遠隔IPSECセキュリティ関連性管理
本発明は、インターネット・プロトコル・セキュリティのセキュリティ関連性を、遠隔に、かつ透過的に管理するための方法、およびシステムに関する。このシステムは、セキュリティ関連性管理要求を発行するための少なくとも一つの管理クライアントをそれぞれが含む一つ以上のデバイスを含む。このシステムは、さらに一つ以上のインターネット・プロトコル・セキュリティ・サービスを提供するためのインターネット・プロトコル・セキュリティ・サービス手段と、発行された前記セキュリティ関連性管理要求を受信し、前記インターネット・プロトコル・セキュリティ・サービス手段に関連して、受信される前記セキュリティ関連性管理要求に応答するための管理サーバとを含むサービスデバイスを含む。このシステムは、さらに、アプリケーションデバイスをサービスデバイスに安全に接続するための通信ネットワークを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信技術に関連している。特に、インターネット・プロトコル・セキュリティーのセキュリティ接続を遠隔に、かつ透過的に管理するための新規、かつ改良された方法、およびシステムに関連する。
【背景技術】
【0002】
IPSecまたはIPsecとも言われるインターネット・プロトコル・セキュリティーはネットワーク層でのIPネットワーク内のセキュリティを提供するための骨組みである。IPSecは、インターネット・エンジニアリング・タスク・フォース(IETF)によって開発される。IETFによるRFC文書(Request for Comments, RFC)2401から2409がIPSecについて記述している。
【0003】
IPSecは機密性サービス、および認証サービスをIPトラヒックに提供する。これらのサービスは、本質的にデータの送信者の認証を可能とする認証ヘッダ(AH、 RFC 2402に記述)、および送信者の認証およびデータの暗号化の両方に対応したエンカプスレーティング・セキュリティ・ペイロード(ESP、 RFC 2406に記述)と呼ばれるプロトコルによって提供される。
【0004】
認証ヘッダ、およびエンカプスレーティング・セキュリティ・ペイロードは動作するためにセッションキーを要求する。セッションキーは、典型的には、インターネット・キー・エクスチェンジ(IKE、 RFC 2409に記述)のようなキー・マネージメント・プロトコルを経由して生成される。認証及びキー合致(AKA)と呼ばれるキー・マネージメント・プロトコルもまた、特に3GPP(3rd Generation Partnership Project)システムに基づいた通信ネットワークにおいて、使用され得る。使用され得るその他のキー・マネージメント・プロトコルが、さらに存在する。
【0005】
前述のプロトコルに加えて、IPSecは、セキュリティ接続を使用することで、そのサービスを提供する。IPSecセキュリティ接続は、トラヒック・セレクタ、暗号変換、セッションキー、およびセッションキーのライフタイムのような情報を含んでいる。キー・マネージメント・アプリケーションは、IPSec接続の生成、および削除を取り決める責任を負っている。
【0006】
典型的には、IPSecサービスおよびキー・マネージメント・プロトコルは、例えば、専用のセキュリティ・ゲートウェイ、サーバ、デスクトップ・コンピュータ、および手持ち式の端末において発見される。先行技術において、ターゲットデバイスが何であれ、同じデバイス内に同一場所に配置されているという意味では、PISecサービスとキー・マネージメント・プロトコルは互いに結び付けられている。そしてまた、IPSecサービスと関連付けられたキー・マネージメント・プロトコルの間の通信機構は、ローカルである。
【0007】
しかし、分散コンピューティング環境において、ネットワーク要素機能性は、様々なアプリケーションが専用デバイスに配置されるアーキテクチャから利益を得る。例えば、暗号化動作を要求するアプリケーションは、典型的には特別な目的のためのデバイスであって、そのタスクのために適切なハードウェアおよびソフトウェアを含んだデバイスに配置される。その他のアプリケーションはよりいっそうのCPU処理能を要求するかもしれないし、したがって、異なるタイプの特別な目的のデバイスに配置されるかもしれない。さらに、分散コンピューティング環境において、アプリケーションは典型的にはお互いからサービスを要求することで、ネットワーク要素機能性を提供する。
【0008】
ネットワーク層セキュリティにおいては、IPSec、およびその関連するキー・マネージメント・プロトコルは、お互いにサービスを要求するアプリケーションの例示である。IPSecサービスを高速対称暗号の能力があるデバイス上に配置すること、およびその関連するキー・マネージメント・プロトコルをその他の高いCPUパワー、および/または非対称暗号アクセレーション(acceleration)を有するデバイスに配置することは、有益であるかもしれない。さらに、上述のように、先行技術においては、IPSecサービス、およびそれによって使用されるキー・マネージメント・プロトコルは、同じコンピューティングデバイスに設置される。多くの互いに異なる特徴を有するキー・マネージメント・プロトコルが存在する。先行技術と同様に、もし、すべてのこれら様々なキー・マネージメント・プロトコルがIPSecサービスと同じデバイスに設置されなければならないとすると、ネットワーク要素設計、実装、および配置が非効率的となり、ときには不可能にすらなる。
