JP2004048458A - Secure communication system, policy server, and equipment and program for performing secure communication - Google Patents
Secure communication system, policy server, and equipment and program for performing secure communication Download PDFInfo
- Publication number
- JP2004048458A JP2004048458A JP2002204220A JP2002204220A JP2004048458A JP 2004048458 A JP2004048458 A JP 2004048458A JP 2002204220 A JP2002204220 A JP 2002204220A JP 2002204220 A JP2002204220 A JP 2002204220A JP 2004048458 A JP2004048458 A JP 2004048458A
- Authority
- JP
- Japan
- Prior art keywords
- secure communication
- policy
- communication
- security policy
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、セキュア通信システム、ポリシーサーバ、セキュア通信を行う機器及びプログラムに関する。
【0002】
【従来の技術】
IPv6(Internet Protocol Version 6)プロトコルを使用したセキュアな通信を実現するための通信規格が、RFC(Request for Comments)2460として、規定された。
【0003】
IPv6では、IPsec(IPsec Security Protocol)の実装が必須になっている。ところで、IPsecは、AH(Authentication Header;認証ヘッダ)、ESP(Encapsulating Security Payload;IPパケットの暗号化)のふたつのプロトコルからなる。また、IPsecと共に使用されるプロトコルとして、IKE(Internet Key Exchange;鍵交換)がある。
【0004】
AHプロトコルでは、認証用ヘッダを用いたIPパケットの認証を規定している。また、ESPプロトコルでは、IPパケットレベルでの暗号化を規定し、トンネルモードとトランスポートモードの二つの方式を有している。トンネル・モードは、IPパケットのヘッダを含むパケット全体を暗号化し、トランスポートモードは、IPパケットのペイロード部を暗号化するプロトコルである。また、IPsecでは、データの認証、暗号化に共通鍵を使用するので、端末間で、事前に秘密鍵を共有しておく必要がある。IKEは、この共通鍵の折衝と管理を行うプロトコルである。
【0005】
これらのプロトコルを用いるので、IPsecは、オープンなネットワークであるインターネットを用いるにもかかわらず、通信の秘密を保持したまま通信を行うことができる。
【0006】
【発明が解決しようとする課題】
IPv6では、IPsecの実装が必須になっているが、一般の利用者がこの中身を理解して自らの端末に設定を行うことは困難である。また、仮に、設定内容を理解したとしても、実際に、IPsec通信に必要な設定事項を事前に通信相手と何らかの手段でネゴシエーションすることは、一般の利用者には現実的には難しいことである。
また、このIPsecに限らず、セキュア通信を行うには、端末間で、ネゴシエーションを行い、暗号、認証等に関する各種設定を行うことが必要となる。
【0007】
しかしながら、従来のものでは、端末間でのセキュア通信において、暗号、認証等に関する各種設定項目をセキュア、かつ、簡単にやり取りして、設定することができないという問題がある。
また、セキュア通信のための設定には、専門的知識が必要なため、一般の利用者はセキュア通信を使用したくても困難であったという問題がある。
【0008】
そこで、インターネットのアーキテクチャの発展と、インターネットの円滑な運用に関するネットワークデザイナ、オペレータ、ベンダ及び研究者のオープンな国際的コムニュティであるIETF(The Internet Engineering Task Force)は、ネットワークのセグメント毎に、端末が利用するポリシーサーバを設ける方式の提案を行っている。
しかしながら、
(1)この提案では、端末(クライアント)が、このポリシーサーバから、ポリシーをダウンロードしようとする場合におけるポリシー検索は、アドレス対アドレスの1ペア毎の問い合わせが基本で、初めてあるアドレスの機器とセキュア通信する場合は、必ずこの問い合わせが必要になる。
【0009】
つまり、クライアントがあるアドレスへ通信したいのに該当するポリシーが無い場合、その都度当該アドレス間のポリシーの問い合わせをするため、ポリシーサーバへの問い合わせが頻繁に起こる。
【0010】
また、ポリシーサーバと常に通信できる状況でないと、問い合わせができないため、その結果、目的のセキュア通信ができないという問題がある。
(2)この提案では、ポリシーをダウンロードするときの、クライアントID情報としては、IPv4/IPv6アドレス又はDNS名を使う。また、この提案のように、IPv4/IPv6アドレス又はDNS名をクライアントID情報として使った場合、そのクライアントが正しいユーザであることまでは保証されないため、なりすまし等の危険が生じるという問題がある。
【0011】
また、この提案では、IPアドレス又はDNSをキーにしていることから、IPアドレス又はDNSが変更されるモバイル端末には、適用できないという問題がある。
【0012】
本発明は、上記問題に鑑みなされたものであり、セキュア通信に必要な各種設定を簡単に行い、且つ、ネットワーク管理者によるセキュア通信の管理を容易に行うことができるセキュア通信システム、ポリシーサーバ、セキュア通信を行う機器及びプログラムを提供することを目的とするものである。
【0013】
【課題を解決するための手段】
上記課題を解決するために、本件発明は、以下の特徴を有する課題を解決するための手段を採用している。
【0014】
請求項1に記載された発明は、セキュア通信を行う複数の機器と、該セキュア通信において前記機器が設定すべきセキュリティポリシーを記憶しているポリシーサーバとを有するセキュア通信システムであって、前記セキュア通信を行う機器は、随時又は定期的に、前記ポリシーサーバにアクセスして、当該セキュア通信で設定すべき複数の通信相手に係るセキュリティポリシーを取得し、前記セキュア通信を行う機器は、前記ポリシーサーバから取得したセキュリティポリシーを用いてセキュア通信を行うことを特徴とする。
【0015】
請求項1に記載された発明によれば、セキュア通信を行う機器は、ポリシーサーバにアクセスして、当該セキュア通信で設定すべき複数の通信相手に係るセキュリティポリシーを取得し、取得したセキュリティポリシーを用いてセキュア通信を行うことにより、セキュア通信に必要な各種設定を簡単に行うことができるセキュア通信システムを提供することができる。
【0016】
また、セキュア通信で設定すべき複数の通信相手に係るセキュリティポリシーを、纏めて取得することから、通信を行う個々の通信端末間のポリシーを個別にダウンロードするのとは異なり、頻繁なポリシーの問い合わせとポリシーのダウンロードが必要となるという問題は無くなる。
【0017】
請求項2に記載された発明は、請求項1記載のセキュア通信システムにおいて、前記セキュア通信を行う機器と前記ポリシーサーバとは、相互に認証し合い、該相互認証後に、前記ポリシーサーバは、前記セキュア通信を行う機器に該機器が設定すべき複数の通信相手に係るセキュリティポリシーを送信することを特徴とする。
【0018】
請求項2に記載された発明によれば、セキュア通信を行う機器とポリシーサーバとの相互認証後に、ポリシーサーバがセキュア通信を行う機器に該機器が設定すべき複数の通信相手に係るセキュリティポリシーを送信することにより、安全、確実に、セキュリティポリシーを送信することができる。
【0019】
請求項3に記載された発明は、請求項1又は2記載のセキュア通信システムにおいて、前記ポリシーサーバは、複数有し、前記セキュア通信を行う機器は、予め定められた前記ポリシーサーバにアクセスすることを特徴とする。
【0020】
請求項3に記載された発明によれば、セキュア通信を行う機器は、予め定められたポリシーサーバにアクセスすることにより、企業等の組織の構成員のように、限定されたメンバーにより、セキュア通信システムを構成することができる。
【0021】
また、ポリシーサーバへのアクセス先を限定することにより、ネットワーク管理者によるセキュア通信の管理を容易に行うことを可能としている。
【0022】
請求項4に記載された発明は、請求項1ないし3いずれか一項記載のセキュア通信システムにおいて、当該セキュア通信システムは、ログサーバを有し、前記セキュア通信を行う機器は、随時又は定期的に、当該機器のセキュア通信のログを、前記ログサーバに送信することを特徴とする。
【0023】
請求項4に記載された発明によれば、ログサーバを有し、セキュア通信を行う機器は、当該機器のセキュア通信のログを、ログサーバに送信することにより、ログサーバにおいて、セキュリティポリシーの適用状況を確認することができる。
【0024】
また、セキュリティポリシーの適用状況を確認することにより、ネットワーク管理者によるセキュア通信の管理を容易に行うことを可能としている。
【0025】
請求項5に記載された発明は、セキュア通信を行う複数の機器がネットワークを介して接続され、前記機器がセキュア通信において設定すべきセキュリティポリシーを記憶しているポリシーサーバであって、前記セキュア通信を行う機器と相互に認証する相互認証手段と、前記相互認証手段による相互認証後、前記機器が設定すべき複数の通信相手に係るセキュリティポリシーを送信する送信手段とを有することを特徴とする。
【0026】
請求項6に記載された発明は、請求項5記載のポリシーサーバにおいて、前記相互認証手段による相互認証後、前記セキュア通信を行う機器からの要求に基づいて、前記セキュリティポリシーデータベースを検索する検索手段と、更新された前記セキュア通信を行う機器に関するセキュリティポリシーを、要求した端末に送信する送信手段とを有することを特徴とする。
【0027】
請求項7に記載された発明は、請求項5又は6記載のポリシーサーバにおいて、セキュリティポリシーを記憶するセキュリティポリシーデータベースを有し、前記セキュリティポリシーデータベースは、前記相互認証に用いられるセキュア通信を行う機器の電子証明書の値をキーにして、セキュリティポリシーを格納することを特徴とする。
【0028】
請求項8に記載された発明は、請求項5ないし7いずれか一項のポリシーサーバにおいて、端末が行うセキュア通信の管理情報を格納した管理情報データベースを有することを特徴とする。
【0029】
請求項9に記載された発明は、請求項5ないし8いずれか一項記載のポリシーサーバにおいて、前記管理情報データベースは、前記相互認証に用いられるセキュア通信を行う機器の電子証明書の値をキーにして、セキュア通信を行う機器のIPアドレスを格納することを特徴とする。
【0030】
請求項5〜9記載の発明は、請求項1〜4記載のセキュア通信システムに適したポリシーサーバを提供することができる。
【0031】
特に、請求項6に記載された発明によれば、更新されたセキュア通信を行う機器に関するセキュリティポリシーを、要求した端末に送信することにより、無駄な通信時間を無くし、通信回線等の資源を有効活用することができる。
【0032】
また、請求項7に記載された発明によれば、相互認証に用いられるセキュア通信を行う機器の電子証明書の値をキーにして、セキュリティポリシーを格納することにより、IPアドレスのように変更されない電子証明書の値をキーにして、検索できるので、IPアドレスが変更されても、検索ができる。
【0033】
また、これにより、IPアドレス又はDNSが変更されるモバイル端末には、適用できないという問題は解消する。
【0034】
請求項8に記載された発明によれば、端末が行うセキュア通信の管理情報を格納した管理情報データベースを有することにより、通信管理者は、ポリシーサーバを用いて、統一的、且つ、自動的に、端末を管理することができる。
【0035】
また、請求項9に記載された発明によれば、相互認証に用いられるセキュア通信を行う機器の電子証明書の値をキーにして、セキュア通信を行う機器のIPアドレスを格納することにより、モバイル環境等で端末のアドレスが変化する場合も、ポリシーサーバは、端末アドレスの把握が可能であるため、端末が移動した場合でも、適切なポリシーを生成し、適用することができる。
【0036】
請求項10に記載された発明は、セキュア通信を行う機器が設定すべきセキュリティポリシーを記憶しているポリシーサーバとネットワークを介して接続されているセキュア通信を行う機器であって、前記ポリシーサーバにアクセスして、随時又は定期的に、当該セキュア通信で設定すべき複数の通信相手に係るセキュリティポリシーを取得するセキュリティポリシー取得手段と、セキュリティポリシー取得手段で取得したセキュリティポリシーを用いてセキュア通信を行うセキュア通信手段とを有することを特徴とする。
【0037】
請求項11に記載された発明は、請求10項記載のセキュア通信を行う機器において、前記ポリシーサーバと相互に認証する相互認証手段を有し、該相互認証手段による相互認証後、前記セキュリティポリシー取得手段は、当該機器のセキュリティポリシーを取得することを特徴とする。
【0038】
請求項12に記載された発明は、請求項10又は11記載のセキュア通信を行う機器において、前記セキュリティポリシー取得手段により取得したセキュリティポリシーは、変更できないことを特徴とする。
【0039】
