JP4138819B2 - Encrypted communication method - Google Patents
Encrypted communication method Download PDFInfo
- Publication number
- JP4138819B2 JP4138819B2 JP2006138157A JP2006138157A JP4138819B2 JP 4138819 B2 JP4138819 B2 JP 4138819B2 JP 2006138157 A JP2006138157 A JP 2006138157A JP 2006138157 A JP2006138157 A JP 2006138157A JP 4138819 B2 JP4138819 B2 JP 4138819B2
- Authority
- JP
- Japan
- Prior art keywords
- security gateway
- security
- sequence number
- reception
- area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、IPパケットの暗号化や、認証情報、及びシーケンス番号の付与などを行い、インターネット上において安全な情報の送受を可能とするIPセキュリティプロトコルにおいて、IPパケットから、IPセキュリティプロトコルパケットを組み立てる機能、及びIPセキュリティプロトコルパケットから、IPパケットを復元する機能を有する暗号化通信システム及び暗号化通信方法に関する。 The present invention assembles an IP security protocol packet from an IP packet in an IP security protocol that enables IP packet encryption, authentication information, sequence number assignment, and the like to enable secure transmission / reception of information on the Internet. The present invention relates to an encrypted communication system and an encrypted communication method having a function and a function of restoring an IP packet from an IP security protocol packet.
例えば、インターネットのように、多数のユーザによって共用されるネットワークにおいて安全な通信を行うためには、情報の暗号化、送受信相手の認証、及びネットワーク上における改竄の検出等の対策を行い、通信上のセキュリティを確立することが必要となる。このようなセキュリティ機能を規定した代表的なプロトコルとして、IPsec(Internet Protocol Security、または、IP Security Protocol)を挙げることができる。このIPsecの主要部分に関しては、下記に規定されている。 For example, in order to perform secure communication in a network shared by a large number of users, such as the Internet, measures such as information encryption, authentication of transmission / reception partners, and detection of tampering on the network are taken. It is necessary to establish security. As a typical protocol that defines such a security function, there is IPsec (Internet Protocol Security or IP Security Protocol). The main part of this IPsec is defined below.
RFC2401“Security Architecture for the Internet Protocol”、
RDC2402“IP Authentication Header”、
RFC2403“The Use of HMAC−MD 5−96 within ESP and AH”、
RFC2506“IP Encapsulating Security Payload(ESP)”、
RFC2407“The Internet IP Security Domain of Interpretation for ISAKMAP”、
RFC2408“Internet Security Association and Key Management Protocol(ISAKMAP)”、そして、
RFC2409“The Internet Key Exchange(IKE)”である。このようなIPsecの概要について、図10を参照して説明する。
RFC2401 “Security Architecture for the Internet Protocol”,
RDC2402 “IP Authentication Header”,
RFC 2403 “The Use of HMAC-MD 5-96 with ESP and AH”,
RFC 2506 “IP Encapsulating Security Payload (ESP)”,
RFC 2407 “The Internet IP Security Domain of Interpretation for ISAKMAP”,
RFC 2408 “Internet Security Association and Key Management Protocol (ISAKMAP)”, and
RFC 2409 “The Internet Key Exchange (IKE)”. An outline of such IPsec will be described with reference to FIG.
(1) IPsecパケット
図10(a)は、IPsec(トンネルモードESP)パケットの構造を示す図である。先頭から、新しいIPヘッダ、ESP(ヘッダ部)、オリジナルIPパケット、ESP(トレイラ部)を有し、最後にESP(認証部)を有している。また、オリジナルIPパケット及びESP(トレイラ部)の部分が暗号化範囲であり、このオリジナルIPパケット、ESP(トレイラ部)及びESP(ヘッダ部)を含む部分が認証範囲となっている。このように、IPsecでは、IPパケット単位の暗号化、認証、及び改竄検出等をサポートしている。
(1) IPsec Packet FIG. 10A shows the structure of an IPsec (tunnel mode ESP) packet. From the beginning, it has a new IP header, ESP (header part), original IP packet, ESP (trailer part), and finally ESP (authentication part). Further, the original IP packet and ESP (trailer part) are the encryption range, and the part including the original IP packet, ESP (trailer part) and ESP (header part) is the authentication range. As described above, IPsec supports encryption, authentication, falsification detection, and the like in units of IP packets.
(2) IPsecの実装形態
図10(b)は、IPsecの実装形態を示す図である。IPsecの実装形態には、通信を行うコンピュータが直接IPsecを終端する形態と、LAN内のルータ等がIPsecを終端する機能を有しておりLAN間あるいはLANとIPsec機能を有するコンピュータ間の通信をIPsecパケットに変換して通信する形態とがある。以下、直接IPsecを終端する機能を有するコンピュータを「IPsecクライアント」と言い、IPsecを終端し、LAN間あるいはLANとIPsec機能を有するコンピュータ間の通信をIPsecパケットに変換して通信する機能を有するルータ等をSGW(Security Gateway)と称する。
(2) Implementation of IPsec FIG. 10B is a diagram showing an implementation of IPsec. The IPsec implementation mode includes a mode in which a computer that performs communication directly terminates IPsec, and a router in the LAN has a function to terminate IPsec, and communication between LANs or between computers having a LAN and IPsec functions. There is a form in which the packet is converted into an IPsec packet for communication. Hereinafter, a computer having a function of directly terminating IPsec is referred to as an “IPsec client”, and a router having a function of terminating IPsec and converting communication between LANs or between computers having a LAN and an IPsec function into IPsec packets. Are referred to as SGW (Security Gateway).
(3) SA(Security Association)[RFC2401]
IPsecによる通信を行うためには、通信を行う両ノードにおいて、「SA」と称するconnectionを構築する必要がある。実装上、SAは、パケットの送信元と受信元との双方で合意したセキュリティポリシ、暗号及び認証鍵を格納するオブジェクトである。このSAは、後述する鍵交換時に構築又は更新される。
(3) SA (Security Association) [RFC2401]
In order to perform communication by IPsec, it is necessary to construct a connection called “SA” in both nodes performing communication. In terms of implementation, the SA is an object that stores a security policy, a cipher, and an authentication key agreed by both the transmission source and the reception source of the packet. This SA is constructed or updated at the time of key exchange described later.
(4) 鍵交換
DES等の共通鍵暗号方式では、送受信を行う両者間で同一の鍵を所有する必要がある。しかし、同じ鍵を長い時間利用し続けたり、同じ鍵で暗号化したデータをネットワーク上で大量にやりとりしたりすると、第三者に鍵を推察されてしまう可能性が高くなる。このため、SAの開設に先立ち、両者で共通の鍵を共有し、さらに、一定の期間毎あるいは一定のデータを送受信する度にこの鍵を更新する必要がある。この処理を鍵交換という。IPsecでは、IKE(Internet Key Exchange)[RFC2409]によって、鍵交換及び各種セキュリティポリシのネゴシエーションに関して規定している。IKEでは、フェーズ1とフェーズ2という2段階の鍵交換を規定している。フェーズ1では、プロセッサに対する負荷の高いDiffie−Hellman法(RFC2631)を利用することを義務付けているが、フェーズ2では、フェーズ1で共有した鍵による保護の下で実施されるため、Diffie−Hellman法の使用はオプションになっている。このため、フェーズ2では、高速に鍵交換の処理を行うことが可能である。通常、フェーズ1の鍵交換を数時間に1回行い、フェーズ2の鍵交換を数十分に1回行うというように、両者を組み合わせた使い方をすることが多い。
(4) Key exchange In a common key cryptosystem such as DES, it is necessary to possess the same key between both parties performing transmission and reception. However, if the same key is used for a long time, or if a large amount of data encrypted with the same key is exchanged over the network, there is a high possibility that the key will be guessed by a third party. For this reason, prior to the establishment of SA, it is necessary to share a common key between the two, and to update this key every certain period or every time certain data is transmitted / received. This process is called key exchange. In IPsec, IKE (Internet Key Exchange) [RFC 2409] defines key exchange and various security policy negotiations. IKE defines a two-stage key exchange called
(5) シーケンス番号付与及びチェック機能
上記のように、IPsecでは、パケットに認証情報を付加することによって、受信側で送信側の認証を実現している。しかし、単純に送信側の認証情報を付加しただけでは、いわゆるreplay攻撃を防御することができない。すなわち、第三者が認証情報の付加された正規のパケットをネットワーク上で採取し、採取したパケットの複製を大量に作成し、これらをネットワーク上に戻して宛先(受信側)へ送ることにより、受信側の認証機構を破り、宛先企業LAN、又は端末に撹乱を与えるreplay攻撃を防御することができない。しかも、このreplay攻撃では、暗号を破る必要が無い。
(5) Sequence Number Assignment and Check Function As described above, in IPsec, authentication on the transmission side is realized on the reception side by adding authentication information to the packet. However, the simple addition of authentication information on the transmission side cannot prevent so-called replay attacks. That is, a third party collects legitimate packets with authentication information added on the network, creates a large number of duplicates of the collected packets, sends them back to the network and sends them to the destination (receiving side). It is impossible to prevent a replay attack that breaks the authentication mechanism on the receiving side and disturbs the destination company LAN or the terminal. Moreover, it is not necessary to break the encryption in this replay attack.
