通信方法及び通信装置
【課題】IPsecを適用する通信ネットワークに接続される通信装置おける、記憶手段へのセキュリティポリシの格納を省略して、これに要する記憶容量を小さくすることができ、IPアドレスの動的割り当てによりIPアドレス付与を期待する通信装置へのIPsecを適用することができるようにする。
【解決手段】通信装置が、相手通信装置との間で交換する通信データにIPsecを適用するために、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立する場合、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信装置のIPアドレスまたはIPネットワークアドレス、通信相手装置のIPアドレスまたはIPネットワークアドレス、上位層プロトコル、送信元ポート、送信先ポートで構成するセレクタを特定し、IPsecSAと共にセレクタも動的に生成するようにする。
【解決手段】通信装置が、相手通信装置との間で交換する通信データにIPsecを適用するために、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立する場合、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信装置のIPアドレスまたはIPネットワークアドレス、通信相手装置のIPアドレスまたはIPネットワークアドレス、上位層プロトコル、送信元ポート、送信先ポートで構成するセレクタを特定し、IPsecSAと共にセレクタも動的に生成するようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信方法及び通信装置に係り、特に、信頼性を必要とするIP通信ネットワークにIPsecを適用する際の、鍵交換プロトコルであるIKEによるセキュリティポリシを動的に生成可能とした通信方法及び通信装置に関する。
【背景技術】
【0002】
通信装置と、通信装置が接続されているIP(Internet Protocol)通信ネットワークと、IP通信ネットワークと接続され、前述の通信装置と通信データを交換する通信相手の通信装置とで構成される通信システムは、一般に、安全な通信を実現するために、通信を行う通信装置相互間で、SA(Security Association)を確立した上で通信を行っている。SAは、安全な通信路であり、SAが保護対象とするデータを、他者からの盗み見や、改竄から守ることを可能にしている。
【0003】
一方、通信を行う2つの通信装置相互間で暗号化や認証のための秘密鍵の生成・交換を自動で行うことが可能なプロトコルとして、非特許文献1等に記載されたIKE(Internet Key Exchange)が知られており、このIKEで生成されるSAは、フェーズ1で生成されるISAKMPSA(Internet Security Association and Key Management Protocol Security Association)と、フェーズ2で生成されるIPsecSA(IP security protocol Security Association)との2つにより構成される。そして、IPsecSAの確立のために必要なデータは、ISAKMPSAによって保護されて通信される。
【非特許文献1】IETF(The Internet Engineering Task Force)、“The Internet Key Exchange(IKE)”、[online]、[平成16年9月1日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc2409.txt>
【発明の開示】
【発明が解決しようとする課題】
【0004】
従来技術によるインターネット鍵交換プロトコルであるIKEは、IPsecSAを動的に生成することにより、同一の鍵を永続的に使用しないようにしてセキュリティを確保することを目的とし、生成したIPsecSAを適用するために、通信装置間の送信元IPアドレスあるいは送信元IPネットワークアドレス、送信先IPアドレスあるいは送信先IPネットワークアドレス、上位層プロトコル、送信元ポート、送信先ポートで構成するセキュリティポリシとしてのセレクタを、事前にIKEを行う通信装置、及び、通信相手装置の記憶手段に格納しておくことが必要である。
【0005】