請求項10〜12記載の発明は、請求項1〜4記載のセキュア通信システムに適したセキュア通信を行う機器を提供することができる。
【0040】
特に、請求項12に記載された発明によれば、セキュリティポリシー取得手段により取得したポリシーを端末では、変更することができないので、ポリシーの改ざんを防止し、望ましくない通信が行われることを防ぐことができる。
【0041】
請求項13に記載された発明は、セキュア通信を行う複数の機器がネットワークを介して接続され、前記機器がセキュア通信において設定すべきセキュリティポリシーを記憶しているポリシーサーバにおけるプログラムであって、前記セキュア通信を行う機器と相互に認証する相互認証手順と、前記相互認証手順による相互認証後、前記機器が設定すべき複数の通信相手に係るセキュリティポリシーを送信する送信手順とをコンピュータに実行させることを特徴とする。
【0042】
請求項14に記載された発明は、セキュア通信を行う機器が設定すべきセキュリティポリシーを記憶しているポリシーサーバとネットワークを介して接続されているセキュア通信を行う機器におけるプログラムであって、前記ポリシーサーバにアクセスして、当該セキュア通信で設定すべき複数の通信相手に係るセキュリティポリシーを取得するセキュリティポリシー取得手順と、セキュリティポリシー取得手順で取得したセキュリティポリシーを用いてセキュア通信を行うセキュア通信手順とをコンピュータに実行させることを特徴とする。
【0043】
請求項15に記載された発明は、請求項14記載のセキュア通信を行う機器におけるプログラムさらに、随時又は定期的に、当該機器のセキュア通信のログを、前記ログサーバに送信する手順をコンピュータに実行させることを特徴とする。
【0044】
請求項13〜15記載の発明は、請求項1〜4記載のセキュア通信システムに適用できるプログラムを提供することができる。
【0045】
【発明の実施の形態】
次に、本発明の実施の形態について図面と共に説明する。
(セキュア通信システムの概要)
図1に本発明のセキュア通信システムの構成例を示す。図1のセキュア通信システムは、端末(クライアント)11〜1N、通信管理サーバ21〜2M及びIPv6ネットワーク10から構成されている。
【0046】
なお、端末11〜1N、通信管理サーバ21〜2Mは、それぞれ、認証局から付与された電子証明書を有している。また、端末11〜1N、通信管理サーバ21〜2Mは、それぞれ、SSL(Secure Sockets Layer)プロトコルに対応したものである。
【0047】
端末11〜1Nは、IPsec等のセキュア通信を行う端末である。端末11〜1Nは、通信管理サーバ21〜2Mにアクセスし、当該セキュア通信で設定すべき複数の通信相手に係るセキュリティポリシーを取得し、各端末11〜1Nは、通信管理サーバ21〜2Mから取得したセキュリティポリシーを用いて、端末間でセキュア通信を行う。
【0048】
また、端末11〜1Nは、定期的に、端末11〜1Nのセキュア通信のログを、通信管理サーバ21〜2Mに送信する。
【0049】
なお、端末11〜1Nは、端末11〜1Nに固定的に定められた通信管理サーバ21〜2M又はセキュア通信に先立って定められた通信管理サーバ21〜2Mにアクセスする。
【0050】
通信管理サーバ21〜2Mは、セキュリティポリシーを管理し、端末からの要求に基づいて、端末にセキュリティポリシーを配信(送信)するポリシーサーバ51〜5Mと端末から、随時又は定期的に送信される端末のセキュア通信のログを管理するログサーバ61〜6Mと有している。
また、通信管理サーバ21〜2Mは、端末11〜1Nのセキュア通信で使用するセキュリティポリシーを記憶するセキュリティポリシーデータベース31〜3Mを有する。このセキュリティポリシーデータベース31〜3Mは、セキュア通信を行う機器の電子証明書の値をキーにして、セキュリティポリシーを格納している。
【0051】
また、通信管理サーバ21〜2Mは、端末11〜1Nから送信されたセキュア通信のログを記憶するセキュリティ通信ログデータベース41〜4Mを有する。ネットワーク管理者は、このセキュリティ通信ログデータベース41〜4Mを閲覧して、セキュリティポリシーの適用状況を確認することができる。
【0052】
また、セキュリティポリシーデータベース31〜3Mには、セキュア通信の管理情報とセキュア通信を行う機器の電子証明書の値をキーにしたセキュア通信を行う機器のIPアドレスを格納する。
【0053】
IPv6ネットワーク10は、IPv6プロトコルによって通信可能なネットワークである。なお、本発明では、セキュア通信を行う複数の機器とそれらを接続するネットワークがあれば、IPv6ネットワークに限らずに、適用できる。
【0054】
図1のシステムにより、端末11〜1Nは、通信管理サーバ21〜2Mにアクセスして、セキュア通信で設定すべきセキュリティポリシーを取得し、通信管理サーバ21〜2Mから取得したセキュリティポリシーを用いて、端末間でセキュア通信を行うことにより、利用者は、IPsecの設定を意識せずに安全な通信を行うことができる。
(図1のシステムの動作概要)
図2を用いて、図1のシステムの動作概要を説明する。
【0055】
ステップS1では、各端末(クライアント)1は、通信管理サーバ2の宛先(FQDN(Fully Qualified Domain Name)又はIPv6アドレス)を元に、通信管理サーバ2に接続要求を出し、電子証明書を用いて、SSLによる相互認証(端末の認証及び通信管理サーバの認証)を行う。相互認証の後、通信管理サーバ2は、要求した端末のセキュリティポリシーが変更されているか否かを確認する。セキュリティ通信ログデータベースは、セキュア通信を行う機器の電子証明書の値をキーにして、セキュリティポリシーが格納されているので、要求した端末の電子証明書の値に基づいて、検索を行う。
【0056】
ステップS2及びS3では、要求した端末のセキュリティポリシーが変更されている場合は、更新されたセキュリティポリシーを、要求した端末にダウンロードする。一方、要求した端末のセキュリティポリシーが変更されていない場合は、ステップS4に飛ぶ。
【0057】
ステップS4では、端末が保持するセキュリティポリシーに基づいて、通信相手の端末を、電子証明書を用いてIKEプロトコルにより、相互認証した上で、セキュア通信(IPsec)を行う。
【0058】
ステップS5では、ステップS4におけるセキュア通信のログを、まとめて、定期的に、通信管理サーバにアップロードする。
【0059】
なお、セキュア通信のログは、随時、通信管理サーバにアップロードすることもできる。
【0060】
次に、端末及び通信管理サーバの構成について説明する。
(通信管理サーバ)
図3に、通信管理サーバの構成例を示す。図3の通信管理サーバは、SSL対応WEBサーバ21、ポリシー配信モジュール22、ログ管理モジュール23、ポリシー生成・編集モジュール24、CRL(Certificate Revocation List)26、サーバ証明書27、セキュリティポリシーデータベース3及びセキュリティ通信ログデータベース4から構成されている。
【0061】
SSL対応WEBサーバ21は、SSLに対応したWEBサーバであり、端末(クライアント)1からのセキュア通信のログを受信し、端末1からの要求に応じて、セキュリティポリシーの配信を行う。なお、WEBサーバとしては、例えば、SSL対応のApacheを用いることができる。
【0062】
ポリシー配信モジュール22は、端末1からの要求に応じて、SSL対応WEBサーバ21によって起動される。CGI(Common Gateway Interface)等のアドオンモジュールとして作成されている。個々の端末からの定期的なセキュリティポリシーの要求に対して、更新があれば新しいセキュリティポリシーを配信する。また、セキュリティポリシーを配信した場合は、端末1への配信に関するログ(例えば、時刻、CGI呼び出し元(配信を要求した端末)のIPアドレス、CGIパラメータ、結果コード等)をログデータベース4に書き込む。
なお、ポリシー配信モジュール22は、個々の端末からの、非定期的な、オンデマンドのセキュリティポリシーの要求に対しても、セキュリティポリシーを配信することができる。
【0063】
ログ管理モジュール23は、クライアントからの定期的なログのアップロードを受信するWEBアプリケーションである。端末1からIKE認証ログのアップロードを受け付け、ログデータベース4に書き込む。なお、ログは、前回のアップロード以降のログ(ログ差分)を端末1から受信して、セキュリティ通信ログデータベース4に書き込む。なお、クライアントは、通信ログを随時、アップロードすることもできる
ポリシー生成・編集モジュール24は、通信管理サーバが搭載しているGUI(Graphical User Interface)を用いて、セキュリティポリシーを生成し、かつセキュリティポリシーを編集する。
【0064】
各端末の通信相手毎に、IPsecによる通信が可能か、平文による通信が可能か、通信は禁止か等のポリシーを設定し、IPsecによる通信が可能な場合は、SA(Security Association)のパラメータ等を設定する。
【0065】
CRL26は、証明書発行機関CA(Certificate Authority)から発行されたCRLリストであり、発行されたが、すでに失効した電子証明書のリストである。
【0066】
サーバ証明書27は、利用者の正当性を保証する証明書であり、認証局から付与された通信管理サーバの電子証明書である。デジタルIDを含み、デジタルIDには、シリアル番号、認証機関の名称、申請者の名称、申請者の公開鍵、有効期間等が含まれる。
【0067】
セキュリティポリシーデータベース3は、登録されたユーザの電子証明書の値をキーにして、端末のセキュリティポリシーを格納する。
【0068】
例えば、順序づけのための連番、通信元ユーザの情報、通信先ユーザの情報、使用するポート番号/プロトコルのリスト、それぞれのユーザが特定のIPアドレスにいる場合を示すサイトの情報、セキュア通信の方法を示すSAパラメータ、IKEパラメータ等を格納している。
【0069】
なお、セキュリティポリシーデータベース3には、セキュア通信の管理情報を格納してもよい。セキュア通信の管理情報として、例えば、ユーザの情報、サイト等の情報が格納される。例えば、ユーザの情報はユーザ名、証明書の情報などであり、サイトの情報は、特定のIPアドレス又はその範囲により限定される、ネットワーク上の場所の情報である。
【0070】
ログデータベース4には、通信管理サーバの通信ログの他、端末毎のIKE認証ログを格納する。
【0071】
IKE認証ログとして、例えば、認証記録時刻、端末のIPアドレス、端末のポート番号、通信相手のIPアドレス、通信相手のポート番号、イニシエータかレスポンダか、相手の証明書(DN(Distinguished Name)、発行者名、シリアル番号)、結果等を格納する。
【0072】
機能面から、言えば、通信管理サーバは、次の機能を有している。
1)クライアントが行うセキュア通信の管理情報をもつデータベース機能
ポリシーデータベース3にクライアントが行うセキュア通信の管理情報が格納されている。
2)セキュリティ通信ポリシーを管理者が編集するためのGUI機能
例えば、ポリシー生成・編集モジュールが、図3に明記されていないGUI機能を利用して、ポリシー生成・編集を行う。
3)要求してきたクライアントの電子証明書とIPアドレスの関係を1)のデータベースに記録する機能
セキュリティ通信ポリシーを要求してきた端末(クライアント)の電子証明書の内容とそのIPアドレスを、電子証明書の値をキーにして、ポリシーデータベース3に記録する。
4)クライアントと相互認証後、クライアントのポリシーを1)のデータベースから取り出し、クライアントに配信する機能
セキュリティ通信ポリシーを要求してきた端末(クライアント)と、サーバ証明書27を用いて相互に認証し合い、相互認証後に、SSL対応WEBサーバ21、ポリシー配信モジュール22を介して、ポリシーデータベース3に格納されているセキュリティポリシーを、セキュリティ通信ポリシーを要求してきた端末(クライアント)に送信する。
5)配信ログを記録する機能
ポリシー配信モジュール22は、ポリシーデータベース3に格納されているセキュリティポリシーを、セキュリティ通信ポリシーを要求してきた端末(クライアント)に送信したとき、ログデータベース4に、その配信ログを記録する。
(端末、クライアント)
図4に、端末(クライアント)の構成例を示す。図4の端末は、GUI部31、IPsecマネージャ部32、IPsecエンジン部33、ログファイル34、端末証明書35、CRL36、証明書管理部37、認証部38、IPsecモニタ部39、ポリシー管理部41、ログ送信部42及びログ部43から構成されている。なお、ポリシー管理部41は、IPsecのポリシーを格納しているセキュリティ・ポリシー・データベースSPD44を有する。
【0073】
GUI部31は、IPsecマネージャ32の制御及び状態監視をユーザが行うためのグラフィカル・ユーザ・インタフェースである。
【0074】
また、GUI部31は、IPsecモニタ部39によって収集されたSAの状態、及びIKE認証の履歴も表示する。さらに、GUI部31は、端末における機能の一部を設定する機能を有する。また、GUI部31は、IKE認証での最終確認として、認証部38からの要求により、ユーザによる最終的な接続認証を可能とする。
【0075】
IPsecマネージャ部32は、本システムの端末ソフトが奏する機能であり、端末ソフトの内で最も重要な機能である。通信管理サーバ2からのセキュリティポリシーのダウンロードとIKE認証のログのアップロードを行う。また、IPsecエンジン部33に対するポリシーの適用を行う。
【0076】
また、通信履歴をログとして記録し、通信管理サーバ2にアップロードする。
【0077】
GUI部31からの制御を受け、セキュア通信状態をGUI部31に表示することもできる。
【0078】
また、認証部38における認証において、認証に時間がかかる場合に、GUI部31からユーザに相手の最終的な認証を促すこともできる。
【0079】