【0009】
特に、分散コンピューティング環境において、異なるデバイスに配置されるべきIPSecサービス、およびその関連したキー・マネージメント・プロトコルを可能とするさらに洗練されたアプローチへの明らかな必要性が存在する。更に、IPSec、およびその関連するキー・マネージメントのこの分散を透過的に実行することを可能とすることは有益であろう。
【発明の開示】
【課題を解決するための手段】
【0010】
本発明は、インターネット・プロトコル・セキュリティのセキュリティ関連性を遠隔に、かつ透過的に管理するための方法、およびシステムに関連する。
【0011】
このシステムは、一つ以上のアプリケーションデバイスを含む。各アプリケーションデバイスは、セキュリティ関連性管理要求を発行するための少なくとも一つの管理クライアントを含む。
【0012】
このシステムは、さらに、サービスデバイスを含む。サービスデバイスは、一つ以上のインターネット・プロトコル・セキュリティ・サービスを提供するためのインターネット・プロトコル・セキュリティ・サービス手段を含む。サービスデバイスは、さらに、発行された要求を受信するため、およびインターネット・プロトコル・セキュリティ・サービスに関連して受信された要求に応答するための管理サーバを含んでいる。
【0013】
このシステムは、さらに、アプリケーションデバイスをサービスデバイスに接続するための通信ネットワークを含む。
【0014】
本発明の一実施形態において、少なくとも一つのアプリケーションデバイスは、さらに、インターフェイスであって、そのインターフェイスを経由して、アプリケーションデバイスに関連付けられた少なくとも一つの管理クライアント、および管理サーバがお互いに通信を行なうインターフェイスを提供するためのインターフェイス手段を含む。したがって、本発明によるこのインターフェイス手段、および本発明よる管理サーバは、IPSecのそういった分散、およびその関連付けられたキー・マネージメントであって、管理クライアント、およびインターネット・プロトコル・セキュリティ・サービス手段には透過的であるキー・マネージメントを可能とする。言い換えると、前記インターネット・プロトコル・セキュリティ・サービス手段が、前記管理クライアントよりむしろ、その他のデバイス上に設置されるであろうが、当該管理クライアントは、インターネット・プロトコル・セキュリティ・サービス手段によって提供されるサービスを使用できるように、それらのために修正される必要はない。
【0015】
本発明の一実施形態によれば、セキュリティ関連性管理要求は、セキュリティ関連性を追加するための要求、セキュリティ関連性を削除するための要求、および/またはセキュリティ関連性についての問い合わせをするための要求を含む。
【0016】
本発明の一実施形態によれば、インターフェイス手段は、管理クライアントおよび管理サーバの間の通信において使用されるデータ構造を含み、そして、インターフェイス手段は、対応する管理クライアントおよび管理クライアントに、動的に、または統計的にリンクされたソフトウェアライブラリとして実装される。
【0017】
本発明の一実施形態においては、インターフェイス手段は、管理サーバとの通信のためのソケットを使用するように構成される。
【0018】
本発明の一実施形態において、インターネット・プロトコル・セキュリティ・サービス手段および管理サーバは、互いの通信のためのローカル通信チャネルを使用するように構成される。
【0019】
本発明の一実施形態において、少なくとも一つのアプリケーションデバイスは、二つ以上の管理クライアントを含み、それら管理クライアントのうち少なくとも二つが互いに異なるセッション・キー・マネージメント・プロトコルを利用する。
【0020】
本発明の一実施形態において、前記通信ネットワークは、ローカルエリア・ネットワークである。
【0021】
本発明は、遠隔にIPSecセキュリティ関連性を管理することを可能とする。IPSecおよびその関連付けられたキー・マネージメントは、分離したコンピューティングデバイスに透過的に分散される。したがって、各コンピューティングデバイスは、特定のアプリケーションを実行するように最適化され得る。言い換えると、これは性能と柔軟性とを向上させる。
【0022】
さらに、有益であれば、標準的な先行技術の解決策を排除しない。例えば、より小さな構成において、IPSecおよびその関連付けられたキー・マネージメントは、同じデバイスの中で同一場所に配置され得る。これは、遠隔通信チャネルを、ローカルのものへスイッチすることで実現され得る。このスイッチはアプリケーションには透過的であり、したがって、開発努力を少なくし、柔軟性を増加する。
【0023】
