[go: up one dir, main page]

JP2004096178A - Encryption communication method and apparatus thereof - Google Patents

Encryption communication method and apparatus thereof Download PDF

Info

Publication number
JP2004096178A
JP2004096178A JP2002251085A JP2002251085A JP2004096178A JP 2004096178 A JP2004096178 A JP 2004096178A JP 2002251085 A JP2002251085 A JP 2002251085A JP 2002251085 A JP2002251085 A JP 2002251085A JP 2004096178 A JP2004096178 A JP 2004096178A
Authority
JP
Japan
Prior art keywords
security association
security
user
communication
encrypted communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002251085A
Other languages
Japanese (ja)
Inventor
Takaaki Tsurukame
鶴亀 崇昭
Mitsunaga Okamoto
岡本 充永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sanyo Electric Co Ltd
Original Assignee
Sanyo Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sanyo Electric Co Ltd filed Critical Sanyo Electric Co Ltd
Priority to JP2002251085A priority Critical patent/JP2004096178A/en
Publication of JP2004096178A publication Critical patent/JP2004096178A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To solve the problem that the improvement of security in performing IPsec protocol communication is sought. <P>SOLUTION: Upon receiving a communication request by IPsec, an SA (security association) control section confirms the presence or absence of an SA by referring to an SAD (security association database) (S10). If the SA is not present (N in S10), the SA control section confirms the presence or absence of a saved SA by referring to a save SA holding section (S12). When the saved SA is present (Y in S12), a user is authenticated by a password set when the SA is saved (S14). If the user is authenticated (Y in S14), the saved SA is sent back to the SAD (S16), an IPsec processing section executes communication by IPsec based on the SA (S18). <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワーク上で暗号化通信を行う技術に関する。
【0002】
【従来技術】
TCP/IP(Transmission Control Protocol/Internet Protocol)を利用するネットワーク環境で汎用的に用いることができるセキュリティ技術としてIPsec(IP Security Protocol)がある。このIPsecはIP(Internet Protocol)を用いた通信パケットの暗号化と認証を行うものであり、IPv6規格においてはVPN(Virtual Private Network)を構築する際の基幹技術の一つとなっている。SSL(Secure Sockets Layer)やS/MIME(Secure/Multipurpose Internet Mail Extension)のようなセキュリティプロトコルを利用すれば、特定のアプリケーションでTCP/IP通信のセキュリティを確保することができるが、これらを利用するには、対応するアプリケーション毎に個別の設定をする必要がある。例えば、企業における拠点間での通信において、多様なアプリケーションプロトコルを利用する場合、セキュリティの設定をアプリケーション毎に繰り返し設定しなければならず、非常に煩雑な作業が必要となる。更に複数のコンピュータが網の目を作るように通信を行うような場合、その設定を維持管理するだけでも大きな負担となる。
【0003】
このような問題点を解消するために考案されたのがIPsecである。このプロトコルは、アプリケーション自身がそれぞれ別々にセキュリティ機能を持つのではなく、通信プロトコルそのものがセキュリティ機能を提供する。IPsecによると、アプリケーション毎のセキュリティ設定が不要となる。つまり、セキュリティ機能の統合が可能となる。
【0004】
このIPsecは、IPアドレスを持つ通信機器を両端点とする通信路において、暗号化したパケットを送受信するためのプロトコルである。IPsecによる暗号化通信が開始されるとき、通信端点である通信機器同士が暗号化に必要な情報、具体的には暗号化アルゴリズムの種類、暗号化及び復号のための鍵などがネゴシエーションにより決定される。この暗号化通信に必要な情報はセキュリティアソシエーション(Security Association;以下、単に「SA」とも略す)と呼ばれ、通信端点に設けられるセキュリティアソシエーションデータベース(Security Association Database;以下、単に「SAD」とも略す)に保持される。SAの作成時には、通信機器を使用するユーザの認証が行われる。また、SAには、通信総バイト数あるいは時間で寿命が設定される。SAが設定された寿命に達すると、新たなSAが作成され、そのとき同時にユーザの再認証も行われる。
【0005】
不正なユーザの使用を防ぐために、つまり正当なユーザの機器を悪意のあるユーザが勝手に使用するケースを予防するためには、SAの更新を頻繁に行ってユーザの認証を行う必要がある。しかし、SAの更新が頻繁であると、システムにかかる負荷が高まってしまい、ネットワーク環境のパフォーマンスが低下するおそれがある。また、IPsecの仕組み自体を変えると、既存のIPsecシステムとの互換性が保てず暗号化通信ができなくなってしまう。
【0006】
本発明は、このような状況に鑑みなされたものであり、その目的は、IPを利用する通信において、その通信のセキュリティを向上させる技術を提供することにある。また別の目的は、IPsecの基本的仕組みを変更せず、通信機器のパフォーマンスをそれほど低下させない頻度でユーザの認証を可能とする、SAを制御する技術を提供することにある。
【0007】
【課題を解決するための手段】
本発明のある態様は、暗号化通信方法に関する。この方法は、IPを用いた通信パケットを暗号化してネットワーク通信を行う際に、暗号化処理及び復号処理のために設定される情報を、当該情報が有する有効期限よりも前に、当該情報が本来存在する場所からその場所への復帰が可能な状態にて移動させることでその情報を無効化する。
【0008】
IP層に対して暗号化処理を施すことで、ネットワーク通信を行う際にアプリケーションごとに認証する必要がなくなる。しかし、一旦認証され通信の確立が維持されたままであると、次回の認証時まで正当なユーザであると認識されてしまう。つまり、不正なユーザが認証されている端末を利用して通信することも可能となってしまう。認証に使用される情報には時間や通信に利用したデータ量によって有効期限が設定されており、その更新間隔を短くすることでセキュリティレベルは高まる。しかし、その更新の際に通信システムの負荷が高くなり通信機器のパフォーマンスが低下する恐れがある。そこで、ユーザがログオフしたりシャットダウンした際に、有効期限前であっても認証に使用された情報を削除または移動させることで強制的に無効化する。これによって、次回、その通信機器を使用する際に認証が必要となり、その結果、通信環境の負荷の増加を抑えつつセキュリティの向上が実現される。
【0009】