このため、前述した従来技術によるIKEを使用する通信システムは、ある通信装置が、不特定多数の通信相手となる通信装置との間で交換する通信データのそれぞれにIKEにより生成したIPsecSAを適用する必要がある場合、通信データの交換が発生する可能性がある通信相手とのセレクタとなるセキュリティポリシを通信相手毎に記憶手段へ格納しておく必要があり、固定的に大量の記憶容量を必要とするという問題点を有し、また、実際にIKEを含む通信データの交換が行われていない場合であっても、固定的に大量の記憶容量を必要としてしまうという問題点を生じる。また、IPアドレスを動的に割り当てる通信装置が存在する通信ネットワークに接続され、割り当てられたIPアドレスの動的付与を行う通信装置は、セキュリティポリシを事前に記憶手段へ格納しておくことができないという問題点を有している。
【0006】
本発明の目的は、前述した従来技術の問題点を解決し、IPsecを適用する通信ネットワークに接続される通信装置おける、記憶手段へのセキュリティポリシの格納を省略し、この省略に伴う事前設定を簡略化することができ、セレクタ情報として占有する記憶容量を小さくして記憶装置の効率的な使用を可能にし、さらに、IPアドレスの動的割り当てによりIPアドレス付与を期待する通信装置へのIPsecを適用することができるようにした通信方法及び通信装置を提供することにある。
【課題を解決するための手段】
【0007】
本発明によれば前記目的は、複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信方法において、前記通信主体となる通信装置が、通信相手となる通信装置との間で交換する通信データにIPsecを適用するために、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立する場合、前記通信主体となる通信装置が、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成することにより達成される。
【0008】
また、前記目的は、複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信装置において、前記通信主体となる通信装置が、通信相手となる通信装置との間で交換する通信データにIPsecを適用し、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立するために、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成する手段を有することにより達成される。
【発明の効果】
【0009】
本発明によれば、通信データの交換、あるいは、転送を行う通信装置相互間で、事前にIPsec適用の有無を判定するためのセレクタであるセキュリティポリシを事前に通信装置の記憶手段への格納することなしに、IKEを使用したIPsecSA生成とIPsecSAを使用した通信が可能である。
【発明を実施するための最良の形態】
【0010】
以下、本発明による通信方法及び通信装置の実施形態を図面により詳細に説明する。
【0011】
図1は本発明の一実施形態による通信装置を備えて構成された通信システムの構成を示すブロック図である。図1において、1は通信主体となる通信装置(以下、単に通信主体という)、2は通信相手となる通信装置(以下、単に通信相手という)、10はIKE処理部、11はIKEフェーズ1処理部、12はIKEフェーズ2処理部、13はセレクタ設定処理部、14はIPsecSA設定処理部、20はセキュリティポリシ管理部、21はセレクタ格納部、22はIPsecSA格納部、30は通信インタフェース、40は通信ネットワーク、90は記憶手段である。セレクタ格納部を構成する要素として、送信元アドレス/送信元ネットワークアドレス21−1、送信先アドレス/送信先ネットワークアドレス21−2、上位層プロトコル21−3、上位層プロトコル送信元ポート21−4、上位層プロトコル送信先ポート21−5で構成する。
【0012】
