IPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置
【課題】 IPv4網とIPv6網が混在した統合ネットワークにおいてPSK方式を基盤としてIPsecによって保安通信を可能にするIPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置を提供する。
【解決手段】 少なくとも1つのIPv4ノードと共有される各キー値を識別できる識別情報を生成し、IKEによる保安交渉過程で各IPv4ノードと生成された識別情報を交換する少なくとも1つのIPv6ノードと、各IPv6ノードと共有される各キー値を識別できる識別情報を生成し、保安交渉過程を通じて交換される識別情報に依存するキー値によって保安交渉過程を処理するIPv4ノードとを備える。
【解決手段】 少なくとも1つのIPv4ノードと共有される各キー値を識別できる識別情報を生成し、IKEによる保安交渉過程で各IPv4ノードと生成された識別情報を交換する少なくとも1つのIPv6ノードと、各IPv6ノードと共有される各キー値を識別できる識別情報を生成し、保安交渉過程を通じて交換される識別情報に依存するキー値によって保安交渉過程を処理するIPv4ノードとを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置に関する。
【背景技術】
【0002】
インターネットは、情報化社会の核心インフラとして位置付けられており、VoIP(Voice of IP)及びインターネットTVのようにリアルタイムで高品質サービスを提供する技術が開発されるに従って、インターネットを介して交換されるトラフィック(Traffic)もテキスト情報を含むトラフィックから音声情報、イメージ情報及び映像情報を含むマルチメディアトラフィックに変化し、トラフィックの量も爆発的に増加している。
【0003】
現在構築されているIPv4(Internet Protocol Version 4)基盤のインターネットは、急激に増加するノードとマルチメディアトラフィックを収容するために、小さいアドレス情報と複雑なヘッダー構造を使用している。このため、トラフィックを処理するルータ及びノードの処理速度が遅れるようになり、全体としてのインターネットの性能を低下させるという問題点がある。
【0004】
このようなIPv4基盤のインターネットの問題点を解決するために提案されたIPv6(Internet Protocol Version 6)は、128ビットの拡張されたアドレス体系と、単純化したヘッダー構造、向上したQoS(Quality of Service)及び強化した保安性などの特徴を有する。
【0005】
しかしながら、現在のインターネットは、IPv4網で構築され、広く運用されているので、短期間にIPv6網へ転換することは現実的には不可能であり、当分の間は、IPv4網とIPv6網が共存しつつ、順次IPv6網に転換されることとが予想される。
【0006】
したがって、成功的にIPv6網を構築するためには、IPv6ノードやルータが、現在構築されているIPv4網のIPv4ノード及びルータと共存することが重要である。
【0007】
IPv6網に連結したノードとIPv4網に連結したノードとが、相互に連動して通信を行うためには、IPv6アドレスとIPv4アドレスとを相互に変換するアドレス変換器が必要である。
【0008】
現在、IETF(internet Engineering Task Force)により多くの変換技術が標準化されており、これらのうち、ネットワークアドレス変換−プロトコル変換(Network Address Translation-Protocol Translation、以下、NAT−PTという)技術と、DSTM(Dual Stack Transition Mechanism)技術が登場している。
【0009】
ここで、NAT−PTは、インターネット国際標準化機構であるIETFによりRFC 2766で制定された標準であって、IPv6−IPv4アドレス変換機能について記述している。
【0010】
NAT−PTサーバーは、IPv6網とIPv4網との境界に位置し、IPv6ノードに動的に割り当てるIPv4アドレスを集めたIPv4アドレスプールを有している。
【0011】
このようなNAT−PTサーバーは、IPv4アドレスプールに基づいてセッションが初期化される毎に、IPv6ノードにIPv4アドレスを割り当てるアドレス変換(NAT:Network Address Translation)機能と、プロトコル変換(PT:Protocol Translation)機能を有する。
【0012】
特に、NAT−PTサーバーは、IPv6ノードから受信されるパケットのヘッダーアドレス情報を変換するIPヘッダー変換方法を使用する。
【0013】
IP通信を行う両ノード間の認証処理方式には、PSK(Pre-shared Key:事前共有キー)方式が挙げられる。PSK方式は、両ノードに同一の秘密キーを入力し、ノード間の相互認証を処理する方式である。
【0014】
一方、IPを保護するためにIPsecが開発されており、IPsecは、機密性(confidentiality)、無欠性(data integrity)、アクセス制御(access control)及びデータソース認証(data source authentication)など保安サービスを提供する。
【0015】
このようなIPsecは、保安通信を行う両ノードが、所要の状態情報(shared associate:SA)を事前に設定し、これを維持及び管理しなければならない。SA情報は、暗号アルゴリズム及びキー値などになり得る。
【0016】
大規模のネットワークにおいて、保安通信を行う各ノード間に流動的にSAを自動に設定できるようにするIKE(Inter Key Exchange)規約が開発され、IKEは、保安通信を行う両ノードに対する信号認証と、IPsecに使われるSAを設定する機能をする。
【0017】
しかしながら、IPv4/IPv6統合ネットワークにおいては、IPv4ノードとIPv6ノード間の相互認証に効果的なPSK方式を基盤としては、保安通信を行うことはできない。
【0018】
すなわち、IPv4/IPv6統合ネットワークにおいて、IPv6ノードとIPv4ノード間の保安通信を行う場合には、各ノードは、IKE規約によって同一の識別情報(ID)と共有キーを設定する。
【0019】
この際、IKE規約がID保護モード(main mode)である場合には、IDには、ノードのIPアドレスが使われ、ID非保護モード(aggressive mode)である場合には、電子メールアドレスなどが使われる。
【0020】
しかしながら、IPv4/IPv6統合ネットワークのIPv4ノードでNAT−PTサーバーは、IPv6ノードにIPv4アドレスを動的に割り当てるため、IPv4ノードは、IPv6ノードに割り当てられるIPv4アドレス情報を知ることができず、IPv4/IPv6統合ネットワークでは、PSK方式を基盤とした保安通信を行うことができない。
【0021】
すなわち、IPv4/IPv6統合ネットワークにおいては、IKE規約のID保護モードを通じて保安通信がサポートされず、PSK方式によって共有された秘密キーを基盤としてIKE規約に基づく保安通信を行うことができない。
【特許文献1】韓国公開特許公報2003−0092322
【発明の開示】
【発明が解決しようとする課題】
【0022】
従って、本発明は、前述のような問題点を解決するためになされたもので、その目的は、IPv4網とIPv6網が混在した統合ネットワークにおいて、PSK方式を基盤として、IPsecによって保安通信を可能なようにするIPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置を提供することにある。
【課題を解決するための手段】
【0023】
上記目的を達成するために、本発明の一態様に係るIPv4/IPv6統合ネットワークシステムは、相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、少なくとも1つのIPv4ノードと共有された各秘密キーを識別できるKEY−IDを生成し、保安交渉過程で各IPv4ノードとKEY−IDを交換する少なくとも1つのIPv6ノードと、各IPv6ノードと共有された各秘密キーを識別できるKEY−IDを生成し、交換されたKEY−IDに相当する秘密キーによって保安交渉過程を処理するIPv4ノードと、を備える。
【0024】
本発明において、KEY−IDは、共有された秘密キー値をハッシュ関数処理した結果値のうち下位32ビット値である。
【0025】
本発明において、各ノードは、IKE(Internet key exchange)ヘッダー(HDR)、SA(shared associate)情報及びKEY−IDが含まれるIKEペイロードを構成する。
【0026】
本発明において、各ノードは、予約(reserved)ネクストペイロード値のうちKEY−IDであることを明示するペイロード値をネクストペイロードフィールドにセッティングし、ペイロードフィールドにKEY−IDがセッティングされたIKEペイロードにKEY−IDを転送する。
【0027】
本発明に係るIPv4/IPv6統合ネットワークシステムは、各IPv6ノードにIPv4アドレスを動的に割り当てることができるアドレスプールを有し、各第1のノードに割り当てられるIPv4アドレスに依存するアドレステーブルを管理し、アドレステーブルに基づいてIPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv6パケットに変換するNAT−PT(Network Address Translation-Protocol Translation)サーバーをさらに備える
【0028】
本発明において、各ノードは、保安交渉過程で選択された秘密キー値と、暗号キー共有過程に共有されるキー交換(Key Exchange)及び乱数値(Ni、Nr)によって暗号キーを生成し、キー交換による認証過程が完了すれば、暗号キーによってデータを暗号化し、保安通信を行う。
【0029】