このような攻撃からシステムを防御するため、RFC2401、2402、及び2406では、シーケンス番号(以下、「SN値」という。)と呼ばれる機構が利用されている。IPsecパケット(ESP/AH)のヘッダでは、32bitのSN値フィールドを有しており、送信側は、送信パケットのESP(ヘッダ部(RFC2406の場合)、又は認証ヘッダ(RFC2402の場合)にこのSN値を付与する。このSN値は、フェーズ2の鍵交換時に0にリセットされ、以降、パケットを送信する毎に1ずつ加算されて行く。
In order to protect the system from such an attack, RFCs 2401, 4022 and 2406 use a mechanism called a sequence number (hereinafter referred to as “SN value”). The header of the IPsec packet (ESP / AH) has a 32-bit SN value field, and the transmission side has this SN in the ESP (header part (in the case of RFC2406) or authentication header (in the case of RFC2402) of the transmission packet. This SN value is reset to 0 at the time of
受信側では、受信したパケットのSN値が、当該SAにおいて以前利用されたものであるかどうかをチェックする。SN値が以前利用されたものである場合には、当該パケットは直ちに破棄しなければならない。すなわち、SN値がオーバーフローする前に鍵交換を再起動しなければならない。 On the receiving side, it is checked whether or not the SN value of the received packet has been previously used in the SA. If the SN value was previously used, the packet must be discarded immediately. That is, the key exchange must be restarted before the SN value overflows.
このようなシーケンス番号を用いる機構により、上記のようなreplay攻撃が行われたとしても、受信側でSN値の受信履歴をチェックすることによって、直ちに不正なパケットを検出し、破棄することができる。また、第三者がSN値を書き換えた場合でも、IPsecの認証機構においてそのような改竄を検出することができるため、不正なパケットを検出し、破棄することができる。 By using such a sequence number mechanism, even if a replay attack as described above is performed, an illegal packet can be immediately detected and discarded by checking the reception history of the SN value on the receiving side. . Further, even when a third party rewrites the SN value, such an alteration can be detected by the IPsec authentication mechanism, so that an illegal packet can be detected and discarded.
次に、IPsec機能の冗長化について説明する。SGWによりIPsec機能を実現している場合、何らかの原因でSGWが故障すると、LAN内のすべてのコンピュータは、IPsec通信を利用することができなくなる。このような問題の発生を防止するためには、SGWの冗長化(多重化)を行うことが必要となる。すなわち、企業LAN内において複数のSGWを利用できるようにし、1台のSGWが故障した場合でも、直ちに予備のSGWに切り替えてサービスを継続することができるようにすることが必要である。ここで、企業LAN内において複数のSGWを利用できる系を、以下、「冗長系」といい、1台のSGWが故障した場合でも、直ちに予備のSGWに切り替えてサービスを継続することを、以下、「系切り替え」という。以上のようなSGWの冗長化に関連する従来技術について、具体例を挙げて説明する。 Next, redundancy of the IPsec function will be described. When the IPsec function is realized by the SGW, if the SGW fails for some reason, all the computers in the LAN cannot use the IPsec communication. In order to prevent the occurrence of such a problem, it is necessary to perform redundancy (multiplexing) of SGWs. That is, it is necessary to make it possible to use a plurality of SGWs in a corporate LAN so that even if one SGW breaks down, it can immediately switch to a spare SGW and continue the service. Here, a system in which a plurality of SGWs can be used in a corporate LAN is hereinafter referred to as a “redundant system”, and even when one SGW fails, the service is immediately switched to a spare SGW to continue the service. This is called “system switching”. The prior art related to the SGW redundancy as described above will be described with a specific example.
(従来技術における第1の具体例)
図11は、従来技術におけるSGW2重化方式の一例を示す図である。IPsec通信の相手(対向側)は、ターゲットとなる企業LAN内において冗長系を構成するSGWのリスト(図11中、SGW1、SGW2)を有している。(1)今、企業LAN側のSGW1が何らかの原因で故障したとする。(2)SGW1との間でSAを設定していた対向側は、通信が不可能となったことから、SGW1の故障を検出し、(3)SGWリストから次に接続すべきSGW(この場合はSGW2)を検索し、(4)新たなSAを確立する。このような手順によって、対向側は、一定の中断時間の後、IPsecを再利用できるようになる。
(First specific example in the prior art)
FIG. 11 is a diagram illustrating an example of the SGW duplex method in the prior art. The partner (opposite side) of the IPsec communication has a list of SGWs (SGW1 and SGW2 in FIG. 11) constituting a redundant system in the target corporate LAN. (1) Assume that the
このような方式では、SGWは、それぞれ異なるIPアドレスを有する。IPsecにおいては、SAをIPアドレスによって識別しているため、系切り替え時にSGW1とSAを設定していた対向側は、新たにSGW2との間にSAを確立し直す必要がある。上記のように、このSAの確立時には、鍵交換が必要になるが、このときはIPアドレス自体が変わるため、フェーズ2の鍵交換のみならず、フェーズ1の鍵交換も行わなければならない。従って、系切り替え時に、SGW1との間にSAを設定していたすべての対向側が、同時にSGW2にSA確立の要求を行うと、SGW2には非常に高い負荷がかけられ、系切り替え時間が非常に長くなるという問題があった。
In such a scheme, each SGW has a different IP address. In IPsec, since the SA is identified by the IP address, the opposite side that has set SGW1 and SA at the time of system switching needs to newly establish SA with SGW2. As described above, when the SA is established, key exchange is required. At this time, since the IP address itself changes, not only
(従来技術における第2の具体例)
一方、従来からIPアドレスの変化を伴わない系切り替えの可能なルータの多重化方式が用いられている。この方式は、RFC2338“Virtual Router Redundancy Protocol”(VRRP)に基づいている。
(Second specific example in the prior art)
On the other hand, conventionally, a router multiplexing method capable of system switching without changing the IP address has been used. This scheme is based on RFC 2338 “Virtual Router Redundancy Protocol” (VRRP).
図12(a)は、VRRPによるルータ冗長化方式の概念図であり、同(b)は、VRRPルータの状態遷移図であり、同(c)は、ADVERTISEMENTメッセージフォーマットを示す図である。ここでは、2台のルータ#0と#1とが冗長系を構成する。#0、#1共に、複数のIPアドレスを有する機能を有し、それらを高速に活性化/非活性化することが可能である。図12(a)に示す時点では、#0がIPAを活性化しており、#1は、IPAを非活性化し、#0の状態を監視している。#1は、#0の故障を検出したとき、ただちにIPAを活性化する。すなわち、外部の端末からは、#0と#1はIPAを有する一つのルータとして認識される。以下、これを仮想ルータと称する。図12(a)の時点で、#0の状態にあるルータをマスタールータ(以下、「MR」と記述する。)、#1の状態にあるルータをバックアップルータ(以下、「BR」と記述する。)という。以下、MRとBRの動作について説明する。
FIG. 12A is a conceptual diagram of a router redundancy method based on VRRP, FIG. 12B is a state transition diagram of a VRRP router, and FIG. 12C is a diagram illustrating an ADVERTISEENT message format. Here, the two
(通常状態)
(1) MRは、IPAに対するARP要求に対して物理MACアドレスではなく、Virtual MAC Address(00−00−5E−00−01−{VRID})を返す。
(2) BRは、IPAに対するARP要求は無視する。
(3) MRは、定期的(デフォルト1秒)にAdvertisementメッセージをブロードキャストする。
(4) BRは、上記メッセージを受け取ったら、Master_Down_Timerを、Master_Down_Intervalにリセットする。
(Normal state)
(1) MR returns Virtual MAC Address (00-00-5E-00-01- {VRID}) instead of a physical MAC address in response to an ARP request for IPA.
(2) The BR ignores the ARP request for IPA.
(3) MR broadcasts an Advertisement message periodically (
(4) Upon receipt of the message, the BR resets Master_Down_Timer to Master_Down_Interval.
(MRがダウン状態)
(1) MRがダウンであるため、Advertisementメッセージブロードキャストができない。
(2) BR側で、Master_Down_Timerが0になる。
(3) BR側がAdvertisementメッセージをブロードキャストする。
(4) BRが、gratuitous ARP要求(IPA、バーチャルMACアドレス)をブロードキャストする。
(5) BRが、Adver_Timer(Advertisement周期を測るためのタイマ)を規定の周期(デフォルト1秒)にセットする。
(6) BRは、MRに移行(自分のNICをIPAに対して活性化(up)する。)する。
(MR is down)
(1) Since the MR is down, the Advertisement message cannot be broadcast.
(2) Master_Down_Timer becomes 0 on the BR side.
(3) The BR side broadcasts an Advertisement message.
(4) The BR broadcasts a gratuitous ARP request (IPA, virtual MAC address).
(5) BR sets Adver_Timer (timer for measuring the Advertisement period) to a specified period (
(6) BR transitions to MR (activates (ups) its NIC to IPA).
ここで、Priorityは、1−255で各VRRPルータに割り振られる
固定値(0は、別の用途で利用される)であり、
Skew_time=((256−Priority)/256)、
Master_Down_Interval=(3×Advertisement周期)+SkewTimeである。また、MR、BRの他に、Initialize状態という状態がある。これは、スタートアップを待っている状態である。
Here, Priority is a fixed value (0 is used for another purpose) assigned to each VRRP router at 1-255,
Skew_time = ((256-Priority) / 256),
Master_Down_Interval = (3 × Advertisement period) + SkewTime. In addition to MR and BR, there is a state called an Initialize state. This is a state waiting for startup.