図1に示す通信システムは、IKEによりIPsecSAを確立する際の、確立要求を受ける側の装置である通信主体1と、確立要求を行う側の装置である通信相手2とが通信ネットワーク40によって接続されて構成されている。なお、図1に示す通信システムは、通信主体1と通信相手2だけを通信ネットワーク40に接続した構成として示しているが、本発明は、通信ネットワーク40に多数の通信装置が接続され、ある1つの通信装置が通信主体となり、他の通信装置の任意の1つが通信相手となって相互にデータの交換を行うことができるものである。そして、複数の通信装置のそれぞれは、自通信装置のIPアドレスを動的に設定することができるものであってもよいし、固定的にIPアドレスが設定されているものであってもよい。また、通信主体1及び通信相手2を含む全ての通信装置は、それぞれ、少なくとも、演算処理を行う際に用いられる記憶手段としてのメモリと、前記演算処理を行う演算装置とを備えるコンピュータとして構成される。また、メモリは、RAM(Rondom Access Memory)等により構成され、演算装置は、CPU(Central Processing Unit)によって構成されればよく、本発明の実施形態は、演算装置が、メモリ上のプログラムを実行することにより実現される。
【0013】
前述において、通信主体1は、通信相手2とのIKEに関するデータを通信する通信インタフェース30と、実際のIKEの送受信を行うIKE処理部10と、IKEにより生成した情報を格納するセキュリティポリシ管理部20とを備えて構成される。
【0014】
そして、IKE処理部10は、IKEフェーズ1のデータ送受信やデータ処理を行うIKEフェーズ1処理部11と、IKEフェーズ2のデータ送受信やデータ処理を行うIKEフェーズ2処理部12と、IKEフェーズ2により確立したIPsecSA情報を設定するためのIPsecSA設定処理部14と、IKEフェーズ2により確立したIPsecSA情報からセレクタ情報を設定するためのセレクタ設定処理部13とを有する。
【0015】
また、セキュリティポリシ管理部20は、セレクタ設定処理部13により生成された情報を格納するセレクタ格納部21と、IPsecSA設定処理部14により生成された情報を格納するIPsecSA格納部22とが記憶手段90内に格納されて構成される。
【0016】
また、通信相手2は、その構成の詳細を示していないが、通信主体1と全く同一に構成されていればよい。
【0017】
図2はIKEフェーズ2により生成したIPsecSA及びセレクタをセキュリティポリシとして記憶手段に格納する処理を行う本発明の実施形態での処理動作を説明するシーケンスチャート及びフローチャートであり、次に、これについて説明する。図2は図の上段に、各装置内の構成要素を示して、どの構成要素で行われている処理かを判り易くして示している。なお、通信相手2は、IKEフェーズ1の処理により相手の認証が正常に行われた通信装置であるとする。
【0018】
(1)IKEフェーズ2を開始する通信相手2は、まず、IKE処理部10が、IPsecSAの提案のためにIKEフェーズ2第1メッセージの送信を行う。なお、IKEフェーズ2第1メッセージには、IPsecSAのセレクタとして不十分な場合のために、セレクタの送信元アドレスとなるIDペイロードと送信先アドレスとなるIDペイロードとが付与されている(ステップS11)。
【0019】
(2)通信主体1は、IKEフェーズ2第1メッセージを受け取ると、IKEフェーズ2処理部12が、通信相手2から提案されたIPsecSAの内容を1つ選択し、IPsecSAとセレクタの構成に必要な送信元IPアドレスまたは送信元IPネットワークアドレス、送信先IPアドレスまたは送信先IPネットワークアドレス、上位層プロトコル、送信元ポート、送信先ポートを退避し、選択された結果をIKEフェーズ2第2メッセージとして、通信相手2に送信する(ステップS12、S13)。
【0020】
(3)通信相手2は、IKEフェーズ2第2メッセージを受け取ると、応答確認として、IKEフェーズ2第3メッセージを送信する(ステップS14)。
【0021】
(4)通信主体1は、IKEフェーズ2第3メッセージを受け取り、その正常性を確認すると、セレクタ設定処理部13が、セキュリティポリシ管理部20に対して、退避していたセレクタ情報の設定要求を行う(ステップS15)。
【0022】
(5)セキュリティポリシ管理部20は、要求されたセレクタの内容が記憶手段に既に存在しているか否かの判定を行う重複検証を行い、重複がなければ、セレクタ情報をセレクタ格納部21に記憶する(ステップS16、S17)。
【0023】
(6)ステップS16での検証で、要求されたセレクタの内容が記憶手段に既に存在していた場合、重複するセレクタの生成を拒否して、セレクタ情報をセレクタ格納部には格納しない。この場合、IPsecSAのみ動的に生成することも可能である。
【0024】
(7)次に、通信主体1は、IPsecSA情報設定処理部14が、セキュリティポリシ管理部20に対して、退避していたIPsecSA情報の設定要求を行う(ステップS18)。
【0025】
