IPSEC通信装置、IPSEC通信方法、およびIPSEC通信システム
【課題】IPSECパスを確立して行う通信において、その通信中断後のIPSECパスを、そのIPSECパスを用いて通信を行ういずれの側からも再確立でき、その再確立に要する時間を短くする。
【解決手段】初期接続時に、端末2と網終端装置1との間でIKEのSAおよびIPSECのSAによってパスを確立し(S501)、セッションを確立する(S502)。このときには、通信状態を実行モードにしておく。そして、通信を中断する場合(S503)に、実行モードを中断モードに変更する(S504〜S507)。その後、通信を再開する場合には、中断モードを実行モードに変更する(S509〜S511)。なお、中断モードの間では、SAに対するライフタイムの値およびシーケンス番号の値の増減を行わず、死活監視のためのライブネス監視メッセージの送受信を行わないようにする。
【解決手段】初期接続時に、端末2と網終端装置1との間でIKEのSAおよびIPSECのSAによってパスを確立し(S501)、セッションを確立する(S502)。このときには、通信状態を実行モードにしておく。そして、通信を中断する場合(S503)に、実行モードを中断モードに変更する(S504〜S507)。その後、通信を再開する場合には、中断モードを実行モードに変更する(S509〜S511)。なお、中断モードの間では、SAに対するライフタイムの値およびシーケンス番号の値の増減を行わず、死活監視のためのライブネス監視メッセージの送受信を行わないようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IPSEC(Security Architecture for Internet Protocol)を用いたセキュアなパス(IPSECパス)を確立して行う通信において、その通信中断後のIPSECパスの再確立に要する時間を短くする技術に関する。
【背景技術】
【0002】
セキュリティで保護されたパスを確立するために、データの交換方法および保護方法について合意を結ぶ手続のことをSA(Security Association,セキュリティアソシエーション)という。IPSECにおけるSA(以降、IPSECのSAと称す。)を実施する場合、そのIPSECのSAの一部として、IETF(Internet Engineering Task Force)で標準化されているIKE(The Internet Key Exchange)が用いられている。IKEには、RFC(Request for Comments)2409に規定されているIKEv1(非特許文献1)や、RFC4306には規定されている、IKEv1のSAの脆弱性を改善したIKEv2(非特許文献2)がある。IKEv2には、暗号化やメッセージ認証を行うためのアルゴリズム等のパラメータ交渉、Diffie-Hellmanの仕組みを用いた暗号鍵/認証鍵の生成、IDパスワード等によるユーザ認証、IPアドレスの払出し等の機能が含まれ、SAの実施に用いられている。
【0003】
また、IETFのRFC4555(非特許文献3)には、IKEv2を拡張したプロトコルとして、標準化されたMOBIKE(IKEv2 Mobility and Multihoming Protocol)が規定されている。MOBIKEが標準化される前までは、IPSECのSAは、IPアドレス(例えば、トンネルモードのOuter IPアドレス)に変更が生じた場合、通信を継続することができなかった。そのため、通信を再開する場合には、IKE処理を最初から行わなければならなかった。MOBIKEでは、IKEのINFORMATIONALメッセージを拡張することによって、IPSECのSAで用いているOuter IPアドレス変更を通信相手に通知することができるようになった。そのため、MOBIKEでは、通信を再開するときに、通信相手がIPSECのSAで用いるOuter IPアドレスを既に変更できているので、IKE処理を最初から行う必要がなくなった。
【0004】
また、現在、IETFで標準化を検討中のTicket方式が非特許文献4に記載されている。Ticket方式は、多数の端末のIPSECパスを終端する網終端装置の故障後の通信再開時に、多数の端末から同時に通信再開のためのSAが集中することによって、網終端装置の処理負荷が過負荷になることを軽減するための方法である。具体的には、Ticket方式では、IPSECのSAを実施するために必要な情報を「チケット」に格納しておいて、この「チケット」を通信再開時に、端末から提示することで、網終端装置は、以前にSAを交わしたことのある端末であると認識することができる。そのため、網終端装置および端末は、IKEのSAにおける暗号鍵/認証鍵の生成や、認証処理をスキップして、簡易にIPSECのSAを実施できる。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】D.Harkins, et al.,“The Internet Key Exchange (IKE)”,IETF, RFC2409
【非特許文献2】C. Kaufman,“Internet Key Exchange (IKEv2) Protocol”,IETF, RFC4306
【非特許文献3】P.Eronen,“IKEv2 Mobility and Multihoming Protocol (MOBIKE)”,IETF, RFC4555
【非特許文献4】Y.Sheffer, et al.,“IKEv2 Session Resumption draft-ietf-ipsecme-ikev2-resumption-09.txt”,IETF, 2009年10月21日
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、従来技術のIKEの場合、Outer IPアドレスが変更されると通信が切断されてしまうため、通信再開時には、IKE処理を最初から実施して、IPSECのSAを実施し直す必要が生じる。そのため、通信再開までに長い時間を必要とする虞がある。
【0007】
また、MOBIKEの場合、Outer IPアドレスが変更された場合であっても、そのOuter IPアドレスを更新することができるため、簡易にIPSECのSAを実施することができる。ただし、これは、IP網へ常時接続している場合に限られた場合である。すなわち、通信している一方の端末がIP網への接続を切断したり、端末の電源を一旦オフしたりしてしまうと、他方の端末に備わっている死活監視(IKEv1のDead Peer Detection、またはIKEv2のLiveness check)が作動して、一方の端末が死んだものと判断され、IKEのSA情報およびIPSECのSA情報が削除されてしまう。そこで、一方および他方の端末同士は、IP網への接続切断や電源オフの場合には、IKE処理を最初から実施しなければならない。そのため、通信再開までに長い時間を必要とする虞がある。
【0008】
また、Ticket方式は、端末側からの通信再開にしか対処できないため、網終端装置から通信を再開する場合(例えば、PUSH型通信)には、適用できないという問題がある。
【0009】
そこで、本発明の課題は、IPSECパスを確立して行う通信において、その通信中断後のIPSECパスを、そのIPSECパスを用いて通信を行うIPSEC通信装置のいずれの側からも再確立でき、その再確立に要する時間を短くすることを目的とする。
【課題を解決するための手段】
【0010】
本発明は、IPSEC(Security Architecture for Internet Protocol)によるセキュアなパスをSA(Security Association)情報を用いて確立してIPSEC通信を行うIPSEC通信装置であって、自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを通信相手に送信する手段と、前記通信相手から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信する手段と、前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、を備えることを特徴とする。
【0011】
また、本発明は、前記した記載のIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置であって、自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記通信相手との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、前記通信相手から、前記中断モードの実行要求を含む中断要求メッセージを受信する手段と、前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記通信相手に送信する手段と、を備えることを特徴とする。
【0012】
本発明は、IPSECによるセキュアなパスをSA情報を用いて確立してIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、前記IPSEC通信装置が、自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段を備え、前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを通信相手に送信するステップと、前記通信相手から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信するステップと、前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行するステップと、を実行することを特徴とする。
【0013】
また、本発明は、前記したIPSEC通信方法を実行するIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、当該IPSEC通信装置が、自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記通信相手との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段を備え、前記通信相手から、前記中断モードの実行要求を含む中断要求メッセージを受信するステップと、前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行するステップと、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記通信相手に送信するステップと、を実行することを特徴とする。
【0014】
このような構成によれば、通信中断時には、IPSEC通信装置は、IPSEC通信を中断している状態を表す中断モードの処理(ライフタイムの値およびシーケンス番号の増減を停止する処理)を実行している。したがって、IPSEC通信装置の間のパスの確立に用いられたSA情報が一致するように維持しておくことができる。そのため、通信中断後のIPSECパスの再確立時に、最初からIKEおよびIPSECの処理を行う必要はなく、通信再開に要する時間を短くすることができる。
【0015】
本発明は、前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開の要求を示す再開要求メッセージを前記通信相手に送信する手段と、前記通信相手から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信する手段と、前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、を備えることを特徴とする。
【0016】