本発明のよりよい理解を提供するために添付され、本願書類を構成する添付された図面は、本発明の実施形態を図示し、本発明の原理を説明することを助ける。
【発明を実施するための最良の形態】
【0024】
以下、本発明の実施形態について詳細に述べる。本発明の例が図面によって示される。
【0025】
本発明の実施形態にしたがったインターネット・プロトコル・セキュリティのセキュリティ関連性を遠隔に、かつ透過的に管理するためのシステムを図1は図示する。図1に示された本発明の好適な実施形態においては、システムは二つのアプリケーションデバイスAPP_DEV_1およびAPP_DEV_2を含む。アプリケーションデバイスAPP_DEV_1は一つの管理クライアントMNG_CL_1をセキュリティ関連性管理要求を発行するために含んでいるのに対して、アプリケーションデバイスAPP_DEV_2は二つの管理クライアントMNG_CL_2およびMNG_CL_3を含んでいる。管理クライアントMNG_CL_1、MNG_CL_2およびMNG_CL_3によって発行されるセキュリティ関連性管理要求は、セキュリティ関連性を追加する要求、セキュリティ関連性を削除する要求、および/または、セキュリティ関連性についての問い合わせを行なう要求を含む。図1に図示された本発明の好適な実施形態においては、管理クライアントMNG_CL_1、MNG_CL_2、MNG_CL_3のそれぞれは異なるセッション・キー・マネージメント・プロトコルを利用する。
【0026】
インターネット・プロトコル・セキュリティは、典型的には、例えば、3GPPシステムによる通信ネットワークのIP・マルチメディア・サブシステム(IMS)によって利用される。このような場合には、ユーザ装置(図示せず)は、キー・マネージメント・プロトコルを利用することで、アプリケーションデバイスAPP_DEV_1、またはAPP_DEV_2と通信を行なうことが考えられる。そして、この通信の最終結果は、アプリケーションデバイスAPP_DEV_1、またはAPP_DEV_2によってサービスデバイスSRV_DEVへ転送される。したがって、この場合、このアプリケーションデバイスAPP_DEV_1、またはAPP_DEV_2は、キー・マネージメント・プロトコルのサーバ部を動作させることが考えられる一方で、ユーザ装置は、キー・マネージメント・プロトコルのクライアント部を動作させることが考えられる。ユーザ装置はそれ自身のローカルメカニズムを使用し、最終結果をそれ自身のIPSecサービスへ通信する。
【0027】
図1に図示された本発明の好適な実施形態において、システムはサービスデバイスSRV_DEVをさらに含む。サービスデバイスSRV_DEVは、一つ以上のインターネット・プロトコル・セキュリティ・サービスを提供するためのインターネット・プロトコル・セキュリティ・サービス手段IPSECを含む。サービスデバイスSRV_DEVは、さらに、発行された要求を受信するため、かつインターネット・プロトコル・セキュリティサービス手段IPSECに関連して、受信した要求に応答するための管理サーバMNG_SRVを含む。システムは、さらに、アプリケーションデバイスをサービスデバイスに接続するための通信ネットワークCNを含む。
【0028】
図1に図示された本発明の好適な実施形態において、アプリケーションデバイスAPP_DEVおよびAPP_DEV_2は、それぞれさらに、インターフェイスであって、そのインターフェイスを介して管理クライアントMNG_CL_1、MNG_CL_2、MNG_CL_3、および管理サーバMNG_SRVがお互いに通信を行なうインターフェイスを提供するインターフェイス手段IFを含む。さらに、図1に図示された本発明の好適な実施形態において、インターフェイス手段IFは、管理クライアントMNG_CL_1、MNG_CL_2、MNG_CL_3および管理サーバMNG_SRVの間での通信で使用されるデータ構造(図示せず)を含む。そして、インターフェイス手段IFは、管理クライアントへ動的に、または統計的にリンクされ得るソフトウェアライブラリ(図示せず)としてそれぞれ実装される。
【0029】
図1に図示された本発明の好適な実施形態において、さらに、インターフェイス手段IFは、管理サーバMNG_SRVと通信を行なうためのソケットを使用するようにそれぞれが構成され、そして、インターネット・プロトコル・セキュリティ・サービス手段IPSEC、および管理サーバMNG_SRVはお互いの通信のためにローカル通信チャネルを使用するように構成されている。
【0030】
図1に図示されているように、さらに、システムに入る外部IPトラヒックEXTは、好ましくは、サービスデバイスSRV_DEVを経由してルーティングされる。
【0031】
図2は、本発明の実施形態にしたがって、遠隔に、かつ透過的にインターネット・プロトコル・セキュリティのセキュリティ関連性を管理するための方法を図示する。
【0032】