(8)セキュリティポリシ管理部20は、要求されたIPsecSAの内容をIPsecSA格納部22に記憶する(ステップS19)。
【0026】
前述で説明した本発明の実施形態において、セレクタ情報となるIPアドレスの形式はIPv4(Internet Protocol version 4)、IPv6(Internet Protocol version 6)のいずれでもよい。
【0027】
前述した本発明の実施形態での処理は、プログラムとして構成することができ、そのプログラムは、FD、CD、MO、DVDROM等の記録媒体に格納して提供することができる。
【0028】
前述した本発明の実施形態によれば、通信装置相互間での通信の都度IKEの処理により動的にセキュリティポリシを生成しているので、通信装置及び相手通信装置の記憶手段にセレクタを伴うセキュリティポリシを事前に格納しておく必要をなくすことができ、記憶装置の負荷、例えば、セキュリティポリシ検索負荷を軽減することができる。
【0029】
また、前述した本発明の実施形態によれば、通信装置相互間での通信の都度IKEの処理により動的にセキュリティポリシを生成しているので、不特定多数の通信相手との間でデータの交換を行うような場合にも、通信の都度、動的に個々にIKEにより生成したIPsecSAを適用して通信を行うことが可能となる。また、通信装置が、そのIPアドレスが動的に割り当てられる装置であっても、セレクタを伴うセキュリティポリシを事前に記憶手段へ格納しておく必要がなく、通信の都度、セキュリティポリシを動的に生成して、IPsecSAを適用した通信を行うことができる。
【0030】
さらに、前述した本発明の実施形態によれば、動的にセキュリティポリシを生成する際、前記セレクタと同一のセレクタが既に通信装置の記憶手段に存在している場合、重複したセレクタの生成を拒否することができるので、同一のセレクタとなるセキュリティポリシが生成され、格納先の記憶容量を圧迫してしまうようなことを防止することができる。
【0031】
なお、実施形態として、MobileIPv6用いたホームエージェントとモバイルノード間での通信データにIKEを適用する場合、本発明を適用し、相手毎に事前にセキュリティポリシを設定することなしにIKEによるIPsecSA生成を実現できる。
【図面の簡単な説明】
【0032】
【図1】本発明の一実施形態による通信装置を備えて構成された通信システムの構成を示すブロック図である。
【図2】IKEフェーズ2により生成したIPsecSA及びセレクタをセキュリティポリシとして記憶手段に格納する処理を行う本発明の実施形態での処理動作を説明するシーケンスチャート及びフローチャートである。
【符号の説明】
【0033】
1 通信主体となる通信装置
2 通信相手となる通信装置
10 IKE処理部
11 IKEフェーズ1処理部
12 IKEフェーズ2処理部
13 セレクタ設定処理部
14 IPsecSA設定処理部
20 セキュリティポリシ管理部
21 セレクタ格納部
22 IPsecSA格納部
30 通信インタフェース
40 通信ネットワーク、
90 記憶手段
【技術分野】
【0001】
本発明は、通信方法及び通信装置に係り、特に、信頼性を必要とするIP通信ネットワークにIPsecを適用する際の、鍵交換プロトコルであるIKEによるセキュリティポリシを動的に生成可能とした通信方法及び通信装置に関する。
【背景技術】
【0002】
通信装置と、通信装置が接続されているIP(Internet Protocol)通信ネットワークと、IP通信ネットワークと接続され、前述の通信装置と通信データを交換する通信相手の通信装置とで構成される通信システムは、一般に、安全な通信を実現するために、通信を行う通信装置相互間で、SA(Security Association)を確立した上で通信を行っている。SAは、安全な通信路であり、SAが保護対象とするデータを、他者からの盗み見や、改竄から守ることを可能にしている。
【0003】
一方、通信を行う2つの通信装置相互間で暗号化や認証のための秘密鍵の生成・交換を自動で行うことが可能なプロトコルとして、非特許文献1等に記載されたIKE(Internet Key Exchange)が知られており、このIKEで生成されるSAは、フェーズ1で生成されるISAKMPSA(Internet Security Association and Key Management Protocol Security Association)と、フェーズ2で生成されるIPsecSA(IP security protocol Security Association)との2つにより構成される。そして、IPsecSAの確立のために必要なデータは、ISAKMPSAによって保護されて通信される。