本発明の別の態様も、暗号化通信方法に関する。この方法は、IPに関するセキュリティアーキテクチャに準じて暗号化通信を行う際に、暗号化処理及び復号処理のための情報として設定されるSAを、当該SAに予め設定された有効期限よりも前に、削除または当該情報が本来存在すべき場所から移動させ無効化する。SAは、ユーザが当該通信方法による通信を中止または停止するときや、使用する端末のログオフやシャットダウンのときに無効化される。また、ユーザが使用する端末に対して入力が所定時間なされないときや、通信を行う所定のアプリケーションを監視しておきその利用が終了したときにSAが無効化されてもよい。
【0010】
本発明の別の態様は、暗号化通信装置に関する。この装置は、IPを用いた通信パケットに対し、IPに関するセキュリティアーキテクチャに準じて所定の処理を施し暗号化及び復号するIPsec処理部と、IPパケットに施す処理方法をSAをもとに管理するポリシー管理と、本来の有効期限よりも前にSAを無効化するSA制御部と、を有する。
【0011】
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記録媒体などの間で変換したものもまた、本発明の態様として有効である。
【0012】
【発明の実施の形態】
本実施の形態では、IPsecを用いたネットワーク通信において、その暗号化通信処理に利用されるSAを、所定の条件が満たされた場合、その規格に従って設定された寿命より前に削除又は退避させる。SAを退避させる場合、そのSAを復帰させる際に利用するユーザの簡易認証情報が設定される。この簡易認証の手段として、例えばパスワードや、ユーザが個別に保有するICカードの利用、指紋認証などがある。正当なユーザからIPsecによる通信要求があった場合、そのユーザが以前利用したSAが退避状態にあるか否かを確認し、退避したSA(以下、「退避SA」ともいう)があれば、本来SAが保持されるべき場所であるSADにその退避SAを戻し再度利用する。退避SAをSADに戻す場合、SAを退避する際に設定した簡易認証によりユーザの認証を行う。以下の説明では、簡易認証としてパスワードを利用するがこれに限る趣旨ではない。
【0013】
SAを無効化する、つまり削除または退避させる条件として、例えば仮想端末の終了や、ユーザのログオフ、オペレーションシステムのシャットダウンがある。また更に、通信を中止することや所定時間端末に対する入力がない場合や、ネットワーク通信を開始するアプリケーションを監視しておき、そのアプリケーションが終了するときであってもよい。これら条件は、ユーザにより予め設定される。
【0014】
図1は、本実施の形態に係るIPsec機器20を含むネットワークシステム10の構成を示す。それぞれのユーザ端末12は、IPsec機器20を介してインターネット18に接続されており、IPsecプロトコルに基づき暗号化通信を実現する。
【0015】
図2は、IPsec機器20の構成を示すブロック図である。IPsec機器20は、IPsec処理部40と、ポリシー管理部42と、データベース部60と、SA制御部50と、ユーザ簡易認証部52を備える。また、データベース部60はSAD44と、SPD46と、退避SA保持部48とを備える。ここで、IPsec機器20とは、IPsecが実装されたホストであるIPsecホストやIPsecが実装された中継器器であるセキュリティゲートウェイの総称である。したがって、ユーザ端末12とIPsec機器20が同一機器として構成されるケースもある。本実施の形態で、特徴的な点は、SA制御部50とユーザ簡易認証部52である。それ以外の構成要素はIPsec規格に準じた構成及び機能を有するので、それらについては概略説明とし、一部構成要素を適宜省略している。
【0016】
IPsec処理部40は、IPパケットの処理方法をポリシー管理部42に問い合わせ、IPパケットに対してポリシー管理部42からの返答に応じた処理を施す。ポリシー管理部42は、SAD44及びSPD46を参照して、処理の対象となるIPパケットの処理方法をIPsec処理部40に通知する。
【0017】
SAD44はIPsecのセキュリティプロトコルによって保護されたコネクションであるSAを格納する。SPD46は、IPsecの処理の方法を記述したセキュリティポリシーを保持する。SPD46は、出力パケットに対するセキュリティポリシーが保持される出力用SPDと、入力パケットに対するセキュリティポリシーが保持される出力用SPDとから構成される。退避SA保持部48は、後述の処理によってSA制御部50が移動したSAを保持する。
【0018】
SA制御部50は、IPsec処理部40を監視し、IPsecによる通信要求が発生した場合、SAD44を参照しIPsec処理部40にて処理すべきIPパケットに対して適用すべきSAの有無を確認する。SAが存在する場合は、IPsec処理部40に対して一般的なIPsecによる通信を行うことを指示する。一方、SAが存在しない場合、退避SA保持部48を参照し、退避SAが存在するか否かを確認する。SAD44に戻すべき退避SAが存在する場合、SA制御部50は、その退避SAを戻し、以降、そのSAに基づいたIPsecによる通信を行うようIPsec処理部40に通知する。戻すべき退避SAが存在しない場合、一般的なIPsecの処理に従って新たにSAを作成するようIPsec処理部40に通知する。また、所定の条件をトリガーとしてSA制御部50はSAの有効期限前にSAを削除もしくは退避SA保持部48に移動し無効化する。また、SA制御部50は、ユーザの入力によりその条件を予め設定する。
【0019】
ユーザ簡易認証部52は、SA制御部50がSAを退避させる際にパスワードを設定するとともに、退避SAをSAD44に戻す際に、ユーザにパスワードの入力を促し、ユーザの簡易認証を行う。
【0020】
以上の構成による動作を、図3及び図4に示すフローチャートをもとに説明する。図3は、IPsecプロトコルによる通信が開始される際のIPsec機器20における処理を示すフローチャートである。
【0021】
IPsecによる通信要求があると、SA制御部50はSAD44を参照してSAの有無を確認する(S10)。SAが存在する場合(S10のY)、そのSAに基づいてIPsecによる通信が実行される(S18)。SAが存在しない場合(S10のN)、SA制御部50は退避SA保持部48を参照して退避SAの有無を確認する(S12)。退避SAが存在する場合(S12のY)、SAが退避される際に設定されたパスワードにより、ユーザ簡易認証部52はユーザの簡易認証を行う(S14)。ユーザの認証がなされた場合(S14のY)、SA制御部50は退避SAをSAD44に戻す(S16)。つづいてIPsec処理部40がそのSAに基づいてIPsecによる通信を実行する(S18)。一方、退避SAが存在しない場合(S12のN)及び退避SAが存在した場合であってもそれをSAD44に戻す際にユーザの認証がなされなかった場合(S14のN)、IPsec規格に準じて新規SAの作成(S20)と、ユーザ認証がなされ(S22)、作成されたSAに基づきIPsecによる通信が実行される(S18)。当然、S22においてユーザ認証がなされなかった場合、IPsecによる通信は実行されず、暗号化されない通信が行われるか、通信自体が実行されない。
【0022】
図4は、既存のSAを削除または退避させる処理を示すフローチャートである。この処理は、ユーザのログオフやオペレーションシステムのシャットダウンなど所定のイベントが発生した際に行われる。
【0023】
所定のイベントが発生すると、SA制御部50はSAを削除するまたは退避することにより無効化する条件を満たすか否かを確認する(S52)。条件を満たさない場合は(S52のN)、この処理が終了する。条件を満たす場合(S52のY)、SA制御部50は事前の設定によりSAを削除もしくは退避する(S54)。削除の場合(S54の1)、SA制御部50はSAを削除し(S56)、SAが無効化され(S60)、処理が終了する。退避の場合(S54の2)、SA制御部50はSAを退避SA保持部48に移動し、その際ユーザ簡易認証部52は次回そのSAをSADに戻す際に使用するユーザ認証用のパスワードを設定し(S58)、SAを無効化し(S60)、処理が終了する。
【0024】
上述の構成は、ハードウエア的には、任意のコンピュータのCPU、メモリ、その他のLSIで実現でき、ソフトウエア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックがハードウエアのみ、ソフトウエアのみ、またはそれらの組合せによっていろいろな形で実現できることは、当業者には理解されるところである。
【0025】
以上、本発明によれば、IPを利用する通信において、IP層レベルのセキュリティ向上が実現される。また別の観点では、IPsecの基本的仕組みを変更せず、簡便でかつユーザ端末12のパフォーマンスを著しく低下させることなくIPsecとSAを制御し、IPsecを用いた通信のセキュリティ向上が実現される。
【0026】
以上、本発明をいくつかの実施の形態をもとに説明した。これらの実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
【発明の効果】
本発明によると、IPを利用する通信において、IP層レベルのセキュリティ向上が期待される。
【図面の簡単な説明】
【図1】実施の形態に係るIPsec機器を含むネットワークシステムの構成を示すブロック図である。