また、本発明は、前記したIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置であって、前記通信相手から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信する手段と、前記再開要求メッセージを受信して、前記記憶手段を参照し、前記通信相手の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識する手段と、再開要求であることを認識し、前記記憶手段を参照し、前記通信相手の通信状態が前記中断モードであることを認識した場合、前記通信相手の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記通信相手に送信する手段と、を備えることを特徴とする。
【0017】
本発明は、前記IPSEC通信装置が、前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開要求を示す再開要求メッセージを前記通信相手に送信するステップと、前記通信相手から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信するステップと、前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行するステップと、を実行することを特徴とする。
【0018】
また、本発明は、前記したIPSEC通信方法を実行するIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、当該IPSEC通信装置が、前記通信相手から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信するステップと、前記再開要求メッセージを受信して、前記記憶手段を参照し、前記通信相手の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識するステップと、再開要求であることを認識し、前記記憶手段を参照し、前記通信相手の通信状態が前記中断モードであることを認識した場合、前記通信相手の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行するステップと、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記通信相手に送信するステップと、を実行することを特徴とする。
【0019】
また、本発明は、IPSECによるセキュアなパスをSA情報を用いて確立してIPSEC通信を行う第1のIPSEC通信装置と、その通信相手となる第2のIPSEC通信装置とによって構成されるIPSEC通信システムであって、前記第1のIPSEC通信装置が、自身および通信相手となる前記第2のIPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを第2のIPSEC通信装置に送信する手段と、前記第2のIPSEC通信装置から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信する手段と、前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第2のIPSEC通信装置の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開の要求を示す再開要求メッセージを前記第2のIPSEC通信装置に送信する手段と、前記第2のIPSEC通信装置から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信する手段と、前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第2のIPSEC通信装置の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、を備え、前記第2のIPSEC通信装置が、自身および第1のIPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記第1のIPSEC通信装置との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、前記第1のIPSEC通信装置から、前記中断モードの実行要求を含む中断要求メッセージを受信する手段と、前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第1のIPSEC通信装置の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記第1のIPSEC通信装置に送信する手段と、前記第1のIPSEC通信装置から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信する手段と、前記再開要求メッセージを受信して、前記記憶手段を参照し、前記第1のIPSEC通信装置の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識する手段と、再開要求であることを認識し、前記記憶手段を参照し、前記第1のIPSEC通信装置の通信状態が前記中断モードであることを認識した場合、前記第1のIPSEC通信装置の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記第1のIPSEC通信装置に送信する手段と、を備えることを特徴とする。
【0020】
このような構成によれば、中断モードにおいて、IPSECパスを確立したIPSEC通信装置同士のSA情報が一致するように維持しておくことができる。そのため、通信中断後のIPSECパスの再確立時に、最初からIKEおよびIPSECの処理を行う必要はなく、通信再開に要する時間を短くすることができる。また、通信再開時には、パスを確立したときに用いたSA情報に基づいて暗号化したIPSEC通信の再開要求を示す再開要求メッセージを用いるので、なりすまし攻撃を回避することや、セキュリティレベルの低下を防ぐことができる。これは、パスを確立したときに用いたSA情報を備えるIPSEC通信装置にしか、復号化ができないことを利用している。
【0021】
本発明は、前記中断モードの処理を実行しているときに実施する手段として、前記通信相手の死活状態を監視するために用いるライブネス監視メッセージの送受信を停止する手段と、自身のIPアドレスが変更されたとき、自身の装置IDおよび変更された自身のIPアドレスを含む第1のIPアドレス更新メッセージを通信相手に送信する手段と、前記通信相手から送信されてくる前記通信相手の装置IDおよび変更されたIPアドレスを含む第2のIPアドレス更新メッセージを受信する手段と、受信した前記第2のIPアドレス更新メッセージから前記通信相手の装置IDおよび前記変更されたIPアドレスを抽出して、当該装置IDと当該変更されたIPアドレスとを紐付けて前記記憶手段に記憶する手段と、を備え、IPSEC通信の再開時に、前記記憶手段を参照し、前記変更されたIPアドレスを用いて通信を行うことを特徴とする。
【0022】
また、本発明は、前記IPSEC通信装置が、前記中断モードの処理を実行しているときに、前記通信相手の死活状態を監視するために用いるライブネス監視メッセージの送受信を停止するステップと、自身のIPアドレスが変更されたとき、自身の装置IDおよび変更された自身のIPアドレスを含む第1のIPアドレス更新メッセージを通信相手に送信するステップと、前記通信相手から送信されてくる前記通信相手の装置IDおよび変更されたIPアドレスを含む第2のIPアドレス更新メッセージを受信するステップと、受信した前記第2のIPアドレス更新メッセージから前記通信相手の装置IDおよび前記変更されたIPアドレスを抽出して、当該装置IDと当該変更されたIPアドレスとを紐付けて前記記憶手段に記憶するステップと、を実行し、IPSEC通信の再開時に、前記記憶手段を参照し、前記変更されたIPアドレスを用いて通信を行うことを特徴とする。
【0023】
このような構成によれば、IPSEC通信装置のローミング時において、IPアドレスが変更になる場合に対応することができる。すなわち、IPSEC通信装置は、中断モードの間に変更されたIPアドレスを送受信することができるので、IPSEC通信装置の電源を一時的にオフするケースや、一時的に通信不可の状態となるケースであっても、短時間でIPSECパスの再確立を行うことができる。また、既存のSAに備わっていた死活監視を停止するため、SA情報が削除されることを防止でき、通信再開に要する時間を短くすることができる。
【発明の効果】
【0024】
本発明によれば、IPSECパスを確立して行う通信において、その通信中断後のIPSECパスを、そのIPSECパスを用いて通信を行うIPSEC通信装置のいずれの側からも再確立でき、その再確立に要する時間を短くすることができる。
【図面の簡単な説明】
【0025】
【図1】本実施形態におけるセキュア通信システムの構成を示す図である。
【図2】網終端装置の構成例および機能例を示す図である。
【図3】SAパラメータ情報の例を示す図である。
【図4】端末の構成例および機能例を示す図である。
【図5】セキュア通信システムにおけるシーケンス例を示す図である。
【発明を実施するための形態】
【0026】
次に、本発明を実施するための形態(以降「本実施形態」と称す。)について、適宜図面を参照しながら詳細に説明する。
【0027】
(概要)
本実施形態におけるセキュア通信システムの構成について、図1を用いて説明する。図1に示すように、セキュア通信システムでは、IP網3に設備される網終端装置1(IPSEC通信装置)と、1台以上の端末2(IPSEC通信装置)との間にIPSECパスをIKEのSA情報(SA情報)およびIPSECのSA情報(SA情報)を用いて確立する。なお、図1には、網終端装置1を1台しか記載していないが、2台以上であっても構わない。
【0028】
従来技術におけるIPSECのSAパラメータ情報には、IPSECの動作(適用、廃棄、バイパス)、モード(トンネル、トランスポート)、セキュリティプロトコル(ESP(Encapsulating Security Payload)、AH(Authentication Header))、暗号化・メッセージ認証等のアルゴリズムおよび鍵、ライフタイム(SA残存可能な秒数)、シーケンス番号(パケットを受信したら値を1増加することで、リプレイ攻撃を防ぐためのパラメータ)等が用いられている。本発明では、新たに「通信状態」を管理するパラメータを導入している。このパラメータは、実行モード、中断モード、および初期モードの3つの通信状態を場合分けすることに用いられる。
【0029】
実行モードは、IPSEC通信中の状態を表し、SA情報に対してライフタイムの値を減少させ、パケットを受信したときにシーケンス番号を増加する処理を表す。
中断モードは、IPSEC通信を中断中の状態を表し、SA情報に対してライフタイムの値およびシーケンス番号の増減を停止する処理を表す。
初期モードは、IPSECのSAが全く実施されていない状態を表し、IKEおよびIPSECにおける処理を最初から実行する処理を表す。
【0030】
なお、端末2と網終端装置1との間でIKEのSAおよびIPSECのSAを実施する前には、端末2および網終端装置1の通信状態は初期モードに設定されている。そして、IKEのSAおよびIPSECのSAが実施されてIPSECパスが確立したときに、通信状態は実行モードに設定される。また、通信を中断する場合には、通信状態は、実行モードから中断モードに変更される。その後、通信を再開する場合には、通信状態は、中断モードから実行モードに変更される。このようにして、IPSECパスを確立した端末2と網終端装置1とのそれぞれのIKEのSA情報およびIPSECのSA情報を常に一致するようにしておくことができるため、通信中断後のIPSECパスの再確立に要する時間を短くすることができる。
【0031】
(網終端装置)
次に、網終端装置1の構成例および機能例について、図2を用いて説明する。網終端装置1は、処理部11、通信部12、および記憶部13を備える。処理部11は、コンピュータのCPUとメインメモリとで構成され、記憶部13に格納されているアプリケーションプログラムをメインメモリに展開して、中断要求部111、中断応答部112、通信状態変更部113、再開要求部114、および再開応答部115を具現化する。なお、本発明を特徴付ける構成および機能以外の、IKEやIPSECの処理を実行するための構成および機能については、記載を必要最小限に止める。また、網終端装置1の通信相手は、端末2であるものとして説明する。また、網終端装置1および端末2には、それぞれを識別可能な装置ID(後記)が付されているものとする。また、網終端装置1および端末2から送信されるメッセージには、送信元の装置IDが含まれるものとする。