一つ以上のインターネット・プロトコル・セキュリティ・サービスが、サービスデバイスにおいて提供される(段階20)。セキュリティ関連性管理要求は、一つ以上のアプリケーションデバイスから発行される(段階21)。アプリケーションデバイスは、通信ネットワークによって、サービスデバイスへ安全に接続される。発行された要求は、サービスデバイスにおいて受信される(段階22)。提供されたインターネット・プロトコル・セキュリティ・サービスに関連したサービスにおいて、受信された要求が応答される(段階23)。
【0033】
本発明の基本的な着想は、技術の向上とともに、様々な方法で実装することができるであろうことが、当業者にとっては明らかである。したがって、本発明およびその実施形態は前述の例に制限されず、それどころか、それらは特許請求の範囲の範囲内で変化し得る。
【図面の簡単な説明】
【0034】
【図1】図1は、本発明の一実施形態にしたがったシステムを表した構成図を示す。
【図2】図2は、本発明の一実施形態にしたがった方法を示す。
【技術分野】
【0001】
本発明は、通信技術に関連している。特に、インターネット・プロトコル・セキュリティーのセキュリティ接続を遠隔に、かつ透過的に管理するための新規、かつ改良された方法、およびシステムに関連する。
【背景技術】
【0002】
IPSecまたはIPsecとも言われるインターネット・プロトコル・セキュリティーはネットワーク層でのIPネットワーク内のセキュリティを提供するための骨組みである。IPSecは、インターネット・エンジニアリング・タスク・フォース(IETF)によって開発される。IETFによるRFC文書(Request for Comments, RFC)2401から2409がIPSecについて記述している。
【0003】
IPSecは機密性サービス、および認証サービスをIPトラヒックに提供する。これらのサービスは、本質的にデータの送信者の認証を可能とする認証ヘッダ(AH、 RFC 2402に記述)、および送信者の認証およびデータの暗号化の両方に対応したエンカプスレーティング・セキュリティ・ペイロード(ESP、 RFC 2406に記述)と呼ばれるプロトコルによって提供される。
【0004】
認証ヘッダ、およびエンカプスレーティング・セキュリティ・ペイロードは動作するためにセッションキーを要求する。セッションキーは、典型的には、インターネット・キー・エクスチェンジ(IKE、 RFC 2409に記述)のようなキー・マネージメント・プロトコルを経由して生成される。認証及びキー合致(AKA)と呼ばれるキー・マネージメント・プロトコルもまた、特に3GPP(3rd Generation Partnership Project)システムに基づいた通信ネットワークにおいて、使用され得る。使用され得るその他のキー・マネージメント・プロトコルが、さらに存在する。
【0005】
前述のプロトコルに加えて、IPSecは、セキュリティ接続を使用することで、そのサービスを提供する。IPSecセキュリティ接続は、トラヒック・セレクタ、暗号変換、セッションキー、およびセッションキーのライフタイムのような情報を含んでいる。キー・マネージメント・アプリケーションは、IPSec接続の生成、および削除を取り決める責任を負っている。
【0006】
典型的には、IPSecサービスおよびキー・マネージメント・プロトコルは、例えば、専用のセキュリティ・ゲートウェイ、サーバ、デスクトップ・コンピュータ、および手持ち式の端末において発見される。先行技術において、ターゲットデバイスが何であれ、同じデバイス内に同一場所に配置されているという意味では、PISecサービスとキー・マネージメント・プロトコルは互いに結び付けられている。そしてまた、IPSecサービスと関連付けられたキー・マネージメント・プロトコルの間の通信機構は、ローカルである。
【0007】
しかし、分散コンピューティング環境において、ネットワーク要素機能性は、様々なアプリケーションが専用デバイスに配置されるアーキテクチャから利益を得る。例えば、暗号化動作を要求するアプリケーションは、典型的には特別な目的のためのデバイスであって、そのタスクのために適切なハードウェアおよびソフトウェアを含んだデバイスに配置される。その他のアプリケーションはよりいっそうのCPU処理能を要求するかもしれないし、したがって、異なるタイプの特別な目的のデバイスに配置されるかもしれない。さらに、分散コンピューティング環境において、アプリケーションは典型的にはお互いからサービスを要求することで、ネットワーク要素機能性を提供する。
【0008】
ネットワーク層セキュリティにおいては、IPSec、およびその関連するキー・マネージメント・プロトコルは、お互いにサービスを要求するアプリケーションの例示である。IPSecサービスを高速対称暗号の能力があるデバイス上に配置すること、およびその関連するキー・マネージメント・プロトコルをその他の高いCPUパワー、および/または非対称暗号アクセレーション(acceleration)を有するデバイスに配置することは、有益であるかもしれない。さらに、上述のように、先行技術においては、IPSecサービス、およびそれによって使用されるキー・マネージメント・プロトコルは、同じコンピューティングデバイスに設置される。多くの互いに異なる特徴を有するキー・マネージメント・プロトコルが存在する。先行技術と同様に、もし、すべてのこれら様々なキー・マネージメント・プロトコルがIPSecサービスと同じデバイスに設置されなければならないとすると、ネットワーク要素設計、実装、および配置が非効率的となり、ときには不可能にすらなる。