これにより、複数のBackupがある場合、必ず最もプライオリティの高い(数値が大きい)BackupのMaster_Down_Timerが最初に0になり、Advertisementを発行する。他のBackupは、このAdvertisementを受け取ったら、Master_Down_Timerを、Master_Down_Intervalに戻すので、競合することはない。また、IP Address ownerは、最高の優先度(255)を有し、当該VRRPルータが、Startupした場合には、必ずMasterになる。 As a result, when there are a plurality of backups, the master_down_timer of the backup with the highest priority (large numerical value) is always set to 0 first, and advertisement is issued. When the other Backup receives this Advertisement, it returns Master_Down_Timer to Master_Down_Interval, so there is no conflict. Further, the IP Address owner has the highest priority (255), and is always a Master when the VRRP router starts up.
以上の動作により、MRが故障したときは、自動的にBRが、IPAを有するルータとして起動するので、外部からはIPAを有するルータがサービスを継続しているように認識される。 With the above operation, when the MR fails, the BR is automatically activated as a router having the IPA, so that it is recognized from the outside that the router having the IPA continues the service.
しかしながら、従来技術における第1の具体例で、系切り替え時間が長期化するという問題を解決するために、従来技術における第2の具体例の仮想ルータ機能を、IPsec機能を有するSGWにそのまま適用することは従来から不可能であった。以下、その理由を説明する。 However, in order to solve the problem that the system switching time is prolonged in the first specific example in the prior art, the virtual router function in the second specific example in the prior art is applied as it is to the SGW having the IPsec function. It has never been possible before. The reason will be described below.
(1) SA共有
上記のように、IPsecでは、SAによるIPsecコネクションの管理を行っているが、SAのうち、共通鍵に関する情報は、Diffie−Hellman法の特性上、鍵交換を行うものの間だけで共有され得るものである。また、セキュリティ上、これをLAN上やインターネット上で流すことはできない。従来技術における第2の具体例のVRRPでは、MRとBRとの間でSA情報を共有する手段が存在しない。
(1) SA sharing As described above, in IPsec, the IPsec connection is managed by SA, but the information related to the common key is only between SAs that perform key exchange due to the Diffie-Hellman method. It can be shared with. For security reasons, it cannot be transmitted over a LAN or the Internet. In the VRRP of the second specific example in the prior art, there is no means for sharing SA information between MR and BR.
(2) SN値同期
SA情報のうち、特に上記のSN値は、パケットを送受信する毎に更新する必要がある。例えば、1.5Mbpsのパケット処理能力を有するSGWで、この更新回数は、毎秒125回以上に及ぶ。従って、上記(1)SA共有の問題が解決されたとしても、このように更新頻度の高い情報を完全に共有することは極めて困難である。
(2) SN value synchronization Among the SA information, in particular, the above SN value needs to be updated every time a packet is transmitted and received. For example, in an SGW having a packet processing capacity of 1.5 Mbps, the number of updates reaches 125 times or more per second. Therefore, even if the problem of (1) SA sharing is solved, it is extremely difficult to completely share information with such a high update frequency.
本発明は、このような事情に鑑みてなされたものであり、IPsec機能を有する装置において、仮想ルータによる冗長化機能を利用可能とし、系切り替え時間を短縮することができる暗号化通信システム及び暗号化通信方法を提供することを目的とする。 The present invention has been made in view of such circumstances, and in an apparatus having an IPsec function, an encryption communication system and a cipher capable of using a redundancy function by a virtual router and shortening a system switching time. An object of the present invention is to provide a communication method.
請求項1記載の暗号化通信方法の発明は、自系と前記自系の通信の相手先ノードである対向系との間でIPセキュリティプロトコルを終端する暗号化通信方法であって、前記自系内のセキュリティゲートウェイが、前記自系内のセキュリティゲートウェイの数を認識する自系認識工程と、前記自系内のセキュリティゲートウェイが、前記自系内の各セキュリティゲートウェイに付与された固有の番号を認識する自系固有番号認識工程と、前記自系内のセキュリティゲートウェイが、前記対向系が備えるセキュリティゲートウェイの数を認識する対向系認識工程と、前記自系内のセキュリティゲートウェイが、前記対向系内の各セキュリティゲートウェイに付与された固有の番号を認識する対向系固有番号認識工程と、前記自系内のセキュリティゲートウェイが、前記対向系内で通信中のセキュリティゲートウェイに付与された固有の番号と、前記自系内で通信中のセキュリティゲートウェイに付与された固有の番号とを、前記自系と前記対向系との間で交換する交換工程と、前記自系内のセキュリティゲートウェイが、送信用シーケンス番号の全領域を、前記自系内のセキュリティゲートウェイの数に相当する数の送信領域に分割すると共に、前記各送信領域を、前記対向系内のセキュリティゲートウェイの数に相当する数の送信小領域に分割し、現在通信中の自系内及び対向系内のセキュリティゲートウェイに付与された固有の番号に対応した前記送信小領域を送信用シーケンス番号付与領域とする送信シーケンス番号分割工程と、前記自系内のセキュリティゲートウェイが、受信用シーケンス番号の全領域を、前記対向系内のセキュリティゲートウェイの数に相当する数の受信領域に分割すると共に、前記各受信領域を、前記自系内のセキュリティゲートウェイの数に相当する数の受信小領域に分割し、現在通信中の自系内及び対向系内のセキュリティゲートウェイに付与された固有の番号に対応した前記受信小領域を受信検査用シーケンス番号検査領域とする受信シーケンス番号分割工程と、前記自系内のセキュリティゲートウェイが、前記送信用シーケンス番号付与領域の範囲内でのみシーケンス番号を付与するシーケンス番号付与工程と、前記自系内のセキュリティゲートウェイが、前記送信用シーケンス番号付与領域を逸脱する前に対向系内のセキュリティゲートウェイとの間で共通鍵を更新し、前記付与したシーケンス番号をリセットする共通鍵更新工程と、前記自系内のセキュリティゲートウェイが、前記受信検査用シーケンス番号検査領域の範囲内でシーケンス番号の受信履歴を検査する検査工程と、前記自系が、前記自系内でセキュリティゲートウェイの切り替えを実施した結果、特定の固有の番号を有するセキュリティゲートウェイが新たに通信を行うこととなった場合は、前記新たに通信を行うセキュリティゲートウェイが、そのセキュリティゲートウェイ及び前記自系切り替え時に通信中の対向系内のセキュリティゲートウェイに付与された固有の番号に対応した送信小領域を送信用シーケンス番号付与領域とすると共に、そのセキュリティゲートウェイ及び前記自系切り替え時に通信中の対向系内のセキュリティゲートウェイに付与された固有の番号に対応した受信小領域を受信検査用シーケンス番号検査領域とする領域変更工程と、前記新たに通信を行うセキュリティゲートウェイが、当該セキュリティゲートウェイの固有の番号を前記対向系内のセキュリティゲートウェイへ通知する通知工程と、前記新たに通信を行うセキュリティゲートウェイが、前記受信検査用シーケンス番号検査領域となっている受信小領域以外のシーケンス番号が付与されたパケットを受信せずに廃棄する破棄工程と、前記新たに通信を行うセキュリティゲートウェイが、前記切り替え前に動作をしていたセキュリティゲートウェイが再び動作を行う前に、前記対向系内のセキュリティゲートウェイに対して1回以上の前記共通鍵の更新処理を行い、前記切り替え前に動作していたセキュリティゲートウェイの前記シーケンス番号をリセットするリセット工程とを含む構成を採る。
The invention of the encrypted communication method according to
本発明において、終端とは、(1)共通鍵に基づいた暗号化、認証情報の付与、シーケンス番号の付与等を行い、IPパケットからIPsecパケットを作成する機能と、(2)共通鍵に基づいた複合化、認証情報のチェック、シーケンス番号のチェック等を行い、IPsecパケットからIPパケットを復元する機能と、(3)共通鍵を、通信を行う両者間で安全に共有するための鍵交換を行う機能を果たすことを言う。本項に係る発明は、例えば、RFC2402及び2406に規定されたSN値の32bitの領域(00000000〜FFFFFFFF)をn×m個の小ブロックに分割する。ここでは、自系がn台のSGWで冗長系を構成し、対向系がm台のSGWで冗長系を構成するとする。送信用のSN値フィールドに関しては、前記32bitの領域を自系のセキュリティゲートウェイの数に相当するブロックに分割した後、各ブロックを対向系のセキュリティゲートウェイの数に相当する小ブロックにさらに分割する。この小ブロックを、例えば、b00、b01、・・・、b0m−1、b10、・・・、bn−1m−1とする。ここで、bijは、自系SGWiが、対向系SGWjに割当てた送信シーケンス番号の小ブロックである。 In the present invention, termination refers to (1) a function of performing encryption based on a common key, giving authentication information, giving a sequence number, etc., and creating an IPsec packet from an IP packet, and (2) based on a common key Function that restores IP packets from IPsec packets by performing decryption, authentication information check, sequence number check, etc., and (3) key exchange to securely share a common key between the two communicating parties Say to fulfill the function to do. In the invention according to this section, for example, a 32-bit area (0000000 to FFFFFFFF) of SN values defined in RFCs 2402 and 2406 is divided into n × m small blocks. Here, it is assumed that the own system forms a redundant system with n SGWs, and the opposing system forms a redundant system with m SGWs. For the SN value field for transmission, the 32-bit area is divided into blocks corresponding to the number of security gateways of the own system, and then each block is further divided into small blocks corresponding to the number of security gateways of the opposite system. These small blocks are, for example, b00, b01, ..., b0m-1, b10, ..., bn-1m-1. Here, bij is a small block of a transmission sequence number assigned by the own system SGWi to the opposite system SGWj.