【0032】
中断要求部111は、SAが実施されたIPSECパスが確立した後に、通信を中断する場合、中断モードの実行要求を含む中断要求メッセージを端末2に送信する。
中断応答部112は、中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを端末2に送信する。
再開要求部114は、IPSEC通信の再開要求を示す再開要求メッセージを端末2に送信する。なお、再開要求メッセージは、IKEのSAに基づいて暗号化されている。また、再開要求メッセージは、通信を中断した側から送信しても、中断要求メッセ−ジを受信した側から送信しても構わない。
【0033】
再開応答部115は、再開要求メッセージを受信して、再開要求メッセージに含まれる端末2の装置IDを用いて端末2を認識し、その端末2の装置IDに紐付けられたSA情報(暗号鍵/認証鍵)に基づいて再開要求メッセージを復号化して、再開要求であることを認識する。そして、再開応答部115は、再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを、端末2に送信する。
【0034】
通信状態変更部113は、中断要求メッセージまたは中断応答メッセージを受信して、自身および端末2の装置IDに紐付けられている通信状態を、実行モードから中断モードに変更し、中断モードの処理を実行する。また、通信状態変更部113は、再開要求メッセージまたは再開応答メッセージを受信して、自身および端末2の装置IDに紐付けられている通信状態を、中断モードから実行モードに変更し、実行モードの処理を実行する。
【0035】
通信部12は、端末2との間において、データの送受信を制御する。
記憶部13は、SAパラメータDB131を記憶している。SAパラメメータDB131は、端末2との間でパスの確立に用いたSA情報を、自身の装置IDおよび通信相手の端末2の装置IDに紐付けて記憶している。また、SAパラメメータDB131は、通信状態(実行モード、中断モード、初期モード)を端末2の装置IDに紐付けて記憶している。
【0036】
図3には、SAパラメータDB131の詳細を示す。図3に示すように、SAパラメータDB131は、装置ID,既存のSA情報、および通信状態を紐付けて記憶している。既存のSA情報は、パスの確立に用いたSA情報であって、従来技術で述べたIKEのSAやIPSECのSAで用いられるパラメータに関する情報である。また、通信状態は、本発明で新たに導入したパラメータであって、前記したように、実行モード、中断モード、初期モードの3つによって表される。
【0037】
(端末)
次に、端末2の構成例および機能例について、図4を用いて説明する。図4に示すように、端末2は、処理部21、通信部22、および記憶部23を備える。処理部21は、コンピュータのCPUとメインメモリとで構成され、記憶部23に格納されているアプリケーションプログラムをメインメモリに展開して、中断要求部211、中断応答部212、通信状態変更部213、再開要求部214、および再開応答部215を具現化する。なお、中断要求部211、中断応答部212、通信状態変更部213、再開要求部214、再開応答部215、および通信部22の各処理は、図2に示した中断要求部111、中断応答部112、通信状態変更部113、再開要求部114、再開応答部115、および通信部12の各処理において、通信相手を網終端装置1とする以外は同様の処理を実行するので説明を省略する。また、本発明を特徴付ける構成および機能以外の、IKEやIPSECの構成および機能については、記載を必要最小限に止める。
【0038】
記憶部23は、SAパラメータDB231を記憶している。SAパラメメータDB231は、図3に示すSAパラメータDB131と同様に、網終端装置1との間でIPSECパスの確立に用いた既存のSA情報を、網終端装置1の装置IDに紐付けて記憶している。また、SAパラメメータDB231は、通信状態(実行モード、中断モード、初期モード)を自身の装置IDおよび通信相手の網終端装置1の装置IDに紐付けて記憶している。
【0039】
(シーケンス例)
次に、本実施形態における端末2と網終端装置1との間のシーケンス例について、図5を用いて説明する。なお、図5では、端末2が通信中断を実施し、端末2が通信再開を実施する場合について示しているが、網終端装置1が通信中断を実施し、網終端装置1が通信再開を実施しても構わない。また、端末2が通信中断を実施し、網終端装置1が通信再開を実施してもよく、その逆であっても構わない。
【0040】
ステップS501では、端末2と網終端装置1との間で、IKEのSAおよびIPSECのSAを実施(初期接続)する。
ステップS502では、端末2と網終端装置1との間で、セッションが確立される。
ステップS503では、端末2は、通信中断の処理を開始する。
ステップS504では、端末2の中断要求部211は、中断モードの実行要求を含む中断要求メッセージを網終端装置1に送信する。
【0041】
ステップS505では、網終端装置1の通信状態変更部113は、中断要求メッセージを受信する。そして、通信状態変更部113は、SAパラメータDB131を参照して、自身および端末2の装置IDに紐付けられている通信状態を、それぞれ実行モードから中断モードに変更し、中断モードの処理を実行する。
【0042】
なお、通信状態変更部113は、中断モードの間、端末2の死活状態を監視するために用いるライブネス監視メッセージの送受信を停止する。この理由は、死活監視が働くと、SA情報を削除してしまうためである。
【0043】
また、中断モードでは、処理部11は、再開要求メッセージおよびIPアドレス更新メッセージのみを受け付け、それ以外のパケットはサイレントディスカードにする。IPアドレス更新メッセージは、変更されたIPアドレスを通信相手に通知する情報である。IPアドレス更新メッセージを受信できるようにすることは、ローミング等にともなってサブネットやプレフィクスが以前と異なる新たなネットワークから接続を行うことになると、端末2および網終端装置1のIPSECのSAのOuter IPアドレス(すなわち、再開要求メッセージの宛先)が変更されることに対応するためである。そこで、処理部11は、IPアドレスが変更されたときに、その変更されたIPアドレスを含むIPアドレス更新メッセージを通信相手に送信する。例えば、IPアドレス更新メッセージは、MOBIKEによって送受信されてもよい。なお、変更されたIPアドレスは、送信元の装置IDに紐付けて記憶部13に記憶される。
【0044】
ステップS506では、網終端装置1の中断応答部112は、中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを端末2に送信する。
ステップS507では、端末2の通信状態変更部213は、中断応答メッセージを受信して、SAパラメータDB231を参照し、自身および網終端装置1の装置IDに紐付けられている通信状態を、それぞれ実行モードから中断モードに変更し、中断モードの処理を実行する。
ステップS508では、端末2と網終端装置1との間では、IPSEC通信が中断される。すなわち、IPSECのSAを用いた通信が不可となる。
【0045】
ステップS509では、中断モードの端末2は、通信を再開する場合、再開要求部214がIPSEC通信の再開要求を示す再開要求メッセージを網終端装置1に送信する。この再開要求メッセージは、IKEのSA情報に基づいて暗号化されており、これを復号化できるのは、通信中断前に端末2とIPSECパスを確立していた網終端装置1だけである。なお、端末2は、網3へ接続され電源オンにされると、網3を構成するルータ等からアドレス広告が行われて、通信が行える状態となり、その後、通信再開要求メッセージを送信する。
【0046】
ステップS510では、網端末装置1の再開応答部115は、再開要求メッセージを受信して、再開要求メッセージに含まれる端末2の装置IDを用いて端末2を認識し、SAパラメータDB131を参照して、その端末2の装置IDに紐付けられたSA情報(暗号鍵/認証鍵)に基づいて再開要求メッセージを復号化し、再開要求であることを認識する。
次に、通信状態変更部113は、SAパラメータDB131を参照して、再開要求をしてきた端末2の通信状態が中断モードであることを認識した場合、自身および端末2の装置IDに紐付けられている通信状態を、それぞれ中断モードから実行モードに変更し、実行モードの処理(既存のIKEのSAおよびIPSECのSAに基づく処理)を実行する。
【0047】
ステップS511では、網終端装置1の再開応答部115は、再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを端末2に送信する。
ステップS512では、端末2の通信状態変更部213は、再開応答メッセージを受信し、SAパラメータDB231を参照して、自身および網終端装置1の装置IDに紐付けられている通信状態を、それぞれ中継モードから実行モードに変更し、実行モードの処理(既存のIKEのSAおよびIPSECのSAに基づく処理)を実行する。
ステップS513では、端末2と網終端装置1との間で、セッションが再確立される。
【0048】
以上、本実施形態では、既存のSA情報に、新たに「通信状態」を管理するパラメータを加え、その通信状態として実行モード、中断モード、および初期モードの3つのモードを導入している。端末2と網終端装置1との間でIKEのSAおよびIPSECのSAを実施する前には、端末2および網終端装置1の通信状態は初期モードに設定されている。そして、IKEのSAおよびIPSECのSAが実施されてIPSECパスが確立したときに、通信状態は実行モードに設定される。また、通信を中断する場合には、通信状態は、実行モードから中断モードに変更される。その後、通信を再開する場合には、通信状態は、中断モードから実行モードに変更される。
【0049】
なお、中断モードでは、SA情報に対するライフタイムの値およびシーケンス番号の値の増減を停止する。また、中断モードの間は、死活監視のためのライブネス監視メッセージの送受信を行わないようにする。また、中断モードでは、再開要求メッセージおよびIPアドレスの変更を示すIPアドレス更新メッセージのみが受け付けられ、それ以外のパケットはサイレントディスカードにされる。
【0050】
このようにして、本実施形態は、端末2と網終端装置1との間のSA情報を一致するようにしておくことができるため、通信中断後のIPSECパスの再確立に要する時間を短くすることができる。また、端末2のローミング時において、端末2の電源を一時的にオフするケースや、一時的に通信不可の状態となるケースであっても、端末2および網終端装置1のいずれの側からでも短時間でIPSECパスの再確立を行うことができる。また、通信状態を中断モードにした場合、端末2および網終端装置1は、再開要求メッセージおよびIPアドレス更新メッセージ以外を一切受け付けないので、なりすまし攻撃等による処理負荷増加を回避することや、セキュリティレベルの低下を防ぐことができる。
【0051】
また、本実施形態では、端末2と網終端装置1との間のIPSEC通信のケースについて説明したが、端末2同士のIPSEC通信のケースまたは網終端装置1同士のIPSEC通信のケースであっても構わない。
【符号の説明】
【0052】
1 網終端装置(IPSEC通信装置)
2 端末(IPSEC通信装置)
11,21 処理部
12,22 通信部
13,23 記憶部
111,211 中断要求部
112,212 中断応答部
113,213 通信状態変更部
114,214 再開要求部
115,215 再開応答部
131,231 SAパラメータDB
【技術分野】
【0001】
本発明は、IPSEC(Security Architecture for Internet Protocol)を用いたセキュアなパス(IPSECパス)を確立して行う通信において、その通信中断後のIPSECパスの再確立に要する時間を短くする技術に関する。