IPsecエンジン部33は、IPsec通信を実際に行う部分である。二つの機能を有する。一つは、OSのTCP(Trnsmission Control Protcol)/IPレイヤで暗号化通信を行い、もう一つは、TCP/IPレイヤと連携して通信相手との暗号化鍵の交換(IKE)を行う。また、これらに対して、IPsecポリシーを適用して、IPsecのプロトコルに対応した処理を行う。
【0080】
ログファイル34は、端末の通信ログのファイルである。必要に応じて、IKE認証ログ等を読み出して、通信管理サーバ2に送信する。
【0081】
端末証明書35は、認証局から付与された端末の電子証明書である。
【0082】
CRL36は、CAから発行されたCRLリストであり、すでに失効した電子証明書のリストである。
【0083】
証明書管理部37は、端末の鍵と証明書の管理を行う。また、CAの証明書を保持し、通信管理サーバ及び通信相手の証明書を検証する。証明書管理部37が、端末証明書35及びCRL36を管理している。
【0084】
認証部38は、IPsecのプロトコルに従った接続の認証後、最終的な認証をユーザに行わせる。例えば、ある相手からの認証要求があった場合、IPsecに従う認証が行われた後、GUI部31により、ユーザに対してその接続を受け入れるかどうかの最終的な認証を行うためのウィンドウを表示し、判定を促す。一定時間判定が無ければ、否認されたものとする。
【0085】
IPsecモニタ部39は、定期的に接続状態をモニタし、SAの状態をGUI部31により表示する。また、IKE認証の履歴をGUI部31により表示する。
【0086】
ポリシー管理部41は、ポリシーの有効期限を判定し、自動でポリシーサーバからのダウンロードを行う。さらに、定期的に、更改されていないかポリシーサーバに確認に行き、更改されていればダウンロードする。GUI部31により、必要に応じて、最後のダウンロード時刻、ポリシーの有効期限を表示するようにしてもよい。また、GUI部31からの指示により、随時、通信管理サーバにアクセスして、必要に応じて、セキュリティポリシーをダウンロードすることもできる。
【0087】
ログ送信部42は、接続時のIKE認証ログ(接続相手の証明書情報等)をログサーバへアップロードする。
【0088】
ログ部43は、当該端末の通信ログを生成して、ログファイル34へ出力する。出力文字列に日時をヘッダとして付加してファイルへ出力する。
【0089】
セキュリティ・ポリシー・データベースSPD44には、始点IPアドレス、終点IPアドレス、プロトコル、宛先ポート、適用する処理等が格納されている。
【0090】
また、SAに関するパラメータも、格納されていている。
【0091】
また、セキュリティ・ポリシー・データベース44に格納されたセキュリティポリシーは、IPsecマネージャ部32以外からは、変更できないように設定されている。
【0092】
機能面から、言えば、クライアント(端末)は、次の機能を有している。
1)クライアントのセキュア通信状況をモニタする機能
IPsecモニタ部39は、GUI部31を用いて、例えば、後述する図17のようなモニタ画面により、クライアントのセキュア通信状況をモニタする。
2)クライアントがセキュア通信を切断できる機能
例えば、後述する図17のようなモニタ画面において、設定・操作ボタンをクリックして、設定・操作に係るメニュー画面(図示せず)を表示して、その中から、「切断」を選択する。この操作が行われると、GUI部31は、IPsecエンジン部33にSAのIDを指定して切断を指示する。指示を受けたIPsecエンジン部33は、指定されたIDのSAを破棄することにより、セキュア通信が切断される。
3)相手からのセキュア通信の要求を受け、クライアントがこれを受領した場合に接続する機能(受領しない場合はセキュア通信が開始されない)
後述する図8のフロー図におけるS31及びS32において、相手からのセキュア通信要求を受け、クライアントがこれを受領した場合に回線を接続し、受領しない場合は、回線が接続されずセキュア通信は開始されない。
【0093】
なお、図8のフロー図におけるS31及びS32の詳細は、RFC(Request for Comments)2401(IPsec)及びRFC(Request for Comments)2408,2409(IKE)に記述されている。
4)クライアントがポリシーサーバから受領したポリシーを変更できない機能
クライアントのポリシー改ざんによる、不正な通信やセキュア通信システム全体のポリシーとの不整合を防ぐために、次のように構成することにより、クライアントがポリシーサーバから受領したポリシーを変更できないようしている。
【0094】
▲1▼ポリシーが記憶されているSPD44が、メモリ上にのみ保存されていること
▲2▼SPD44は、IPsecマネージャ部32とのインターフェイスでのみ操作可能で、GUI部31にはポリシーの表示、操作のインターフェイス機能が無いのでSPD44の操作できないこと
5)クライアントがGUI画面から通信相手とのセキュア通信を起動する機能
利用者は、GUI部31により表示された表示画面を操作して、通信相手とのセキュア通信を起動する。
6)クライアントが通信相手との認証履歴を蓄積し参照できる機能
例えば、後述する図17のようなモニタ画面において、利用者は、認証履歴ボタンをクリックすることにより、ログ部43に格納されている認証ログを参照して、通信相手との認証履歴を蓄積し見ることができる。
7)クライアントへのセキュア通信要求数を制限する機能
IPsecエンジン部33は、クライアントへのセキュア通信要求数を制限することができる。
8)クライアントが行ったセキュア通信ログを蓄積する機能
IPsecモニタ部39は、クライアントが行ったセキュア通信ログを蓄積する。
9)クライアントが随時又は定期的にポリシーサーバと相互認証を実施後接続し、ポリシーを受領する機能
随時又は定期的に、ポリシーサーバにアクセスして、ポリシーサーバと相互に認証する相互認証手段(ポリシー管理部41、証明書管理部37)と、この相互認証後ポリシーサーバから当該セキュア通信で設定すべき複数の通信相手に係るセキュリティポリシーを取得するセキュリティポリシー取得手段(ポリシー管理部41等)と、を有する。
10)クライアントが随時又は定期的にログサーバと相互認証を実施後接続し、6)の認証履歴と8)の通信ログをアップロードする機能
随時又は定期的に、ログサーバにアクセスして、ポリシーサーバと相互に認証する相互認証手段(GUI部31、認証部31等)と、この相互認証後、クライアントのセキュア通信のログを、前記ログサーバに送信する手段(IPsecマネージャ部32、ログ送信部42、ログ部43等)とを有する。
11)クライアントがポリシーサーバから受領したセキュア通信ポリシーに基づき、通信相手と相互認証後、セキュア通信できる機能
この機能を図5を用いて説明する。
IPsecエンジン部33において、IKE処理における証明書検証を行う(S41)。次いで、IPsecエンジン部33は、IPsecマネージャ部32に対して最終認証の要求を出す(S42)。次いで、IPsecマネージャ部32は、GUI部31経由でユーザに対して、相手の証明書の内容と通信要求の内容(IPアドレス、ポート番号)を表示し、通信の認証を要求する(S43)。
【0095】
この要求に対して、設定されたタイムアウト時間を経過した場合は(S44:有り)、IKEの処理を打ち切る。
【0096】
最終認証の要求に対して、設定されたタイムアウト時間内に、結果が出された場合は、IPsecマネージャ部32は、IPsecエンジン部33に認証結果を通知する(S44)。
認証OKの場合は、IPsecエンジン部33は、IKEの処理を続行する。また、認証NGの場合は、IKEの処理を打ち切る。
(処理シーケンス)
端末(クライアント)と管理サーバ(ポリシーサーバ、ログサーバ)における処理を図6〜図8を用いて説明する。
【0097】
図6は、その処理の概要を示す。まず、クライアントは、端末ソフトをインストールし、GUI部31を用いて、予め定め取得した端末の電子証明書を設定し、関係する管理サーバ(ポリシーサーバ、ログサーバ)の宛先を設定する(S11)。
【0098】
ついで、通信管理サーバは、ポリシー生成・編集部24を用いて、セキュリティポリシーの生成と編集を行う(S12)。
【0099】
クライアントと管理サーバの設定がなされると、セキュリティポリシーのダウンロードが自動的に行われる。
【0100】
図7にセキュリティポリシーのダウンロードの処理シーケンスを示す。クライアントからポリシーサーバへ、電子証明書(デジタルID)を提示して、SSLによる通信を要求する(S21)。これに対して、ポリシーサーバは、受信したデジタルIDにより、クライアントを確認する。さらに、電子証明書(デジタルID)と、秘密鍵を提示して、応答する(S22)。
【0101】
クライアントは、ポリシーサーバからの応答を受信して、提示された秘密鍵で暗号化して、秘密鍵を受付けたことを通知し(S23)、さらに、当該クライアントのセキュリティポリシーのダウンロードを要求する(S24)。
なお、S21からS23の流れは、SSL又はTLS(Transport Layer Security)の相互認証のプロセスであり、その詳細は、A. Frier, P. Karlton, and P. Kocher, ”The SSL 3.0 Protocol”, Netscape Communications Corp., Nov 18, 1996.及びRFC(Request for Comments) 2246(TLS) に詳述されている。
【0102】
ポリシーサーバは、要求したクライアントのセキュリティポリシーを、ポリシーデータベース3から読み出して、且つ、秘密鍵で暗号化して、クライアントに送信する(S25)。同時に、ポリシーサーバは、ダウンロードした端末、時刻等のログをログデータベース4に格納する(S26)。クライアントは、ダウンロードしたセキュリティポリシーをセキュリティ・ポリシー・データベースSPD44に格納する。
【0103】
なお、ポリシーサーバは、2回目以降に、セキュリティポリシーをダウンロードする場合は、更新したものだけをダウンロードするようにする。これにより、無駄な通信時間を無くし、通信回線等の資源を有効活用することができる。
【0104】
また、ダウンロードするセキュリティポリシーの形式としてXMLを採用することができる。
セキュリティポリシーのダウンロードが自動的に行われると、図6のステップS14に進む。ステップS14では、クライアント間(クライアントAとクライアントB間)でIPsecの通信が行われる。なお、クライアントA及びクライアントBは、ステップS13により、クライアントB及びクライアントAに関するセキュリティポリシーを、セキュリティ・ポリシー・データベースSPD44に保持している。
図8にクライアント通信の処理シーケンスを示す。
【0105】
先ず、クライアントAとクライアントB間で、IKEの第1フェーズの鍵交換がなされる(S31)。第1フェーズの鍵交換では、▲1▼ISAKMP(Internet Security Association and Key Management Protocol)の折衝▲2▼ISAKMPで使用される共有秘密鍵の生成▲3▼相互認証がなされる。これにより、安全な通信路が生成される。
【0106】
ついで、クライアントAとクライアントB間で、IKEの第2フェーズの鍵交換がなされる(S32)。第2フェーズの鍵交換では、第1フェーズの鍵交換で確立されたISAKMPのSAを使用して、IPsecのAH,ESPのセキュリティプロトコルのSAを確立するために、▲1▼セキュリティプロトコルのSAの折衝▲2▼セキュリティプロトコルのSAで使用される共有秘密鍵の生成を行う。
【0107】
IKEの第1フェーズ及び第2のフェーズがなされると、クライアントAとクライアントB間でIPsecによる通信が可能となる。
【0108】
このIKEの第1フェーズ及び第2フェーズにおいて、相手からのセキュア通信要求を受け、クライアントがこれを受領した場合に回線を接続し、受領しない場合は、回線が接続されずセキュア通信は開始されない処理も行われる。
【0109】
クライアントAとクライアントBは、IKEの第1フェーズ及び第2のフェーズで認証がなされると、その認証のログをログサーバに送信する(S33、S34)。
【0110】
その後、クライアントAとクライアントB間でIPsecによる通信が行われる(S35)。
IPsecによる通信が行われると、図6のステップS15に進み、ネットワーク管理者等による、ログの確認がなされる。
(セキュリティポリシーデータベース)
図9〜図15を用いて、セキュリティポリシーデータベース3について説明する。なお、セキュリティポリシーデータベース3は、ユーザ情報テーブル、サイト情報テーブル、ポリシーテーブル、ポート番号テーブル、通信相手テーブルを有している。
【0111】
図9は、セキュリティポリシーデータベースに格納されるAさんのセキュリティポリシーを説明するための図である。図9におけるAさんのセキュリティポリシーは、次の通りである。
▲1▼Aさんが会社サイトにいるときは、メール送受、会社内のBさんとのtelnetで平文通信をする。会社外のBさんとは、telnetでIPsec通信をする。
▲2▼Aさんさんが他の場所にいるときは、メール送受、会社内のBさんとのtelnetでIPsec通信をする。
▲3▼Aさんがどこにいるかにかかわらず、部門ファイルサーバとの間ではIPsec通信をする。
▲4▼Aさんがどこにいるかにかかわらず、アクセス禁止サーバとの通信は禁止する。
▲5▼Aさんがどこにいるかにかかわらず、その他のWWWサーバとは平文で通信する。
【0112】
図10に、図9の場合におけるユーザ情報テーブルの例を示す。図10のユーザ情報テーブルは、ユーザ情報テーブルの識別番号であるid70、ユーザの表示名71、証明書DN72、アドレス固定73及びIPv6アドレス74から構成されている。
【0113】