【図2】実施の形態に係るIPsec機器の構成を示すブロック図である。
【図3】IPsecプロトコルによる通信が開始される際のIPsec機器における処理を示すフローチャートである。
【図4】使用中されているSAを削除または退避させる処理を示すフローチャートである。
【符号の説明】
12 ユーザ端末、 18 インターネット、 20 IPsec機器、 40 IPsec処理部、 42 ポリシー管理部、 44 SAD、 48 退避SA保持部、 50 SA制御部、 52 ユーザ簡易認証部。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a technology for performing encrypted communication on a network.
[0002]
[Prior art]
IPsec (IP Security Protocol) is a security technology that can be used for general purposes in a network environment using TCP / IP (Transmission Control Protocol / Internet Protocol). This IPsec is for encrypting and authenticating communication packets using IP (Internet Protocol), and is one of the key technologies when constructing a VPN (Virtual Private Network) in the IPv6 standard. If security protocols such as SSL (Secure Sockets Layer) and S / MIME (Secure / Multipurpose Internet Mail Extension) are used, TCP / IP communication security can be ensured by a specific application, but these are used. Requires individual settings for each corresponding application. For example, when various application protocols are used in communication between bases in a company, security settings must be repeatedly set for each application, which requires a very complicated operation. Further, when a plurality of computers communicate with each other so as to form a network, even maintaining and managing the settings can be a heavy burden.
[0003]
IPsec has been devised to solve such a problem. In this protocol, the application itself does not have a security function separately, but the communication protocol itself provides the security function. According to IPsec, security setting for each application becomes unnecessary. That is, security functions can be integrated.
[0004]
This IPsec is a protocol for transmitting and receiving an encrypted packet on a communication path having both ends of a communication device having an IP address. When the encrypted communication based on IPsec is started, information necessary for encryption by the communication devices that are the communication end points, specifically, the type of the encryption algorithm, keys for encryption and decryption, and the like are determined by negotiation. You. The information required for this encrypted communication is called a security association (hereinafter, simply abbreviated as “SA”), and is provided at a communication end point with a security association database (hereinafter, also abbreviated as “SAD”). Is held. When the SA is created, authentication of the user using the communication device is performed. In the SA, the lifetime is set by the total number of communication bytes or time. When the SA reaches the set lifetime, a new SA is created, and at the same time, the user is re-authenticated.
[0005]
In order to prevent the use of an unauthorized user, that is, to prevent a case in which a malicious user uses a device of a valid user without permission, it is necessary to frequently update the SA and authenticate the user. However, if the SA is updated frequently, the load on the system increases, and the performance of the network environment may decrease. Further, if the mechanism of IPsec itself is changed, compatibility with the existing IPsec system cannot be maintained and encrypted communication cannot be performed.
[0006]
The present invention has been made in view of such a situation, and an object of the present invention is to provide a technique for improving security of communication in communication using IP. Still another object is to provide a technique for controlling an SA, which enables a user to be authenticated at a frequency that does not significantly lower the performance of a communication device without changing the basic mechanism of IPsec.
[0007]
[Means for Solving the Problems]
One embodiment of the present invention relates to an encrypted communication method. According to this method, when network communication is performed by encrypting a communication packet using IP, information set for encryption processing and decryption processing is transmitted before the expiration date of the information. The information is invalidated by being moved from a place where it originally exists to a place where it can be returned.