また、本発明の他の態様に係るIPv4/IPv6統合ネットワークシステムは、相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、少なくとも1つのIPv6ノードと共有される各秘密キー値を識別できる識別情報を生成し、IKE(Internet key exchange)による保安交渉過程で各IPv6ノードと生成された識別情報を交換する少なくとも1つのIPv4ノードと、各IPv4のノードと共有された各秘密キー値を識別できる識別情報を生成し、保安交渉過程を通じて交換される識別情報に相当する秘密キー値を用いて保安交渉過程を処理するIPv6ノードと、を備える。
【0030】
また、本発明のさらに他の態様に係るIPv4/IPv6統合ネットワークの保安通信方法は、相異なる種類のIP網に設けられる少なくとも1つのノードが秘密キー値を共有する段階と、各ノードが共有された秘密キー値を識別できるKEY−IDを生成する段階と、各ノードがKEY−IDを交換し、保安のための交渉過程を処理する段階と、を備える。
【0031】
本発明において、KEY−IDを生成する段階は、秘密キー値をハッシュ関数処理した結果値の下位32ビット値をKEY−IDに設定する 。
【0032】
本発明において、交渉過程を処理する段階は、第1のノードがIKEヘッダー(HDR)、SA(shared associate)情報及びKEY−IDが含まれるIKEペイロードを含む第1のパケットを第2のノードに転送する段階と、第2のノードがIKEヘッダー(HDR)、SA(shared associate)情報及びKEY−IDが含まれるIKEペイロードを含む第2のパケットを第1のノードに転送する段階と、を備える。
【0033】
本発明に係るIPv4/IPv6統合ネットワークの保安通信方法は、第1のノードに動的にIPアドレスを割り当て、第1のパケットを第2のパケットに変換し、第2のパケットを第1のパケットに変換する段階をさらに備える。
【0034】
本発明において、IKEペイロードは、予約(reserved)ネクストペイロード値のうちKEY−ID値として定義される値がネクストペイロードフィールドにセットされ、ペイロードフィールドにKEY−IDがセットされた識別ペイロードを含む。
【0035】
本発明に係るIPv4/IPv6統合ネットワークの保安通信方法は、交渉過程で選択された秘密キー値と、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)によって暗号キーを生成する段階と、暗号キーの交換によって認証過程が完了した場合には、暗号キーによってデータを暗号化し、保安通信を行う段階とをさらに備える。
【0036】
また、本発明のさらに他の態様に係るIPv4/IPv6統合ネットワークの保安通信方法は、少なくとも1つのIPv6ノード及びIPv4ノードが秘密キーを共有する段階と、各ノードが各秘密キーを識別できる識別情報を生成する段階と、IKEによる保安交渉過程で各IPv6ノードとIPv4ノードが識別情報を交換する段階と、各IPv6ノード及びIPv4ノードが識別情報に相当する秘密キーによって保安交渉過程を処理する段階と、を備える。
【0037】
本発明に係るIPv4/IPv6統合ネットワークの保安通信方法は、保安交渉過程で選択された前記秘密キーと、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)によって暗号キーを生成する段階と、前記暗号キーの交換によって認証過程が完了した場合には、暗号キーによってデータを暗号化し、保安通信を行う段階とをさらに備える。
【発明の効果】
【0038】
本発明によれば、IPv4網とIPv6網が混在した統合ネットワークにおいて、秘密キーを識別できるID情報を、IPアドレス情報として使用しないことによって、NAT−PTサーバーを介してパケットが変換される場合であっても、IPv4ノードとIPv6ノードが秘密キーを識別できるので、IPv4/IPv6統合ネットワークにおいて、秘密キー方式を基盤としてIPsecによる保安通信を実現することができる。
【発明を実施するための最良の形態】
【0039】
以下、添付の図面を参照して、本発明の実施形態のIPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置を詳細に説明する。
【0040】
図1は、本発明の実施形態のIPv4/IPv6統合ネットワークを説明するブロック図である。
【0041】
図1を参照すれば、IPv6網に設けられた多数のIPv6ノード100と、IPv4網に設けられたIPv4ノード300とが、NAT−PTサーバー200を介して連結されている。
【0042】
NAT−PTサーバー200は、IPv4網とIPv6網との境界地点に位置し、IPv6ノード100に動的に割り当てるIPv4アドレスを集めたIPv4アドレスプール(不図示)に基づいて、セッションが初期化される時毎に、IPv6ノード100に動的にIPv4アドレスを割り当てる。
【0043】
本実施形態では、各IPv6ノード100とIPv4ノード300間に、PSK方式に基づいて、IKE規約によって保安通信を行う場合について説明する。
【0044】
また、本実施形態では、一例として、IPv4ノード300が、多数のIPv6ノード100と秘密キーを共有する場合について説明するが、その他、IPv6ノード100が、多数のIPv4ノード300と秘密キーを共有する場合にも、同様に適用することができる。
【0045】
図2は、一般的なIPv4ノードに設定されるPSK(事前共有キー)を説明する図である。
【0046】
図2に示すように、各PSKは、識別情報IDと秘密キーとを含む。各秘密キーの識別情報は、IPアドレス情報であり、‘220.70.2.50’は、NAT−PTサーバー200が、IPv6ノード100に動的に割り当てるIPv4アドレスである。また、‘220.70.2.100’は、IPv4ノード300のIPv4アドレスである。また、各識別情報にマッチングされる秘密キーは、‘1234’である。
【0047】
図3は、一般的なIPv6ノードに設定されるPSK(事前共有キー)を説明する図である。
【0048】
図3に示すように、各秘密キーの識別情報は、IPアドレス情報である。‘2001::1’は、第1のIPv6ノード100のIPv6アドレスである。‘3ffe:2e00:e:fff9::220.70.3.100’は、NAT−PTサーバー200のprefixアドレスである‘3ffe:2e00:e:fff9’の後段に、IPv4ノード300のIPアドレス‘220.70.2.100’を付けて生成されたアドレスである。また、各識別情報にマッチングされる秘密キーは、‘1234’である。
【0049】
図2及び図3と関連して説明したように、各ノードは、同じ秘密キーを共有しており、各秘密キーを識別するための識別情報は、各ノードのIPアドレスが使われることが分かる。
【0050】
しかしながら、IPv4/IPv6統合ネットワークにおいては、IPv6ノード100と保安通信を行うIPv4ノード300の秘密キーを識別する識別情報として、IPアドレスを使用することができない。なぜなら、IPv4ノード300は、NAT−PTサーバー200からIPv6ノード100に任意に割り当てられるIPv4アドレス220.70.2.50が、動的に割り当てられるので、IPv4ノード300は、IPv6ノード100のIPアドレスに依存する秘密キーを識別することができなくなり、保安通信を行うことができないためである。
【0051】
したがって、本実施形態のIPv4ノード300及びIPv6ノード100は、それぞれ共有している秘密キーに基づいてIPアドレス情報ではない他の識別情報(以下、KEY−IDと言う)を生成し、秘密キーに基づいてIKE規約に基づく保安通信を行う。
【0052】
図4は、本実施形態の各IPv6ノードに設定されるPSK(事前共有キー)を説明する図である。
【0053】
図4に示すように、本実施形態の各IPv6ノード100は、PSKの秘密キーに基づいてKEY−IDを生成する。
【0054】
例えば、第1のIPv6ノード100のKEY−IDは、‘12345678’であり、マッチングされる秘密キーは、‘1111’である。第2のIPv6ノード100のKEY−IDは、‘87654321’であり、マッチングされる秘密キーは、‘2222’である。第3のIPv6ノード100のKEY−IDは、‘12341234’であり、マッチングされる秘密キーは、‘3333’である。
【0055】
図5は、本実施形態の各IPv4ノードに設定されるPSK(事前共有キー)を説明する図である。
【0056】
図5に示すように、各IPv6ノード100と共有された各秘密キーに基づいて各秘密キーを識別できるKEY−IDを生成し、各KEY−IDと各KEY−IDにマッチングされる秘密キーとを保存して管理する。
【0057】
例えば、IPv4ノード300は、第1の秘密キー‘1111’にマッチングされるKEY−ID‘12345678’と、第2の秘密キー‘2222’にマッチングされるKEY−ID‘87654321’と、第3の秘密キー‘3333’にマッチングされるKEY−ID‘12341234’とを有する。
【0058】
このような各IPv6ノード100及びIPv4ノード300は、秘密キーのキー値をハッシュ関数処理した結果値のうち下位32ビット値をKEY−IDに設定する。
【0059】
図6は、本実施形態のKEY−IDの生成を説明する図である。
【0060】
図6に示すように、各IPv6ノード100及びIPv4ノード300は、共有されたPSKのうち秘密キーのキー値(key value)を、ハッシュ関数(Secure Hash Standard)処理した結果値の、下位32ビット値を該当秘密キーのKEY−IDに設定する。
【0061】
各IPv6ノード100及びIPv4ノード300は、既存のIPアドレスを転送せず、IKE規約に従う秘密キーの識別情報を用いて保安通信を行うことにより、KEY−IDを交換する。
【0062】
図4及び図5では、一例として、KEY−IDを10進数で表記したが、その他の進数方式で表現する場合にも、同様である。
【0063】
図7は、本実施形態のIPv4/IPv6統合ネットワークの保安通信方法を説明するフローチャートである。
【0064】