表示名71は、自分を含む関係ユーザ名である。図10では、Aさん、Bさん、メイルサーバ、fileサーバがユーザ名である。証明書DN72は、ユーザの電子証明書のDNであり、電子証明書の値である。アドレス固定73は、アドレスが固定か否かを示している。メイルサーバ、fileサーバのアドレスは固定であることが分かる。IPv6アドレス74には、固定アドレス及び固定アドレスでない場合は、直近にアクセスした時点のIPアドレスを示す。
【0114】
図11に、サイト情報テーブルの例を示す。図11のサイト情報テーブルは、サイト情報テーブルの識別番号であるid80、サイトの表示名81、サイトのアドレスがIPv6であるか否かを示す「IPv6」82、サイトのIPアドレス83及びprefix84から構成されている。図11では、サイト名81として、会社、禁止サーバ及びその他がある。また、IPアドレス83、prefix84としては、それらのネットワーク中のアドレスおよび、アドレスの範囲を示すためのプレフィクスの値が入っている。
【0115】
図12に、ポリシーテーブルの例を示す。図12のポリシーテーブルは、ポリシーテーブルの識別番号であるid90、ポリシーを利用するユーザ91、ユーザのサイトであるユーザサイト92、通信相手のサイトである通信相手サイト93、通信制御94、next95及びprev96から構成されている。ユーザサイト92には、ユーザ91のサイト名が書き込まれている。例えば、ユーザA及びユーザBのサイトは会社である。通信相手サイト93には、ユーザサイト92のサイトに準じて書き込まれている。通信制御94は、ユーザ91と行う通信の制御方式が書き込まれている。next95及びprev96は、ユーザ91の次のid90又は前のid90が書き込まれており、これにより、ユーザ91の書き込み領域を判定できる。つまり、next95及びprev96にかけて、同一のユーザのポリシーが書き込まれている。
【0116】
図13に、ポート番号テーブルの例を示す。図13のポート番号テーブルは、ポリシーを識別するポリシーID100、受信するときのポート番号101及び当該ポリシーIDでの通信プロトコル102から構成されている。
図14に、通信相手テーブルの例を示す。図14の通信相手テーブルは、ポリシーを識別するポリシーID110及び通信相手のIDを示す通信相手ID111から構成されている。
図10から図14に示すデータベース内容により、次のような通信ポリシーが構成される。
1)Aが会社サイトにいるときは、会社サイト内からのtelnetを平文で受ける。
2)Aが任意の場所にいるとき、任意の場所にいるBからのtelnetをIPsecで受ける。
3)Bが会社サイトにいるときは、会社サイト内からのtelnetを平文で受ける。
4)Bが任意の場所にいるとき、任意の場所にいるAからのtelnetをIPsecで受ける。
5)メールサーバが社内から読まれるときは、平文で通信する。
【0117】
6)メールサーバが社外にいるA、Bから読まれるときは、IPsec通信を行う。
7)ファイルサーバが任意の場所にいるAから読まれるときは、IPsec通信を行う。
8)アクセス禁止サーバに対する通信を禁止する。
9)そのほかのhttpサーバとは、平文でアクセスする。
(画面)
本実施の形態に関する画面を説明する。
【0118】
図15は、図3の管理サーバにおいて、ログデータベース4を読み出して、通信ログを確認している画面の例である。通信管理サーバが搭載しているGUIにより表示される。
【0119】
図15の画面は、期間51、クライアント(IPアドレス)、通信相手(IPアドレス)、結果(成功、不成功別に表示)をキーに検索を行う。検索結果は、No.55、通信時刻56、本人のIPアドレス57、相手のIPアドレス58、イニシエータか否かの別59、結果(成功、不成功)60及び詳細表示部61から構成される。詳細表示部61をクリックすると、図16に示されているような詳細な通信相手の認証情報を得ることができる。
【0120】
なお、セキュリティポリシーデータベース3において、電子証明書の値をキーにして、情報が格納されているが、その電子証明書の値をキーとは、図16の画面における通信相手の「C=JP、ST=Hokkaidou、L=・・・」である。
これにより、ネットワーク管理者等は、設定したセキュリティポリシーが正しく反映されているか否かを確認することができる。
【0121】
図17は、図4の端末(クライアント)において、IPsecモニタ部39により、IPsec通信確立時の通信の情報を表示している画面である。
図17では、”ishikawa”という名前の相手との二つの通信が行なわれていることが分かる。ここでも詳細をクリックすると、図16に示されている通信相手の電子証明書情報等が表示される。サーバにアップロードされる履歴情報もここで参照できる。
【0122】
また、図17の画面において、設定・操作ボタンをクリックすると、設定・操作に係るメニュー画面(図示せず)を表示される。この画面により、各種設定及び通信の切断を行うことができる。
【0123】
また、図17の画面において、認証履歴ボタンをクリックすると、過去の認証の履歴が表示される。
【0124】
本実施の形態は、次の二つの態様がある。
一つは、ポリシー権限がネットワーク管理者にある場合で、中央でIPsec等のセキュア通信を集中管理する場合である。
これは、企業等でネットワーク管理者が機器間のIPsecの設定を集中管理したい場合である。一般的には、利用者の設定ミスへの対応、企業ポリシーに反したセキュア通信の防止が課題となるが、本実施の形態によれば、セキュア通信対象の通信ポリシーを一元的に管理して、強要することが可能になる。
二つ目は、ポリシー権限が各クライアントにある場合で、クライアント間のオンデマンドでセキュアなピア・ツー・ピアの通信を行う場合である。
これは、個人利用者が知人や目的のデバイスとセキュア通信したい場合である。利用者は希望する通信対象をポリシーサーバに伝え、ポリシーサーバはそれに合ったポリシーファイルを両者にフィードする。しかしながら、通信対象がこの要求を受け入れないかぎりはIPsec通信は成立しない。
【0125】
なお、上記実施の形態では、セキュア通信を行う主体が端末の場合について説明したが、これ以外の場合でも適用できる。例えば、情報家電、センサー等のデバイスに対して適用できる。
また、上記実施の形態では、セキュア通信として、IPsecの場合について説明したが、これ以外のセキュア通信にも適用できる。
【0126】
また、図4では、通信管理サーバは、セキュリティポリシーデータベースを有してセキュリティポリシーを端末に配布する機能と、セキュリティ通信ログデータベースを有してセキュア通信ログを管理する機能を有するものとして説明したが、通信管理サーバをセキュリティポリシーデータベースを有してセキュリティポリシーを端末に配布するセキュリティポリシーサーバと、セキュリティ通信ログデータベースを有してセキュア通信ログを管理するセキュリティ通信ログ管理サーバに分けて構成してもよい。また、その際、セキュリティポリシーサーバとセキュリティ通信ログ管理サーバとは、一部の機能を共有するようにしてもよい。
【0127】
また、端末は、定期的に、通信管理サーバにアクセスして、セキュリティポリシーをダウンロードしても良いし、随時、通信管理サーバにアクセスして、必要に応じて、セキュリティポリシーをダウンロードしてもよい。
【0128】
本実施の形態は、以下のような特徴を有する。
・すべての端末で、IPv6での通信をサポートすることができる。
・ダウンロードするセキュリティポリシーの形式としてXMLを採用することができる。
・端末側の設定は、基本的にインストール時の設定のみでよい。それだけで、正しいIPsecのセキュリティポリシーの適用が保証される。
・端末での通信状況モニタ、認証履歴の表示が可能である。
・通信管理サーバ側で、IPsecポリシーの適用状況をセキュア通信ログにより、確認することが可能となる。
・さらに、定期的に通信管理サーバと端末とで、相互に認証しており、その都度、通信管理サーバは端末のアドレスを確認している。従って、モバイル環境等で端末のアドレスが変化する場合も、通信管理サーバは端末のアドレスの把握が可能であるため、移動先での適用も可能となる。
・また、今後普及が見込まれるピア・ツー・ピアの通信において、セキュアな通信を利用者が簡単に行えるだけでなく、端末の設定を集中管理できるため、企業のネットワーク管理者にとって、マネージされたピア・ツー・ピアの通信の制御が可能となる。
【0129】
また、上述したIETFの提案に対して、本実施の形態は、次のような利点を有する。
(1)クライアント単位にまとめてポリシーを得ることができるので、そのポリシーで許可された相手とのセキュア通信が初めてであっても、ポリシーサーバに問い合わせに行く必要がない。また、ポリシーサーバへの負荷もIETFの提案と比べ少なくて済む。
(2)電子証明書のDN名をクライアントID情報として使用し、それを元にクライアントのポリシーを特定し、クライアントに配信するため、真正なユーザであることを確認した上で正しいポリシーを配信することができる。
【0130】
【発明の効果】
上述の如く本発明によれば、モバイル環境等において利用者がセキュア通信を必要とする時に、必要な各種設定をオンデマンドで簡単に行うことができ、またそれらの設定や通信記録を中央で集中管理できるセキュア通信システム・セキュア通信システム、ポリシーサーバ、セキュア通信を行う機器及びプログラムを提供することができる。
【0131】
【図面の簡単な説明】
【図1】本発明のセキュア通信システムの構成例を説明するための図である。
【図2】図1のシステムの動作概要を説明するための図である。
【図3】通信管理サーバの構成例を説明するための図である。
【図4】端末(クライアント)の構成例を説明するための図である。
【図5】クライアントがポリシーサーバから受領したセキュア通信ポリシーに基づき、通信相手と相互認証後、セキュア通信できる機能を説明するための図である。
【図6】処理の概要を説明するための図である。
【図7】セキュリティポリシーのダウンロードの処理シーケンスである。
【図8】クライアント通信の処理シーケンスである。
【図9】セキュリティポリシーデータベースに格納されるセキュリティポリシーを説明するための図である。
【図10】ユーザ情報テーブルの例である。
【図11】サイト情報テーブルの例である。
【図12】ポリシーテーブルの例である。
【図13】ポート番号テーブルの例である。
【図14】通信相手テーブルの例である。
【図15】管理サーバにおいて、ログ管理モジュールがログデータベースを読み出して、通信ログを確認している画面の例である
【図16】詳細な通信相手の認証情報の画面の例である。
【図17】IPsec通信確立時の通信の情報を表示している画面の例である。
【符号の説明】
1 端末(クライアント)
2 通信管理サーバ
3 セキュリティポリシーデータベース
4 セキュリティ通信ログデータベース
5 ポリシーサーバ
6 ログサーバ
10 IPv6ネットワーク
21 SSL対応WEBサーバ
22 ポリシー配信モジュール
23 ログ管理モジュール
24 ポリシー生成・編集モジュール
26、36 CRL
27 サーバ証明書
31 GUI部
32 IPsecマネージャ部
33 IPsecエンジン部
34 ログファイル
35 端末証明書
37 証明書管理部
38 認証部
39 IPsecモニタ部
41 ポリシー管理部
42 ログ送信部
43 ログ部
44 セキュリティ・ポリシー・データベース(SPD)[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a secure communication system, a policy server, a device for performing secure communication, and a program.
[0002]
[Prior art]
A communication standard for realizing secure communication using the IPv6 (Internet Protocol Version 6) protocol has been defined as RFC (Request for Comments) 2460.
[0003]
In IPv6, implementation of IPsec (IPsec Security Protocol) is essential. By the way, IPsec is composed of two protocols, AH (Authentication Header; authentication header) and ESP (Encapsulating Security Payload; encryption of IP packet). As a protocol used with IPsec, there is IKE (Internet Key Exchange; key exchange).
[0004]
The AH protocol specifies authentication of an IP packet using an authentication header. The ESP protocol defines encryption at the IP packet level, and has two modes, a tunnel mode and a transport mode. The tunnel mode is a protocol for encrypting the entire packet including the header of the IP packet, and the transport mode is a protocol for encrypting the payload of the IP packet. Also, in IPsec, since a common key is used for data authentication and encryption, it is necessary to share a secret key between terminals in advance. IKE is a protocol for negotiating and managing this common key.
