ送信するパケットについて、そのパケットサイズが1000byte以下なら、フローID「F2」に該当するので、送信が許可される。一方、アドレス「a2」からアドレス「b2」へ送信するパケットでも、そのパケットサイズが1000byteより大きいときには、フローID「F2」に該当しないので、廃棄される。
【0049】
【表5】
【0050】
表5は、接続要求5の一例を示す。1つのフィールド内に、そのフィールドの名称(例えば、セレクタ数)と、そのフィールドの値(例えば、括弧内の「1」)とを併記する。接続要求5には、表2で示したフォーマットに従って作成された、1つのTSiと1つのTSrとの組が、含まれている。なお、イニシエータ側が提案するTSiとTSrは、レスポンダ側から回答する範囲を含んでいればどのような値であっても問題ないが、ここではモデルの簡素化のために、IPv4アドレスを、任意の値を示す「any(0.0.0.0〜255.255.255.255)」とする。
【0051】
図3は、応答側終端装置2「A」から要求側終端装置1「G」へと送信される接続応答6である。各行のTSタイプには、表3で示した8ビットの値がそれぞれ格納される。
フローID「F1」のTSi(1行目)のスタートアドレス〜エンドアドレスには「a1」を格納する。
フローID「F1」のTSr(2行目)のスタートアドレス〜エンドアドレスには「b1」を格納する。
フローID「F2」のTSi(3行目)のスタートアドレス〜エンドアドレスには「a2」を格納する。
フローID「F2」のTSr(4行目)のスタートアドレス〜エンドアドレスには「b2」を格納する。
フローID「F3」のTSi(5行目)のスタートアドレス〜エンドアドレスには「a3」を格納する。
フローID「F3」のTSr(6行目)のスタートアドレス〜エンドアドレスには「b3」を格納する。
【0052】
図4は、応答側終端装置2「B」から要求側終端装置1「G」へと送信される接続応答6である。各行のTSタイプには、表3で示した8ビットの値がそれぞれ格納される。
フローID「F1」のTSi(1行目)のスタートアドレス〜エンドアドレスには「b1」を格納する。
フローID「F1」のTSr(2行目)のスタートアドレス〜エンドアドレスには「a1」を格納する。
フローID「F2」のTSi(3行目)のスタートアドレス〜エンドアドレスには「b2」を格納する。
フローID「F2」のTSr(4行目)のスタートアドレス〜エンドアドレスには「a2」を格納する。
フローID「F3」のTSi(5行目)のスタートアドレス〜エンドアドレスには「b3」を格納する。
フローID「F3」のTSr(6行目)のスタートアドレス〜エンドアドレスには「a3」を格納する。
【0053】
以上説明した本実施形態によれば、要求側終端装置1の通信ポリシ12と、応答側終端装置2の通信ポリシ22とが共有されるとともに、要求側終端装置1と応答側終端装置2との間の通信トンネル7を介する通信に、それぞれの通信ポリシが使用される。
これにより、1台の応答側終端装置2で管理している通信ポリシ22を、1台以上の要求側終端装置1に強制できるので、管理者のセキュリティポリシが通信システム全体に適用され、セキュリティの向上が期待できる。
そして、接続応答6に含まれるTSの表現力を向上するように標準仕様から拡張(複数フローの収納、優先度クラスなどのフローの詳細定義)したことで、通信ポリシ22を接続応答6に含ませるときに、セキュリティポリシの情報欠落を抑制でき、きめ細やかなアクセス制御を実施することができる。
【0054】
さらに、各通信ポリシを管理する装置と、その通信ポリシをもとにアクセス制御する装置とが、同一筐体として構成されることで、通信システムの装置数が削減され、各種コスト(機器購入コスト、運用コスト、保守コスト)を削減することができる。以下、比較例を示す。
【0055】
図5(a)は、図6などの比較例における、カプセリング区間外でアクセス制御を実施する説明図である。ルータなどで行うACL(Access Control List)によるパケットフィルタリング相当のアクセス制御は、パケットがトンネルによってカプセリングされる区間では、適用されない。
図5(b)は、本実施形態における、カプセリング区間内でアクセス制御を実施する説明図である。トンネルの終端装置がアクセス制御を実施するため、アクセス制御用のルータを設けなくても済む。
【0056】
以上説明した本実施形態は、あくまで一例であり、以下に示すように変形実施してもよい。
【0057】
例えば、通信トンネル7内でデータ転送するフローの識別情報を応答メッセージに含ませて送信するときに、そのフローの識別情報の応答メッセージ内における格納場所については、前記表2で示したフォーマットに限定されず、任意に変更可能である。例えば、表2の「TSタイプ」フィールドを拡張する代わりに、フローの識別情報を格納する独自のフィールドを設けて、そのフィールド内にフローの識別情報をまとめて格納してもよい。
【0058】
また、フローの識別情報の内容として、フローの通信方向、優先度クラス、パケットサイズを例示したが、その他のフローの識別情報を設定を強制する通信ポリシとして応答メッセージに含ませてもよい。その他のフローの識別情報とは、例えば、tcpのフラグが挙げられる。
【0059】
さらに、1つの接続応答6内に「TSiおよびTSr」の組を複数組格納するときの格納位置について、表4に示したように、連続したTSi、TSrを一つの通信フローとして識別することとしたが、その他の格納位置のルールを用いてもよい。例えば、TSiを複数個列挙したあとに、TSrを複数個列挙し、列挙された順序(1つめのTSiと、1つめのTSrのペアなど)でペアを組むようにしてもよい。