【背景技術】
【0002】
セキュリティで保護されたパスを確立するために、データの交換方法および保護方法について合意を結ぶ手続のことをSA(Security Association,セキュリティアソシエーション)という。IPSECにおけるSA(以降、IPSECのSAと称す。)を実施する場合、そのIPSECのSAの一部として、IETF(Internet Engineering Task Force)で標準化されているIKE(The Internet Key Exchange)が用いられている。IKEには、RFC(Request for Comments)2409に規定されているIKEv1(非特許文献1)や、RFC4306には規定されている、IKEv1のSAの脆弱性を改善したIKEv2(非特許文献2)がある。IKEv2には、暗号化やメッセージ認証を行うためのアルゴリズム等のパラメータ交渉、Diffie-Hellmanの仕組みを用いた暗号鍵/認証鍵の生成、IDパスワード等によるユーザ認証、IPアドレスの払出し等の機能が含まれ、SAの実施に用いられている。
【0003】
また、IETFのRFC4555(非特許文献3)には、IKEv2を拡張したプロトコルとして、標準化されたMOBIKE(IKEv2 Mobility and Multihoming Protocol)が規定されている。MOBIKEが標準化される前までは、IPSECのSAは、IPアドレス(例えば、トンネルモードのOuter IPアドレス)に変更が生じた場合、通信を継続することができなかった。そのため、通信を再開する場合には、IKE処理を最初から行わなければならなかった。MOBIKEでは、IKEのINFORMATIONALメッセージを拡張することによって、IPSECのSAで用いているOuter IPアドレス変更を通信相手に通知することができるようになった。そのため、MOBIKEでは、通信を再開するときに、通信相手がIPSECのSAで用いるOuter IPアドレスを既に変更できているので、IKE処理を最初から行う必要がなくなった。
【0004】
また、現在、IETFで標準化を検討中のTicket方式が非特許文献4に記載されている。Ticket方式は、多数の端末のIPSECパスを終端する網終端装置の故障後の通信再開時に、多数の端末から同時に通信再開のためのSAが集中することによって、網終端装置の処理負荷が過負荷になることを軽減するための方法である。具体的には、Ticket方式では、IPSECのSAを実施するために必要な情報を「チケット」に格納しておいて、この「チケット」を通信再開時に、端末から提示することで、網終端装置は、以前にSAを交わしたことのある端末であると認識することができる。そのため、網終端装置および端末は、IKEのSAにおける暗号鍵/認証鍵の生成や、認証処理をスキップして、簡易にIPSECのSAを実施できる。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】D.Harkins, et al.,“The Internet Key Exchange (IKE)”,IETF, RFC2409
【非特許文献2】C. Kaufman,“Internet Key Exchange (IKEv2) Protocol”,IETF, RFC4306
【非特許文献3】P.Eronen,“IKEv2 Mobility and Multihoming Protocol (MOBIKE)”,IETF, RFC4555
【非特許文献4】Y.Sheffer, et al.,“IKEv2 Session Resumption draft-ietf-ipsecme-ikev2-resumption-09.txt”,IETF, 2009年10月21日
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、従来技術のIKEの場合、Outer IPアドレスが変更されると通信が切断されてしまうため、通信再開時には、IKE処理を最初から実施して、IPSECのSAを実施し直す必要が生じる。そのため、通信再開までに長い時間を必要とする虞がある。
【0007】
また、MOBIKEの場合、Outer IPアドレスが変更された場合であっても、そのOuter IPアドレスを更新することができるため、簡易にIPSECのSAを実施することができる。ただし、これは、IP網へ常時接続している場合に限られた場合である。すなわち、通信している一方の端末がIP網への接続を切断したり、端末の電源を一旦オフしたりしてしまうと、他方の端末に備わっている死活監視(IKEv1のDead Peer Detection、またはIKEv2のLiveness check)が作動して、一方の端末が死んだものと判断され、IKEのSA情報およびIPSECのSA情報が削除されてしまう。そこで、一方および他方の端末同士は、IP網への接続切断や電源オフの場合には、IKE処理を最初から実施しなければならない。そのため、通信再開までに長い時間を必要とする虞がある。
【0008】
また、Ticket方式は、端末側からの通信再開にしか対処できないため、網終端装置から通信を再開する場合(例えば、PUSH型通信)には、適用できないという問題がある。
【0009】
そこで、本発明の課題は、IPSECパスを確立して行う通信において、その通信中断後のIPSECパスを、そのIPSECパスを用いて通信を行うIPSEC通信装置のいずれの側からも再確立でき、その再確立に要する時間を短くすることを目的とする。
【課題を解決するための手段】
【0010】
本発明は、IPSEC(Security Architecture for Internet Protocol)によるセキュアなパスをSA(Security Association)情報を用いて確立してIPSEC通信を行うIPSEC通信装置であって、自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを通信相手に送信する手段と、前記通信相手から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信する手段と、前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、を備えることを特徴とする。
【0011】
また、本発明は、前記した記載のIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置であって、自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記通信相手との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、前記通信相手から、前記中断モードの実行要求を含む中断要求メッセージを受信する手段と、前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記通信相手に送信する手段と、を備えることを特徴とする。
【0012】
本発明は、IPSECによるセキュアなパスをSA情報を用いて確立してIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、前記IPSEC通信装置が、自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段を備え、前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを通信相手に送信するステップと、前記通信相手から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信するステップと、前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行するステップと、を実行することを特徴とする。
【0013】
また、本発明は、前記したIPSEC通信方法を実行するIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、当該IPSEC通信装置が、自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記通信相手との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段を備え、前記通信相手から、前記中断モードの実行要求を含む中断要求メッセージを受信するステップと、前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行するステップと、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記通信相手に送信するステップと、を実行することを特徴とする。
【0014】
このような構成によれば、通信中断時には、IPSEC通信装置は、IPSEC通信を中断している状態を表す中断モードの処理(ライフタイムの値およびシーケンス番号の増減を停止する処理)を実行している。したがって、IPSEC通信装置の間のパスの確立に用いられたSA情報が一致するように維持しておくことができる。そのため、通信中断後のIPSECパスの再確立時に、最初からIKEおよびIPSECの処理を行う必要はなく、通信再開に要する時間を短くすることができる。
【0015】
本発明は、前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開の要求を示す再開要求メッセージを前記通信相手に送信する手段と、前記通信相手から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信する手段と、前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、を備えることを特徴とする。
【0016】
また、本発明は、前記したIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置であって、前記通信相手から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信する手段と、前記再開要求メッセージを受信して、前記記憶手段を参照し、前記通信相手の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識する手段と、再開要求であることを認識し、前記記憶手段を参照し、前記通信相手の通信状態が前記中断モードであることを認識した場合、前記通信相手の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記通信相手に送信する手段と、を備えることを特徴とする。
【0017】
本発明は、前記IPSEC通信装置が、前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開要求を示す再開要求メッセージを前記通信相手に送信するステップと、前記通信相手から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信するステップと、前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行するステップと、を実行することを特徴とする。
【0018】
また、本発明は、前記したIPSEC通信方法を実行するIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、当該IPSEC通信装置が、前記通信相手から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信するステップと、前記再開要求メッセージを受信して、前記記憶手段を参照し、前記通信相手の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識するステップと、再開要求であることを認識し、前記記憶手段を参照し、前記通信相手の通信状態が前記中断モードであることを認識した場合、前記通信相手の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行するステップと、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記通信相手に送信するステップと、を実行することを特徴とする。