[0005]
Since these protocols are used, IPsec can perform communication while keeping the confidentiality of communication, even though the Internet, which is an open network, is used.
[0006]
[Problems to be solved by the invention]
In IPv6, implementation of IPsec is indispensable, but it is difficult for a general user to understand the contents and make settings in his / her own terminal. Even if the user understands the setting contents, it is practically difficult for ordinary users to actually negotiate the setting items necessary for the IPsec communication with the communication partner in advance by any means. .
In addition to this IPsec, in order to perform secure communication, it is necessary to perform negotiations between terminals and perform various settings relating to encryption, authentication, and the like.
[0007]
However, the conventional one has a problem that, in secure communication between terminals, various setting items related to encryption, authentication, and the like cannot be securely and easily exchanged and set.
In addition, since the setting for secure communication requires specialized knowledge, there is a problem that it is difficult for a general user to use secure communication.
[0008]
Therefore, IETF (The Internet Engineering Task Force), an open international community of network designers, operators, vendors, and researchers regarding the development of the Internet architecture and the smooth operation of the Internet, requires that each terminal of a network have a terminal. We are proposing a method of providing a policy server to be used.
However,
(1) In this proposal, when a terminal (client) attempts to download a policy from this policy server, a policy search is basically based on an inquiry for each address-to-address pair. This inquiry is always required when communicating.
[0009]
That is, when there is no policy corresponding to the client wishing to communicate with an address, an inquiry to the policy server frequently occurs because an inquiry about the policy between the addresses is made each time.
[0010]
In addition, there is a problem in that an inquiry cannot be made unless the situation is such that communication with the policy server is always possible.
(2) In this proposal, an IPv4 / IPv6 address or a DNS name is used as client ID information when downloading a policy. Further, when an IPv4 / IPv6 address or a DNS name is used as client ID information as in this proposal, there is a problem in that there is a risk that spoofing or the like occurs because it is not guaranteed that the client is a correct user.
[0011]
Further, in this proposal, since the IP address or DNS is used as a key, there is a problem that it cannot be applied to a mobile terminal whose IP address or DNS is changed.
[0012]
The present invention has been made in view of the above problems, and has a secure communication system, a policy server, which can easily perform various settings necessary for secure communication, and can easily manage secure communication by a network administrator. It is an object to provide a device and a program for performing secure communication.
[0013]
[Means for Solving the Problems]
In order to solve the above problems, the present invention employs means for solving the problems having the following features.
[0014]
The invention described in
[0015]
According to the first aspect of the present invention, a device that performs secure communication accesses the policy server, acquires security policies related to a plurality of communication partners to be set in the secure communication, and transmits the acquired security policies to the policy server. By performing secure communication using the secure communication system, it is possible to provide a secure communication system that can easily perform various settings required for secure communication.
[0016]
Also, since security policies related to a plurality of communication partners to be set in secure communication are acquired collectively, frequent policy inquiries are different from downloading policies individually between communication terminals that perform communication. This eliminates the problem of having to download the policy.
[0017]
The invention described in
[0018]
According to the invention described in
[0019]
According to a third aspect of the present invention, in the secure communication system according to the first or second aspect, the policy server includes a plurality of policy servers, and the device performing the secure communication accesses the predetermined policy server. It is characterized.
[0020]
According to the third aspect of the present invention, the device performing the secure communication accesses the predetermined policy server, and the secure communication is performed by a limited member such as a member of an organization such as a company. The system can be configured.
[0021]
Further, by limiting the access destination to the policy server, it is possible to easily manage the secure communication by the network administrator.
[0022]
According to a fourth aspect of the present invention, in the secure communication system according to any one of the first to third aspects, the secure communication system has a log server, and the device for performing the secure communication is provided as needed or periodically. Further, a log of secure communication of the device is transmitted to the log server.
[0023]
According to the invention described in
[0024]
Further, by confirming the application status of the security policy, it is possible to easily manage the secure communication by the network administrator.
[0025]
The invention described in
[0026]
According to a sixth aspect of the present invention, in the policy server according to the fifth aspect, after the mutual authentication by the mutual authentication unit, the search unit searches the security policy database based on a request from the device performing the secure communication. And a transmission unit for transmitting the updated security policy regarding the device performing the secure communication to the requesting terminal.