【符号の説明】
【0060】
1 要求側終端装置
2 応答側終端装置
3 通信ノード
5 接続要求
6 接続応答
7 通信トンネル
8 キャリア網
9 IP−VPN
11 接続要求部
12 通信ポリシ
13 アクセス制御部
21 接続応答部
22 通信ポリシ
23 アクセス制御部
【特許請求の範囲】
【請求項1】
要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムであって、
前記要求側終端装置は、接続要求部と、前記通信ポリシを記憶する要求側記憶手段と、を有し、
前記応答側終端装置は、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、
前記接続応答部は、
前記接続要求部から所定の通信トンネルを確立するための要求メッセージを受信すると、
前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記接続要求部に送信し、
前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するために前記要求側記憶手段に書き込むときには、前記接続要求部との間に前記所定の通信トンネルを確立し、
前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記接続要求部との間に前記所定の通信トンネルの確立を中断することを特徴とする
通信システム。
【請求項2】
前記接続応答部は、複数の前記フローの識別情報を前記応答メッセージとして前記接続要求部に送信し、
前記接続要求部は、受信した複数の前記フローの識別情報を1つの前記所定の通信トンネル内でデータ転送するように対応づけて、前記要求側記憶手段に格納することを特徴とする
請求項1に記載の通信システム。
【請求項3】
前記接続応答部は、前記フローの識別情報として、データ転送するパケットの優先度クラスを指定した前記応答メッセージで前記接続要求部に送信し、
前記要求側終端装置は、前記応答メッセージで指定されたパケットの優先度クラスに適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする
請求項1または請求項2に記載の通信システム。
【請求項4】
前記接続応答部は、前記フローの識別情報として、データ転送するパケットのパケットサイズを指定した前記応答メッセージで前記接続要求部に送信し、
前記要求側終端装置は、前記応答メッセージで指定されたパケットサイズに適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする
請求項1または請求項2に記載の通信システム。
【請求項5】
前記接続応答部は、前記フローの識別情報に加えて、そのフローのデータ転送の通信方向を示す情報を指定した前記応答メッセージで前記接続要求部に送信し、
前記要求側終端装置は、前記応答メッセージで指定された通信方向に適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする
請求項1または請求項2に記載の通信システム。
【請求項6】
要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムによる通信方法であって、
前記要求側終端装置は、接続要求部と、前記通信ポリシを記憶する要求側記憶手段と、を有し、
前記応答側終端装置は、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、
前記接続応答部は、
前記接続要求部から所定の通信トンネルを確立するための要求メッセージを受信すると、
前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記接続要求部に送信し、
前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するために前記要求側記憶手段に書き込むときには、前記接続要求部との間に前記所定の通信トンネルを確立し、
前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記接続要求部との間に前記所定の通信トンネルの確立を中断することを特徴とする
通信方法。
【請求項7】
要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムに用いられる前記応答側終端装置であって、
前記応答側終端装置は、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、
前記接続応答部は、
前記要求側終端装置から所定の通信トンネルを確立するための要求メッセージを受信すると、
前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記要求側終端装置に送信し、
前記要求側終端装置が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するときには、前記要求側終端装置との間に前記所定の通信トンネルを確立し、
前記要求側終端装置が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記要求側終端装置との間に前記所定の通信トンネルの確立を中断することを特徴とする
応答側終端装置。
【請求項1】
要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムであって、