図7を参照すれば、各IPv6ノード100及びIPv4ノード300は、図4及び図5と関連して説明したように、共有されたPSKの秘密キーを識別できるKEY−IDを生成する。
【0065】
IPv6ノード100及びIPv4ノード300は、‘IPsec’による保安通信を開始する。保安通信過程は大きく、保安交渉過程S110と、暗号キー共有過程S120と、認証手続過程S130と、保安通信実行過程S140とからなる。
【0066】
保安交渉過程S110のフローは、次の通りである。
【0067】
IPv6ノード100は、IKE(Internet Key Exchange)交渉のためにIKEヘッダー(Header、以下、HDRという)と、SA情報(例えば、暗号アルゴリズム)と、KEY−IDとが含まれたIKEペイロードを構成する。また、IPv6ノード100は、IKEペイロードが含まれたIPv6パケットを生成する。また、IPv6ノード100は、IPv6パケットをNAT−PTサーバー200に転送する(ステップS111。なお、図中ではステップをSと略す。)。
【0068】
図8は、本実施形態のHDRの構成を説明する図である。図8に示すように、‘HDR’は、‘SA’情報を識別するために‘開始者’が選択した値を有する‘IKE_SA開始者のSPI’フィールドと、‘SA’情報を識別するために‘応答者’が選択した値を有する‘IKE_SA応答者のSPI’フィールドと、‘HDR’の次に位置するペイロードタイプを示す‘ネクストペイロード’フィールドと、使われるプロトコルのバージョンを示す‘MjVer’と、‘MnVer’フィールドと、メッセージ交換タイプを示す‘交換タイプ’フィールドと、メッセージに選択されたオプションを示す‘フラグ’フィールドと、データの再転送を制御し、要請と応答をマッチングさせるための‘メッセージID’フィールドと、ヘッダー以後のペイロード全体のメッセージ長さを示す‘長さ’フィールドとを含む。
【0069】
図9は、本実施形態のペイロードタイプを説明する図である。
【0070】
図9に示すように、ペイロードタイプのうち定義されていないペイロード値(私用の予約;Reserved for private use)のうち1つの値をKEY−IDのペイロードタイプ値として定義することができる。
【0071】
図10は、本実施形態のKEY−IDペイロードを説明する図である。
【0072】
図10に示すように、IPv6ノード100またはIPv4ノード300は、‘ネクストペイロード’フィールドに定義されるKEY−IDのペイロードタイプ値を設定し、ペイロードフィールドに秘密キーを識別できるKEY−IDを含めて、図8に示すHDRの後段に連結し、IKEペイロードを生成する。
【0073】
NAT−PTサーバー200は、IPv4アドレスプールに基づいて各IPv6ノード100に割り当てられるIPv4アドレスを基盤としてIPv6パケットをIPv4パケットに変換する。この際、NAT−PTサーバー200は、各IPv6ノード100に割り当てられたIPv4アドレスをマッピングテーブルで管理する。
【0074】
また、NAT−PTサーバー200は、変換されたIPv4パケットをIPv4ノード300に転送する(ステップS112)。
【0075】
すなわち、IPv6ノード100からHDRと、SA情報と、KEY−IDとがIPv4ノード300に転送される。SA情報については、多数のSA情報がリスト(list)化された形態で転送される。
【0076】
IPv4ノード300は、NAT−PTサーバー200からHDRと、SA情報と、KEY−IDとが含まれたIKEペイロードを含むIPv4パケットを受信した場合には、IKEペイロードに含まれたKEY−IDに従う秘密キーを選択する。
【0077】
IPv4ノード300は、IPv6ノード100とのIKE交渉のために、HDRと、SA情報と、選択されたPSKの秘密キーを識別できるKEY−IDとが含まれたIKEペイロードを含むIPv4パケットを生成し、NAT−PTサーバー200に転送する(ステップS113)。
【0078】
NAT−PTサーバー200は、マッピングテーブルに基づいて、IPv4パケットをIPv6パケットに変換し、IPv6ノード100に転送する(ステップS114)。
【0079】
すなわち、IPv4ノード300から、HDRと、SA情報と、KEY−IDとがIPv6ノード100に転送される。この際、SA情報は、IPv6ノード100から伝達された多数のSA情報のうち、IPv4ノード300により、選択された(selected)SA情報が転送される。
【0080】
すなわち、保安交渉過程S110で、IPv6ノード100とIPv4ノード300は、互いに共有しているPSKの秘密キーを、KEY−IDを通じて確認することができ、SA情報及び秘密キーに従う保安交渉を処理する。
【0081】
次に、暗号キー共有過程S120でのデータ転送手続過程は、次の通りである。
【0082】
IPv6ノード100は、HDRと、キー交換(Key Exchange、以下、KEという)と、臨時乱数値Niとが含まれたIKEペイロードを含むIPv6パケットを生成し、IPv6パケットをNAT−PTサーバー200に転送する(ステップS121)。
【0083】
NAT−PTサーバー200は、マッピングテーブルに登録されたIPv6ノード100のIPv4アドレスに基づいて、IPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv4ノード300に転送する(ステップS122)。
【0084】
IPv4ノード300は、NAT−PTサーバー200からHDRと、KEと、Ni値とが含まれたIKEペイロードを受信した場合には、IPv6ノード100のKE及びNi値を把握する。
【0085】
IPv4ノード300は、HDRと、KEと、Nr値とが含まれたIKEペイロードを含むIPv4パケットを生成し、NAT−PTサーバー200に転送する(ステップS123)。
【0086】
NAT−PTサーバー200は、マッピングテーブルに基づいて、IPv4パケットをIPv6パケットに変換し、IPv6ノード100に転送する(ステップS124)。
【0087】
すなわち、各IPv6ノード100及びIPv4ノード300は、暗号キー共有過程S120を通じて共有した秘密キーと、選択されたSA情報と、KEと、乱数値Ni、Nrとを用いてデータを暗号化する暗号キーを生成する。
【0088】
認証手続S130でのデータ転送手続は、次の通りである。
【0089】
IPv6ノード100は、アドレス情報IDiiと、認証情報[CERT,]SIG_Iとを生成し、共有されたキー情報KEを用いて、アドレス情報IDiiと、認証情報[CERT,]SIG_Iと、HDRとを暗号化したIKEペイロードを含むIPv6パケットを生成し、NAT−PTサーバー200に転送する(ステップS131)。
【0090】
NAT−PTサーバー200は、IPv6パケットをマッピングテーブルに基づいてIPv4パケットに変換し、IPv4パケットをIPv4ノード300に転送する(ステップS132)。
【0091】
IPv4ノード300は、受信されたIPv4パケットのIKEペイロードに含まれたアドレス情報IDii及び認証情報[CERT,]SIG_IなどによりIPv6ノード100を認証する。
【0092】
IPv4ノード300は、IPv6ノード100が認証された場合には、自身のアドレス情報IDirと、そのアドレス情報が反映された認証情報[CERT,]SIG_Rを生成し、アドレス情報IDirと認証情報[CERT,]SIG_RとHDRを、キー情報KEを用いて暗号化したIKEペイロードを含むIPv4パケットを生成し、IPv4パケットをNAT−PTサーバー200に転送する(ステップS133)。
【0093】
NAT−PTサーバー200は、マッピングテーブルに基づいてIPv4パケットをIPv6パケットに変換し、IPv6パケットをIPv6ノード100に転送する(ステップS134)。
【0094】
IPv6ノード100は、IPv6パケットに含まれたアドレス情報IDirと認証情報[CERT,]SIG_Rとを用いてIPv4ノード300を認証する。
【0095】
IPv6ノード100とIPv4ノード300間に相互認証が完了した場合には、暗号キー共有過程120を通じて共有した暗号キーを用いて、IPv6ノード100とIPv4ノード300間に、IPsecによる保安通信が行われる(ステップS140)。
【0096】
図11は、本実施形態のIPv4/IPv6統合ネットワークシステムの保安通信方法を説明するフローチャートである。
【0097】
図11を参照すれば、IPv4網に設けられたIPv4ノード300と、IPv6網に設けられた多数のIPv6ノード100とが、秘密キーを共有する(ステップS200)。
【0098】
各IPv6ノード100及びIPv4ノード300は、共有された秘密キーに基づいて各秘密キーを識別できるKEY−IDを生成する(ステップS210)。
【0099】
各IPv6ノード100及びIPv4ノード300は、共有されたPSKの秘密キーのキー値(key value)をハッシュ関数(Secure Hash Standard)処理した結果値の下位32ビット値を該当秘密キーのKEY−IDに設定する。
【0100】
各IPv6ノード100とIPv4ノード300は、HDRと、SA情報と、KEY−IDとを含むIKEペイロードを交換し、保安交渉過程を処理する(ステップS220)。
【0101】
各IPv6ノード100及びIPv4ノード300は、交換されるKEY−IDにマッチングする秘密キーを選択する(ステップS230)。
【0102】
各IPv6ノード100及びIPv4ノード300は、HDRと、キー交換(Key Exchange)と、臨時乱数値Niとを含むIKEペイロードを交換し、共有している秘密キーと、SA情報と、KEと、乱数値Ni、Nrとを用いてデータを暗号化するための暗号キーを共有する(ステップS240)。
【0103】
各IPv6ノード100は、アドレス情報IDiiと、認証情報[CERT,]SIG_Iとを生成し、共有されたキー情報KEを用いて、アドレス情報IDiiと、認証情報[CERT,]SIG_Iと、HDRとを暗号化したIKEペイロードを含むIPv6パケットを生成し、IPv6パケットをNAT−PTサーバー200を介してIPv4ノード300に転送する。