[0027]
The invention described in
[0028]
An eighth aspect of the present invention is the policy server according to any one of the fifth to seventh aspects, further comprising a management information database storing management information of secure communication performed by the terminal.
[0029]
According to a ninth aspect of the present invention, in the policy server according to any one of the fifth to eighth aspects, the management information database stores a value of an electronic certificate of a device performing secure communication used for the mutual authentication as a key. And stores the IP address of a device that performs secure communication.
[0030]
The inventions according to
[0031]
In particular, according to the invention described in
[0032]
According to the seventh aspect of the present invention, the security policy is stored using the value of the electronic certificate of the device performing the secure communication used for the mutual authentication as a key, so that the security policy is not changed like the IP address. Since the search can be performed using the value of the electronic certificate as a key, the search can be performed even if the IP address is changed.
[0033]
In addition, this solves the problem that the method cannot be applied to a mobile terminal whose IP address or DNS is changed.
[0034]
According to the invention described in
[0035]
According to the ninth aspect of the present invention, the IP address of a device that performs secure communication is stored by using the value of an electronic certificate of a device that performs secure communication used for mutual authentication as a key. Even when the address of the terminal changes due to an environment or the like, the policy server can grasp the terminal address. Therefore, even when the terminal moves, an appropriate policy can be generated and applied.
[0036]
According to a tenth aspect of the present invention, there is provided a secure communication device connected via a network to a policy server storing a security policy to be set by the secure communication device. Accessing, and performing, at any time or periodically, a secure communication using a security policy acquisition unit that acquires security policies for a plurality of communication partners to be set in the secure communication, and a security policy acquired by the security policy acquisition unit. And secure communication means.
[0037]
According to an eleventh aspect of the present invention, there is provided the device for performing secure communication according to the tenth aspect, further comprising a mutual authentication unit for mutually authenticating with the policy server, and obtaining the security policy after mutual authentication by the mutual authentication unit. The means acquires a security policy of the device.
[0038]
According to a twelfth aspect of the present invention, in the device for performing secure communication according to the tenth or eleventh aspect, a security policy acquired by the security policy acquisition means cannot be changed.
[0039]
According to the tenth to twelfth aspects of the invention, it is possible to provide a device that performs secure communication suitable for the secure communication system according to the first to fourth aspects.
[0040]
In particular, according to the invention described in
[0041]
The invention according to claim 13 is a program in a policy server in which a plurality of devices performing secure communication are connected via a network and the device stores a security policy to be set in secure communication. The computer causes a computer to execute a mutual authentication procedure for mutually authenticating with a device performing secure communication and a transmission procedure for transmitting a security policy relating to a plurality of communication partners to be set by the device after the mutual authentication by the mutual authentication procedure. It is characterized.
[0042]
The invention according to
[0043]
According to a fifteenth aspect of the present invention, the program in the secure communication device according to the fourteenth aspect further executes a procedure for transmitting a secure communication log of the device to the log server at any time or periodically. It is characterized by making it.
[0044]
The invention according to claims 13 to 15 can provide a program applicable to the secure communication system according to
[0045]
BEST MODE FOR CARRYING OUT THE INVENTION
Next, embodiments of the present invention will be described with reference to the drawings.
(Overview of Secure Communication System)
FIG. 1 shows a configuration example of a secure communication system of the present invention. The secure communication system shown in FIG. 1 ~ 1 N ,
[0046]
Terminal 1 1 ~ 1 N ,
[0047]
Terminal 1 1 ~ 1 N Is a terminal that performs secure communication such as IPsec. Terminal 1 1 ~ 1 N Is the
[0048]
Also, terminal 1 1 ~ 1 N Periodically, terminal 1 1 ~ 1 N Secure communication log of the
[0049]
Terminal 1 1 ~ 1 N Is the terminal 1 1 ~ 1 N
[0050]
In addition, the
[0051]
In addition, the
[0052]
In addition,
[0053]
The
[0054]
According to the system of FIG. 1 ~ 1 N Is the
(Outline of operation of the system in FIG. 1)
An outline of the operation of the system in FIG. 1 will be described with reference to FIG.
[0055]
In step S1, each terminal (client) 1 issues a connection request to the
[0056]
In steps S2 and S3, if the security policy of the requested terminal has been changed, the updated security policy is downloaded to the requested terminal. On the other hand, if the security policy of the requested terminal has not been changed, the process jumps to step S4.
[0057]
In step S4, based on the security policy held by the terminal, the terminal of the communication partner is mutually authenticated by an IKE protocol using an electronic certificate, and then secure communication (IPsec) is performed.
[0058]
In step S5, logs of the secure communication in step S4 are collectively and periodically uploaded to the communication management server.
[0059]
The log of the secure communication can be uploaded to the communication management server at any time.
[0060]
Next, the configurations of the terminal and the communication management server will be described.
(Communication management server)
FIG. 3 shows a configuration example of the communication management server. The communication management server shown in FIG. 3 includes an SSL-
[0061]
The SSL-
[0062]
The
The
[0063]
The
The policy generation /
[0064]
For each communication partner of each terminal, a policy is set such as whether communication using IPsec is possible, whether communication using plaintext is possible, and whether communication is prohibited. If communication using IPsec is possible, parameters such as SA (Security Association) Set.
[0065]
The
[0066]
The
[0067]
The
[0068]
For example, a serial number for ordering, information of a communication source user, information of a communication destination user, a list of port numbers / protocols to be used, site information indicating that each user is at a specific IP address, secure communication It stores an SA parameter, an IKE parameter, and the like indicating a method.
[0069]
The
[0070]
The
[0071]
The IKE authentication log includes, for example, an authentication recording time, a terminal IP address, a terminal port number, a communication partner IP address, a communication partner port number, an initiator or a responder, a certificate (DN (Distinguished Name) of the partner), and issuance. User name, serial number), results, etc. are stored.
[0072]
In terms of functions, the communication management server has the following functions.
1) Database function with management information for secure communication performed by client
Management information of secure communication performed by the client is stored in the
2) GUI function for administrator to edit security communication policy
For example, the policy generation / edit module performs the policy generation / edit using a GUI function not explicitly shown in FIG.
3) Function to record the relationship between the electronic certificate and IP address of the requesting client in the database of 1)
The contents of the electronic certificate of the terminal (client) requesting the security communication policy and its IP address are recorded in the
4) After mutual authentication with the client, the function of extracting the client policy from the database of 1) and delivering it to the client
The terminal (client) that has requested the security communication policy is mutually authenticated using the
5) Function to record distribution log
When transmitting the security policy stored in the
(Terminal, client)
FIG. 4 shows a configuration example of a terminal (client). 4 includes a
[0073]
The
[0074]
The
[0075]
The
[0076]
Further, the communication history is recorded as a log and uploaded to the
[0077]
Under the control of the
[0078]
Further, in the authentication performed by the
[0079]
The
[0080]
The
[0081]
The
[0082]
The
[0083]
The
[0084]
After authenticating the connection according to the IPsec protocol, the
[0085]
The IPsec monitor 39 periodically monitors the connection status, and displays the status of the SA on the
[0086]
The
[0087]
The
[0088]
The
[0089]
The security policy database SPD44 stores a start IP address, an end IP address, a protocol, a destination port, processing to be applied, and the like.
[0090]
Further, parameters related to SA are also stored.
[0091]
Further, the security policy stored in the
[0092]
In terms of functions, the client (terminal) has the following functions.
1) Function to monitor the secure communication status of the client
The
2) Function that allows client to disconnect secure communication
For example, on a monitor screen as shown in FIG. 17 to be described later, a setting / operation button is clicked to display a menu screen (not shown) relating to the setting / operation, and “disconnect” is selected from the menu screen. When this operation is performed, the
3) A function for receiving a request for secure communication from the other party and connecting when the client receives the request (otherwise, secure communication is not started)
In S31 and S32 in the flow chart of FIG. 8 described later, a secure communication request is received from the other party, and if the client receives this, the line is connected. If not, the line is not connected and secure communication is not started. .
[0093]
The details of S31 and S32 in the flow chart of FIG. 8 are described in Request for Comments (RFC) 2401 (IPsec) and Request for Comments (RFC) 2408 and 2409 (IKE).
4) A function that the client cannot change the policy received from the policy server.
In order to prevent unauthorized communication and inconsistency with the policy of the entire secure communication system due to falsification of the policy of the client, the following configuration prevents the client from changing the policy received from the policy server.
[0094]
(1) The
(2) The
5) Function that client activates secure communication with communication partner from GUI screen
The user operates the display screen displayed by the
6) Function that allows the client to accumulate and refer to the authentication history of the communication partner
For example, on a monitor screen as shown in FIG. 17 described below, the user clicks the authentication history button to refer to the authentication log stored in the
7) Function to limit the number of secure communication requests to clients
The
8) Function to store secure communication logs performed by clients
The IPsec monitor 39 stores a secure communication log performed by the client.
9) A function that the client connects after receiving mutual authentication with the policy server as needed or periodically, and receives the policy.
At any time or periodically, the mutual authentication means (
10) A function to connect the client after performing mutual authentication with the log server as needed or periodically, and upload the authentication history of 6) and the communication log of 8).
A mutual authentication means (
11) A function that allows the client to perform secure communication after mutual authentication with the communication partner based on the secure communication policy received from the policy server.
This function will be described with reference to FIG.
The
[0095]
If the set time-out period has passed in response to this request (S44: Yes), the IKE process is terminated.
[0096]
If a result is issued within the set timeout period in response to the final authentication request, the
If the authentication is OK, the
(Processing sequence)
The processing in the terminal (client) and the management server (policy server, log server) will be described with reference to FIGS.
[0097]
FIG. 6 shows an outline of the processing. First, the client installs the terminal software, sets the electronic certificate of the terminal acquired in advance by using the
[0098]
Next, the communication management server generates and edits a security policy using the policy generation / editing unit 24 (S12).
[0099]
Once the client and management server settings are made, the security policy is downloaded automatically.
[0100]
FIG. 7 shows a processing sequence for downloading the security policy. The client presents the digital certificate (digital ID) to the policy server and requests SSL communication (S21). On the other hand, the policy server checks the client based on the received digital ID. Further, it presents the electronic certificate (digital ID) and the secret key and responds (S22).
[0101]
The client receives the response from the policy server, encrypts it with the presented private key, notifies that the private key has been accepted (S23), and requests downloading of the security policy of the client (S24). ).
The flow from S21 to S23 is a mutual authentication process of SSL or TLS (Transport Layer Security). Frier, P.M. Karlton, and P.M. Kocher, "The SSL 3.0 Protocol", Netscape Communications Corp. , Nov 18, 1996. And RFC (Request for Comments) 2246 (TLS).
[0102]
The policy server reads the requested client's security policy from the
[0103]
When downloading the security policy for the second time or later, the policy server downloads only the updated policy. As a result, unnecessary communication time can be eliminated, and resources such as communication lines can be effectively used.
[0104]
Further, XML can be adopted as a format of the security policy to be downloaded.
When the security policy is automatically downloaded, the process proceeds to step S14 in FIG. In step S14, IPsec communication is performed between clients (between client A and client B). Note that the clients A and B hold the security policies regarding the clients B and A in the security policy database SPD44 in step S13.