【0009】
特に、分散コンピューティング環境において、異なるデバイスに配置されるべきIPSecサービス、およびその関連したキー・マネージメント・プロトコルを可能とするさらに洗練されたアプローチへの明らかな必要性が存在する。更に、IPSec、およびその関連するキー・マネージメントのこの分散を透過的に実行することを可能とすることは有益であろう。
【発明の開示】
【課題を解決するための手段】
【0010】
本発明は、インターネット・プロトコル・セキュリティのセキュリティ関連性を遠隔に、かつ透過的に管理するための方法、およびシステムに関連する。
【0011】
このシステムは、一つ以上のアプリケーションデバイスを含む。各アプリケーションデバイスは、セキュリティ関連性管理要求を発行するための少なくとも一つの管理クライアントを含む。
【0012】
このシステムは、さらに、サービスデバイスを含む。サービスデバイスは、一つ以上のインターネット・プロトコル・セキュリティ・サービスを提供するためのインターネット・プロトコル・セキュリティ・サービス手段を含む。サービスデバイスは、さらに、発行された要求を受信するため、およびインターネット・プロトコル・セキュリティ・サービスに関連して受信された要求に応答するための管理サーバを含んでいる。
【0013】
このシステムは、さらに、アプリケーションデバイスをサービスデバイスに接続するための通信ネットワークを含む。
【0014】
本発明の一実施形態において、少なくとも一つのアプリケーションデバイスは、さらに、インターフェイスであって、そのインターフェイスを経由して、アプリケーションデバイスに関連付けられた少なくとも一つの管理クライアント、および管理サーバがお互いに通信を行なうインターフェイスを提供するためのインターフェイス手段を含む。したがって、本発明によるこのインターフェイス手段、および本発明よる管理サーバは、IPSecのそういった分散、およびその関連付けられたキー・マネージメントであって、管理クライアント、およびインターネット・プロトコル・セキュリティ・サービス手段には透過的であるキー・マネージメントを可能とする。言い換えると、前記インターネット・プロトコル・セキュリティ・サービス手段が、前記管理クライアントよりむしろ、その他のデバイス上に設置されるであろうが、当該管理クライアントは、インターネット・プロトコル・セキュリティ・サービス手段によって提供されるサービスを使用できるように、それらのために修正される必要はない。
【0015】
本発明の一実施形態によれば、セキュリティ関連性管理要求は、セキュリティ関連性を追加するための要求、セキュリティ関連性を削除するための要求、および/またはセキュリティ関連性についての問い合わせをするための要求を含む。
【0016】
本発明の一実施形態によれば、インターフェイス手段は、管理クライアントおよび管理サーバの間の通信において使用されるデータ構造を含み、そして、インターフェイス手段は、対応する管理クライアントおよび管理クライアントに、動的に、または統計的にリンクされたソフトウェアライブラリとして実装される。
【0017】
本発明の一実施形態においては、インターフェイス手段は、管理サーバとの通信のためのソケットを使用するように構成される。
【0018】
本発明の一実施形態において、インターネット・プロトコル・セキュリティ・サービス手段および管理サーバは、互いの通信のためのローカル通信チャネルを使用するように構成される。
【0019】
本発明の一実施形態において、少なくとも一つのアプリケーションデバイスは、二つ以上の管理クライアントを含み、それら管理クライアントのうち少なくとも二つが互いに異なるセッション・キー・マネージメント・プロトコルを利用する。
【0020】
本発明の一実施形態において、前記通信ネットワークは、ローカルエリア・ネットワークである。
【0021】
本発明は、遠隔にIPSecセキュリティ関連性を管理することを可能とする。IPSecおよびその関連付けられたキー・マネージメントは、分離したコンピューティングデバイスに透過的に分散される。したがって、各コンピューティングデバイスは、特定のアプリケーションを実行するように最適化され得る。言い換えると、これは性能と柔軟性とを向上させる。
【0022】
さらに、有益であれば、標準的な先行技術の解決策を排除しない。例えば、より小さな構成において、IPSecおよびその関連付けられたキー・マネージメントは、同じデバイスの中で同一場所に配置され得る。これは、遠隔通信チャネルを、ローカルのものへスイッチすることで実現され得る。このスイッチはアプリケーションには透過的であり、したがって、開発努力を少なくし、柔軟性を増加する。
【0023】
本発明のよりよい理解を提供するために添付され、本願書類を構成する添付された図面は、本発明の実施形態を図示し、本発明の原理を説明することを助ける。
【発明を実施するための最良の形態】
【0024】