【0019】
また、本発明は、IPSECによるセキュアなパスをSA情報を用いて確立してIPSEC通信を行う第1のIPSEC通信装置と、その通信相手となる第2のIPSEC通信装置とによって構成されるIPSEC通信システムであって、前記第1のIPSEC通信装置が、自身および通信相手となる前記第2のIPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを第2のIPSEC通信装置に送信する手段と、前記第2のIPSEC通信装置から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信する手段と、前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第2のIPSEC通信装置の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開の要求を示す再開要求メッセージを前記第2のIPSEC通信装置に送信する手段と、前記第2のIPSEC通信装置から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信する手段と、前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第2のIPSEC通信装置の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、を備え、前記第2のIPSEC通信装置が、自身および第1のIPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記第1のIPSEC通信装置との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、前記第1のIPSEC通信装置から、前記中断モードの実行要求を含む中断要求メッセージを受信する手段と、前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第1のIPSEC通信装置の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記第1のIPSEC通信装置に送信する手段と、前記第1のIPSEC通信装置から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信する手段と、前記再開要求メッセージを受信して、前記記憶手段を参照し、前記第1のIPSEC通信装置の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識する手段と、再開要求であることを認識し、前記記憶手段を参照し、前記第1のIPSEC通信装置の通信状態が前記中断モードであることを認識した場合、前記第1のIPSEC通信装置の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記第1のIPSEC通信装置に送信する手段と、を備えることを特徴とする。
【0020】
このような構成によれば、中断モードにおいて、IPSECパスを確立したIPSEC通信装置同士のSA情報が一致するように維持しておくことができる。そのため、通信中断後のIPSECパスの再確立時に、最初からIKEおよびIPSECの処理を行う必要はなく、通信再開に要する時間を短くすることができる。また、通信再開時には、パスを確立したときに用いたSA情報に基づいて暗号化したIPSEC通信の再開要求を示す再開要求メッセージを用いるので、なりすまし攻撃を回避することや、セキュリティレベルの低下を防ぐことができる。これは、パスを確立したときに用いたSA情報を備えるIPSEC通信装置にしか、復号化ができないことを利用している。
【0021】
本発明は、前記中断モードの処理を実行しているときに実施する手段として、前記通信相手の死活状態を監視するために用いるライブネス監視メッセージの送受信を停止する手段と、自身のIPアドレスが変更されたとき、自身の装置IDおよび変更された自身のIPアドレスを含む第1のIPアドレス更新メッセージを通信相手に送信する手段と、前記通信相手から送信されてくる前記通信相手の装置IDおよび変更されたIPアドレスを含む第2のIPアドレス更新メッセージを受信する手段と、受信した前記第2のIPアドレス更新メッセージから前記通信相手の装置IDおよび前記変更されたIPアドレスを抽出して、当該装置IDと当該変更されたIPアドレスとを紐付けて前記記憶手段に記憶する手段と、を備え、IPSEC通信の再開時に、前記記憶手段を参照し、前記変更されたIPアドレスを用いて通信を行うことを特徴とする。
【0022】
また、本発明は、前記IPSEC通信装置が、前記中断モードの処理を実行しているときに、前記通信相手の死活状態を監視するために用いるライブネス監視メッセージの送受信を停止するステップと、自身のIPアドレスが変更されたとき、自身の装置IDおよび変更された自身のIPアドレスを含む第1のIPアドレス更新メッセージを通信相手に送信するステップと、前記通信相手から送信されてくる前記通信相手の装置IDおよび変更されたIPアドレスを含む第2のIPアドレス更新メッセージを受信するステップと、受信した前記第2のIPアドレス更新メッセージから前記通信相手の装置IDおよび前記変更されたIPアドレスを抽出して、当該装置IDと当該変更されたIPアドレスとを紐付けて前記記憶手段に記憶するステップと、を実行し、IPSEC通信の再開時に、前記記憶手段を参照し、前記変更されたIPアドレスを用いて通信を行うことを特徴とする。
【0023】
このような構成によれば、IPSEC通信装置のローミング時において、IPアドレスが変更になる場合に対応することができる。すなわち、IPSEC通信装置は、中断モードの間に変更されたIPアドレスを送受信することができるので、IPSEC通信装置の電源を一時的にオフするケースや、一時的に通信不可の状態となるケースであっても、短時間でIPSECパスの再確立を行うことができる。また、既存のSAに備わっていた死活監視を停止するため、SA情報が削除されることを防止でき、通信再開に要する時間を短くすることができる。
【発明の効果】
【0024】
本発明によれば、IPSECパスを確立して行う通信において、その通信中断後のIPSECパスを、そのIPSECパスを用いて通信を行うIPSEC通信装置のいずれの側からも再確立でき、その再確立に要する時間を短くすることができる。
【図面の簡単な説明】
【0025】
【図1】本実施形態におけるセキュア通信システムの構成を示す図である。
【図2】網終端装置の構成例および機能例を示す図である。
【図3】SAパラメータ情報の例を示す図である。
【図4】端末の構成例および機能例を示す図である。
【図5】セキュア通信システムにおけるシーケンス例を示す図である。
【発明を実施するための形態】
【0026】
次に、本発明を実施するための形態(以降「本実施形態」と称す。)について、適宜図面を参照しながら詳細に説明する。
【0027】
(概要)
本実施形態におけるセキュア通信システムの構成について、図1を用いて説明する。図1に示すように、セキュア通信システムでは、IP網3に設備される網終端装置1(IPSEC通信装置)と、1台以上の端末2(IPSEC通信装置)との間にIPSECパスをIKEのSA情報(SA情報)およびIPSECのSA情報(SA情報)を用いて確立する。なお、図1には、網終端装置1を1台しか記載していないが、2台以上であっても構わない。
【0028】
従来技術におけるIPSECのSAパラメータ情報には、IPSECの動作(適用、廃棄、バイパス)、モード(トンネル、トランスポート)、セキュリティプロトコル(ESP(Encapsulating Security Payload)、AH(Authentication Header))、暗号化・メッセージ認証等のアルゴリズムおよび鍵、ライフタイム(SA残存可能な秒数)、シーケンス番号(パケットを受信したら値を1増加することで、リプレイ攻撃を防ぐためのパラメータ)等が用いられている。本発明では、新たに「通信状態」を管理するパラメータを導入している。このパラメータは、実行モード、中断モード、および初期モードの3つの通信状態を場合分けすることに用いられる。
【0029】
実行モードは、IPSEC通信中の状態を表し、SA情報に対してライフタイムの値を減少させ、パケットを受信したときにシーケンス番号を増加する処理を表す。
中断モードは、IPSEC通信を中断中の状態を表し、SA情報に対してライフタイムの値およびシーケンス番号の増減を停止する処理を表す。
初期モードは、IPSECのSAが全く実施されていない状態を表し、IKEおよびIPSECにおける処理を最初から実行する処理を表す。
【0030】
なお、端末2と網終端装置1との間でIKEのSAおよびIPSECのSAを実施する前には、端末2および網終端装置1の通信状態は初期モードに設定されている。そして、IKEのSAおよびIPSECのSAが実施されてIPSECパスが確立したときに、通信状態は実行モードに設定される。また、通信を中断する場合には、通信状態は、実行モードから中断モードに変更される。その後、通信を再開する場合には、通信状態は、中断モードから実行モードに変更される。このようにして、IPSECパスを確立した端末2と網終端装置1とのそれぞれのIKEのSA情報およびIPSECのSA情報を常に一致するようにしておくことができるため、通信中断後のIPSECパスの再確立に要する時間を短くすることができる。
【0031】
(網終端装置)
次に、網終端装置1の構成例および機能例について、図2を用いて説明する。網終端装置1は、処理部11、通信部12、および記憶部13を備える。処理部11は、コンピュータのCPUとメインメモリとで構成され、記憶部13に格納されているアプリケーションプログラムをメインメモリに展開して、中断要求部111、中断応答部112、通信状態変更部113、再開要求部114、および再開応答部115を具現化する。なお、本発明を特徴付ける構成および機能以外の、IKEやIPSECの処理を実行するための構成および機能については、記載を必要最小限に止める。また、網終端装置1の通信相手は、端末2であるものとして説明する。また、網終端装置1および端末2には、それぞれを識別可能な装置ID(後記)が付されているものとする。また、網終端装置1および端末2から送信されるメッセージには、送信元の装置IDが含まれるものとする。
【0032】
中断要求部111は、SAが実施されたIPSECパスが確立した後に、通信を中断する場合、中断モードの実行要求を含む中断要求メッセージを端末2に送信する。
中断応答部112は、中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを端末2に送信する。
再開要求部114は、IPSEC通信の再開要求を示す再開要求メッセージを端末2に送信する。なお、再開要求メッセージは、IKEのSAに基づいて暗号化されている。また、再開要求メッセージは、通信を中断した側から送信しても、中断要求メッセ−ジを受信した側から送信しても構わない。
【0033】
再開応答部115は、再開要求メッセージを受信して、再開要求メッセージに含まれる端末2の装置IDを用いて端末2を認識し、その端末2の装置IDに紐付けられたSA情報(暗号鍵/認証鍵)に基づいて再開要求メッセージを復号化して、再開要求であることを認識する。そして、再開応答部115は、再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを、端末2に送信する。
【0034】
通信状態変更部113は、中断要求メッセージまたは中断応答メッセージを受信して、自身および端末2の装置IDに紐付けられている通信状態を、実行モードから中断モードに変更し、中断モードの処理を実行する。また、通信状態変更部113は、再開要求メッセージまたは再開応答メッセージを受信して、自身および端末2の装置IDに紐付けられている通信状態を、中断モードから実行モードに変更し、実行モードの処理を実行する。