【0104】
IPv4ノード300は、受信されたIKEペイロードに含まれたアドレス情報IDiiと、認証情報[CERT,]SIG_Iなどによって、IPv6ノード100を認証し、自身のアドレス情報IDirと、当該アドレス情報が反映された認証情報[CERT,]SIG_Rと、HDRとを、キー情報KEを用いて暗号化したIKEペイロードを含むIPv4パケットを、NAT−PTサーバー200を介してIPv6ノード100に転送する。
【0105】
IPv6ノード100は、IPv6パケットに含まれたアドレス情報IDirと、認証情報[CERT,]SIG_Rとを用いて、IPv4ノード300を認証する(ステップS250)。
【0106】
IPv6ノード100とIPv4ノード300間に相互認証が完了すれば、暗号キー共有過程120を通じて共有した暗号キーを用いてIPv6ノード100とIPv4ノード300間にIPsecによる保安通信が行われる(ステップS260)。
【0107】
この際、NAT−PTサーバー200は、IPv4アドレスプール(pool)に基づいてIPv6ノード100に割り当てられたIPv4アドレスに基づいて、マッピングテーブルを管理し、IPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv6パケットに変換する。
【図面の簡単な説明】
【0108】
【図1】本実施形態のIPv4/IPv6統合ネットワークを説明するためのブロック図である。
【図2】一般的なIPv4ノードに設定されるPSKを説明するための図である。
【図3】一般的なIPv6ノードに設定されるPSKを説明するための図である。
【図4】本実施形態の各IPv6ノードに設定されるPSKを説明する図である。
【図5】本実施形態の各IPv4ノードに設定されるPSKを説明する図である。
【図6】本実施形態のKEY−IDの生成を説明する図である。
【図7】本実施形態のIPv4/IPv6統合ネットワークの保安通信方法を説明するフローチャートである。
【図8】本実施形態のHDRの構成を説明する図である。
【図9】本実施形態のペイロードタイプを説明する図である。
【図10】本実施形態のKEY−IDペイロードを説明する図である。
【図11】本実施形態のIPv4/IPv6統合ネットワークシステムの保安通信方法を説明するフローチャートである。
【符号の説明】
【0109】
100 IPv6ノード
200 NAT−PTサーバー
300 IPv4ノード
【技術分野】
【0001】
本発明は、IPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置に関する。
【背景技術】
【0002】
インターネットは、情報化社会の核心インフラとして位置付けられており、VoIP(Voice of IP)及びインターネットTVのようにリアルタイムで高品質サービスを提供する技術が開発されるに従って、インターネットを介して交換されるトラフィック(Traffic)もテキスト情報を含むトラフィックから音声情報、イメージ情報及び映像情報を含むマルチメディアトラフィックに変化し、トラフィックの量も爆発的に増加している。
【0003】
現在構築されているIPv4(Internet Protocol Version 4)基盤のインターネットは、急激に増加するノードとマルチメディアトラフィックを収容するために、小さいアドレス情報と複雑なヘッダー構造を使用している。このため、トラフィックを処理するルータ及びノードの処理速度が遅れるようになり、全体としてのインターネットの性能を低下させるという問題点がある。
【0004】
このようなIPv4基盤のインターネットの問題点を解決するために提案されたIPv6(Internet Protocol Version 6)は、128ビットの拡張されたアドレス体系と、単純化したヘッダー構造、向上したQoS(Quality of Service)及び強化した保安性などの特徴を有する。
【0005】
しかしながら、現在のインターネットは、IPv4網で構築され、広く運用されているので、短期間にIPv6網へ転換することは現実的には不可能であり、当分の間は、IPv4網とIPv6網が共存しつつ、順次IPv6網に転換されることとが予想される。
【0006】
したがって、成功的にIPv6網を構築するためには、IPv6ノードやルータが、現在構築されているIPv4網のIPv4ノード及びルータと共存することが重要である。
【0007】
IPv6網に連結したノードとIPv4網に連結したノードとが、相互に連動して通信を行うためには、IPv6アドレスとIPv4アドレスとを相互に変換するアドレス変換器が必要である。
【0008】
現在、IETF(internet Engineering Task Force)により多くの変換技術が標準化されており、これらのうち、ネットワークアドレス変換−プロトコル変換(Network Address Translation-Protocol Translation、以下、NAT−PTという)技術と、DSTM(Dual Stack Transition Mechanism)技術が登場している。
【0009】
ここで、NAT−PTは、インターネット国際標準化機構であるIETFによりRFC 2766で制定された標準であって、IPv6−IPv4アドレス変換機能について記述している。
【0010】
NAT−PTサーバーは、IPv6網とIPv4網との境界に位置し、IPv6ノードに動的に割り当てるIPv4アドレスを集めたIPv4アドレスプールを有している。
【0011】
このようなNAT−PTサーバーは、IPv4アドレスプールに基づいてセッションが初期化される毎に、IPv6ノードにIPv4アドレスを割り当てるアドレス変換(NAT:Network Address Translation)機能と、プロトコル変換(PT:Protocol Translation)機能を有する。
【0012】
特に、NAT−PTサーバーは、IPv6ノードから受信されるパケットのヘッダーアドレス情報を変換するIPヘッダー変換方法を使用する。
【0013】
IP通信を行う両ノード間の認証処理方式には、PSK(Pre-shared Key:事前共有キー)方式が挙げられる。PSK方式は、両ノードに同一の秘密キーを入力し、ノード間の相互認証を処理する方式である。
【0014】
一方、IPを保護するためにIPsecが開発されており、IPsecは、機密性(confidentiality)、無欠性(data integrity)、アクセス制御(access control)及びデータソース認証(data source authentication)など保安サービスを提供する。
【0015】
このようなIPsecは、保安通信を行う両ノードが、所要の状態情報(shared associate:SA)を事前に設定し、これを維持及び管理しなければならない。SA情報は、暗号アルゴリズム及びキー値などになり得る。
【0016】
大規模のネットワークにおいて、保安通信を行う各ノード間に流動的にSAを自動に設定できるようにするIKE(Inter Key Exchange)規約が開発され、IKEは、保安通信を行う両ノードに対する信号認証と、IPsecに使われるSAを設定する機能をする。
【0017】
しかしながら、IPv4/IPv6統合ネットワークにおいては、IPv4ノードとIPv6ノード間の相互認証に効果的なPSK方式を基盤としては、保安通信を行うことはできない。
【0018】
すなわち、IPv4/IPv6統合ネットワークにおいて、IPv6ノードとIPv4ノード間の保安通信を行う場合には、各ノードは、IKE規約によって同一の識別情報(ID)と共有キーを設定する。
【0019】
この際、IKE規約がID保護モード(main mode)である場合には、IDには、ノードのIPアドレスが使われ、ID非保護モード(aggressive mode)である場合には、電子メールアドレスなどが使われる。
【0020】
しかしながら、IPv4/IPv6統合ネットワークのIPv4ノードでNAT−PTサーバーは、IPv6ノードにIPv4アドレスを動的に割り当てるため、IPv4ノードは、IPv6ノードに割り当てられるIPv4アドレス情報を知ることができず、IPv4/IPv6統合ネットワークでは、PSK方式を基盤とした保安通信を行うことができない。
【0021】
すなわち、IPv4/IPv6統合ネットワークにおいては、IKE規約のID保護モードを通じて保安通信がサポートされず、PSK方式によって共有された秘密キーを基盤としてIKE規約に基づく保安通信を行うことができない。
【特許文献1】韓国公開特許公報2003−0092322
【発明の開示】
【発明が解決しようとする課題】
【0022】
従って、本発明は、前述のような問題点を解決するためになされたもので、その目的は、IPv4網とIPv6網が混在した統合ネットワークにおいて、PSK方式を基盤として、IPsecによって保安通信を可能なようにするIPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置を提供することにある。
【課題を解決するための手段】
【0023】
上記目的を達成するために、本発明の一態様に係るIPv4/IPv6統合ネットワークシステムは、相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、少なくとも1つのIPv4ノードと共有された各秘密キーを識別できるKEY−IDを生成し、保安交渉過程で各IPv4ノードとKEY−IDを交換する少なくとも1つのIPv6ノードと、各IPv6ノードと共有された各秘密キーを識別できるKEY−IDを生成し、交換されたKEY−IDに相当する秘密キーによって保安交渉過程を処理するIPv4ノードと、を備える。
【0024】
本発明において、KEY−IDは、共有された秘密キー値をハッシュ関数処理した結果値のうち下位32ビット値である。
【0025】
本発明において、各ノードは、IKE(Internet key exchange)ヘッダー(HDR)、SA(shared associate)情報及びKEY−IDが含まれるIKEペイロードを構成する。
【0026】