以下、本発明の実施形態について詳細に述べる。本発明の例が図面によって示される。
【0025】
本発明の実施形態にしたがったインターネット・プロトコル・セキュリティのセキュリティ関連性を遠隔に、かつ透過的に管理するためのシステムを図1は図示する。図1に示された本発明の好適な実施形態においては、システムは二つのアプリケーションデバイスAPP_DEV_1およびAPP_DEV_2を含む。アプリケーションデバイスAPP_DEV_1は一つの管理クライアントMNG_CL_1をセキュリティ関連性管理要求を発行するために含んでいるのに対して、アプリケーションデバイスAPP_DEV_2は二つの管理クライアントMNG_CL_2およびMNG_CL_3を含んでいる。管理クライアントMNG_CL_1、MNG_CL_2およびMNG_CL_3によって発行されるセキュリティ関連性管理要求は、セキュリティ関連性を追加する要求、セキュリティ関連性を削除する要求、および/または、セキュリティ関連性についての問い合わせを行なう要求を含む。図1に図示された本発明の好適な実施形態においては、管理クライアントMNG_CL_1、MNG_CL_2、MNG_CL_3のそれぞれは異なるセッション・キー・マネージメント・プロトコルを利用する。
【0026】
インターネット・プロトコル・セキュリティは、典型的には、例えば、3GPPシステムによる通信ネットワークのIP・マルチメディア・サブシステム(IMS)によって利用される。このような場合には、ユーザ装置(図示せず)は、キー・マネージメント・プロトコルを利用することで、アプリケーションデバイスAPP_DEV_1、またはAPP_DEV_2と通信を行なうことが考えられる。そして、この通信の最終結果は、アプリケーションデバイスAPP_DEV_1、またはAPP_DEV_2によってサービスデバイスSRV_DEVへ転送される。したがって、この場合、このアプリケーションデバイスAPP_DEV_1、またはAPP_DEV_2は、キー・マネージメント・プロトコルのサーバ部を動作させることが考えられる一方で、ユーザ装置は、キー・マネージメント・プロトコルのクライアント部を動作させることが考えられる。ユーザ装置はそれ自身のローカルメカニズムを使用し、最終結果をそれ自身のIPSecサービスへ通信する。
【0027】
図1に図示された本発明の好適な実施形態において、システムはサービスデバイスSRV_DEVをさらに含む。サービスデバイスSRV_DEVは、一つ以上のインターネット・プロトコル・セキュリティ・サービスを提供するためのインターネット・プロトコル・セキュリティ・サービス手段IPSECを含む。サービスデバイスSRV_DEVは、さらに、発行された要求を受信するため、かつインターネット・プロトコル・セキュリティサービス手段IPSECに関連して、受信した要求に応答するための管理サーバMNG_SRVを含む。システムは、さらに、アプリケーションデバイスをサービスデバイスに接続するための通信ネットワークCNを含む。
【0028】
図1に図示された本発明の好適な実施形態において、アプリケーションデバイスAPP_DEVおよびAPP_DEV_2は、それぞれさらに、インターフェイスであって、そのインターフェイスを介して管理クライアントMNG_CL_1、MNG_CL_2、MNG_CL_3、および管理サーバMNG_SRVがお互いに通信を行なうインターフェイスを提供するインターフェイス手段IFを含む。さらに、図1に図示された本発明の好適な実施形態において、インターフェイス手段IFは、管理クライアントMNG_CL_1、MNG_CL_2、MNG_CL_3および管理サーバMNG_SRVの間での通信で使用されるデータ構造(図示せず)を含む。そして、インターフェイス手段IFは、管理クライアントへ動的に、または統計的にリンクされ得るソフトウェアライブラリ(図示せず)としてそれぞれ実装される。
【0029】
図1に図示された本発明の好適な実施形態において、さらに、インターフェイス手段IFは、管理サーバMNG_SRVと通信を行なうためのソケットを使用するようにそれぞれが構成され、そして、インターネット・プロトコル・セキュリティ・サービス手段IPSEC、および管理サーバMNG_SRVはお互いの通信のためにローカル通信チャネルを使用するように構成されている。
【0030】
図1に図示されているように、さらに、システムに入る外部IPトラヒックEXTは、好ましくは、サービスデバイスSRV_DEVを経由してルーティングされる。
【0031】
図2は、本発明の実施形態にしたがって、遠隔に、かつ透過的にインターネット・プロトコル・セキュリティのセキュリティ関連性を管理するための方法を図示する。
【0032】
一つ以上のインターネット・プロトコル・セキュリティ・サービスが、サービスデバイスにおいて提供される(段階20)。セキュリティ関連性管理要求は、一つ以上のアプリケーションデバイスから発行される(段階21)。アプリケーションデバイスは、通信ネットワークによって、サービスデバイスへ安全に接続される。発行された要求は、サービスデバイスにおいて受信される(段階22)。提供されたインターネット・プロトコル・セキュリティ・サービスに関連したサービスにおいて、受信された要求が応答される(段階23)。