【0035】
通信部12は、端末2との間において、データの送受信を制御する。
記憶部13は、SAパラメータDB131を記憶している。SAパラメメータDB131は、端末2との間でパスの確立に用いたSA情報を、自身の装置IDおよび通信相手の端末2の装置IDに紐付けて記憶している。また、SAパラメメータDB131は、通信状態(実行モード、中断モード、初期モード)を端末2の装置IDに紐付けて記憶している。
【0036】
図3には、SAパラメータDB131の詳細を示す。図3に示すように、SAパラメータDB131は、装置ID,既存のSA情報、および通信状態を紐付けて記憶している。既存のSA情報は、パスの確立に用いたSA情報であって、従来技術で述べたIKEのSAやIPSECのSAで用いられるパラメータに関する情報である。また、通信状態は、本発明で新たに導入したパラメータであって、前記したように、実行モード、中断モード、初期モードの3つによって表される。
【0037】
(端末)
次に、端末2の構成例および機能例について、図4を用いて説明する。図4に示すように、端末2は、処理部21、通信部22、および記憶部23を備える。処理部21は、コンピュータのCPUとメインメモリとで構成され、記憶部23に格納されているアプリケーションプログラムをメインメモリに展開して、中断要求部211、中断応答部212、通信状態変更部213、再開要求部214、および再開応答部215を具現化する。なお、中断要求部211、中断応答部212、通信状態変更部213、再開要求部214、再開応答部215、および通信部22の各処理は、図2に示した中断要求部111、中断応答部112、通信状態変更部113、再開要求部114、再開応答部115、および通信部12の各処理において、通信相手を網終端装置1とする以外は同様の処理を実行するので説明を省略する。また、本発明を特徴付ける構成および機能以外の、IKEやIPSECの構成および機能については、記載を必要最小限に止める。
【0038】
記憶部23は、SAパラメータDB231を記憶している。SAパラメメータDB231は、図3に示すSAパラメータDB131と同様に、網終端装置1との間でIPSECパスの確立に用いた既存のSA情報を、網終端装置1の装置IDに紐付けて記憶している。また、SAパラメメータDB231は、通信状態(実行モード、中断モード、初期モード)を自身の装置IDおよび通信相手の網終端装置1の装置IDに紐付けて記憶している。
【0039】
(シーケンス例)
次に、本実施形態における端末2と網終端装置1との間のシーケンス例について、図5を用いて説明する。なお、図5では、端末2が通信中断を実施し、端末2が通信再開を実施する場合について示しているが、網終端装置1が通信中断を実施し、網終端装置1が通信再開を実施しても構わない。また、端末2が通信中断を実施し、網終端装置1が通信再開を実施してもよく、その逆であっても構わない。
【0040】
ステップS501では、端末2と網終端装置1との間で、IKEのSAおよびIPSECのSAを実施(初期接続)する。
ステップS502では、端末2と網終端装置1との間で、セッションが確立される。
ステップS503では、端末2は、通信中断の処理を開始する。
ステップS504では、端末2の中断要求部211は、中断モードの実行要求を含む中断要求メッセージを網終端装置1に送信する。
【0041】
ステップS505では、網終端装置1の通信状態変更部113は、中断要求メッセージを受信する。そして、通信状態変更部113は、SAパラメータDB131を参照して、自身および端末2の装置IDに紐付けられている通信状態を、それぞれ実行モードから中断モードに変更し、中断モードの処理を実行する。
【0042】
なお、通信状態変更部113は、中断モードの間、端末2の死活状態を監視するために用いるライブネス監視メッセージの送受信を停止する。この理由は、死活監視が働くと、SA情報を削除してしまうためである。
【0043】
また、中断モードでは、処理部11は、再開要求メッセージおよびIPアドレス更新メッセージのみを受け付け、それ以外のパケットはサイレントディスカードにする。IPアドレス更新メッセージは、変更されたIPアドレスを通信相手に通知する情報である。IPアドレス更新メッセージを受信できるようにすることは、ローミング等にともなってサブネットやプレフィクスが以前と異なる新たなネットワークから接続を行うことになると、端末2および網終端装置1のIPSECのSAのOuter IPアドレス(すなわち、再開要求メッセージの宛先)が変更されることに対応するためである。そこで、処理部11は、IPアドレスが変更されたときに、その変更されたIPアドレスを含むIPアドレス更新メッセージを通信相手に送信する。例えば、IPアドレス更新メッセージは、MOBIKEによって送受信されてもよい。なお、変更されたIPアドレスは、送信元の装置IDに紐付けて記憶部13に記憶される。
【0044】
ステップS506では、網終端装置1の中断応答部112は、中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを端末2に送信する。
ステップS507では、端末2の通信状態変更部213は、中断応答メッセージを受信して、SAパラメータDB231を参照し、自身および網終端装置1の装置IDに紐付けられている通信状態を、それぞれ実行モードから中断モードに変更し、中断モードの処理を実行する。
ステップS508では、端末2と網終端装置1との間では、IPSEC通信が中断される。すなわち、IPSECのSAを用いた通信が不可となる。
【0045】
ステップS509では、中断モードの端末2は、通信を再開する場合、再開要求部214がIPSEC通信の再開要求を示す再開要求メッセージを網終端装置1に送信する。この再開要求メッセージは、IKEのSA情報に基づいて暗号化されており、これを復号化できるのは、通信中断前に端末2とIPSECパスを確立していた網終端装置1だけである。なお、端末2は、網3へ接続され電源オンにされると、網3を構成するルータ等からアドレス広告が行われて、通信が行える状態となり、その後、通信再開要求メッセージを送信する。
【0046】
ステップS510では、網端末装置1の再開応答部115は、再開要求メッセージを受信して、再開要求メッセージに含まれる端末2の装置IDを用いて端末2を認識し、SAパラメータDB131を参照して、その端末2の装置IDに紐付けられたSA情報(暗号鍵/認証鍵)に基づいて再開要求メッセージを復号化し、再開要求であることを認識する。
次に、通信状態変更部113は、SAパラメータDB131を参照して、再開要求をしてきた端末2の通信状態が中断モードであることを認識した場合、自身および端末2の装置IDに紐付けられている通信状態を、それぞれ中断モードから実行モードに変更し、実行モードの処理(既存のIKEのSAおよびIPSECのSAに基づく処理)を実行する。
【0047】
ステップS511では、網終端装置1の再開応答部115は、再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを端末2に送信する。
ステップS512では、端末2の通信状態変更部213は、再開応答メッセージを受信し、SAパラメータDB231を参照して、自身および網終端装置1の装置IDに紐付けられている通信状態を、それぞれ中継モードから実行モードに変更し、実行モードの処理(既存のIKEのSAおよびIPSECのSAに基づく処理)を実行する。
ステップS513では、端末2と網終端装置1との間で、セッションが再確立される。
【0048】
以上、本実施形態では、既存のSA情報に、新たに「通信状態」を管理するパラメータを加え、その通信状態として実行モード、中断モード、および初期モードの3つのモードを導入している。端末2と網終端装置1との間でIKEのSAおよびIPSECのSAを実施する前には、端末2および網終端装置1の通信状態は初期モードに設定されている。そして、IKEのSAおよびIPSECのSAが実施されてIPSECパスが確立したときに、通信状態は実行モードに設定される。また、通信を中断する場合には、通信状態は、実行モードから中断モードに変更される。その後、通信を再開する場合には、通信状態は、中断モードから実行モードに変更される。
【0049】
なお、中断モードでは、SA情報に対するライフタイムの値およびシーケンス番号の値の増減を停止する。また、中断モードの間は、死活監視のためのライブネス監視メッセージの送受信を行わないようにする。また、中断モードでは、再開要求メッセージおよびIPアドレスの変更を示すIPアドレス更新メッセージのみが受け付けられ、それ以外のパケットはサイレントディスカードにされる。
【0050】
このようにして、本実施形態は、端末2と網終端装置1との間のSA情報を一致するようにしておくことができるため、通信中断後のIPSECパスの再確立に要する時間を短くすることができる。また、端末2のローミング時において、端末2の電源を一時的にオフするケースや、一時的に通信不可の状態となるケースであっても、端末2および網終端装置1のいずれの側からでも短時間でIPSECパスの再確立を行うことができる。また、通信状態を中断モードにした場合、端末2および網終端装置1は、再開要求メッセージおよびIPアドレス更新メッセージ以外を一切受け付けないので、なりすまし攻撃等による処理負荷増加を回避することや、セキュリティレベルの低下を防ぐことができる。
【0051】
また、本実施形態では、端末2と網終端装置1との間のIPSEC通信のケースについて説明したが、端末2同士のIPSEC通信のケースまたは網終端装置1同士のIPSEC通信のケースであっても構わない。
【符号の説明】
【0052】
1 網終端装置(IPSEC通信装置)
2 端末(IPSEC通信装置)
11,21 処理部
12,22 通信部
13,23 記憶部
111,211 中断要求部
112,212 中断応答部
113,213 通信状態変更部
114,214 再開要求部
115,215 再開応答部
131,231 SAパラメータDB
【特許請求の範囲】
【請求項1】
IPSEC(Security Architecture for Internet Protocol)によるセキュアなパスをSA(Security Association)情報を用いて確立してIPSEC通信を行うIPSEC通信装置であって、
自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、
前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを通信相手に送信する手段と、
前記通信相手から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信する手段と、
前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、
を備えることを特徴とするIPSEC通信装置。
【請求項2】
請求項1に記載のIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置であって、
自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記通信相手との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、
前記通信相手から、前記中断モードの実行要求を含む中断要求メッセージを受信する手段と、
前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、
前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記通信相手に送信する手段と、
を備えることを特徴とするIPSEC通信装置。
【請求項3】
前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開の要求を示す再開要求メッセージを前記通信相手に送信する手段と、