【非特許文献1】IETF(The Internet Engineering Task Force)、“The Internet Key Exchange(IKE)”、[online]、[平成16年9月1日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc2409.txt>
【発明の開示】
【発明が解決しようとする課題】
【0004】
従来技術によるインターネット鍵交換プロトコルであるIKEは、IPsecSAを動的に生成することにより、同一の鍵を永続的に使用しないようにしてセキュリティを確保することを目的とし、生成したIPsecSAを適用するために、通信装置間の送信元IPアドレスあるいは送信元IPネットワークアドレス、送信先IPアドレスあるいは送信先IPネットワークアドレス、上位層プロトコル、送信元ポート、送信先ポートで構成するセキュリティポリシとしてのセレクタを、事前にIKEを行う通信装置、及び、通信相手装置の記憶手段に格納しておくことが必要である。
【0005】
このため、前述した従来技術によるIKEを使用する通信システムは、ある通信装置が、不特定多数の通信相手となる通信装置との間で交換する通信データのそれぞれにIKEにより生成したIPsecSAを適用する必要がある場合、通信データの交換が発生する可能性がある通信相手とのセレクタとなるセキュリティポリシを通信相手毎に記憶手段へ格納しておく必要があり、固定的に大量の記憶容量を必要とするという問題点を有し、また、実際にIKEを含む通信データの交換が行われていない場合であっても、固定的に大量の記憶容量を必要としてしまうという問題点を生じる。また、IPアドレスを動的に割り当てる通信装置が存在する通信ネットワークに接続され、割り当てられたIPアドレスの動的付与を行う通信装置は、セキュリティポリシを事前に記憶手段へ格納しておくことができないという問題点を有している。
【0006】
本発明の目的は、前述した従来技術の問題点を解決し、IPsecを適用する通信ネットワークに接続される通信装置おける、記憶手段へのセキュリティポリシの格納を省略し、この省略に伴う事前設定を簡略化することができ、セレクタ情報として占有する記憶容量を小さくして記憶装置の効率的な使用を可能にし、さらに、IPアドレスの動的割り当てによりIPアドレス付与を期待する通信装置へのIPsecを適用することができるようにした通信方法及び通信装置を提供することにある。
【課題を解決するための手段】
【0007】
本発明によれば前記目的は、複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信方法において、前記通信主体となる通信装置が、通信相手となる通信装置との間で交換する通信データにIPsecを適用するために、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立する場合、前記通信主体となる通信装置が、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成することにより達成される。
【0008】
また、前記目的は、複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信装置において、前記通信主体となる通信装置が、通信相手となる通信装置との間で交換する通信データにIPsecを適用し、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立するために、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成する手段を有することにより達成される。
【発明の効果】
【0009】
本発明によれば、通信データの交換、あるいは、転送を行う通信装置相互間で、事前にIPsec適用の有無を判定するためのセレクタであるセキュリティポリシを事前に通信装置の記憶手段への格納することなしに、IKEを使用したIPsecSA生成とIPsecSAを使用した通信が可能である。
【発明を実施するための最良の形態】
【0010】
以下、本発明による通信方法及び通信装置の実施形態を図面により詳細に説明する。
【0011】