本発明において、各ノードは、予約(reserved)ネクストペイロード値のうちKEY−IDであることを明示するペイロード値をネクストペイロードフィールドにセッティングし、ペイロードフィールドにKEY−IDがセッティングされたIKEペイロードにKEY−IDを転送する。
【0027】
本発明に係るIPv4/IPv6統合ネットワークシステムは、各IPv6ノードにIPv4アドレスを動的に割り当てることができるアドレスプールを有し、各第1のノードに割り当てられるIPv4アドレスに依存するアドレステーブルを管理し、アドレステーブルに基づいてIPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv6パケットに変換するNAT−PT(Network Address Translation-Protocol Translation)サーバーをさらに備える
【0028】
本発明において、各ノードは、保安交渉過程で選択された秘密キー値と、暗号キー共有過程に共有されるキー交換(Key Exchange)及び乱数値(Ni、Nr)によって暗号キーを生成し、キー交換による認証過程が完了すれば、暗号キーによってデータを暗号化し、保安通信を行う。
【0029】
また、本発明の他の態様に係るIPv4/IPv6統合ネットワークシステムは、相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、少なくとも1つのIPv6ノードと共有される各秘密キー値を識別できる識別情報を生成し、IKE(Internet key exchange)による保安交渉過程で各IPv6ノードと生成された識別情報を交換する少なくとも1つのIPv4ノードと、各IPv4のノードと共有された各秘密キー値を識別できる識別情報を生成し、保安交渉過程を通じて交換される識別情報に相当する秘密キー値を用いて保安交渉過程を処理するIPv6ノードと、を備える。
【0030】
また、本発明のさらに他の態様に係るIPv4/IPv6統合ネットワークの保安通信方法は、相異なる種類のIP網に設けられる少なくとも1つのノードが秘密キー値を共有する段階と、各ノードが共有された秘密キー値を識別できるKEY−IDを生成する段階と、各ノードがKEY−IDを交換し、保安のための交渉過程を処理する段階と、を備える。
【0031】
本発明において、KEY−IDを生成する段階は、秘密キー値をハッシュ関数処理した結果値の下位32ビット値をKEY−IDに設定する 。
【0032】
本発明において、交渉過程を処理する段階は、第1のノードがIKEヘッダー(HDR)、SA(shared associate)情報及びKEY−IDが含まれるIKEペイロードを含む第1のパケットを第2のノードに転送する段階と、第2のノードがIKEヘッダー(HDR)、SA(shared associate)情報及びKEY−IDが含まれるIKEペイロードを含む第2のパケットを第1のノードに転送する段階と、を備える。
【0033】
本発明に係るIPv4/IPv6統合ネットワークの保安通信方法は、第1のノードに動的にIPアドレスを割り当て、第1のパケットを第2のパケットに変換し、第2のパケットを第1のパケットに変換する段階をさらに備える。
【0034】
本発明において、IKEペイロードは、予約(reserved)ネクストペイロード値のうちKEY−ID値として定義される値がネクストペイロードフィールドにセットされ、ペイロードフィールドにKEY−IDがセットされた識別ペイロードを含む。
【0035】
本発明に係るIPv4/IPv6統合ネットワークの保安通信方法は、交渉過程で選択された秘密キー値と、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)によって暗号キーを生成する段階と、暗号キーの交換によって認証過程が完了した場合には、暗号キーによってデータを暗号化し、保安通信を行う段階とをさらに備える。
【0036】
また、本発明のさらに他の態様に係るIPv4/IPv6統合ネットワークの保安通信方法は、少なくとも1つのIPv6ノード及びIPv4ノードが秘密キーを共有する段階と、各ノードが各秘密キーを識別できる識別情報を生成する段階と、IKEによる保安交渉過程で各IPv6ノードとIPv4ノードが識別情報を交換する段階と、各IPv6ノード及びIPv4ノードが識別情報に相当する秘密キーによって保安交渉過程を処理する段階と、を備える。
【0037】
本発明に係るIPv4/IPv6統合ネットワークの保安通信方法は、保安交渉過程で選択された前記秘密キーと、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)によって暗号キーを生成する段階と、前記暗号キーの交換によって認証過程が完了した場合には、暗号キーによってデータを暗号化し、保安通信を行う段階とをさらに備える。
【発明の効果】
【0038】
本発明によれば、IPv4網とIPv6網が混在した統合ネットワークにおいて、秘密キーを識別できるID情報を、IPアドレス情報として使用しないことによって、NAT−PTサーバーを介してパケットが変換される場合であっても、IPv4ノードとIPv6ノードが秘密キーを識別できるので、IPv4/IPv6統合ネットワークにおいて、秘密キー方式を基盤としてIPsecによる保安通信を実現することができる。
【発明を実施するための最良の形態】
【0039】
以下、添付の図面を参照して、本発明の実施形態のIPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置を詳細に説明する。
【0040】
図1は、本発明の実施形態のIPv4/IPv6統合ネットワークを説明するブロック図である。
【0041】
図1を参照すれば、IPv6網に設けられた多数のIPv6ノード100と、IPv4網に設けられたIPv4ノード300とが、NAT−PTサーバー200を介して連結されている。
【0042】
NAT−PTサーバー200は、IPv4網とIPv6網との境界地点に位置し、IPv6ノード100に動的に割り当てるIPv4アドレスを集めたIPv4アドレスプール(不図示)に基づいて、セッションが初期化される時毎に、IPv6ノード100に動的にIPv4アドレスを割り当てる。
【0043】
本実施形態では、各IPv6ノード100とIPv4ノード300間に、PSK方式に基づいて、IKE規約によって保安通信を行う場合について説明する。
【0044】
また、本実施形態では、一例として、IPv4ノード300が、多数のIPv6ノード100と秘密キーを共有する場合について説明するが、その他、IPv6ノード100が、多数のIPv4ノード300と秘密キーを共有する場合にも、同様に適用することができる。
【0045】
図2は、一般的なIPv4ノードに設定されるPSK(事前共有キー)を説明する図である。
【0046】
図2に示すように、各PSKは、識別情報IDと秘密キーとを含む。各秘密キーの識別情報は、IPアドレス情報であり、‘220.70.2.50’は、NAT−PTサーバー200が、IPv6ノード100に動的に割り当てるIPv4アドレスである。また、‘220.70.2.100’は、IPv4ノード300のIPv4アドレスである。また、各識別情報にマッチングされる秘密キーは、‘1234’である。
【0047】
図3は、一般的なIPv6ノードに設定されるPSK(事前共有キー)を説明する図である。
【0048】
図3に示すように、各秘密キーの識別情報は、IPアドレス情報である。‘2001::1’は、第1のIPv6ノード100のIPv6アドレスである。‘3ffe:2e00:e:fff9::220.70.3.100’は、NAT−PTサーバー200のprefixアドレスである‘3ffe:2e00:e:fff9’の後段に、IPv4ノード300のIPアドレス‘220.70.2.100’を付けて生成されたアドレスである。また、各識別情報にマッチングされる秘密キーは、‘1234’である。
【0049】
図2及び図3と関連して説明したように、各ノードは、同じ秘密キーを共有しており、各秘密キーを識別するための識別情報は、各ノードのIPアドレスが使われることが分かる。
【0050】
しかしながら、IPv4/IPv6統合ネットワークにおいては、IPv6ノード100と保安通信を行うIPv4ノード300の秘密キーを識別する識別情報として、IPアドレスを使用することができない。なぜなら、IPv4ノード300は、NAT−PTサーバー200からIPv6ノード100に任意に割り当てられるIPv4アドレス220.70.2.50が、動的に割り当てられるので、IPv4ノード300は、IPv6ノード100のIPアドレスに依存する秘密キーを識別することができなくなり、保安通信を行うことができないためである。
【0051】
したがって、本実施形態のIPv4ノード300及びIPv6ノード100は、それぞれ共有している秘密キーに基づいてIPアドレス情報ではない他の識別情報(以下、KEY−IDと言う)を生成し、秘密キーに基づいてIKE規約に基づく保安通信を行う。
【0052】
図4は、本実施形態の各IPv6ノードに設定されるPSK(事前共有キー)を説明する図である。
【0053】
図4に示すように、本実施形態の各IPv6ノード100は、PSKの秘密キーに基づいてKEY−IDを生成する。
【0054】
例えば、第1のIPv6ノード100のKEY−IDは、‘12345678’であり、マッチングされる秘密キーは、‘1111’である。第2のIPv6ノード100のKEY−IDは、‘87654321’であり、マッチングされる秘密キーは、‘2222’である。第3のIPv6ノード100のKEY−IDは、‘12341234’であり、マッチングされる秘密キーは、‘3333’である。
【0055】
図5は、本実施形態の各IPv4ノードに設定されるPSK(事前共有キー)を説明する図である。
【0056】
図5に示すように、各IPv6ノード100と共有された各秘密キーに基づいて各秘密キーを識別できるKEY−IDを生成し、各KEY−IDと各KEY−IDにマッチングされる秘密キーとを保存して管理する。
【0057】