前記通信相手から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信する手段と、
前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、
を備えることを特徴とする請求項1または請求項2に記載のIPSEC通信装置。
【請求項4】
請求項3に記載のIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置であって、
前記通信相手から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信する手段と、
前記再開要求メッセージを受信して、前記記憶手段を参照し、前記通信相手の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識する手段と、
再開要求であることを認識し、前記記憶手段を参照し、前記通信相手の通信状態が前記中断モードであることを認識した場合、前記通信相手の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、
前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記通信相手に送信する手段と、
を備えることを特徴とする請求項1または請求項2に記載のIPSEC通信装置。
【請求項5】
前記中断モードの処理を実行しているときに実施する手段として、
前記通信相手の死活状態を監視するために用いるライブネス監視メッセージの送受信を停止する手段と、
自身のIPアドレスが変更されたとき、自身の装置IDおよび変更された自身のIPアドレスを含む第1のIPアドレス更新メッセージを通信相手に送信する手段と、
前記通信相手から送信されてくる前記通信相手の装置IDおよび変更されたIPアドレスを含む第2のIPアドレス更新メッセージを受信する手段と、
受信した前記第2のIPアドレス更新メッセージから前記通信相手の装置IDおよび前記変更されたIPアドレスを抽出して、当該装置IDと当該変更されたIPアドレスとを紐付けて前記記憶手段に記憶する手段と、
を備え、
IPSEC通信の再開時に、前記記憶手段を参照し、前記変更されたIPアドレスを用いて通信を行うこと
を特徴とする請求項3または請求項4に記載のIPSEC通信装置。
【請求項6】
IPSECによるセキュアなパスをSA情報を用いて確立してIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、
前記IPSEC通信装置が、
自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段を備え、
前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを通信相手に送信するステップと、
前記通信相手から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信するステップと、
前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行するステップと、
を実行することを特徴とするIPSEC通信方法。
【請求項7】
請求項6に記載のIPSEC通信方法を実行するIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、
当該IPSEC通信装置が、
自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記通信相手との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段を備え、
前記通信相手から、前記中断モードの実行要求を含む中断要求メッセージを受信するステップと、
前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行するステップと、
前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記通信相手に送信するステップと、
を実行することを特徴とするIPSEC通信方法。
【請求項8】
前記IPSEC通信装置が、
前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開要求を示す再開要求メッセージを前記通信相手に送信するステップと、
前記通信相手から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信するステップと、
前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行するステップと、
を実行することを特徴とする請求項6または請求項7に記載のIPSEC通信方法。
【請求項9】
請求項8に記載のIPSEC通信方法を実行するIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、
当該IPSEC通信装置が、
前記通信相手から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信するステップと、
前記再開要求メッセージを受信して、前記記憶手段を参照し、前記通信相手の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識するステップと、
再開要求であることを認識し、前記記憶手段を参照し、前記通信相手の通信状態が前記中断モードであることを認識した場合、前記通信相手の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行するステップと、
前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記通信相手に送信するステップと、
を実行することを特徴とする請求項6または請求項7に記載のIPSEC通信方法。
【請求項10】
前記IPSEC通信装置が、
前記中断モードの処理を実行しているときに、
前記通信相手の死活状態を監視するために用いるライブネス監視メッセージの送受信を停止するステップと、
自身のIPアドレスが変更されたとき、自身の装置IDおよび変更された自身のIPアドレスを含む第1のIPアドレス更新メッセージを通信相手に送信するステップと、
前記通信相手から送信されてくる前記通信相手の装置IDおよび変更されたIPアドレスを含む第2のIPアドレス更新メッセージを受信するステップと、
受信した前記第2のIPアドレス更新メッセージから前記通信相手の装置IDおよび前記変更されたIPアドレスを抽出して、当該装置IDと当該変更されたIPアドレスとを紐付けて前記記憶手段に記憶するステップと、
を実行し、
IPSEC通信の再開時に、前記記憶手段を参照し、前記変更されたIPアドレスを用いて通信を行うこと
を特徴とする請求項8または請求項9に記載のIPSEC通信方法。
【請求項11】
IPSECによるセキュアなパスをSA情報を用いて確立してIPSEC通信を行う第1のIPSEC通信装置と、その通信相手となる第2のIPSEC通信装置とによって構成されるIPSEC通信システムであって、
前記第1のIPSEC通信装置は、
自身および通信相手となる前記第2のIPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、
前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを第2のIPSEC通信装置に送信する手段と、
前記第2のIPSEC通信装置から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信する手段と、
前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第2のIPSEC通信装置の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、
前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開の要求を示す再開要求メッセージを前記第2のIPSEC通信装置に送信する手段と、
前記第2のIPSEC通信装置から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信する手段と、
前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第2のIPSEC通信装置の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、
を備え、
前記第2のIPSEC通信装置は、
自身および第1のIPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記第1のIPSEC通信装置との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、
前記第1のIPSEC通信装置から、前記中断モードの実行要求を含む中断要求メッセージを受信する手段と、
前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第1のIPSEC通信装置の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、
前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記第1のIPSEC通信装置に送信する手段と、
前記第1のIPSEC通信装置から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信する手段と、
前記再開要求メッセージを受信して、前記記憶手段を参照し、前記第1のIPSEC通信装置の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識する手段と、
再開要求であることを認識し、前記記憶手段を参照し、前記第1のIPSEC通信装置の通信状態が前記中断モードであることを認識した場合、前記第1のIPSEC通信装置の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、
前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記第1のIPSEC通信装置に送信する手段と、
を備えることを特徴とするIPSEC通信システム。
【請求項1】
IPSEC(Security Architecture for Internet Protocol)によるセキュアなパスをSA(Security Association)情報を用いて確立してIPSEC通信を行うIPSEC通信装置であって、
自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、
前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを通信相手に送信する手段と、
前記通信相手から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信する手段と、
前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、
を備えることを特徴とするIPSEC通信装置。
【請求項2】
請求項1に記載のIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置であって、
自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記通信相手との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、
前記通信相手から、前記中断モードの実行要求を含む中断要求メッセージを受信する手段と、
前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、
前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記通信相手に送信する手段と、