[0008]
By performing encryption processing on the IP layer, it is not necessary to authenticate each application when performing network communication. However, once authenticated and communication establishment is maintained, the user is recognized as a valid user until the next authentication. That is, it becomes possible for an unauthorized user to communicate using an authenticated terminal. The information used for authentication has an expiration date set according to time or the amount of data used for communication. By shortening the update interval, the security level increases. However, at the time of the update, the load on the communication system may increase, and the performance of the communication device may decrease. Therefore, when the user logs off or shuts down, the information used for authentication is forcibly invalidated by deleting or moving the information even before the expiration date. As a result, authentication is required the next time the communication device is used, and as a result, security is improved while suppressing an increase in the load on the communication environment.
[0009]
Another embodiment of the present invention also relates to an encrypted communication method. In this method, when performing encrypted communication according to a security architecture related to IP, an SA set as information for encryption processing and decryption processing is set before an expiration date set in advance for the SA. It is deleted or moved from the place where the information should originally exist and invalidated. The SA is invalidated when the user stops or stops communication by the communication method or when the terminal to be used is logged off or shut down. The SA may be invalidated when no input is made to the terminal used by the user for a predetermined time or when a predetermined application for communication is monitored and its use is completed.
[0010]
Another embodiment of the present invention relates to an encrypted communication device. This apparatus performs an IPsec processing unit that performs predetermined processing on a communication packet using an IP according to a security architecture related to the IP and encrypts and decrypts the packet, and a policy that manages a processing method applied to the IP packet based on the SA. It has management and an SA control unit that invalidates the SA before the original expiration date.
[0011]
It is to be noted that any combination of the above-described components and any conversion of the expression of the present invention between a method, an apparatus, a system, a recording medium, and the like are also effective as embodiments of the present invention.
[0012]
BEST MODE FOR CARRYING OUT THE INVENTION
In the present embodiment, in network communication using IPsec, when a predetermined condition is satisfied, the SA used for the encrypted communication processing is deleted or saved before the life set according to the standard. When saving an SA, simple authentication information of a user used to restore the SA is set. As a means of the simple authentication, for example, there are a password, use of an IC card individually held by a user, fingerprint authentication, and the like. When a legitimate user issues a communication request by IPsec, it is checked whether the SA previously used by the user is in a save state, and if there is a saved SA (hereinafter, also referred to as “evacuated SA”), The evacuation SA is returned to the SAD where the SA should be held, and is used again. When the save SA is returned to the SAD, the user is authenticated by the simple authentication set when the SA is saved. In the following description, a password is used as simple authentication, but the present invention is not limited to this.
[0013]