例えば、IPv4ノード300は、第1の秘密キー‘1111’にマッチングされるKEY−ID‘12345678’と、第2の秘密キー‘2222’にマッチングされるKEY−ID‘87654321’と、第3の秘密キー‘3333’にマッチングされるKEY−ID‘12341234’とを有する。
【0058】
このような各IPv6ノード100及びIPv4ノード300は、秘密キーのキー値をハッシュ関数処理した結果値のうち下位32ビット値をKEY−IDに設定する。
【0059】
図6は、本実施形態のKEY−IDの生成を説明する図である。
【0060】
図6に示すように、各IPv6ノード100及びIPv4ノード300は、共有されたPSKのうち秘密キーのキー値(key value)を、ハッシュ関数(Secure Hash Standard)処理した結果値の、下位32ビット値を該当秘密キーのKEY−IDに設定する。
【0061】
各IPv6ノード100及びIPv4ノード300は、既存のIPアドレスを転送せず、IKE規約に従う秘密キーの識別情報を用いて保安通信を行うことにより、KEY−IDを交換する。
【0062】
図4及び図5では、一例として、KEY−IDを10進数で表記したが、その他の進数方式で表現する場合にも、同様である。
【0063】
図7は、本実施形態のIPv4/IPv6統合ネットワークの保安通信方法を説明するフローチャートである。
【0064】
図7を参照すれば、各IPv6ノード100及びIPv4ノード300は、図4及び図5と関連して説明したように、共有されたPSKの秘密キーを識別できるKEY−IDを生成する。
【0065】
IPv6ノード100及びIPv4ノード300は、‘IPsec’による保安通信を開始する。保安通信過程は大きく、保安交渉過程S110と、暗号キー共有過程S120と、認証手続過程S130と、保安通信実行過程S140とからなる。
【0066】
保安交渉過程S110のフローは、次の通りである。
【0067】
IPv6ノード100は、IKE(Internet Key Exchange)交渉のためにIKEヘッダー(Header、以下、HDRという)と、SA情報(例えば、暗号アルゴリズム)と、KEY−IDとが含まれたIKEペイロードを構成する。また、IPv6ノード100は、IKEペイロードが含まれたIPv6パケットを生成する。また、IPv6ノード100は、IPv6パケットをNAT−PTサーバー200に転送する(ステップS111。なお、図中ではステップをSと略す。)。
【0068】
図8は、本実施形態のHDRの構成を説明する図である。図8に示すように、‘HDR’は、‘SA’情報を識別するために‘開始者’が選択した値を有する‘IKE_SA開始者のSPI’フィールドと、‘SA’情報を識別するために‘応答者’が選択した値を有する‘IKE_SA応答者のSPI’フィールドと、‘HDR’の次に位置するペイロードタイプを示す‘ネクストペイロード’フィールドと、使われるプロトコルのバージョンを示す‘MjVer’と、‘MnVer’フィールドと、メッセージ交換タイプを示す‘交換タイプ’フィールドと、メッセージに選択されたオプションを示す‘フラグ’フィールドと、データの再転送を制御し、要請と応答をマッチングさせるための‘メッセージID’フィールドと、ヘッダー以後のペイロード全体のメッセージ長さを示す‘長さ’フィールドとを含む。
【0069】
図9は、本実施形態のペイロードタイプを説明する図である。
【0070】
図9に示すように、ペイロードタイプのうち定義されていないペイロード値(私用の予約;Reserved for private use)のうち1つの値をKEY−IDのペイロードタイプ値として定義することができる。
【0071】
図10は、本実施形態のKEY−IDペイロードを説明する図である。
【0072】
図10に示すように、IPv6ノード100またはIPv4ノード300は、‘ネクストペイロード’フィールドに定義されるKEY−IDのペイロードタイプ値を設定し、ペイロードフィールドに秘密キーを識別できるKEY−IDを含めて、図8に示すHDRの後段に連結し、IKEペイロードを生成する。
【0073】
NAT−PTサーバー200は、IPv4アドレスプールに基づいて各IPv6ノード100に割り当てられるIPv4アドレスを基盤としてIPv6パケットをIPv4パケットに変換する。この際、NAT−PTサーバー200は、各IPv6ノード100に割り当てられたIPv4アドレスをマッピングテーブルで管理する。
【0074】
また、NAT−PTサーバー200は、変換されたIPv4パケットをIPv4ノード300に転送する(ステップS112)。
【0075】
すなわち、IPv6ノード100からHDRと、SA情報と、KEY−IDとがIPv4ノード300に転送される。SA情報については、多数のSA情報がリスト(list)化された形態で転送される。
【0076】
IPv4ノード300は、NAT−PTサーバー200からHDRと、SA情報と、KEY−IDとが含まれたIKEペイロードを含むIPv4パケットを受信した場合には、IKEペイロードに含まれたKEY−IDに従う秘密キーを選択する。
【0077】
IPv4ノード300は、IPv6ノード100とのIKE交渉のために、HDRと、SA情報と、選択されたPSKの秘密キーを識別できるKEY−IDとが含まれたIKEペイロードを含むIPv4パケットを生成し、NAT−PTサーバー200に転送する(ステップS113)。
【0078】
NAT−PTサーバー200は、マッピングテーブルに基づいて、IPv4パケットをIPv6パケットに変換し、IPv6ノード100に転送する(ステップS114)。
【0079】
すなわち、IPv4ノード300から、HDRと、SA情報と、KEY−IDとがIPv6ノード100に転送される。この際、SA情報は、IPv6ノード100から伝達された多数のSA情報のうち、IPv4ノード300により、選択された(selected)SA情報が転送される。
【0080】
すなわち、保安交渉過程S110で、IPv6ノード100とIPv4ノード300は、互いに共有しているPSKの秘密キーを、KEY−IDを通じて確認することができ、SA情報及び秘密キーに従う保安交渉を処理する。
【0081】
次に、暗号キー共有過程S120でのデータ転送手続過程は、次の通りである。
【0082】
IPv6ノード100は、HDRと、キー交換(Key Exchange、以下、KEという)と、臨時乱数値Niとが含まれたIKEペイロードを含むIPv6パケットを生成し、IPv6パケットをNAT−PTサーバー200に転送する(ステップS121)。
【0083】
NAT−PTサーバー200は、マッピングテーブルに登録されたIPv6ノード100のIPv4アドレスに基づいて、IPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv4ノード300に転送する(ステップS122)。
【0084】
IPv4ノード300は、NAT−PTサーバー200からHDRと、KEと、Ni値とが含まれたIKEペイロードを受信した場合には、IPv6ノード100のKE及びNi値を把握する。
【0085】
IPv4ノード300は、HDRと、KEと、Nr値とが含まれたIKEペイロードを含むIPv4パケットを生成し、NAT−PTサーバー200に転送する(ステップS123)。
【0086】
NAT−PTサーバー200は、マッピングテーブルに基づいて、IPv4パケットをIPv6パケットに変換し、IPv6ノード100に転送する(ステップS124)。
【0087】
すなわち、各IPv6ノード100及びIPv4ノード300は、暗号キー共有過程S120を通じて共有した秘密キーと、選択されたSA情報と、KEと、乱数値Ni、Nrとを用いてデータを暗号化する暗号キーを生成する。
【0088】
認証手続S130でのデータ転送手続は、次の通りである。
【0089】
IPv6ノード100は、アドレス情報IDiiと、認証情報[CERT,]SIG_Iとを生成し、共有されたキー情報KEを用いて、アドレス情報IDiiと、認証情報[CERT,]SIG_Iと、HDRとを暗号化したIKEペイロードを含むIPv6パケットを生成し、NAT−PTサーバー200に転送する(ステップS131)。
【0090】
NAT−PTサーバー200は、IPv6パケットをマッピングテーブルに基づいてIPv4パケットに変換し、IPv4パケットをIPv4ノード300に転送する(ステップS132)。
【0091】
IPv4ノード300は、受信されたIPv4パケットのIKEペイロードに含まれたアドレス情報IDii及び認証情報[CERT,]SIG_IなどによりIPv6ノード100を認証する。
【0092】
IPv4ノード300は、IPv6ノード100が認証された場合には、自身のアドレス情報IDirと、そのアドレス情報が反映された認証情報[CERT,]SIG_Rを生成し、アドレス情報IDirと認証情報[CERT,]SIG_RとHDRを、キー情報KEを用いて暗号化したIKEペイロードを含むIPv4パケットを生成し、IPv4パケットをNAT−PTサーバー200に転送する(ステップS133)。
【0093】
NAT−PTサーバー200は、マッピングテーブルに基づいてIPv4パケットをIPv6パケットに変換し、IPv6パケットをIPv6ノード100に転送する(ステップS134)。
【0094】
IPv6ノード100は、IPv6パケットに含まれたアドレス情報IDirと認証情報[CERT,]SIG_Rとを用いてIPv4ノード300を認証する。
【0095】
IPv6ノード100とIPv4ノード300間に相互認証が完了した場合には、暗号キー共有過程120を通じて共有した暗号キーを用いて、IPv6ノード100とIPv4ノード300間に、IPsecによる保安通信が行われる(ステップS140)。
【0096】
図11は、本実施形態のIPv4/IPv6統合ネットワークシステムの保安通信方法を説明するフローチャートである。
【0097】
図11を参照すれば、IPv4網に設けられたIPv4ノード300と、IPv6網に設けられた多数のIPv6ノード100とが、秘密キーを共有する(ステップS200)。
【0098】
各IPv6ノード100及びIPv4ノード300は、共有された秘密キーに基づいて各秘密キーを識別できるKEY−IDを生成する(ステップS210)。
【0099】