FIG. 8 shows a processing sequence of the client communication.
[0105]
First, a key exchange of the first phase of the IKE is performed between the client A and the client B (S31). In the key exchange of the first phase, (1) negotiation of ISAKMP (Internet Security Association and Key Management Protocol) (2) generation of a shared secret key used in ISAKMP (3) mutual authentication is performed. As a result, a secure communication path is generated.
[0106]
Next, a key exchange in the second phase of the IKE is performed between the client A and the client B (S32). In the second phase key exchange, the ISAKMP SA established in the first phase key exchange is used to establish the IPsec AH, ESP security protocol SA. Negotiation (2) Generates a shared secret key used in the security protocol SA.
[0107]
When the first phase and the second phase of the IKE are performed, communication by IPsec between the client A and the client B becomes possible.
[0108]
In the first and second phases of the IKE, a process in which a secure communication request from a partner is received, and a line is connected when the client receives the request; otherwise, the line is not connected and secure communication is not started. Is also performed.
[0109]
When the client A and the client B are authenticated in the first and second phases of IKE, the client A and the client B transmit a log of the authentication to the log server (S33, S34).
[0110]
Thereafter, communication by IPsec is performed between the client A and the client B (S35).
When communication by IPsec is performed, the process proceeds to step S15 in FIG. 6, and a log is confirmed by a network administrator or the like.
(Security policy database)
The
[0111]
FIG. 9 is a diagram for explaining Mr. A's security policy stored in the security policy database. The security policy of Mr. A in FIG. 9 is as follows.
{Circle around (1)} When Mr. A is on the company site, he sends and receives e-mails and communicates in plain text with Mr. B in the company by telnet. IPsec communication is made with Mr. B outside the company using telnet.
{Circle around (2)} When Mr. A is in another place, send and receive e-mails and perform IPsec communication with Mr. B in the company by telnet.
(3) Regardless of where Mr. A is, IPsec communication is performed with the department file server.
(4) Regardless of where A is, communication with the access prohibition server is prohibited.
{Circle around (5)} Regardless of where Mr. A is, communicate with other WWW servers in plain text.
[0112]
FIG. 10 shows an example of the user information table in the case of FIG. The user information table in FIG. 10 includes an
[0113]
The display name 71 is a related user name including the user. In FIG. 10, A, B, mail server, and file server are user names. The certificate DN72 is the DN of the user's digital certificate, and is the value of the digital certificate. The address fixed 73 indicates whether the address is fixed. It can be seen that the addresses of the mail server and the file server are fixed. The
[0114]
FIG. 11 shows an example of the site information table. The site information table of FIG. 11 is composed of an identification number id80 of the site information table, a
[0115]
FIG. 12 shows an example of the policy table. The policy table in FIG. 12 includes an identification number id90 of the policy table, a
[0116]
FIG. 13 shows an example of the port number table. The port number table in FIG. 13 includes a
FIG. 14 shows an example of the communication partner table. The communication partner table in FIG. 14 includes a
The following communication policies are configured by the database contents shown in FIGS.
1) When A is at the company site, telnet from within the company site is received in clear text.
2) When A is at an arbitrary place, telnet from B at an arbitrary place is received by IPsec.
3) When B is at the company site, telnet from within the company site is received in plain text.
4) When B is at an arbitrary place, telnet from A at an arbitrary place is received by IPsec.
5) When the mail server is read from within the company, communicate in plain text.
[0117]
6) When the mail server is read from A and B outside the company, IPsec communication is performed.
7) When the file server is read from A at an arbitrary location, IPsec communication is performed.
8) Prohibit communication with the access prohibition server.
9) Access to other http servers in plain text.
(screen)
A screen according to the present embodiment will be described.
[0118]
FIG. 15 is an example of a screen in which the management server of FIG. 3 reads the
[0119]
In the screen shown in FIG. 15, a search is performed using the
[0120]
In the
As a result, a network administrator or the like can confirm whether or not the set security policy is correctly reflected.
[0121]
FIG. 17 shows a screen on the terminal (client) of FIG. 4 on which information of communication at the time of establishing IPsec communication is displayed by the
In FIG. 17, it can be seen that two communications with the other party named "ishikawa" are being performed. Here, when the details are clicked, the electronic certificate information and the like of the communication partner shown in FIG. 16 are displayed. History information uploaded to the server can also be referred to here.
[0122]
When the user clicks a setting / operation button on the screen of FIG. 17, a menu screen (not shown) relating to the setting / operation is displayed. On this screen, various settings and disconnection of communication can be performed.
[0123]
In addition, when the authentication history button is clicked on the screen in FIG. 17, the past authentication history is displayed.
[0124]
This embodiment has the following two modes.
One is a case where the network administrator has the policy authority and centrally manages secure communication such as IPsec at the center.
This is a case where a network administrator in a company or the like wants to centrally manage IPsec settings between devices. Generally, it is necessary to respond to user setting mistakes and prevent secure communication that violates corporate policies. However, according to the present embodiment, the communication policy for secure communication is managed centrally. , Can be compelled.
The second is a case in which each client has a policy right, and performs on-demand secure peer-to-peer communication between clients.
This is a case where an individual user wants to perform secure communication with an acquaintance or a target device. The user communicates the desired communication target to the policy server, and the policy server feeds the appropriate policy file to both parties. However, unless the communication target accepts the request, the IPsec communication cannot be established.
[0125]
Note that, in the above-described embodiment, a case has been described where the subject that performs secure communication is a terminal, but the present invention can be applied to other cases. For example, it can be applied to devices such as information home appliances and sensors.
Further, in the above-described embodiment, the case of IPsec has been described as secure communication, but the present invention can be applied to other secure communication.
[0126]
In FIG. 4, the communication management server is described as having a function of distributing a security policy to terminals with a security policy database and a function of managing a secure communication log with a security communication log database. The communication management server may be divided into a security policy server having a security policy database and distributing a security policy to terminals, and a security communication log management server having a security communication log database and managing a secure communication log. Good. At this time, the security policy server and the security communication log management server may share some functions.
[0127]
Further, the terminal may periodically access the communication management server and download the security policy, or may access the communication management server at any time and download the security policy as necessary. .
[0128]
This embodiment has the following features.
-All terminals can support IPv6 communication.
XML can be adopted as the format of the security policy to be downloaded.
-The settings on the terminal side need only be basically the settings at the time of installation. This alone guarantees the correct application of the IPsec security policy.
-It is possible to monitor the communication status on the terminal and display the authentication history.
-It is possible for the communication management server to check the application status of the IPsec policy by using the secure communication log.
Further, the communication management server and the terminal periodically authenticate each other, and each time, the communication management server checks the address of the terminal. Therefore, even when the address of the terminal changes in a mobile environment or the like, the communication management server can grasp the address of the terminal, so that the communication management server can be applied to a destination.
In addition, in peer-to-peer communication, which is expected to spread in the future, secure communication can be easily performed by users, and terminal settings can be centrally managed, so it is managed by corporate network administrators. Peer-to-peer communication can be controlled.
[0129]
In addition, the present embodiment has the following advantages over the IETF proposal described above.
(1) Since a policy can be obtained collectively for each client, it is not necessary to go to the policy server for an inquiry even if the secure communication with the partner permitted by the policy is the first time. In addition, the load on the policy server can be reduced as compared with the IETF proposal.
(2) Using the DN name of the electronic certificate as the client ID information, specifying the policy of the client based on the information, and distributing the correct policy after confirming that the user is a genuine user in order to distribute the policy to the client. be able to.
[0130]
【The invention's effect】
As described above, according to the present invention, when a user needs secure communication in a mobile environment or the like, various necessary settings can be easily performed on demand, and those settings and communication records can be centralized. It is possible to provide a secure communication system, a secure communication system, a policy server, a device and a program for performing secure communication that can be managed.
[0131]
[Brief description of the drawings]
FIG. 1 is a diagram for explaining a configuration example of a secure communication system of the present invention.
FIG. 2 is a diagram for explaining an operation outline of the system of FIG. 1;
FIG. 3 is a diagram illustrating a configuration example of a communication management server.
FIG. 4 is a diagram illustrating a configuration example of a terminal (client).
FIG. 5 is a diagram for explaining a function that allows a client to perform secure communication after mutual authentication with a communication partner based on a secure communication policy received from a policy server.
FIG. 6 is a diagram for explaining an outline of a process;
FIG. 7 is a processing sequence of downloading a security policy.
FIG. 8 is a processing sequence of client communication.
FIG. 9 is a diagram illustrating a security policy stored in a security policy database.
FIG. 10 is an example of a user information table.
FIG. 11 is an example of a site information table.
FIG. 12 is an example of a policy table.
FIG. 13 is an example of a port number table.
FIG. 14 is an example of a communication partner table.
FIG. 15 is an example of a screen in which a log management module reads a log database and checks a communication log in the management server.
FIG. 16 is an example of a detailed authentication information screen of a communication partner.
FIG. 17 is an example of a screen displaying communication information at the time of establishing IPsec communication.
[Explanation of symbols]
1 terminal (client)
2 Communication management server
3 Security policy database
4 Security communication log database
5 Policy server
6 log server
10 IPv6 network
21 SSL compatible web server
22 Policy Distribution Module
23 Log Management Module
24 Policy Generation / Editing Module
26, 36 CRL
27 Server certificate
31 GUI part
32 IPsec Manager
33 IPsec engine
34 log files
35 Terminal certificate
37 Certificate Management Department
38 Authentication Department
39 IPsec monitor
41 Policy Management Department
42 Log transmission unit
43 Log section
44 Security Policy Database (SPD)
Claims (15)
前記セキュア通信を行う機器は、随時又は定期的に、前記ポリシーサーバにアクセスして、当該セキュア通信で設定すべき複数の通信相手に係るセキュリティポリシーを取得し、
前記セキュア通信を行う機器は、前記ポリシーサーバから取得したセキュリティポリシーを用いてセキュア通信を行うことを特徴とするセキュア通信システム。A secure communication system having a plurality of devices performing secure communication and a policy server storing a security policy to be set by the device in the secure communication,
The device that performs the secure communication, at any time or periodically, accesses the policy server to acquire security policies related to a plurality of communication partners to be set in the secure communication,
A secure communication system, wherein the device performing the secure communication performs a secure communication using a security policy acquired from the policy server.
該相互認証後に、前記ポリシーサーバは、前記セキュア通信を行う機器に該機器が設定すべき複数の通信相手に係るセキュリティポリシーを送信することを特徴とする請求項1記載のセキュア通信システム。The device performing the secure communication and the policy server mutually authenticate each other,
2. The secure communication system according to claim 1, wherein, after the mutual authentication, the policy server transmits a security policy regarding a plurality of communication partners to be set by the device to the device performing the secure communication.
前記セキュア通信を行う機器は、予め定められた前記ポリシーサーバにアクセスすることを特徴とする請求項1又は2記載のセキュア通信システム。The policy server has a plurality,
3. The secure communication system according to claim 1, wherein the device performing the secure communication accesses the predetermined policy server.