Conditions for invalidating, that is, deleting or saving the SA include, for example, termination of the virtual terminal, logoff of the user, and shutdown of the operation system. Furthermore, the communication may be stopped, or there may be no input to the terminal for a predetermined time, or an application that starts network communication may be monitored and the application may be terminated. These conditions are set in advance by the user.
[0014]
FIG. 1 shows a configuration of a network system 10 including an IPsec device 20 according to the present embodiment. Each user terminal 12 is connected to the Internet 18 via an IPsec device 20, and implements encrypted communication based on the IPsec protocol.
[0015]
FIG. 2 is a block diagram illustrating a configuration of the IPsec device 20. The IPsec device 20 includes an IPsec processing unit 40, a policy management unit 42, a database unit 60, an SA control unit 50, and a simple user authentication unit 52. Further, the database unit 60 includes the SAD 44, the SPD 46, and the evacuation SA holding unit 48. Here, the IPsec device 20 is a general term for an IPsec host, which is a host on which IPsec is implemented, and a security gateway, which is a relay device on which IPsec is implemented. Therefore, there are cases where the user terminal 12 and the IPsec device 20 are configured as the same device. The feature of this embodiment is the SA control unit 50 and the simple user authentication unit 52. Other components have a configuration and a function conforming to the IPsec standard, so that they are briefly described, and some components are appropriately omitted.
[0016]
The IPsec processing unit 40 inquires of the policy management unit 42 about the processing method of the IP packet, and performs a process on the IP packet according to a response from the policy management unit 42. The policy management unit 42 refers to the SAD 44 and the SPD 46 to notify the IPsec processing unit 40 of the processing method of the IP packet to be processed.
[0017]
The SAD 44 stores an SA that is a connection protected by the IPsec security protocol. The SPD 46 holds a security policy describing a method of IPsec processing. The SPD 46 includes an output SPD that holds a security policy for an output packet, and an output SPD that holds a security policy for an input packet. The evacuation SA holding unit 48 holds the SA that the SA control unit 50 has moved by the processing described later.
[0018]
The SA control unit 50 monitors the IPsec processing unit 40, and when an IPsec communication request occurs, refers to the SAD 44 to check whether there is an SA to be applied to the IP packet to be processed by the IPsec processing unit 40. . If there is an SA, it instructs the IPsec processing unit 40 to perform general IPsec communication. On the other hand, if the SA does not exist, it refers to the save SA holding unit 48 and checks whether the save SA exists. If there is an evacuation SA to be returned to the SAD 44, the SA control unit 50 returns the evacuation SA, and thereafter notifies the IPsec processing unit 40 to perform IPsec communication based on the SA. If there is no evacuation SA to be returned, it notifies the IPsec processing unit 40 to create a new SA in accordance with general IPsec processing. In addition, the SA control unit 50 deletes the SA or moves it to the evacuation SA holding unit 48 and invalidates the SA before the expiration date of the SA with a predetermined condition as a trigger. In addition, the SA control unit 50 sets the conditions in advance by the input of the user.
[0019]
The user simple authentication unit 52 sets a password when the SA control unit 50 saves the SA, and prompts the user to input a password when the saved SA is returned to the SAD 44, thereby performing simple authentication of the user.
[0020]
The operation of the above configuration will be described with reference to the flowcharts shown in FIGS. FIG. 3 is a flowchart showing a process in the IPsec device 20 when communication by the IPsec protocol is started.
[0021]