前記要求側終端装置は、接続要求部と、前記通信ポリシを記憶する要求側記憶手段と、を有し、
前記応答側終端装置は、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、
前記接続応答部は、
前記接続要求部から所定の通信トンネルを確立するための要求メッセージを受信すると、
前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記接続要求部に送信し、
前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するために前記要求側記憶手段に書き込むときには、前記接続要求部との間に前記所定の通信トンネルを確立し、
前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記接続要求部との間に前記所定の通信トンネルの確立を中断することを特徴とする
通信システム。
【請求項2】
前記接続応答部は、複数の前記フローの識別情報を前記応答メッセージとして前記接続要求部に送信し、
前記接続要求部は、受信した複数の前記フローの識別情報を1つの前記所定の通信トンネル内でデータ転送するように対応づけて、前記要求側記憶手段に格納することを特徴とする
請求項1に記載の通信システム。
【請求項3】
前記接続応答部は、前記フローの識別情報として、データ転送するパケットの優先度クラスを指定した前記応答メッセージで前記接続要求部に送信し、
前記要求側終端装置は、前記応答メッセージで指定されたパケットの優先度クラスに適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする
請求項1または請求項2に記載の通信システム。
【請求項4】
前記接続応答部は、前記フローの識別情報として、データ転送するパケットのパケットサイズを指定した前記応答メッセージで前記接続要求部に送信し、
前記要求側終端装置は、前記応答メッセージで指定されたパケットサイズに適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする
請求項1または請求項2に記載の通信システム。
【請求項5】
前記接続応答部は、前記フローの識別情報に加えて、そのフローのデータ転送の通信方向を示す情報を指定した前記応答メッセージで前記接続要求部に送信し、
前記要求側終端装置は、前記応答メッセージで指定された通信方向に適合するパケットを、前記所定の通信トンネル内にデータ転送することを特徴とする
請求項1または請求項2に記載の通信システム。
【請求項6】
要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムによる通信方法であって、
前記要求側終端装置は、接続要求部と、前記通信ポリシを記憶する要求側記憶手段と、を有し、
前記応答側終端装置は、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、
前記接続応答部は、
前記接続要求部から所定の通信トンネルを確立するための要求メッセージを受信すると、
前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記接続要求部に送信し、
前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するために前記要求側記憶手段に書き込むときには、前記接続要求部との間に前記所定の通信トンネルを確立し、
前記接続要求部が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記接続要求部との間に前記所定の通信トンネルの確立を中断することを特徴とする
通信方法。
【請求項7】
要求側終端装置と応答側終端装置との間の通信トンネルを介して、通信ポリシに適合するパケットをデータ転送する通信システムに用いられる前記応答側終端装置であって、
前記応答側終端装置は、接続応答部と、前記通信ポリシを記憶する応答側記憶手段と、を有し、
前記接続応答部は、
前記要求側終端装置から所定の通信トンネルを確立するための要求メッセージを受信すると、
前記応答側記憶手段から前記通信ポリシを読み取り、その通信ポリシで規定される、前記所定の通信トンネル内でデータ転送するフローの識別情報を、応答メッセージとして前記要求側終端装置に送信し、
前記要求側終端装置が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用するときには、前記要求側終端装置との間に前記所定の通信トンネルを確立し、
前記要求側終端装置が受信した前記フローの識別情報を、自装置内における前記所定の通信トンネル内のデータ転送に適用しないときには、前記要求側終端装置との間に前記所定の通信トンネルの確立を中断することを特徴とする
応答側終端装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2011−44983(P2011−44983A)
【公開日】平成23年3月3日(2011.3.3)
【国際特許分類】
【出願番号】特願2009−192898(P2009−192898)
【出願日】平成21年8月24日(2009.8.24)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年3月3日(2011.3.3)
【国際特許分類】
【出願日】平成21年8月24日(2009.8.24)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]