また、受信検査領域として、前記32bitの領域を対向系のセキュリティゲートウェイの数に相当するブロックに分割した後、各ブロックを自系のセキュリティゲートウェイの数に相当した小ブロックに分割する。この小ブロックを、例えば、b00、b01、・・・、b10、・・・、bm−1n−1とする。ここで、bjiは、自系SGWiが対向系SGWj用として用意する受信検査用の小ブロックである。すなわち、対向系SGWjが、自系SGWi向けに割当てた送信シーケンス番号の小ブロックに等しい。 Further, as the reception inspection area, the 32-bit area is divided into blocks corresponding to the number of opposing security gateways, and then each block is divided into small blocks corresponding to the number of own security gateways. Let this small block be b00, b01, ..., b10, ..., bm-1n-1. Here, bji is a small block for reception inspection prepared by the own system SGWi for the opposite system SGWj. That is, the opposite system SGWj is equal to the small block of the transmission sequence number assigned to the own system SGWi.
自系及び対向系のマスタがそれぞれSGWi、SGWjであるとする。SGWiは、対向系へ送信するパケットのSN値を必ずbijの領域の最初から使用し、パケットを送信する度に1ずつ加算する。自系SGWiと対向系SGWjとがマスタである限り、このbijの最大値を超えたSN値を付与したパケットを送信してはならない。すなわち、bijの領域がオーバーフローする前に、フェーズ2の鍵交換を行い、SN値を初期値(bijの最初の数値)に戻さなければならない。対向系においては、自系から送られてきた領域bijのSN値の受信履歴を管理し、同じSN値のパケットを以前受信していないかどうかをチェックする。
Assume that the self-system and counter-system masters are SGWi and SGWj, respectively. SGWi always uses the SN value of the packet to be transmitted to the opposite system from the beginning of the area of bij, and adds 1 each time a packet is transmitted. As long as the own system SGWi and the opposite system SGWj are masters, a packet to which an SN value exceeding the maximum value of this bij is not transmitted. That is, before the area of bij overflows, the key exchange in
同様に、対向系から自系に送信されるパケットには、対向系のSGWjは、領域bjiのSN値を付与される。自系では、対向系から送られてきた領域bjiのSN値の受信履歴を管理し、同じSN値のパケットを以前受信していないかどうかのチェックを行う。 Similarly, the SGWj of the opposite system is given the SN value of the area bji to the packet transmitted from the opposite system to the own system. The own system manages the reception history of the SN value of the area bji sent from the opposite system, and checks whether a packet having the same SN value has been received before.
自系において、SGWiが故障等により動作を停止した場合の処理は、以下のように行われる。すなわち、RFC2338に従い、次にSGWkが自系の新たなMRとして選択されたとすると、SGWkは、SGWiからSA情報をコピーしているが、SN値のコピーは行っていない。SGWkは、自分が新たなMRとなったことを、全対向系に通知する。SGWkは、対向系のSGWjに対して、パケット送信を開始する。この時のSN値は、領域bkjの最初から使用し、パケットを送信する度に1ずつ加算される。自系SGWkと対向系SGWjがMRであるかぎり、この領域を超えたSN値を付与したパケットを送信してはならない。すなわち、bkjの領域がオーバーフローする前に鍵交換を行い、SN値を初期値(bkjの最初の数値)に戻さなければならない。 In the own system, processing when SGWi stops operation due to a failure or the like is performed as follows. That is, according to RFC2338, if SGWk is selected as a new MR of its own system, SGWk has copied SA information from SGWi, but has not copied SN values. SGWk notifies all oncoming systems that it has become a new MR. The SGWk starts packet transmission to the opposite SGWj. The SN value at this time is used from the beginning of the area bkj, and is incremented by 1 every time a packet is transmitted. As long as the own system SGWk and the opposite system SGWj are MRs, a packet to which an SN value exceeding this area is not transmitted should not be transmitted. That is, key exchange must be performed before the bkj area overflows, and the SN value must be returned to the initial value (the first numerical value of bkj).
上記の系切り替え通知を受け取った対向系は、自系からのパケットの受信SN値チェック用領域を、bkjに切り替える。ここで、
より、故障等をしたSGWiから、送信SN値の最終値を転送しなくても、同じSN値が付与されたパケットを再度送信することは無くなる。
The opposite system that has received the above system switching notification switches the reception SN value check area of the packet from its own system to bkj. here,
Thus, even if the final value of the transmission SN value is not transferred from the SGWi that has failed or the like, the packet with the same SN value is not transmitted again.
また、上記の系切り替え通知を受け取った対向系は、自系に向けた送信SN値をbjkの先頭値に切り替え、以降、パケットを送信する度に1ずつ加算する。自系SGWkと対向系SGWjがMRである限り、この領域を超えたSN値が付与されたパケットを対向系は送信しない。すなわち、対向系は、bkjの領域がオーバーフローする前に鍵交換を行い、SN値を初期値(bjkの最初の数値)に戻さなければならない。自系では、対向系からの受信パケットのSN値チェック領域をbjkに切り替え、以降、同じSN値のパケットを以前受信していないかどうかをチェックする。なお、自系では、bjk領域以外のSN値を有するパケットはすべて廃棄しなければならない。また、
の条件を満たし、かつ、自系における系切り替えの後、bjk領域以外のSN値のパケットは廃棄することによって(この再送は上位プロトコルで行う)、故障等をしたSGWiから領域bjiに関する受信履歴を転送しなくても、SGWkは、受信パケットのSN値がbjk内でのみ再利用されていないことが確認できれば、SN値の全領域で当該SN値が再利用されていないことを確認することが可能となる。これにより、系切り替えにより新たに通信を行うセキュリティゲートウェイが動作を停止したセキュリティゲートウェイから送信シーケンス番号の最終値及び受信シーケンス番号の検査履歴を転送する必要が無くなると共に、以前使用した送信シーケンス番号を再利用することなく、かつ、以前受信したシーケンス番号を再度受信することが無くなるため、いわゆるreplay攻撃からシステムを防御することが可能となる。以上により、従来技術におけるSN値同期に関する問題を解決することが可能となる。
Further, the opposite system that has received the above system switching notification switches the transmission SN value directed to its own system to the head value of bjk, and thereafter adds 1 each time a packet is transmitted. As long as the own system SGWk and the opposite system SGWj are MR, the opposite system does not transmit a packet to which an SN value exceeding this region is given. In other words, the opposing system must perform key exchange before the bkj area overflows, and return the SN value to the initial value (the first numerical value of bjk). The own system switches the SN value check area of the received packet from the opposite system to bjk, and thereafter checks whether or not a packet having the same SN value has been received before. In the local system, all packets having SN values other than the bjk area must be discarded. Also,
After the system switching in the local system, packets with SN values other than the bjk region are discarded (this retransmission is performed by a higher-level protocol), so that the reception history related to the region bji is obtained from the failed SGWi. Even without forwarding, SGWk can confirm that the SN value is not reused in the entire SN value area if it can be confirmed that the SN value of the received packet is not reused only within bjk. It becomes possible. This eliminates the need to transfer the final value of the transmission sequence number and the inspection history of the reception sequence number from the security gateway that has stopped operating when the security gateway that newly communicates due to system switching, and retransmits the previously used transmission sequence number. Since it is not used and the previously received sequence number is not received again, the system can be protected from the so-called replay attack. As described above, it is possible to solve the problem related to SN value synchronization in the prior art.
請求項2記載の発明は、請求項1記載の暗号化通信方法において、前記対向系認識工程は、前記対向系の多重化機能の有無を検出する工程を含む構成を採る。
According to a second aspect of the present invention, in the encrypted communication method according to the first aspect, the opposing system recognition step includes a step of detecting the presence / absence of a multiplexing function of the opposing system .
これにより、対向系の冗長度(バックアップSGWの数)や、冗長機能の有無に関する情報を収集することができるため、系切り替え信号送信の要否、SN値ブロック分割信号送信の可否について対向系と合意を得ることが可能となる。また冗長機能を有していない対向系に対しても、通常のIPsecセッションを設定することができる。これにより、従来技術との互換性を実現することができる。 Thereby, since it is possible to collect information on the redundancy degree of the opposing system (number of backup SGWs) and the presence / absence of the redundant function, whether the system switching signal transmission is necessary or not and whether the SN value block division signal transmission is possible or not It is possible to obtain an agreement. Also, a normal IPsec session can be set for the opposite system that does not have a redundant function. Thereby, compatibility with a prior art is realizable.