図1は本発明の一実施形態による通信装置を備えて構成された通信システムの構成を示すブロック図である。図1において、1は通信主体となる通信装置(以下、単に通信主体という)、2は通信相手となる通信装置(以下、単に通信相手という)、10はIKE処理部、11はIKEフェーズ1処理部、12はIKEフェーズ2処理部、13はセレクタ設定処理部、14はIPsecSA設定処理部、20はセキュリティポリシ管理部、21はセレクタ格納部、22はIPsecSA格納部、30は通信インタフェース、40は通信ネットワーク、90は記憶手段である。セレクタ格納部を構成する要素として、送信元アドレス/送信元ネットワークアドレス21−1、送信先アドレス/送信先ネットワークアドレス21−2、上位層プロトコル21−3、上位層プロトコル送信元ポート21−4、上位層プロトコル送信先ポート21−5で構成する。
【0012】
図1に示す通信システムは、IKEによりIPsecSAを確立する際の、確立要求を受ける側の装置である通信主体1と、確立要求を行う側の装置である通信相手2とが通信ネットワーク40によって接続されて構成されている。なお、図1に示す通信システムは、通信主体1と通信相手2だけを通信ネットワーク40に接続した構成として示しているが、本発明は、通信ネットワーク40に多数の通信装置が接続され、ある1つの通信装置が通信主体となり、他の通信装置の任意の1つが通信相手となって相互にデータの交換を行うことができるものである。そして、複数の通信装置のそれぞれは、自通信装置のIPアドレスを動的に設定することができるものであってもよいし、固定的にIPアドレスが設定されているものであってもよい。また、通信主体1及び通信相手2を含む全ての通信装置は、それぞれ、少なくとも、演算処理を行う際に用いられる記憶手段としてのメモリと、前記演算処理を行う演算装置とを備えるコンピュータとして構成される。また、メモリは、RAM(Rondom Access Memory)等により構成され、演算装置は、CPU(Central Processing Unit)によって構成されればよく、本発明の実施形態は、演算装置が、メモリ上のプログラムを実行することにより実現される。
【0013】
前述において、通信主体1は、通信相手2とのIKEに関するデータを通信する通信インタフェース30と、実際のIKEの送受信を行うIKE処理部10と、IKEにより生成した情報を格納するセキュリティポリシ管理部20とを備えて構成される。
【0014】
そして、IKE処理部10は、IKEフェーズ1のデータ送受信やデータ処理を行うIKEフェーズ1処理部11と、IKEフェーズ2のデータ送受信やデータ処理を行うIKEフェーズ2処理部12と、IKEフェーズ2により確立したIPsecSA情報を設定するためのIPsecSA設定処理部14と、IKEフェーズ2により確立したIPsecSA情報からセレクタ情報を設定するためのセレクタ設定処理部13とを有する。
【0015】
また、セキュリティポリシ管理部20は、セレクタ設定処理部13により生成された情報を格納するセレクタ格納部21と、IPsecSA設定処理部14により生成された情報を格納するIPsecSA格納部22とが記憶手段90内に格納されて構成される。
【0016】
また、通信相手2は、その構成の詳細を示していないが、通信主体1と全く同一に構成されていればよい。
【0017】
図2はIKEフェーズ2により生成したIPsecSA及びセレクタをセキュリティポリシとして記憶手段に格納する処理を行う本発明の実施形態での処理動作を説明するシーケンスチャート及びフローチャートであり、次に、これについて説明する。図2は図の上段に、各装置内の構成要素を示して、どの構成要素で行われている処理かを判り易くして示している。なお、通信相手2は、IKEフェーズ1の処理により相手の認証が正常に行われた通信装置であるとする。
【0018】
(1)IKEフェーズ2を開始する通信相手2は、まず、IKE処理部10が、IPsecSAの提案のためにIKEフェーズ2第1メッセージの送信を行う。なお、IKEフェーズ2第1メッセージには、IPsecSAのセレクタとして不十分な場合のために、セレクタの送信元アドレスとなるIDペイロードと送信先アドレスとなるIDペイロードとが付与されている(ステップS11)。
【0019】
(2)通信主体1は、IKEフェーズ2第1メッセージを受け取ると、IKEフェーズ2処理部12が、通信相手2から提案されたIPsecSAの内容を1つ選択し、IPsecSAとセレクタの構成に必要な送信元IPアドレスまたは送信元IPネットワークアドレス、送信先IPアドレスまたは送信先IPネットワークアドレス、上位層プロトコル、送信元ポート、送信先ポートを退避し、選択された結果をIKEフェーズ2第2メッセージとして、通信相手2に送信する(ステップS12、S13)。