各IPv6ノード100及びIPv4ノード300は、共有されたPSKの秘密キーのキー値(key value)をハッシュ関数(Secure Hash Standard)処理した結果値の下位32ビット値を該当秘密キーのKEY−IDに設定する。
【0100】
各IPv6ノード100とIPv4ノード300は、HDRと、SA情報と、KEY−IDとを含むIKEペイロードを交換し、保安交渉過程を処理する(ステップS220)。
【0101】
各IPv6ノード100及びIPv4ノード300は、交換されるKEY−IDにマッチングする秘密キーを選択する(ステップS230)。
【0102】
各IPv6ノード100及びIPv4ノード300は、HDRと、キー交換(Key Exchange)と、臨時乱数値Niとを含むIKEペイロードを交換し、共有している秘密キーと、SA情報と、KEと、乱数値Ni、Nrとを用いてデータを暗号化するための暗号キーを共有する(ステップS240)。
【0103】
各IPv6ノード100は、アドレス情報IDiiと、認証情報[CERT,]SIG_Iとを生成し、共有されたキー情報KEを用いて、アドレス情報IDiiと、認証情報[CERT,]SIG_Iと、HDRとを暗号化したIKEペイロードを含むIPv6パケットを生成し、IPv6パケットをNAT−PTサーバー200を介してIPv4ノード300に転送する。
【0104】
IPv4ノード300は、受信されたIKEペイロードに含まれたアドレス情報IDiiと、認証情報[CERT,]SIG_Iなどによって、IPv6ノード100を認証し、自身のアドレス情報IDirと、当該アドレス情報が反映された認証情報[CERT,]SIG_Rと、HDRとを、キー情報KEを用いて暗号化したIKEペイロードを含むIPv4パケットを、NAT−PTサーバー200を介してIPv6ノード100に転送する。
【0105】
IPv6ノード100は、IPv6パケットに含まれたアドレス情報IDirと、認証情報[CERT,]SIG_Rとを用いて、IPv4ノード300を認証する(ステップS250)。
【0106】
IPv6ノード100とIPv4ノード300間に相互認証が完了すれば、暗号キー共有過程120を通じて共有した暗号キーを用いてIPv6ノード100とIPv4ノード300間にIPsecによる保安通信が行われる(ステップS260)。
【0107】
この際、NAT−PTサーバー200は、IPv4アドレスプール(pool)に基づいてIPv6ノード100に割り当てられたIPv4アドレスに基づいて、マッピングテーブルを管理し、IPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv6パケットに変換する。
【図面の簡単な説明】
【0108】
【図1】本実施形態のIPv4/IPv6統合ネットワークを説明するためのブロック図である。
【図2】一般的なIPv4ノードに設定されるPSKを説明するための図である。
【図3】一般的なIPv6ノードに設定されるPSKを説明するための図である。
【図4】本実施形態の各IPv6ノードに設定されるPSKを説明する図である。
【図5】本実施形態の各IPv4ノードに設定されるPSKを説明する図である。
【図6】本実施形態のKEY−IDの生成を説明する図である。
【図7】本実施形態のIPv4/IPv6統合ネットワークの保安通信方法を説明するフローチャートである。
【図8】本実施形態のHDRの構成を説明する図である。
【図9】本実施形態のペイロードタイプを説明する図である。
【図10】本実施形態のKEY−IDペイロードを説明する図である。
【図11】本実施形態のIPv4/IPv6統合ネットワークシステムの保安通信方法を説明するフローチャートである。
【符号の説明】
【0109】
100 IPv6ノード
200 NAT−PTサーバー
300 IPv4ノード
【特許請求の範囲】
【請求項1】
相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、
少なくとも1つのIPv4ノードと共有された各秘密キーを識別できるKEY−IDを生成し、保安交渉過程で前記各IPv4ノードと前記KEY−IDを交換する少なくとも1つのIPv6ノードと、
前記各IPv6ノードと共有された各秘密キーを識別できるKEY−IDを生成し、前記交換されたKEY−IDに相当する秘密キーによって前記保安交渉過程を処理するIPv4ノードと、
を備えることを特徴とするIPv4/IPv6統合ネットワークシステム。
【請求項2】
前記KEY−IDは、
前記共有された秘密キー値をハッシュ関数処理した結果値の下位32ビット値であることを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
【請求項3】
前記IPv6ノード及び前記IPv4ノードは、
IKE(Internet key exchange)ヘッダー(HDR)と、SA(shared associate)情報と、KEY−IDとを含むIKEペイロードを構成することを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
【請求項4】
前記IPv6ノード及び前記IPv4ノードは、
予約(reserved)ネクストペイロード値のうちKEY−IDであることを示すペイロード値をネクストペイロードフィールドにセットし、
ネクストペイロードフィールドに前記KEY−IDがセットされたIKEペイロードを用いて前記KEY−IDを転送することを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
【請求項5】
前記各IPv6ノードにIPv4アドレスを動的に割り当てることができるアドレスプール(pool)を有し、前記各IPv6ノードに割り当てられるIPv4アドレスに依存するアドレステーブルを管理し、前記アドレステーブルに基づいてIPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv6パケットに変換するNAT−PT(Network Address Translation-Protocol Translation)サーバーをさらに備えることを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
【請求項6】
前記IPv6ノード及び前記IPv4ノードは、
前記保安交渉過程で選択された前記秘密キー値と、暗号キー共有過程で共有されたキー交換(Key Exchange)値及び乱数値(Ni、Nr)と、に基づいて暗号キーを生成し、前記キー交換による認証過程が完了すれば、前記暗号キーによってデータを暗号化し、保安通信を行うことを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
【請求項7】
相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、
少なくとも1つのIPv6ノードと共有される各秘密キー値を識別できる識別情報を生成し、IKE(Internet key exchange)による保安交渉過程で前記各IPv6ノードと前記生成された識別情報を交換する少なくとも1つのIPv4ノードと、
前記各IPv4ノードと共有された各秘密キー値を識別できる識別情報を生成し、前記保安交渉過程を通じて交換される識別情報に相当する秘密キー値を用いて保安交渉過程を処理するIPv6ノードと、
を備えることを特徴とするIPv4/IPv6統合ネットワークシステム。
【請求項8】
相異なるネットワークに設けられたIPv6ノード及びIPv4ノードを含むIPv4/IPv6統合ネットワークの保安通信方法であって、
相異なる種類のIP網に設けられる少なくとも1つ以上のノードが秘密キー値を共有する段階と、
前記各ノードが前記共有された秘密キー値を識別できるKEY−IDを生成する段階と、
前記各ノードが前記KEY−IDを交換し、保安のための交渉過程を処理する段階と、
を有することを特徴とするIPv4/IPv6統合ネットワークの保安通信方法。
【請求項9】
前記KEY−IDを生成する段階は、
前記秘密キー値をハッシュ関数処理した結果値の下位32ビット値を前記KEY−IDに設定することを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項10】
前記交渉過程を処理する段階は、
第1のノードが、IKEヘッダー(HDR)と、SA(shared associate)情報と、KEY−IDとが含まれるIKEペイロードを含む第1のパケットを第2のノードに転送する段階と、
前記第2のノードが、IKEヘッダー(HDR)と、SA(shared associate)情報と、KEY−IDとが含まれるIKEペイロードを含む第2のパケットを前記第1のノードに転送する段階と、
を備えることを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項11】
前記第1のノードに動的にIPアドレスを割り当て、前記第1のパケットを前記第2のパケットに変換し、前記第2のパケットを前記第1のパケットに変換する段階をさらに備えることを特徴とする請求項10に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項12】
前記IKEペイロードは、
予約(reserved)ネクストペイロード値のうちKEY−ID値として定義される値がネクストペイロードフィールドにセットされ、ネクストペイロードフィールドに前記KEY−IDがセットされた識別ペイロードを含むことを特徴とする請求項10に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項13】
前記各ノードは、
IPv6網に設けられたIPv6ノードまたはIPv4網に設けられたIPv4ノードであることを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項14】
前記交渉過程で選択された前記秘密キー値と、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)とによって暗号キーを生成する段階と、