請求項3記載の発明は、請求項1又は請求項2記載の暗号化通信方法において、前記切り替え前に動作をしていたセキュリティゲートウェイが、当該ゲートウェイの動作を再開する前に、それまで通信を行っていたセキュリティゲートウェイから当該時点における共通鍵に関する情報を収集する収集工程と、前記切り替え前に動作をしていたセキュリティゲートウェイが、前記切り替え後に1回以上共通鍵の更新が行われているかどうかを検査する更新検査工程とを含み、前記検査の結果、前記共通鍵の更新が行われていなかった場合は、前記切り替え前に動作をしていたセキュリティゲートウェイの動作を再開しない一方、前記共通鍵の更新が行われていた場合は、それまで通信を行っていたセキュリティゲートウェイから前記共通鍵に関する情報を取得した後前記切り替え前に動作をしていたセキュリティゲートウェイの動作を再開する構成を採る。
The invention according to
このように、動作を一時停止してから1回以上共通鍵の更新が行われているかどうかを検査し、検査結果に応じて動作を一時停止したセキュリティゲートウェイの動作を再開させるかどうかを決定する。その結果、共通鍵の更新が1度も行われていない場合は、セキュリティ確保のため、動作を一時停止したセキュリティゲートウェイの動作を再開しない。一方、共通鍵の更新が1回以上行われている場合は、動作を一時停止したセキュリティゲートウェイの動作をすぐに再開するので、復帰動作を迅速に行うことが可能となる。 In this way, it is checked whether or not the common key has been updated at least once after the operation is suspended, and it is determined whether or not to resume the operation of the security gateway whose operation has been suspended according to the inspection result. . As a result, if the common key has never been updated, the operation of the security gateway whose operation has been temporarily suspended is not resumed to ensure security. On the other hand, when the common key has been updated once or more, the operation of the security gateway whose operation has been suspended is immediately resumed, so that the return operation can be performed quickly.
本発明に係る暗号化通信システムは、IPセキュリティパケットを送受信する複数のセキュリティゲートウェイと、前記各セキュリティゲートウェイを接続し、共通鍵に関する情報を伝送する専用通信回線とを備えた構成を採る。 The encrypted communication system according to the present invention employs a configuration including a plurality of security gateways that transmit and receive IP security packets, and a dedicated communication line that connects the security gateways and transmits information related to a common key.
この構成により、共通鍵に関する情報を、LANやWAN等のネットワークとは完全に独立した回線で伝送することができるため、通信の安全性を確保することが可能となる。従って、従来技術におけるSA(Security Association)を共有する問題を解決し、冗長化されたSGW(Security Gateway)において、仮想ルータ機能を実装し、系切り替えを高速に行うことが可能となる。 With this configuration, information related to the common key can be transmitted through a line that is completely independent of a network such as a LAN or a WAN, so that communication safety can be ensured. Therefore, it is possible to solve the problem of sharing SA (Security Association) in the prior art and to implement a virtual router function in a redundant SGW (Security Gateway) to perform system switching at high speed.
(実施の形態1)
図1は、本発明の実施の形態1に係る多重化暗号通信システムの概略構成を示す図である。この多重化暗号通信システムは、A系10、B系20、及びC系30がインターネット40を介してIPsecコネクションを設定している。A系10及びB系20は、それぞれ冗長度が2であり、C系30は、冗長度が1である。A系10におけるSGW(Security Gateway)では、SGW0がMR(マスタールータ)状態、SGW1がBR(バックアップルータ)状態となっている。B系20におけるSGWでは、SGW0がスタートアップを待っているInitialize状態、SGW1がMR状態となっている。
(Embodiment 1)
FIG. 1 is a diagram showing a schematic configuration of a multiplexed cryptographic communication system according to
図1には、ノードA11の詳細も併せて示されている。ノードA11におけるSGW0、SGW1は、グローバル側であるWAN側ネットワーク12とローカル側であるLAN側ネットワーク13にネットワークインタフェースを有し、さらに、SA(Security Association)情報を共有するための専用通信回線14(専用ネットワークインタフェース)を有する。SGW0及びSGW1は、自系の冗長度(2)、及び冗長系における自分の優先度を設定情報として保有している。SGW0のグローバル側及びローカル側のインタフェースは、それぞれ、IPAg、IPAlが割当てられており、活性化(up)状態にある。その他に、ローカル側インタフェースでは、IP01も活性化状態にある。
FIG. 1 also shows details of the node A11. The
一方、SGW1は、グローバル側、ローカル側のIPアドレスとして、それぞれIPAg、IPAlが割当てられているが、非活性化(down)状態にある。その他に、ローカル側インタフェースでは、IP02が割当てられており、活性化状態にある。すなわち、SGW0及びSGW1のローカル側ネットワークインタフェースは、同時に2つのIPアドレスを活性化することができる機能を有している。IPAg及びIPAlは、それぞれ、仮想SGWのグローバル及びローカルIPであり、MR状態にあるSGWのみがこれらのIPアドレスを活性化して使用することができる。IP01及びIP02は、それぞれSGW0、SGW1個有のメンテナンス用IPアドレスとして使用される。
On the other hand, IPAg and IPAl are assigned as IP addresses on the global side and the local side, respectively, but the
MRが正常状態にあることを示すAdvertisement信号は、MRによってWAN側もしくはLAN側インタフェースから一定期間毎にブロードキャストされる。鍵交換、IPsecパケットの組み立て分解処理は、すべてMRにおいて行われ、BRは、MRからのAdvertisement信号を受信し、MRの状態を監視している。MRが対向系と鍵交換を行い、SA情報が更新されると、MRは専用通信回線14を介してBRに新しいSA情報を転送する。 An Advertisement signal indicating that the MR is in a normal state is broadcast by the MR from the WAN side or LAN side interface at regular intervals. Key exchange and IPsec packet assembly / disassembly processing are all performed in the MR, and the BR receives the Advertisement signal from the MR and monitors the state of the MR. When the MR exchanges keys with the opposite system and the SA information is updated, the MR transfers the new SA information to the BR via the dedicated communication line 14.
図2は、冗長化SGWにおけるブロック分割の手順を示す図である。各SGWは、Initialize状態における初期設定時に、初期設定情報を参照して、自系の冗長度及び自分の優先度を取得する(ステップS1)。次に、MRは、対向系ノードとの間で鍵交換を行う(ステップS2)。鍵交換時のセキュリティポリシのネゴシエーションパラメータとして、本発明に係る冗長化機能のサポートの有無、冗長度、及びMRの番号を交換する。MRは、ネゴシエーションを行ったSAを、専用回線を介してBRに転送する(ステップS3)。 FIG. 2 is a diagram showing a block division procedure in the redundant SGW. Each SGW refers to the initial setting information at the time of initial setting in the Initialize state, and acquires its own redundancy and its own priority (step S1). Next, the MR performs key exchange with the opposite node (step S2). As security parameter negotiation parameters at the time of key exchange, presence / absence of redundancy function support, redundancy, and MR number are exchanged. The MR transfers the negotiated SA to the BR via the dedicated line (step S3).
各SGWは、送信用、及び受信用SN値フィールドの小ブロック化を行う(ステップS4)。すなわち、送信用SN値フィールドは、自系の装置数=n、相手系の装置数=mより、b00〜bn−1m−1の小領域に分割し、受信検査用のSN値フィールドは、b00〜bm−1n−1の小領域に分割する。 Each SGW makes the transmission and reception SN value fields into smaller blocks (step S4). That is, the SN value field for transmission is divided into small areas of b00 to bn-1m-1 based on the number of devices of own system = n and the number of devices of the partner system = m, and the SN value field for reception inspection is b00. Divide into small areas of ~ bm-1n-1.
A系−B系(2対2)のSAでは、SN値を以下のブロックに分割する。
A系の場合の小ブロック分割
A系SGW0用送信SN値ブロック
00000000〜3FFFFFFF 小ブロック00(A系SGW0からB系
SGW0へ)
40000000〜7FFFFFFF 小ブロック01(A系SGW0からB系
SGW1へ)
In A system-B system (2 to 2) SA, the SN value is divided into the following blocks.