When there is a communication request by IPsec, the SA control unit 50 checks the presence or absence of the SA by referring to the SAD 44 (S10). If an SA exists (Y in S10), communication by IPsec is performed based on the SA (S18). When there is no SA (N in S10), the SA control unit 50 refers to the save SA holding unit 48 and checks whether or not there is a save SA (S12). If there is an evacuation SA (Y in S12), the user simple authentication unit 52 performs simple authentication of the user using the password set when the SA is evacuated (S14). When the user is authenticated (Y in S14), the SA control unit 50 returns the evacuation SA to the SAD 44 (S16). Subsequently, the IPsec processing unit 40 executes communication by IPsec based on the SA (S18). On the other hand, if the evacuation SA does not exist (N in S12), and if the evacuation SA exists and the user is not authenticated when returning it to the SAD 44 (N in S14), the IPsec standard is used. Creation of a new SA (S20) and user authentication are performed (S22), and communication based on IPsec is executed based on the created SA (S18). Of course, if the user authentication is not performed in S22, the communication by IPsec is not performed, and the communication that is not encrypted is performed, or the communication itself is not performed.
[0022]
FIG. 4 is a flowchart illustrating a process of deleting or saving an existing SA. This process is performed when a predetermined event such as a log-off of the user or a shutdown of the operation system occurs.
[0023]
When a predetermined event occurs, the SA control unit 50 confirms whether or not a condition for invalidating the SA by deleting or saving the SA is satisfied (S52). If the condition is not satisfied (N in S52), this process ends. If the condition is satisfied (Y in S52), the SA control unit 50 deletes or saves the SA by setting in advance (S54). In the case of deletion (S54-1), the SA control unit 50 deletes the SA (S56), invalidates the SA (S60), and ends the processing. In the case of evacuation (S54-2), the SA control unit 50 moves the SA to the evacuation SA holding unit 48, and at this time, the user simple authentication unit 52 sets the user authentication password to be used the next time the SA is returned to the SAD. The setting is made (S58), the SA is invalidated (S60), and the process ends.
[0024]
The above-described configuration can be realized in terms of hardware by a CPU, a memory, or another LSI of an arbitrary computer, and is realized in terms of software by a program or the like loaded in the memory. It depicts the functional blocks that are realized. Therefore, it is understood by those skilled in the art that these functional blocks can be realized in various forms by hardware only, software only, or a combination thereof.
[0025]
As described above, according to the present invention, in communication using IP, security at the IP layer level is improved. From another viewpoint, IPsec and SA are controlled without changing the basic mechanism of IPsec, easily and without significantly lowering the performance of the user terminal 12, thereby improving the security of communication using IPsec.
[0026]
The present invention has been described based on some embodiments. These embodiments are exemplifications, and it is understood by those skilled in the art that various modifications can be made to the combination of each component and each processing process, and such modifications are also within the scope of the present invention. By the way.
【The invention's effect】
According to the present invention, in communication using IP, an improvement in security at an IP layer level is expected.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a network system including an IPsec device according to an embodiment.
FIG. 2 is a block diagram showing a configuration of an IPsec device according to the embodiment.
FIG. 3 is a flowchart showing a process in an IPsec device when communication according to the IPsec protocol is started.
FIG. 4 is a flowchart illustrating a process of deleting or saving a currently used SA.
[Explanation of symbols]
12 user terminal, 18 Internet, 20 IPsec equipment, 40 IPsec processing section, 42 policy management section, 44 SAD, 48 evacuation SA holding section, 50 SA control section, 52 simple user authentication section.