を備えることを特徴とするIPSEC通信装置。
【請求項3】
前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開の要求を示す再開要求メッセージを前記通信相手に送信する手段と、
前記通信相手から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信する手段と、
前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、
を備えることを特徴とする請求項1または請求項2に記載のIPSEC通信装置。
【請求項4】
請求項3に記載のIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置であって、
前記通信相手から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信する手段と、
前記再開要求メッセージを受信して、前記記憶手段を参照し、前記通信相手の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識する手段と、
再開要求であることを認識し、前記記憶手段を参照し、前記通信相手の通信状態が前記中断モードであることを認識した場合、前記通信相手の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、
前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記通信相手に送信する手段と、
を備えることを特徴とする請求項1または請求項2に記載のIPSEC通信装置。
【請求項5】
前記中断モードの処理を実行しているときに実施する手段として、
前記通信相手の死活状態を監視するために用いるライブネス監視メッセージの送受信を停止する手段と、
自身のIPアドレスが変更されたとき、自身の装置IDおよび変更された自身のIPアドレスを含む第1のIPアドレス更新メッセージを通信相手に送信する手段と、
前記通信相手から送信されてくる前記通信相手の装置IDおよび変更されたIPアドレスを含む第2のIPアドレス更新メッセージを受信する手段と、
受信した前記第2のIPアドレス更新メッセージから前記通信相手の装置IDおよび前記変更されたIPアドレスを抽出して、当該装置IDと当該変更されたIPアドレスとを紐付けて前記記憶手段に記憶する手段と、
を備え、
IPSEC通信の再開時に、前記記憶手段を参照し、前記変更されたIPアドレスを用いて通信を行うこと
を特徴とする請求項3または請求項4に記載のIPSEC通信装置。
【請求項6】
IPSECによるセキュアなパスをSA情報を用いて確立してIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、
前記IPSEC通信装置が、
自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段を備え、
前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを通信相手に送信するステップと、
前記通信相手から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信するステップと、
前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行するステップと、
を実行することを特徴とするIPSEC通信方法。
【請求項7】
請求項6に記載のIPSEC通信方法を実行するIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、
当該IPSEC通信装置が、
自身および通信相手となる前記IPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記通信相手との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段を備え、
前記通信相手から、前記中断モードの実行要求を含む中断要求メッセージを受信するステップと、
前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行するステップと、
前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記通信相手に送信するステップと、
を実行することを特徴とするIPSEC通信方法。
【請求項8】
前記IPSEC通信装置が、
前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開要求を示す再開要求メッセージを前記通信相手に送信するステップと、
前記通信相手から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信するステップと、
前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記通信相手の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行するステップと、
を実行することを特徴とする請求項6または請求項7に記載のIPSEC通信方法。
【請求項9】
請求項8に記載のIPSEC通信方法を実行するIPSEC通信装置を通信相手としてIPSEC通信を行うIPSEC通信装置において用いられるIPSEC通信方法であって、
当該IPSEC通信装置が、
前記通信相手から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信するステップと、
前記再開要求メッセージを受信して、前記記憶手段を参照し、前記通信相手の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識するステップと、
再開要求であることを認識し、前記記憶手段を参照し、前記通信相手の通信状態が前記中断モードであることを認識した場合、前記通信相手の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行するステップと、
前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記通信相手に送信するステップと、
を実行することを特徴とする請求項6または請求項7に記載のIPSEC通信方法。
【請求項10】
前記IPSEC通信装置が、
前記中断モードの処理を実行しているときに、
前記通信相手の死活状態を監視するために用いるライブネス監視メッセージの送受信を停止するステップと、
自身のIPアドレスが変更されたとき、自身の装置IDおよび変更された自身のIPアドレスを含む第1のIPアドレス更新メッセージを通信相手に送信するステップと、
前記通信相手から送信されてくる前記通信相手の装置IDおよび変更されたIPアドレスを含む第2のIPアドレス更新メッセージを受信するステップと、
受信した前記第2のIPアドレス更新メッセージから前記通信相手の装置IDおよび前記変更されたIPアドレスを抽出して、当該装置IDと当該変更されたIPアドレスとを紐付けて前記記憶手段に記憶するステップと、
を実行し、
IPSEC通信の再開時に、前記記憶手段を参照し、前記変更されたIPアドレスを用いて通信を行うこと
を特徴とする請求項8または請求項9に記載のIPSEC通信方法。
【請求項11】
IPSECによるセキュアなパスをSA情報を用いて確立してIPSEC通信を行う第1のIPSEC通信装置と、その通信相手となる第2のIPSEC通信装置とによって構成されるIPSEC通信システムであって、
前記第1のIPSEC通信装置は、
自身および通信相手となる前記第2のIPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記パスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、
前記実行モードの処理を中断する場合、前記中断モードの実行要求を含む中断要求メッセージを第2のIPSEC通信装置に送信する手段と、
前記第2のIPSEC通信装置から、前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを受信する手段と、
前記中断応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第2のIPSEC通信装置の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、
前記パスの確立に用いたSA情報に基づいて暗号化したIPSEC通信の再開の要求を示す再開要求メッセージを前記第2のIPSEC通信装置に送信する手段と、
前記第2のIPSEC通信装置から、前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを受信する手段と、
前記再開応答メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第2のIPSEC通信装置の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、
を備え、
前記第2のIPSEC通信装置は、
自身および第1のIPSEC通信装置を識別する装置IDと、それぞれの前記装置IDに紐付けて、(1)前記第1のIPSEC通信装置との間のパスの確立に用いたSA情報に対してライフタイムの値を減少させ、かつパケットを受信したときにシーケンス番号を増加する処理を実行するIPSEC通信中の状態を表す実行モード、および、(2)前記パスの確立に用いたSA情報のライフタイムの値の減少および前記パケットを受信したときのシーケンス番号の増加を停止する処理を実行するIPSEC通信を中断中の状態を表す中断モード、のいずれかの通信状態を記憶している記憶手段と、
前記第1のIPSEC通信装置から、前記中断モードの実行要求を含む中断要求メッセージを受信する手段と、
前記中断要求メッセージを受信して、前記記憶手段を参照し、自身の装置IDおよび前記第1のIPSEC通信装置の装置IDに紐付けられている通信状態を前記実行モードから前記中断モードに変更し、自身において前記中断モードの処理を実行する手段と、
前記中断要求メッセージを受信したことに対する応答情報を示す中断応答メッセージを前記第1のIPSEC通信装置に送信する手段と、
前記第1のIPSEC通信装置から、前記パスの確立に用いたSA情報に基づいて暗号化されたIPSEC通信の再開要求を示す再開要求メッセージを受信する手段と、
前記再開要求メッセージを受信して、前記記憶手段を参照し、前記第1のIPSEC通信装置の装置IDに紐付けられている前記SA情報に基づいて再開要求メッセージを復号化して、再開要求であることを認識する手段と、
再開要求であることを認識し、前記記憶手段を参照し、前記第1のIPSEC通信装置の通信状態が前記中断モードであることを認識した場合、前記第1のIPSEC通信装置の装置IDおよび自身の装置IDに紐付けられている通信状態を前記中断モードから前記実行モードに変更し、自身において前記実行モードの処理を実行する手段と、
前記再開要求メッセージを受信したことに対する応答情報を示す再開応答メッセージを前記第1のIPSEC通信装置に送信する手段と、
を備えることを特徴とするIPSEC通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−170157(P2011−170157A)
【公開日】平成23年9月1日(2011.9.1)
【国際特許分類】
【出願番号】特願2010−34577(P2010−34577)
【出願日】平成22年2月19日(2010.2.19)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年9月1日(2011.9.1)
【国際特許分類】
【出願日】平成22年2月19日(2010.2.19)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]