Small block division A system SGW0 transmission SN value block 0000000 to 3FFFFFFF small block 00 (from system A SGW0 to system B SGW0)
40000000-7FFFFFFFF small block 01 (from A system SGW0 to B system SGW1)
A系SGW0用受信SN値検査ブロック
00000000〜3FFFFFFF 小ブロック00(B系SGW0からA系SGW0へ)
80000000〜BFFFFFFF 小ブロック10(B系SGW1からA系
SGW0へ)
Receive SN value check block for A system SGW0 0000000 to 3FFFFFFF Small block 00 (from B system SGW0 to A system SGW0)
80000000-BFFFFFFF Small block 10 (from B system SGW1 to A system SGW0)
A系SGW1用送信SN値ブロック
80000000〜BFFFFFFF 小ブロック10(A系SGW1からB系
SGW0へ)
C0000000〜FFFFFFFF 小ブロック11(A系SGW1からB系
SGW1へ)
Transmission SN value block for A system SGW1 80000000 to BFFFFFFF Small block 10 (from A system SGW1 to B system SGW0)
C0000000 to FFFFFFFF Small block 11 (from A system SGW1 to B system SGW1)
A系SGW1用受信SN値検査ブロック
40000000〜7FFFFFFF 小ブロック01(B系SGW0からA系
SGW1へ)
C0000000〜FFFFFFFF 小ブロック11(B系SGW1からA系
SGW1へ)
Receive SN value check block for A system SGW1 40000000-7FFFFFFF Small block 01 (from B system SGW0 to A system SGW1)
C0000000 to FFFFFFFF Small block 11 (from B system SGW1 to A system SGW1)
B系の場合の小ブロック分割
B系SGW0用送信SN値ブロック
00000000〜3FFFFFFF 小ブロック00(B系SGW0からA系
SGW0へ)
40000000〜7FFFFFFF 小ブロック01(B系SGW0からA系
SGW1へ)
Transmission SN value block for small block division B system SGW0 in case of B system 0000000 to 3FFFFFFF Small block 00 (from B system SGW0 to A system SGW0)
40000000-7FFFFFFFF small block 01 (from B system SGW0 to A system SGW1)
B系SGW0用受信SN値検査ブロック
00000000〜3FFFFFFF 小ブロック00(A系SGW0からB系
SGW0へ)
80000000〜BFFFFFFF 小ブロック10(A系SGW1からB系
SGW0へ)
Receive SN value check block for B system SGW0 00000000-3FFFFFFF Small block 00 (from A system SGW0 to B system SGW0)
80000000 ~ BFFFFFFF Small block 10 (from A system SGW1 to B system SGW0)
B系SGW1用送信SN値ブロック
80000000〜BFFFFFFF 小ブロック10(B系SGW1からA系
SGW0へ)
C0000000〜FFFFFFFF 小ブロック11(B系SGW1からA系
SGW1へ)
Transmission SN value block for B system SGW1 80000000-BFFFFFFF Small block 10 (from B system SGW1 to A system SGW0)
C0000000 to FFFFFFFF Small block 11 (from B system SGW1 to A system SGW1)
B系SGW1用受信SN値検査ブロック
40000000〜7FFFFFFF 小ブロック01(A系SGW0からB系
SGW1へ)
C0000000〜FFFFFFFF 小ブロック11(A系SGW1からB系
SGW1へ)
Received SN value check block for B system SGW1 40000000-7FFFFFFF Small block 01 (from A system SGW0 to B system SGW1)
C0000000 to FFFFFFFF Small block 11 (from A system SGW1 to B system SGW1)
A系−C系(2対1)のSAでは、SN値を以下のブロックに分割する。
A系SGW0用送信SN値ブロック
00000000〜7FFFFFFF 小ブロック00(A系SGW0からC系
へ)
A系SGW1用送信SN値ブロック
80000000〜FFFFFFFF 小ブロック10(A系SGW1からC系
へ)
A系SGW0用受信SN値検査ブロック
00000000〜7FFFFFFF 小ブロック00(C系からA系SGW0
へ)
A系SGW1用受信SN値検査ブロック
80000000〜FFFFFFFF 小ブロック01(C系からA系SGW1
へ)
In SA of A system-C system (2 to 1), the SN value is divided into the following blocks.
Transmission SN value block for A system SGW0 00000000-7FFFFFFF Small block 00 (from A system SGW0 to C system)
Transmission SN value block for A system SGW1 80000000 to FFFFFFFF Small block 10 (from A system SGW1 to C system)
Receive SN value check block for A system SGW0 00000000-7FFFFFFF Small block 00 (from C system to A system SGW0
What)
Received SN value inspection block for A system SGW1 80000000 to FFFFFFFF Small block 01 (from C system to A system SGW1
What)
C系送信SN値ブロック
送信SN値ブロック
00000000〜7FFFFFFF 小ブロック00(C系からA系SGW0
へ)
80000000〜FFFFFFFF 小ブロック01(C系からA系SGW1
へ)
受信SN値ブロック
00000000〜7FFFFFFF 小ブロック00(A系SGW0からC系
へ)
80000000〜FFFFFFFF 小ブロック10(A系SGW1からC系
へ)
C system transmission SN value block Transmission SN value block 0000000 to 7FFFFFFF Small block 00 (from system C to system A SGW0
What)
80000000-FFFFFFFF small block 01 (from C system to A system SGW1
What)
Receive SN value block 00000000-7FFFFFFF Small block 00 (from A system SGW0 to C system)
80000000-FFFFFFFF Small block 10 (from A system SGW1 to C system)
このように、各SGWによって送信用、及び受信用SN値フィールドの小ブロ
ック化が行われる。
In this way, each SGW makes the transmission and reception SN value fields into smaller blocks.
図3は、二重化ノード同士のIPsec通信におけるSN値の使用方法を示す図である。図3に示すように、A系ではSGW0がMRの状態にあり、B系ではSGW1がMRの状態にある。
(1) A系SGW0は、B系向けのパケットに、小ブロック01内のシーケンス番号(40000000〜7FFFFFFF)を順に付与する。
(2) B系SGW1は、A系から受信したパケットの受信履歴を管理し、以前受け取ったことのあるSN値が無いかどうかをチェックする。
(3) B系SGW1は、A系向けの送信パケットに、小ブロック10内のシーケンス番号(80000000〜BFFFFFFF)を順に付与する。
(4) A系SGW0は、B系から受信したパケットの受信履歴を管理し、以前受け取ったことのあるSN値が無いかどうかをチェックする。
FIG. 3 is a diagram illustrating a method of using an SN value in IPsec communication between duplex nodes. As shown in FIG. 3, SGW0 is in the MR state in the A system, and SGW1 is in the MR state in the B system.
(1) The A system SGW0 sequentially assigns the sequence number (40000000 to 7FFFFFFF) in the small block 01 to the packet for the B system.
(2) The B-
(3) The
(4) The A system SGW0 manages the reception history of the packets received from the B system, and checks whether there is any SN value that has been received before.
図4は、二重化ノードと一重化ノード間のIPsec通信におけるSN値の使
用方法を示す図である。図4に示すように、A系ではSGW0がMRの状態にあ
り、C系ではSGW0がMRの状態にある。
(1) A系SGW0は、C系向けのパケットに、小ブロック00内のシーケンス番号(00000000〜7FFFFFFF)を順に付与する。
(2) C系は、A系から受信したパケットの受信履歴を管理し、以前受け取ったことのあるSN値が無いかどうかをチェックする。
(3) C系は、A系向けの送信パケットに、小ブロック00内のシーケンス番号(00000000〜7FFFFFFF)を順に付与する。
(4) A系SGW0は、C系から受信したパケットの受信履歴を管理し、以前受け取ったことのあるSN値が無いかどうかをチェックする。
FIG. 4 is a diagram illustrating a method of using an SN value in IPsec communication between a duplex node and a single node. As shown in FIG. 4, SGW0 is in the MR state in the A system, and SGW0 is in the MR state in the C system.
(1) The A system SGW0 sequentially assigns the sequence number (0000000 to 7FFFFFFFF) in the small block 00 to the packet for the C system.
(2) The C system manages the reception history of the packets received from the A system, and checks whether there is an SN value that has been received before.
(3) The C system sequentially assigns the sequence number (0000000 to 7FFFFFFF) in the small block 00 to the transmission packet for the A system.
(4) The A system SGW0 manages the reception history of the packets received from the C system, and checks whether there is any SN value that has been received before.
図5は、冗長度が2以上の系における系切り替え手順を示す図である。系切り替えは、何らかの原因で系に故障が発生した場合等に行われる。ここで、故障が発生した系を自系、故障が発生した系とそれまで通信を行っていた系を対向系とする。冗長度は、(自系):(対向系)=n:mであるとする。自系では、SGWiがMRであり、SGWkがBR状態のSGWのうち最も優先度が高い。また、対向系では、SGWjがMRであるとする。 FIG. 5 is a diagram showing a system switching procedure in a system having a redundancy of 2 or more. The system switching is performed when a failure occurs in the system for some reason. Here, the system in which the failure has occurred is referred to as the own system, and the system in which the failure has occurred and the system that has been communicating until then is referred to as the opposite system. The redundancy is assumed to be (own system) :( opposite system) = n: m. In the own system, SGWi is MR and SGWk has the highest priority among SGWs in the BR state. In the opposite system, SGWj is assumed to be MR.
このような系において、自系のMRが故障した場合の系切り替え手順を説明する。SGWiは、小ブロックbij内のSN値を利用して、対向系にパケットを送信する(ステップT1)。次に、SGWiが何らかの原因で故障すると(ステップT2)。SGWkは、MRからのAdvertisementが不到着であることから、MRがダウンしたことを検出する(ステップT3)。次に、SGWkは、MR状態に遷移し(ステップT4)、SGWkが新たにMRになったことを対向系に通知する(ステップT5)。SGWkは、送信用の小ブロックをbkjに設定し、受信用の小ブロックをbjkに設定する(ステップT6)。SGWkは、bjk以外の小ブロックのSN値を有するパケットは直ちに破棄する(ステップT7)。一方、対向系のSGWjは、ステップT5における通知信号を受信する(ステップT8)。対向系のSGWjは、送信用の小ブロックをbjkに設定し、受信用の小ブロックをbkjに設定する(ステップT9)。対向系のSGWjは、bkj以外の小ブロックのSN値を有するパケットも受信することができる(ステップT10)。 In such a system, a system switching procedure when the MR of the own system fails will be described. SGWi uses the SN value in small block bij to transmit the packet to the opposite system (step T1). Next, when SGWi fails for some reason (step T2). The SGWk detects that the MR has been down because the advertisement from the MR has not arrived (step T3). Next, the SGWk transitions to the MR state (step T4), and notifies the opposite system that the SGWk has newly become MR (step T5). The SGWk sets the transmission small block to bkj and the reception small block to bjk (step T6). SGWk immediately discards a packet having the SN value of a small block other than bjk (step T7). On the other hand, the opposing SGWj receives the notification signal in step T5 (step T8). The opposite SGWj sets the small block for transmission to bjk and sets the small block for reception to bkj (step T9). The opposite SGWj can also receive a packet having an SN value of a small block other than bkj (step T10).