【0033】
本発明の基本的な着想は、技術の向上とともに、様々な方法で実装することができるであろうことが、当業者にとっては明らかである。したがって、本発明およびその実施形態は前述の例に制限されず、それどころか、それらは特許請求の範囲の範囲内で変化し得る。
【図面の簡単な説明】
【0034】
【図1】図1は、本発明の一実施形態にしたがったシステムを表した構成図を示す。
【図2】図2は、本発明の一実施形態にしたがった方法を示す。
【特許請求の範囲】
【請求項1】
インターネット・プロトコル・セキュリティのセキュリティ関連性を遠隔に、かつ透過的に管理するためのシステムであって、
セキュリティ関連性管理要求を発行するための少なくとも一つの管理クライアントを含むアプリケーションデバイスと、
一つ以上のインターネット・プロトコル・セキュリティ・サービスを提供するためのインターネット・プロトコル・セキュリティ・サービス手段と、前記少なくとも一つの管理クライアントから発行された前記セキュリティ関連性管理要求を受信し、前記インターネット・プロトコル・セキュリティ・サービス手段に関連して、前記管理サーバにおいて受信される前記セキュリティ関連性管理要求に応答するための管理サーバとを含むサービスデバイスと、
前記アプリケーションデバイスを前記サービスデバイスに接続するための通信ネットワークと、
を備えることを特徴とするシステム。
【請求項2】
請求項1に記載のシステムにおいて、前記アプリケーションデバイスがさらに前記アプリケーションデバイスに関連付けられた前記少なくとも一つの管理クライアントと前記管理サーバとの間の通信のためのインターフェイスを提供するためのインターフェイス手段を含むことを特徴とするシステム。
【請求項3】
請求項1に記載のシステムにおいて、前記セキュリティ関連性管理要求が、セキュリティ関連性を追加する追加要求、セキュリティ関連性を削除する削除要求、セキュリティ関連性について問い合わせをする問い合わせ要求のうち少なくともひとつを含むことを特徴とするシステム。
【請求項4】
請求項2に記載のシステムにおいて、前記インターフェイス手段が前記管理サーバとの通信のためのソケットを使用するように構成されていることを特徴とするシステム。
【請求項5】
請求項2に記載のシステムにおいて、前記インターフェイス手段が前記管理クライアントと、前記管理サーバとの間の通信において使用されるデータ構造を含むことを特徴とするシステム。
【請求項6】
請求項2に記載のシステムにおいて、前記インターフェイス手段は、動的に、または統計的に対応する管理クライアントにリンクされるソフトウェアライブラリとして実装されることを特徴とするシステム。
【請求項7】
請求項1に記載のシステムにおいて、前記インターネット・プロトコル・セキュリティ・サービス手段と、前記管理サーバとが、前記インターネット・プロトコル・セキュリティ・サービス手段と、前記管理サーバとの間の通信のためのローカル通信チャネルを使用するように構成されていることを特徴とするシステム。
【請求項8】
請求項1に記載のシステムにおいて、少なくとも一つのアプリケーションデバイスが二つ以上の管理クライアントを含み、少なくとも二つの前記管理クライアントが異なるセッション・キー・マネージメント・プロトコルを使用することを特徴とするシステム。
【請求項9】
請求項1に記載のシステムにおいて、前記通信ネットワークはローカルエリア・ネットワークを含むことを特徴とするシステム。
【請求項10】
インターネット・プロトコル・セキュリティのセキュリティ関連性を遠隔に、かつ透過的に管理するための方法であって、
サービスデバイスにおいて一つ以上のインターネット・プロトコル・セキュリティ・サービスを提供する段階と、
通信ネットワークによって前記サービスデバイスに接続されるアプリケーションデバイスからセキュリティ関連性管理要求を発行する段階と、
前記サービスデバイスにおいて、前記アプリケーションデバイスから発行された前記セキュリティ関連性管理要求を受信する段階と、
インターネット・プロトコル・セキュリティ・サービスと関連して、前記サービスデバイスにおいて受信された前記セキュリティ関連性管理要求に応答する段階と、
を含むことを特徴とする方法。
【請求項11】
請求項10に記載の方法において、アプリケーションデバイスから発行された少なくとも一つの前記セキュリティ関連性管理要求と、対応する応答とが、前記アプリケーションデバイスと関連付けられたインターフェイスを経由して通信されることを特徴とする方法。
【請求項12】
請求項10に記載の方法であって、前記セキュリティ関連性管理要求が、セキュリティ関連性を追加するための追加要求、セキュリティ関連性を削除する削除要求、セキュリティ関連性について問い合わせる問い合わせ要求のうち少なくとも一つを含むことを特徴とする方法。
【請求項1】
インターネット・プロトコル・セキュリティのセキュリティ関連性を遠隔に、かつ透過的に管理するためのシステムであって、
セキュリティ関連性管理要求を発行するための少なくとも一つの管理クライアントを含むアプリケーションデバイスと、