Claims (11)

インターネットプロトコルを用いた通信パケットを暗号化してネットワーク通信を行う際に、暗号化処理及び復号処理のために設定される情報を、当該情報が有する有効期限よりも前に、当該情報が本来存在する場所からその場所への復帰が可能な状態にて移動させることで前記情報を無効化することを特徴とする暗号化通信方法。When performing network communication by encrypting a communication packet using the Internet protocol, information set for encryption processing and decryption processing must be stored before the expiration date of the information. An encrypted communication method, wherein the information is invalidated by being moved from a place to a place where it can be returned. インターネットプロトコルに関するセキュリティアーキテクチャに準じて暗号化通信を行う際に、暗号化処理及び復号処理のための情報として設定されるセキュリティアソシエーションを、当該セキュリティアソシエーションに予め設定された有効期限よりも前に、削除または当該セキュリティアソシエーションが本来存在すべき場所から移動することで無効化することを特徴とする暗号化通信方法。When performing encrypted communication according to the security architecture related to the Internet protocol, the security association set as information for encryption processing and decryption processing is deleted before the expiration date set in advance for the security association. Alternatively, the security association is invalidated by moving from a place where the security association should originally exist. 前記暗号化通信を開始する際に、前記無効化されたセキュリティアソシエーションの存在の有無を確認するステップと、
前記無効化されたセキュリティアソシエーションの存在が確認された場合、所定の認証のもと、前記無効化されたセキュリティアソシエーションを有効とするステップと、
を更に有することを特徴とする請求項2に記載の暗号化通信方法。When starting the encrypted communication, confirming the presence or absence of the invalidated security association,
When the existence of the invalidated security association is confirmed, under a predetermined authentication, a step of validating the invalidated security association,
The encrypted communication method according to claim 2, further comprising: 前記所定の認証は、簡易的認証手段によって行われることを特徴とする請求項3に記載の暗号化通信方法。The encrypted communication method according to claim 3, wherein the predetermined authentication is performed by a simple authentication unit. 前記セキュリティアソシエーションは、前記ユーザが当該通信方法による通信を終了するときに無効化されることを特徴とする請求項2から4のいずれかに記載の暗号化通信方法。The encrypted communication method according to any one of claims 2 to 4, wherein the security association is invalidated when the user ends communication by the communication method. インターネットプロトコルを用いた通信パケットに対し、インターネットプロトコルに関するセキュリティアーキテクチャに準じて所定の処理を施し暗号化及び復号するIPsec処理部と、
IPパケットに施す処理方法をセキュリティアソシエーションをもとに管理するポリシー管理と、
本来の有効期限よりも前に前記セキュリティアソシエーションを無効化するSA制御部と、
を有することを特徴する暗号化通信装置。An IPsec processing unit that performs predetermined processing on a communication packet using the Internet protocol in accordance with a security architecture related to the Internet protocol, and performs encryption and decryption;
Policy management that manages the processing method applied to IP packets based on security associations;
An SA control unit for invalidating the security association before an original expiration date;
An encrypted communication device comprising: 前記SA制御部は、前記セキュリティアソシエーションを削除または前記セキュリティアソシエーションが本来保持されるセキュリティアソシエーションデータベースから移動させることで無効化することを特徴とする請求項6に記載の暗号化通信装置。7. The encrypted communication apparatus according to claim 6, wherein the SA control unit invalidates the security association by deleting the security association or moving the security association from a security association database where the security association is originally held. 前記SA制御部は、インターネットプロトコルに関するセキュリティアーキテクチャに準じて暗号化通信を開始する際に、本来保持される場所から移動されることによって無効化されているセキュリティアソシエーションの有無を確認し、存在が確認された場合、前記セキュリティアソシエーションを前記セキュリティアソシエーションデータベースに戻すことを特徴とする請求項7に記載の暗号化通信装置。When starting the encrypted communication according to the security architecture related to the Internet protocol, the SA control unit checks whether there is a security association that has been invalidated by being moved from the place where it is originally held, and confirms the existence. 8. The encrypted communication device according to claim 7, wherein when the security association is made, the security association is returned to the security association database. 前記セキュリティアソシエーションを移動して無効化する場合、当該セキュリティアソシエーションを前記セキュリティアソシエーションデータベースに戻す際に利用するユーザ簡易認証情報を設定し、前記セキュリティアソシエーションを前記セキュリティアソシエーションデータベースに戻す際にユーザに前記ユーザ簡易認証情報に基づき認証を行うユーザ簡易認証部を更に有することを特徴とする請求項8に記載の暗号化通信装置。When the security association is moved to be invalidated, user simple authentication information used when returning the security association to the security association database is set, and when returning the security association to the security association database, the user is notified of the user. The encrypted communication device according to claim 8, further comprising a user simple authentication unit that performs authentication based on the simple authentication information. 前記セキュリティアソシエーション制御部は、前記セキュリティアソシエーションを無効化する条件をユーザから受け付けることを特徴とする請求項6から9のいずれかに記載の暗号化通信装置。10. The encrypted communication device according to claim 6, wherein the security association control unit receives a condition for invalidating the security association from a user. インターネットプロトコルを用いた通信パケットに対しインターネットプロトコルに関するセキュリティアーキテクチャに準じて処理を施し暗号化及び復号する機能と、
暗号化処理及び復号処理のための情報として利用するセキュリティアソシエーションをもとに前記通信パケットに施す処理方法を管理する機能と、
本来の有効期限前に前記セキュリティアソシエーションを無効化する機能と、をコンピュータに実行させることを特徴とするコンピュータプログラム。A function of performing processing and encrypting and decrypting communication packets using the Internet protocol according to a security architecture related to the Internet protocol,
A function of managing a processing method applied to the communication packet based on a security association used as information for encryption processing and decryption processing,
A computer program for causing a computer to execute a function of invalidating the security association before an original expiration date.
JP2002251085A 2002-08-29 2002-08-29 Encryption communication method and apparatus thereof Pending JP2004096178A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002251085A JP2004096178A (en) 2002-08-29 2002-08-29 Encryption communication method and apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002251085A JP2004096178A (en) 2002-08-29 2002-08-29 Encryption communication method and apparatus thereof