暗号キーの交換による認証過程が完了した場合には、前記暗号キーによってデータを暗号化し、保安通信を行う段階と、
をさらに備えることを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項15】
相異なるネットワークに設けられたIPv6ノード及びIPv4ノードを含むIPv4/IPv6統合ネットワークの保安通信方法であって、
少なくとも1つのIPv6ノード及びIPv4ノードが秘密キーを共有する段階と、
前記IPv6ノード及び前記IPv4ノードが前記各秘密キーを識別できる識別情報を生成する段階と、
IKEによる保安交渉過程で、前記各IPv6ノードと前記IPv4ノードが前記識別情報を交換する段階と、
前記各IPv6ノード及び前記IPv4ノードが前記識別情報に相当する秘密キーによって前記保安交渉過程を処理する段階と、
を備えることを特徴とするIPv4/IPv6統合ネットワークの保安通信方法。
【請求項16】
前記保安交渉過程で選択された前記秘密キーと、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)とによって、暗号キーを生成する段階と、
暗号キーの交換による認証過程が完了した場合には、前記暗号キーによってデータを暗号化し、保安通信を行う段階と、
をさらに備えることを特徴とする請求項15に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項1】
相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、
少なくとも1つのIPv4ノードと共有された各秘密キーを識別できるKEY−IDを生成し、保安交渉過程で前記各IPv4ノードと前記KEY−IDを交換する少なくとも1つのIPv6ノードと、
前記各IPv6ノードと共有された各秘密キーを識別できるKEY−IDを生成し、前記交換されたKEY−IDに相当する秘密キーによって前記保安交渉過程を処理するIPv4ノードと、
を備えることを特徴とするIPv4/IPv6統合ネットワークシステム。
【請求項2】
前記KEY−IDは、
前記共有された秘密キー値をハッシュ関数処理した結果値の下位32ビット値であることを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
【請求項3】
前記IPv6ノード及び前記IPv4ノードは、
IKE(Internet key exchange)ヘッダー(HDR)と、SA(shared associate)情報と、KEY−IDとを含むIKEペイロードを構成することを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
【請求項4】
前記IPv6ノード及び前記IPv4ノードは、
予約(reserved)ネクストペイロード値のうちKEY−IDであることを示すペイロード値をネクストペイロードフィールドにセットし、
ネクストペイロードフィールドに前記KEY−IDがセットされたIKEペイロードを用いて前記KEY−IDを転送することを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
【請求項5】
前記各IPv6ノードにIPv4アドレスを動的に割り当てることができるアドレスプール(pool)を有し、前記各IPv6ノードに割り当てられるIPv4アドレスに依存するアドレステーブルを管理し、前記アドレステーブルに基づいてIPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv6パケットに変換するNAT−PT(Network Address Translation-Protocol Translation)サーバーをさらに備えることを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
【請求項6】
前記IPv6ノード及び前記IPv4ノードは、
前記保安交渉過程で選択された前記秘密キー値と、暗号キー共有過程で共有されたキー交換(Key Exchange)値及び乱数値(Ni、Nr)と、に基づいて暗号キーを生成し、前記キー交換による認証過程が完了すれば、前記暗号キーによってデータを暗号化し、保安通信を行うことを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
【請求項7】
相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、
少なくとも1つのIPv6ノードと共有される各秘密キー値を識別できる識別情報を生成し、IKE(Internet key exchange)による保安交渉過程で前記各IPv6ノードと前記生成された識別情報を交換する少なくとも1つのIPv4ノードと、
前記各IPv4ノードと共有された各秘密キー値を識別できる識別情報を生成し、前記保安交渉過程を通じて交換される識別情報に相当する秘密キー値を用いて保安交渉過程を処理するIPv6ノードと、
を備えることを特徴とするIPv4/IPv6統合ネットワークシステム。
【請求項8】
相異なるネットワークに設けられたIPv6ノード及びIPv4ノードを含むIPv4/IPv6統合ネットワークの保安通信方法であって、
相異なる種類のIP網に設けられる少なくとも1つ以上のノードが秘密キー値を共有する段階と、
前記各ノードが前記共有された秘密キー値を識別できるKEY−IDを生成する段階と、
前記各ノードが前記KEY−IDを交換し、保安のための交渉過程を処理する段階と、
を有することを特徴とするIPv4/IPv6統合ネットワークの保安通信方法。
【請求項9】
前記KEY−IDを生成する段階は、
前記秘密キー値をハッシュ関数処理した結果値の下位32ビット値を前記KEY−IDに設定することを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項10】
前記交渉過程を処理する段階は、
第1のノードが、IKEヘッダー(HDR)と、SA(shared associate)情報と、KEY−IDとが含まれるIKEペイロードを含む第1のパケットを第2のノードに転送する段階と、
前記第2のノードが、IKEヘッダー(HDR)と、SA(shared associate)情報と、KEY−IDとが含まれるIKEペイロードを含む第2のパケットを前記第1のノードに転送する段階と、
を備えることを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項11】
前記第1のノードに動的にIPアドレスを割り当て、前記第1のパケットを前記第2のパケットに変換し、前記第2のパケットを前記第1のパケットに変換する段階をさらに備えることを特徴とする請求項10に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項12】
前記IKEペイロードは、
予約(reserved)ネクストペイロード値のうちKEY−ID値として定義される値がネクストペイロードフィールドにセットされ、ネクストペイロードフィールドに前記KEY−IDがセットされた識別ペイロードを含むことを特徴とする請求項10に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項13】
前記各ノードは、
IPv6網に設けられたIPv6ノードまたはIPv4網に設けられたIPv4ノードであることを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項14】
前記交渉過程で選択された前記秘密キー値と、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)とによって暗号キーを生成する段階と、
暗号キーの交換による認証過程が完了した場合には、前記暗号キーによってデータを暗号化し、保安通信を行う段階と、
をさらに備えることを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【請求項15】
相異なるネットワークに設けられたIPv6ノード及びIPv4ノードを含むIPv4/IPv6統合ネットワークの保安通信方法であって、
少なくとも1つのIPv6ノード及びIPv4ノードが秘密キーを共有する段階と、
前記IPv6ノード及び前記IPv4ノードが前記各秘密キーを識別できる識別情報を生成する段階と、
IKEによる保安交渉過程で、前記各IPv6ノードと前記IPv4ノードが前記識別情報を交換する段階と、
前記各IPv6ノード及び前記IPv4ノードが前記識別情報に相当する秘密キーによって前記保安交渉過程を処理する段階と、
を備えることを特徴とするIPv4/IPv6統合ネットワークの保安通信方法。
【請求項16】
前記保安交渉過程で選択された前記秘密キーと、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)とによって、暗号キーを生成する段階と、
暗号キーの交換による認証過程が完了した場合には、前記暗号キーによってデータを暗号化し、保安通信を行う段階と、
をさらに備えることを特徴とする請求項15に記載のIPv4/IPv6統合ネットワークの保安通信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2007−189679(P2007−189679A)
【公開日】平成19年7月26日(2007.7.26)
【国際特許分類】
【出願番号】特願2006−344493(P2006−344493)
【出願日】平成18年12月21日(2006.12.21)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】Samsung Electronics Co.,Ltd.
【Fターム(参考)】
【公開日】平成19年7月26日(2007.7.26)
【国際特許分類】
【出願日】平成18年12月21日(2006.12.21)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】Samsung Electronics Co.,Ltd.
【Fターム(参考)】
[ Back to top ]