図6は、二重化ノード同士のIPsec通信における系切り替えが発生した場合のSN値の使用方法を示す図である。ここでは、A系において、SGW0からSGW1への系切り替えが発生した場合を示す。 FIG. 6 is a diagram illustrating a method of using an SN value when system switching occurs in IPsec communication between duplex nodes. Here, a case where system switching from SGW0 to SGW1 occurs in system A is shown.
A系のSGW0がMRであり、B系のSGW0がMRとなる系切り替えが発生した場合は、
を利用し、A系のSGW1がMRであり、B系のSGW0がMRとなる系切り替えが発生した場合は、
を利用して同様の処理を行う。
When system switching occurs in which the A system SGW0 is MR and the B system SGW0 is MR,
When system switching occurs in which the A-system SGW1 is MR and the B-system SGW0 is MR,
The same processing is performed using.
このように、SGW0は、小ブロック00と10、SGW1は小ブロック01と11の受信履歴のみを管理し、相互に相手の領域の受信履歴は管理しないシステムを構成することができるため、系切り替え時にSN値の受信履歴及び送信SN値を転送する必要が無くなる。
In this way, it is possible to configure a system in which SGW0 can manage only the reception histories of
これにより、系切り替えにより新たに通信を行うセキュリティゲートウェイが動作を停止したセキュリティゲートウェイから送信シーケンス番号の最終値及び受信シーケンス番号の検査履歴を転送する必要が無くなると共に、以前使用した送信シーケンス番号を再利用することなく、かつ、以前受信したシーケンス番号を再度受信することが無くなるため、いわゆるreplay攻撃からシステムを防御することが可能となる。以上により、従来技術におけるSN値同期に関する問題を解決することが可能となる。 This eliminates the need to transfer the final value of the transmission sequence number and the inspection history of the reception sequence number from the security gateway that has stopped operating when the security gateway that newly communicates due to system switching, and retransmits the previously used transmission sequence number. Since it is not used and the previously received sequence number is not received again, the system can be protected from the so-called replay attack. As described above, it is possible to solve the problem related to SN value synchronization in the prior art.
図7は、二重化ノードと一重化ノード間のIPsec通信における系切り替えが発生した場合のSN値の使用方法を示す図である。ここでは、A系において、SGW0からSGW1への系切り替えが発生した場合を示す。ここでは、下記の表3に示す各小ブロックを利用する。
図8は、SGWjが故障回復し、再度利用可能となった場合の復旧手順を示す図である。また、図9は、実施の形態1におけるSGWの状態遷移図である。故障から回復し、Initialize状態にあるSGWiに、スタートアップイベント(コマンド投入等)が発生する(ステップST1)。次に、SGWiは、従来技術のように直接MR又はBR状態に遷移するのではなく、図9に示すように、一旦Startup状態に遷移する(ステップST2)。Startup状態において、SGWiは、MRから設定しているすべてのSAに対する鍵交換情報を取得する(ステップST3)。SGWiは、前回故障してから1回以上鍵交換が行われているかどうかをチェックする(ステップST4)。このチェックの結果、1つでも鍵交換が行われていないSAが存在した場合は、ステップST1におけるInitialize状態へ遷移する。すなわち、コマンドに対する戻り値としてその旨を報告する。一方、SGWiは、前回故障してから1回以上鍵交換が行われていた場合は、MRからSAを転送(コピー)する(ステップST5)。最後に、優先度に応じてMR又はBRに遷移する(ステップST6)。 FIG. 8 is a diagram showing a recovery procedure when the SGWj recovers from a failure and becomes usable again. FIG. 9 is a state transition diagram of the SGW in the first embodiment. A startup event (command input, etc.) occurs in SGWi that has recovered from the failure and is in the Initialize state (step ST1). Next, SGWi does not directly transit to the MR or BR state as in the prior art, but temporarily transits to the Startup state as shown in FIG. 9 (step ST2). In the Startup state, SGWi acquires key exchange information for all SAs set from MR (step ST3). SGWi checks whether or not key exchange has been performed at least once since the previous failure (step ST4). As a result of this check, if there is at least one SA for which key exchange has not been performed, the state transits to the Initialize state in step ST1. That is, this is reported as a return value for the command. On the other hand, the SGWi transfers (copies) the SA from the MR when the key exchange has been performed at least once since the previous failure (step ST5). Finally, transition is made to MR or BR according to the priority (step ST6).
このように、動作を一時停止してから1回以上共通鍵の更新が行われているかどうかを検査し、検査結果に応じて動作を一時停止したセキュリティゲートウェイの動作を再開させるかどうかを決定する。その結果、共通鍵の更新が1度も行われていない場合は、セキュリティ確保のため、動作を一時停止したセキュリティゲートウェイの動作を再開しない。一方、共通鍵の更新が1回以上行われている場合は、動作を一時停止したセキュリティゲートウェイの動作をすぐに再開するので、復帰動作を迅速に行うことが可能となる。 In this way, it is checked whether or not the common key has been updated at least once after the operation is suspended, and it is determined whether or not to resume the operation of the security gateway whose operation has been suspended according to the inspection result. . As a result, if the common key has never been updated, the operation of the security gateway whose operation has been temporarily suspended is not resumed to ensure security. On the other hand, when the common key has been updated once or more, the operation of the security gateway whose operation has been suspended is immediately resumed, so that the return operation can be performed quickly.
以上により、実施の形態1によれば、RFC2338に規定されている仮想ルータによるルータ冗長化機能を、IPsec機能を有する装置でも利用可能となるため、装置が故障等した場合の系切り替え時間を大幅に短縮することが可能となる。 As described above, according to the first embodiment, the router redundancy function by the virtual router stipulated in RFC2338 can be used even in a device having an IPsec function, so that the system switching time in the event of a device failure is greatly increased. It becomes possible to shorten to.
(実施の形態2)
実施の形態1では、SA情報を共有する上で安全性を確保するため、専用のネットワークを利用した。しかし、安全性に対する要求の条件がそれほど高くない場合は、SA情報の共有にLAN回線を流用し、LAN内において行われるSA情報の転送を守るために、自系内の各SGW間でSAを共有するためのIPsecコネクションを構築することも可能である。また、WAN側インタフェースに複数のIPアドレスを割当てて、WAN回線経由でIPsecコネクションを構築し、WAN回線経由でSA情報を共有することも可能である。
(Embodiment 2)
In the first embodiment, a dedicated network is used to ensure safety in sharing SA information. However, when the requirements for safety are not so high, a LAN line is used for sharing SA information, and the SA is transferred between each SGW in the own system in order to protect the transfer of SA information performed in the LAN. It is also possible to construct an IPsec connection for sharing. It is also possible to assign a plurality of IP addresses to the WAN side interface, establish an IPsec connection via the WAN line, and share SA information via the WAN line.
(実施の形態3)
実施の形態1では、冗長度が2対2の場合と、2対1の場合とで、SN値領域の分割方法を切り替えていた。相手系の冗長度に応じて、SN値領域の分割方法を切り替えず、2対1の場合にも、2対2の場合と同じSN値分割を流用することにより、実装が容易となる場合がある。この場合、図3に示すような、二重化ノード同士のIPsec通信におけるSN値の使用、及び、図6に示すような、二重化ノード同士のIPsec通信における系切り替えが発生した場合のSN値の使用においては、
A側送信小ブロック01、11、
A側受信小ブロック10、11、
B(C)側送信小ブロック10、11、
B(C)側受信小ブロック01、11、
を無効な領域とすることによって、2対1の場合にも、2対2の場合と同じSN値分割を流用することが可能となる。
(Embodiment 3)
In the first embodiment, the SN value region dividing method is switched between the case where the redundancy is 2 to 2 and the case where the redundancy is 2 to 1. Depending on the degree of redundancy of the partner system, the SN value area dividing method is not switched, and even in the case of 2 to 1, the same SN value division as in the case of 2 to 2 can be used to facilitate the implementation. is there. In this case, in the use of the SN value in the IPsec communication between the duplex nodes as shown in FIG. 3 and the use of the SN value in the case of the system switching in the IPsec communication between the duplex nodes as shown in FIG. Is
A side transmission
A side reception
B (C) side transmission
B (C) side reception
By making S into an invalid area, the same SN value division as in the case of 2 to 2 can be used even in the case of 2 to 1.
(実施の形態4)
上記の説明では、32bitのシーケンス番号領域を、30bitの領域4ブロック(2対2の場合)に分割することによって、系切り替え時における情報共有の問題を解決したが、シーケンス番号の領域を2bit拡張して32bitの領域4ブロックとしても同様の効果を得ることが可能である。
(Embodiment 4)
In the above description, the problem of information sharing at the time of system switching was solved by dividing the 32-bit sequence number area into 30-
なお、以上の説明では、代表的なセキュリティプロトコルとして、IPsecを例にとって実装法を示した。しかし、定期鍵交換を行う、共通鍵型の暗号及び認証機構を利用するプロトコルであれば、IPsecに限られるわけではない。また、媒体もインターネットには限定されない。さらに、シーケンス番号機構を利用するプロトコルであれば、自系及び対向系のSGW数に応じてSN値の領域を小ブロックに分割する手段や、鍵交換時に相手系の冗長性に関する情報を交換する手段や、故障していたSGWが復旧し、BR状態又はMRに遷移するための手段を実現することが可能となる。 In the above description, the implementation method is shown by taking IPsec as an example as a representative security protocol. However, the protocol is not limited to IPsec as long as it is a protocol that uses a common key type encryption and authentication mechanism for performing periodic key exchange. Further, the medium is not limited to the Internet. Furthermore, in the case of a protocol using the sequence number mechanism, means for dividing the SN value area into small blocks according to the number of SGWs of the own system and the opposite system, and information on the redundancy of the partner system during key exchange are exchanged. It becomes possible to realize the means and the means for recovering the failed SGW and making a transition to the BR state or MR.