Publications (1)

Publication Number Publication Date
JP2004096178A true JP2004096178A (en) 2004-03-25

Family

ID=32057759

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002251085A Pending JP2004096178A (en) 2002-08-29 2002-08-29 Encryption communication method and apparatus thereof

Country Status (1)

Country Link
JP (1) JP2004096178A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009055201A (en) * 2007-08-24 2009-03-12 Ricoh Co Ltd Communication system and communication apparatus
JP2013149261A (en) * 2007-03-30 2013-08-01 Nec Corp User authentication control device, user authentication device, data processing device, and user authentication control method or the like

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013149261A (en) * 2007-03-30 2013-08-01 Nec Corp User authentication control device, user authentication device, data processing device, and user authentication control method or the like
JP2014167822A (en) * 2007-03-30 2014-09-11 Nec Corp User authentication control device, user authentication device, data processing device, and user authentication control method or the like
JP2009055201A (en) * 2007-08-24 2009-03-12 Ricoh Co Ltd Communication system and communication apparatus

Similar Documents

Publication Publication Date Title
US11792169B2 (en) Cloud storage using encryption gateway with certificate authority identification
JP2023116573A (en) Client - cloud or remote server secure data or file object encryption gateway
US8910241B2 (en) Computer security system
US20030196084A1 (en) System and method for secure wireless communications using PKI
CN101076796B (en) Establish a virtual private network for roaming users
US20140068267A1 (en) Universal secure messaging for cryptographic modules
EP3613195B1 (en) Cloud storage using encryption gateway with certificate authority identification
JP2008015786A (en) Access control system and access control server
EP1905211A1 (en) Technique for authenticating network users
CA2287714C (en) Protected keepalive message through the internet
CN101431516A (en) Method for implementing distributed security policy, client terminal and communication system thereof
US8543808B2 (en) Trusted intermediary for network data processing
CN115242430A (en) A software-defined boundary implementation method and system
US8370630B2 (en) Client device, mail system, program, and recording medium
EP1724701A2 (en) Solution to the malware problems of the internet
JP2004096178A (en) Encryption communication method and apparatus thereof
JP4031489B2 (en) Communication terminal and communication terminal control method
JP2006260027A (en) Quarantine system and quarantine method using VPN and firewall
US7484094B1 (en) Opening computer files quickly and safely over a network
US20080059788A1 (en) Secure electronic communications pathway
JP2000354056A (en) Computer network system and access control method therefor
JP4866150B2 (en) FTP communication system, FTP communication program, FTP client device, and FTP server device
CN117879899A (en) Centralized security authentication system for GPON equipment
Cam-Winget et al. Dynamic Provisioning Using Flexible Authentication via Secure Tunneling Extensible Authentication Protocol (EAP-FAST)
Cam-Winget et al. RFC 5422: Dynamic Provisioning Using Flexible Authentication via Secure Tunneling Extensible Authentication Protocol (EAP-FAST)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050822

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071018

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071120

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080121

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080401