一つ以上のインターネット・プロトコル・セキュリティ・サービスを提供するためのインターネット・プロトコル・セキュリティ・サービス手段と、前記少なくとも一つの管理クライアントから発行された前記セキュリティ関連性管理要求を受信し、前記インターネット・プロトコル・セキュリティ・サービス手段に関連して、前記管理サーバにおいて受信される前記セキュリティ関連性管理要求に応答するための管理サーバとを含むサービスデバイスと、
前記アプリケーションデバイスを前記サービスデバイスに接続するための通信ネットワークと、
を備えることを特徴とするシステム。
【請求項2】
請求項1に記載のシステムにおいて、前記アプリケーションデバイスがさらに前記アプリケーションデバイスに関連付けられた前記少なくとも一つの管理クライアントと前記管理サーバとの間の通信のためのインターフェイスを提供するためのインターフェイス手段を含むことを特徴とするシステム。
【請求項3】
請求項1に記載のシステムにおいて、前記セキュリティ関連性管理要求が、セキュリティ関連性を追加する追加要求、セキュリティ関連性を削除する削除要求、セキュリティ関連性について問い合わせをする問い合わせ要求のうち少なくともひとつを含むことを特徴とするシステム。
【請求項4】
請求項2に記載のシステムにおいて、前記インターフェイス手段が前記管理サーバとの通信のためのソケットを使用するように構成されていることを特徴とするシステム。
【請求項5】
請求項2に記載のシステムにおいて、前記インターフェイス手段が前記管理クライアントと、前記管理サーバとの間の通信において使用されるデータ構造を含むことを特徴とするシステム。
【請求項6】
請求項2に記載のシステムにおいて、前記インターフェイス手段は、動的に、または統計的に対応する管理クライアントにリンクされるソフトウェアライブラリとして実装されることを特徴とするシステム。
【請求項7】
請求項1に記載のシステムにおいて、前記インターネット・プロトコル・セキュリティ・サービス手段と、前記管理サーバとが、前記インターネット・プロトコル・セキュリティ・サービス手段と、前記管理サーバとの間の通信のためのローカル通信チャネルを使用するように構成されていることを特徴とするシステム。
【請求項8】
請求項1に記載のシステムにおいて、少なくとも一つのアプリケーションデバイスが二つ以上の管理クライアントを含み、少なくとも二つの前記管理クライアントが異なるセッション・キー・マネージメント・プロトコルを使用することを特徴とするシステム。
【請求項9】
請求項1に記載のシステムにおいて、前記通信ネットワークはローカルエリア・ネットワークを含むことを特徴とするシステム。
【請求項10】
インターネット・プロトコル・セキュリティのセキュリティ関連性を遠隔に、かつ透過的に管理するための方法であって、
サービスデバイスにおいて一つ以上のインターネット・プロトコル・セキュリティ・サービスを提供する段階と、
通信ネットワークによって前記サービスデバイスに接続されるアプリケーションデバイスからセキュリティ関連性管理要求を発行する段階と、
前記サービスデバイスにおいて、前記アプリケーションデバイスから発行された前記セキュリティ関連性管理要求を受信する段階と、
インターネット・プロトコル・セキュリティ・サービスと関連して、前記サービスデバイスにおいて受信された前記セキュリティ関連性管理要求に応答する段階と、
を含むことを特徴とする方法。
【請求項11】
請求項10に記載の方法において、アプリケーションデバイスから発行された少なくとも一つの前記セキュリティ関連性管理要求と、対応する応答とが、前記アプリケーションデバイスと関連付けられたインターフェイスを経由して通信されることを特徴とする方法。
【請求項12】
請求項10に記載の方法であって、前記セキュリティ関連性管理要求が、セキュリティ関連性を追加するための追加要求、セキュリティ関連性を削除する削除要求、セキュリティ関連性について問い合わせる問い合わせ要求のうち少なくとも一つを含むことを特徴とする方法。
【図1】
【図2】
【図2】
【公表番号】特表2007−506202(P2007−506202A)
【公表日】平成19年3月15日(2007.3.15)
【国際特許分類】
【出願番号】特願2006−527431(P2006−527431)
【出願日】平成16年8月10日(2004.8.10)
【国際出願番号】PCT/FI2004/000473
【国際公開番号】WO2005/029811
【国際公開日】平成17年3月31日(2005.3.31)
【出願人】(398012616)ノキア コーポレイション (1,359)
【Fターム(参考)】
【公表日】平成19年3月15日(2007.3.15)
【国際特許分類】
【出願日】平成16年8月10日(2004.8.10)
【国際出願番号】PCT/FI2004/000473
【国際公開番号】WO2005/029811
【国際公開日】平成17年3月31日(2005.3.31)
【出願人】(398012616)ノキア コーポレイション (1,359)
【Fターム(参考)】
[ Back to top ]