【0020】
(3)通信相手2は、IKEフェーズ2第2メッセージを受け取ると、応答確認として、IKEフェーズ2第3メッセージを送信する(ステップS14)。
【0021】
(4)通信主体1は、IKEフェーズ2第3メッセージを受け取り、その正常性を確認すると、セレクタ設定処理部13が、セキュリティポリシ管理部20に対して、退避していたセレクタ情報の設定要求を行う(ステップS15)。
【0022】
(5)セキュリティポリシ管理部20は、要求されたセレクタの内容が記憶手段に既に存在しているか否かの判定を行う重複検証を行い、重複がなければ、セレクタ情報をセレクタ格納部21に記憶する(ステップS16、S17)。
【0023】
(6)ステップS16での検証で、要求されたセレクタの内容が記憶手段に既に存在していた場合、重複するセレクタの生成を拒否して、セレクタ情報をセレクタ格納部には格納しない。この場合、IPsecSAのみ動的に生成することも可能である。
【0024】
(7)次に、通信主体1は、IPsecSA情報設定処理部14が、セキュリティポリシ管理部20に対して、退避していたIPsecSA情報の設定要求を行う(ステップS18)。
【0025】
(8)セキュリティポリシ管理部20は、要求されたIPsecSAの内容をIPsecSA格納部22に記憶する(ステップS19)。
【0026】
前述で説明した本発明の実施形態において、セレクタ情報となるIPアドレスの形式はIPv4(Internet Protocol version 4)、IPv6(Internet Protocol version 6)のいずれでもよい。
【0027】
前述した本発明の実施形態での処理は、プログラムとして構成することができ、そのプログラムは、FD、CD、MO、DVDROM等の記録媒体に格納して提供することができる。
【0028】
前述した本発明の実施形態によれば、通信装置相互間での通信の都度IKEの処理により動的にセキュリティポリシを生成しているので、通信装置及び相手通信装置の記憶手段にセレクタを伴うセキュリティポリシを事前に格納しておく必要をなくすことができ、記憶装置の負荷、例えば、セキュリティポリシ検索負荷を軽減することができる。
【0029】
また、前述した本発明の実施形態によれば、通信装置相互間での通信の都度IKEの処理により動的にセキュリティポリシを生成しているので、不特定多数の通信相手との間でデータの交換を行うような場合にも、通信の都度、動的に個々にIKEにより生成したIPsecSAを適用して通信を行うことが可能となる。また、通信装置が、そのIPアドレスが動的に割り当てられる装置であっても、セレクタを伴うセキュリティポリシを事前に記憶手段へ格納しておく必要がなく、通信の都度、セキュリティポリシを動的に生成して、IPsecSAを適用した通信を行うことができる。
【0030】
さらに、前述した本発明の実施形態によれば、動的にセキュリティポリシを生成する際、前記セレクタと同一のセレクタが既に通信装置の記憶手段に存在している場合、重複したセレクタの生成を拒否することができるので、同一のセレクタとなるセキュリティポリシが生成され、格納先の記憶容量を圧迫してしまうようなことを防止することができる。
【0031】
なお、実施形態として、MobileIPv6用いたホームエージェントとモバイルノード間での通信データにIKEを適用する場合、本発明を適用し、相手毎に事前にセキュリティポリシを設定することなしにIKEによるIPsecSA生成を実現できる。
【図面の簡単な説明】
【0032】
【図1】本発明の一実施形態による通信装置を備えて構成された通信システムの構成を示すブロック図である。
【図2】IKEフェーズ2により生成したIPsecSA及びセレクタをセキュリティポリシとして記憶手段に格納する処理を行う本発明の実施形態での処理動作を説明するシーケンスチャート及びフローチャートである。
【符号の説明】
【0033】
1 通信主体となる通信装置
2 通信相手となる通信装置
10 IKE処理部
11 IKEフェーズ1処理部
12 IKEフェーズ2処理部
13 セレクタ設定処理部
14 IPsecSA設定処理部
20 セキュリティポリシ管理部
21 セレクタ格納部
22 IPsecSA格納部
30 通信インタフェース
40 通信ネットワーク、
90 記憶手段
【特許請求の範囲】
【請求項1】
複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信方法において、