前記セキュア通信を行う機器は、随時又は定期的に、当該機器のセキュア通信のログを、前記ログサーバに送信することを特徴とする請求項1ないし3いずれか一項記載のセキュア通信システム。The secure communication system has a log server,
The secure communication system according to claim 1, wherein the device that performs the secure communication transmits a log of the secure communication of the device to the log server at any time or periodically.
前記セキュア通信を行う機器と相互に認証する相互認証手段と、
前記相互認証手段による相互認証後、前記機器が設定すべき複数の通信相手に係るセキュリティポリシーを送信する送信手段と、
を有することを特徴とするポリシーサーバ。A policy server in which a plurality of devices performing secure communication are connected via a network, and the device stores a security policy to be set in secure communication,
Mutual authentication means for mutually authenticating the device performing the secure communication,
After mutual authentication by the mutual authentication unit, a transmission unit that transmits a security policy relating to a plurality of communication partners to be set by the device,
A policy server comprising:
更新された前記セキュア通信を行う機器に関するセキュリティポリシーを、要求した端末に送信する送信手段とを有することを特徴とする請求項5記載のポリシーサーバ。After mutual authentication by the mutual authentication unit, based on a request from the device performing the secure communication, a search unit that searches the security policy database,
6. The policy server according to claim 5, further comprising: a transmission unit configured to transmit the updated security policy regarding the device performing the secure communication to the requesting terminal.
前記セキュリティポリシーデータベースは、前記相互認証に用いられるセキュア通信を行う機器の電子証明書の値をキーにして、セキュリティポリシーを格納することを特徴とする請求項5又は6記載のポリシーサーバ。A security policy database for storing security policies;
7. The policy server according to claim 5, wherein the security policy database stores a security policy using a value of an electronic certificate of a device performing secure communication used for the mutual authentication as a key.
前記ポリシーサーバにアクセスして、随時又は定期的に、当該セキュア通信で設定すべき複数の通信相手に係るセキュリティポリシーを取得するセキュリティポリシー取得手段と、
セキュリティポリシー取得手段で取得したセキュリティポリシーを用いてセキュア通信を行うセキュア通信手段と、
を有することを特徴とするセキュア通信を行う機器。A device for performing secure communication connected via a network to a policy server storing a security policy to be set by the device for performing secure communication,
A security policy acquisition unit that accesses the policy server and acquires, at any time or periodically, a security policy related to a plurality of communication partners to be set in the secure communication,
Secure communication means for performing secure communication using the security policy acquired by the security policy acquisition means,
An apparatus for performing secure communication, comprising:
該相互認証手段による相互認証後、前記セキュリティポリシー取得手段は、当該機器のセキュリティポリシーを取得することを特徴とする請求10項記載のセキュア通信を行う機器。Having mutual authentication means for mutually authenticating with the policy server,
11. The device for performing secure communication according to claim 10, wherein, after the mutual authentication by the mutual authentication unit, the security policy obtaining unit obtains a security policy of the device.
前記セキュア通信を行う機器と相互に認証する相互認証手順と、
前記相互認証手順による相互認証後、前記機器が設定すべき複数の通信相手に係るセキュリティポリシーを送信する送信手順と、
をコンピュータに実行させるポリシーサーバにおけるプログラム。A program in a policy server in which a plurality of devices performing secure communication are connected via a network and the device stores a security policy to be set in secure communication,
A mutual authentication procedure for mutually authenticating with the device performing the secure communication,
After the mutual authentication by the mutual authentication procedure, a transmission procedure of transmitting a security policy related to a plurality of communication partners to be set by the device,
Program in a policy server that causes a computer to execute
前記ポリシーサーバにアクセスして、当該セキュア通信で設定すべき複数の通信相手に係るセキュリティポリシーを取得するセキュリティポリシー取得手順と、
セキュリティポリシー取得手順で取得したセキュリティポリシーを用いてセキュア通信を行うセキュア通信手順と、
をコンピュータに実行させるセキュア通信を行う機器におけるプログラム。A program in a secure communication device connected via a network to a policy server storing a security policy to be set by the secure communication device,
A security policy acquisition procedure for accessing the policy server and acquiring security policies for a plurality of communication partners to be set in the secure communication;
A secure communication procedure for performing secure communication using the security policy acquired in the security policy acquisition procedure,
In a device that performs secure communication that causes a computer to execute
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002204220A JP2004048458A (en) | 2002-07-12 | 2002-07-12 | Secure communication system, policy server, and equipment and program for performing secure communication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002204220A JP2004048458A (en) | 2002-07-12 | 2002-07-12 | Secure communication system, policy server, and equipment and program for performing secure communication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004048458A true JP2004048458A (en) | 2004-02-12 |
Family
ID=31709882
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002204220A Pending JP2004048458A (en) | 2002-07-12 | 2002-07-12 | Secure communication system, policy server, and equipment and program for performing secure communication |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004048458A (en) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006018608A (en) * | 2004-07-01 | 2006-01-19 | Japan Communication Inc | Terminal equipment, communication control method and program |
| JP2006086907A (en) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | Setting information distribution device and method, program, medium, and setting information receiving program |
| JP2006254284A (en) * | 2005-03-14 | 2006-09-21 | Fujitsu Access Ltd | Multicast distribution system, user equipment and distribution server therefor |
| JP2006252471A (en) * | 2005-03-14 | 2006-09-21 | Ricoh Co Ltd | Network monitoring method, network monitoring system and network monitoring program |
| JP2006345126A (en) * | 2005-06-08 | 2006-12-21 | Dainippon Printing Co Ltd | Method for setting environment of pki, client server system and computer program |
| JP2006344013A (en) * | 2005-06-09 | 2006-12-21 | Hitachi Ltd | User authentication system and user authentication method therefor |
| CN100388687C (en) * | 2004-09-30 | 2008-05-14 | 国际商业机器公司 | Computer system and program to update SSL certificates |
| JP2009016961A (en) * | 2007-06-29 | 2009-01-22 | Fujitsu Ltd | Communication device, communication log transmission method suitable for communication device, and communication system |
| EP2031793A1 (en) * | 2006-06-19 | 2009-03-04 | Huawei Technologies Co., Ltd. | Framework of managing network security and information processing method thereof |
| JP2010114885A (en) * | 2008-10-10 | 2010-05-20 | Canon Inc | Communication device, control method and computer program of communication device |
| US7757087B2 (en) | 2004-10-15 | 2010-07-13 | Kabushiki Kaisha Toshiba | Information processing apparatus and information processing method |
| JP2012108643A (en) * | 2010-11-16 | 2012-06-07 | Nec Computertechno Ltd | Computer control system, computer, control method and control program |
| JP2013138477A (en) * | 2013-02-14 | 2013-07-11 | Canon Inc | Information processor, information processing method, storage medium and program |
| US8646066B2 (en) | 2006-10-16 | 2014-02-04 | Canon Kabushiki Kaisha | Security protocol control apparatus and security protocol control method |
| JP2016167692A (en) * | 2015-03-09 | 2016-09-15 | 三菱日立パワーシステムズ株式会社 | Information communication system and information communication method |
-
2002
- 2002-07-12 JP JP2002204220A patent/JP2004048458A/en active Pending
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006018608A (en) * | 2004-07-01 | 2006-01-19 | Japan Communication Inc | Terminal equipment, communication control method and program |
| JP2006086907A (en) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | Setting information distribution device and method, program, medium, and setting information receiving program |
| CN100388687C (en) * | 2004-09-30 | 2008-05-14 | 国际商业机器公司 | Computer system and program to update SSL certificates |
| US7757087B2 (en) | 2004-10-15 | 2010-07-13 | Kabushiki Kaisha Toshiba | Information processing apparatus and information processing method |
| JP2006254284A (en) * | 2005-03-14 | 2006-09-21 | Fujitsu Access Ltd | Multicast distribution system, user equipment and distribution server therefor |
| JP2006252471A (en) * | 2005-03-14 | 2006-09-21 | Ricoh Co Ltd | Network monitoring method, network monitoring system and network monitoring program |
| JP4713186B2 (en) * | 2005-03-14 | 2011-06-29 | 株式会社リコー | Network monitoring method and network monitoring system |
| JP4648100B2 (en) * | 2005-06-08 | 2011-03-09 | 大日本印刷株式会社 | PKI environment setting method, client server system, and computer program |
| JP2006345126A (en) * | 2005-06-08 | 2006-12-21 | Dainippon Printing Co Ltd | Method for setting environment of pki, client server system and computer program |
| JP2006344013A (en) * | 2005-06-09 | 2006-12-21 | Hitachi Ltd | User authentication system and user authentication method therefor |
| JP4685515B2 (en) * | 2005-06-09 | 2011-05-18 | 株式会社日立製作所 | User authentication system and user authentication method thereof |
| EP2031793A1 (en) * | 2006-06-19 | 2009-03-04 | Huawei Technologies Co., Ltd. | Framework of managing network security and information processing method thereof |
| EP2031793A4 (en) * | 2006-06-19 | 2009-09-02 | Huawei Tech Co Ltd | Framework of managing network security and information processing method thereof |
| US8646066B2 (en) | 2006-10-16 | 2014-02-04 | Canon Kabushiki Kaisha | Security protocol control apparatus and security protocol control method |
| JP2009016961A (en) * | 2007-06-29 | 2009-01-22 | Fujitsu Ltd | Communication device, communication log transmission method suitable for communication device, and communication system |
| JP2010114885A (en) * | 2008-10-10 | 2010-05-20 | Canon Inc | Communication device, control method and computer program of communication device |
| JP2012108643A (en) * | 2010-11-16 | 2012-06-07 | Nec Computertechno Ltd | Computer control system, computer, control method and control program |
| JP2013138477A (en) * | 2013-02-14 | 2013-07-11 | Canon Inc | Information processor, information processing method, storage medium and program |
| JP2016167692A (en) * | 2015-03-09 | 2016-09-15 | 三菱日立パワーシステムズ株式会社 | Information communication system and information communication method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10009320B2 (en) | Computerized system and method for deployment of management tunnels | |
| US9673988B2 (en) | Systems and methods for certifying devices to communicate securely | |
| US7890759B2 (en) | Connection assistance apparatus and gateway apparatus | |
| US7680878B2 (en) | Apparatus, method and computer software products for controlling a home terminal | |
| US7290286B2 (en) | Content provider secure and tracable portal | |
| US10680830B2 (en) | Systems and methods for certifying devices to communicate securely | |
| JP4101839B2 (en) | Session control server and communication system | |
| WO2003062992A1 (en) | Automatic configuration of devices for secure network communication | |
| JP2009514046A (en) | Method and system for single sign-on operation providing grid access and network access | |
| JP2004048458A (en) | Secure communication system, policy server, and equipment and program for performing secure communication | |
| JPH1125048A (en) | Method for managing security of network system | |
| JP2007334753A (en) | Access management system and method | |
| Cisco | Configuring Digital Certification | |
| Cisco | Configuring Certification Authority Interoperability |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050408 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060720 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060725 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20061121 |