前記通信主体となる通信装置が、通信相手となる通信装置との間で交換する通信データにIPsecを適用するために、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立する場合、前記通信主体となる通信装置は、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成することを特徴とする通信方法。
【請求項2】
前記通信主体となる通信装置は、前記セレクタを動的に生成する際、前記セレクタと同一のセレクタが既に通信主体となる通信装置の記憶手段に存在している場合、重複したセレクタの生成を拒否し、IPsecSAのみを動的に生成することを特徴とする請求項1記載の通信方法。
【請求項3】
前記通信ネットワークに接続された複数の通信装置のそれぞれが、自通信装置のIPアドレスを動的に付与する通信装置であることを特徴とする請求項1または2記載の通信方法。
【請求項4】
複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信装置において、
前記通信主体となる通信装置は、通信相手となる通信装置との間で交換する通信データにIPsecを適用し、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立するために、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成する手段を有することを特徴とする通信装置。
【請求項1】
複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信方法において、
前記通信主体となる通信装置が、通信相手となる通信装置との間で交換する通信データにIPsecを適用するために、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立する場合、前記通信主体となる通信装置は、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成することを特徴とする通信方法。
【請求項2】
前記通信主体となる通信装置は、前記セレクタを動的に生成する際、前記セレクタと同一のセレクタが既に通信主体となる通信装置の記憶手段に存在している場合、重複したセレクタの生成を拒否し、IPsecSAのみを動的に生成することを特徴とする請求項1記載の通信方法。
【請求項3】
前記通信ネットワークに接続された複数の通信装置のそれぞれが、自通信装置のIPアドレスを動的に付与する通信装置であることを特徴とする請求項1または2記載の通信方法。
【請求項4】
複数の通信装置が通信ネットワークに接続され、複数の通信装置の1つが通信主体となり、他の通信装置の1つが通信相手となって、通信装置相互間で通信データを交換する通信装置において、
前記通信主体となる通信装置は、通信相手となる通信装置との間で交換する通信データにIPsecを適用し、インターネット鍵交換プロトコルであるIKEを利用してIPsecSAを確立するために、IKEフェーズ2により決定したIPsecSAの他に、IPsecSAを使用して通信データの交換を行う通信主体となる通信装置のIPアドレスまたはIPネットワークアドレスと、通信相手となる通信装置のIPアドレスまたはIPネットワークアドレスと、上位層プロトコルと、送信元ポートと、送信先ポートとの情報で構成されるセレクタを特定し、IPsecSAとセレクタとを動的に生成することによりセキュリティポリシを動的に生成する手段を有することを特徴とする通信装置。
【図1】
【図2】
【図2】
【公開番号】特開2007−27847(P2007−27847A)
【公開日】平成19年2月1日(2007.2.1)
【国際特許分類】
【出願番号】特願2005−203036(P2005−203036)
【出願日】平成17年7月12日(2005.7.12)
【出願人】(000153465)株式会社日立コミュニケーションテクノロジー (770)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成19年2月1日(2007.2.1)
【国際特許分類】
【出願日】平成17年7月12日(2005.7.12)
【出願人】(000153465)株式会社日立コミュニケーションテクノロジー (770)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]