また、以上の説明では、SGWを利用する場合の冗長化方式を例にとって示したが、コンピュータが直接IPsecを終端する場合において、コンピュータ自体に二重化機能を適用する場合においても、同様の方式が適用可能である。 In the above description, the redundancy method when using the SGW is shown as an example. However, when the computer directly terminates IPsec, the same method can be applied even when the duplex function is applied to the computer itself. Is possible.
10…A系、11…ノードA、20…B系、30…C系、40…インターネット、12…WAN側ネットワーク、13…LAN側ネットワーク、14…専用通信回線。
DESCRIPTION OF
Claims (3)
前記自系内のセキュリティゲートウェイが、前記自系内のセキュリティゲートウェイの数を認識する自系認識工程と、
前記自系内のセキュリティゲートウェイが、前記自系内の各セキュリティゲートウェイに付与された固有の番号を認識する自系固有番号認識工程と、
前記自系内のセキュリティゲートウェイが、前記対向系が備えるセキュリティゲートウェイの数を認識する対向系認識工程と、
前記自系内のセキュリティゲートウェイが、前記対向系内の各セキュリティゲートウェイに付与された固有の番号を認識する対向系固有番号認識工程と、
前記自系内のセキュリティゲートウェイが、前記対向系内で通信中のセキュリティゲートウェイに付与された固有の番号と、前記自系内で通信中のセキュリティゲートウェイに付与された固有の番号とを、前記自系と前記対向系との間で交換する交換工程と、
前記自系内のセキュリティゲートウェイが、送信用シーケンス番号の全領域を、前記自系内のセキュリティゲートウェイの数に相当する数の送信領域に分割すると共に、前記各送信領域を、前記対向系内のセキュリティゲートウェイの数に相当する数の送信小領域に分割し、現在通信中の自系内及び対向系内のセキュリティゲートウェイに付与された固有の番号に対応した前記送信小領域を送信用シーケンス番号付与領域とする送信シーケンス番号分割工程と、
前記自系内のセキュリティゲートウェイが、受信用シーケンス番号の全領域を、前記対向系内のセキュリティゲートウェイの数に相当する数の受信領域に分割すると共に、前記各受信領域を、前記自系内のセキュリティゲートウェイの数に相当する数の受信小領域に分割し、現在通信中の自系内及び対向系内のセキュリティゲートウェイに付与された固有の番号に対応した前記受信小領域を受信検査用シーケンス番号検査領域とする受信シーケンス番号分割工程と、
前記自系内のセキュリティゲートウェイが、前記送信用シーケンス番号付与領域の範囲内でのみシーケンス番号を付与するシーケンス番号付与工程と、
前記自系内のセキュリティゲートウェイが、前記送信用シーケンス番号付与領域を逸脱する前に対向系内のセキュリティゲートウェイとの間で共通鍵を更新し、前記付与したシーケンス番号をリセットする共通鍵更新工程と、
前記自系内のセキュリティゲートウェイが、前記受信検査用シーケンス番号検査領域の範囲内でシーケンス番号の受信履歴を検査する検査工程と、
前記自系が、前記自系内でセキュリティゲートウェイの切り替えを実施した結果、特定の固有の番号を有するセキュリティゲートウェイが新たに通信を行うこととなった場合は、前記新たに通信を行うセキュリティゲートウェイが、そのセキュリティゲートウェイ及び前記自系切り替え時に通信中の対向系内のセキュリティゲートウェイに付与された固有の番号に対応した送信小領域を送信用シーケンス番号付与領域とすると共に、そのセキュリティゲートウェイ及び前記自系切り替え時に通信中の対向系内のセキュリティゲートウェイに付与された固有の番号に対応した受信小領域を受信検査用シーケンス番号検査領域とする領域変更工程と、
前記新たに通信を行うセキュリティゲートウェイが、当該セキュリティゲートウェイの固有の番号を前記対向系内のセキュリティゲートウェイへ通知する通知工程と、
前記新たに通信を行うセキュリティゲートウェイが、前記受信検査用シーケンス番号検査領域となっている受信小領域以外のシーケンス番号が付与されたパケットを受信せずに廃棄する破棄工程と、
前記新たに通信を行うセキュリティゲートウェイが、前記切り替え前に動作をしていたセキュリティゲートウェイが再び動作を行う前に、前記対向系内のセキュリティゲートウェイに対して1回以上の前記共通鍵の更新処理を行い、前記切り替え前に動作していたセキュリティゲートウェイの前記シーケンス番号をリセットするリセット工程とを含むことを特徴とする暗号化通信方法。 An encrypted communication method for terminating an IP security protocol between an own system and an opposite system that is a communication partner node of the own system ,
Wherein the security gateway in the own system is a self-system recognition step of recognizing the number of security gateway within said autologous,
A self- system unique number recognition step in which the security gateway in the self- system recognizes a unique number assigned to each security gateway in the self- system ;
Wherein the security gateway in the own system is the number recognizing faces based recognition process of the security gateway, wherein the facing system comprises,
Wherein the security gateway in the own system is a unique number that recognize the counter system ID number recognition step assigned to each security gateway in the counter system,
The security gateway in the local system assigns the unique number assigned to the security gateway communicating in the opposite system and the unique number assigned to the security gateway communicating in the local system . an exchange step of exchanging between the system and the counter system,
The security gateway in the own system divides the entire area of the transmission sequence number into a number of transmission areas corresponding to the number of security gateways in the own system, and each transmission area is divided in the opposite system. The transmission sub-region is divided into the number of transmission sub-regions corresponding to the number of security gateways, and the transmission sub-region is assigned the transmission sub-region corresponding to the unique number assigned to the security gateway in the own system and the opposite system that is currently communicating. A transmission sequence number dividing step as an area;
The security gateway in the own system divides the entire area of the reception sequence number into a number of reception areas corresponding to the number of security gateways in the opposite system, and each of the reception areas is set in the own system. The reception small area is divided into the number of reception small areas corresponding to the number of security gateways, and the reception small area corresponding to the unique number assigned to the security gateway in the own system and the opposite system that is currently communicating is received. A reception sequence number dividing step as an inspection area;
The security gateway in the own system, a sequence number giving step for giving a sequence number only within the range of the transmission sequence number giving area,
A common key update step in which the security gateway in the local system updates a common key with the security gateway in the opposite system before deviating from the transmission sequence number assignment area, and resets the assigned sequence number; ,
An inspection step in which the security gateway in the local system inspects the reception history of the sequence number within the range of the reception inspection sequence number inspection area;
The own system, the result of the switching of the security gateway in the autologous, if the security gateway having a specific unique number has become possible to perform a new communication, the security gateway to perform the new communication A small transmission area corresponding to a unique number assigned to the security gateway and the security gateway in the opposite system that is communicating at the time of switching the own system as a transmission sequence number assigning area, and the security gateway and the own system An area changing step in which a reception small area corresponding to a unique number assigned to the security gateway in the opposite system that is communicating at the time of switching is set as a reception inspection sequence number inspection area;
A notification step in which the security gateway that newly communicates notifies the security gateway in the opposite system of the unique number of the security gateway ;
A discarding step in which the security gateway that newly communicates discards without receiving a packet with a sequence number other than the reception small area that is the reception inspection sequence number inspection area;
The security gateway that newly communicates performs the update process of the common key one or more times for the security gateway in the opposite system before the security gateway that was operating before the switching again operates. And a resetting step of resetting the sequence number of the security gateway that was operating before the switching.
前記切り替え前に動作をしていたセキュリティゲートウェイが、前記切り替え後に1回以上共通鍵の更新が行われているかどうかを検査する更新検査工程とを含み、
前記検査の結果、前記共通鍵の更新が行われていなかった場合は、前記切り替え前に動作をしていたセキュリティゲートウェイの動作を再開しない一方、前記共通鍵の更新が行われていた場合は、それまで通信を行っていたセキュリティゲートウェイから前記共通鍵に関する情報を取得した後前記切り替え前に動作をしていたセキュリティゲートウェイの動作を再開することを特徴とする請求項1又は請求項2記載の暗号化通信方法。
Security gateway that was running before the switching, before resuming the operation of the gateway, a collection step for collecting information regarding the common key at that time from the security gateway that has communicating far,
A security gateway that was operating before the switching includes an update checking step of checking whether or not the common key has been updated at least once after the switching;
As a result of the inspection, if the update of the common key has not been performed, the operation of the security gateway that was operating before the switching is not resumed, while the update of the common key has been performed, 3. The encryption according to claim 1, wherein after the information about the common key is acquired from the security gateway that has been communicating until then, the operation of the security gateway that was operating before the switching is resumed. Communication method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006138157A JP4138819B2 (en) | 2006-05-17 | 2006-05-17 | Encrypted communication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006138157A JP4138819B2 (en) | 2006-05-17 | 2006-05-17 | Encrypted communication method |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001046632A Division JP3817140B2 (en) | 2001-02-22 | 2001-02-22 | Encrypted communication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006230023A JP2006230023A (en) | 2006-08-31 |
| JP4138819B2 true JP4138819B2 (en) | 2008-08-27 |
Family
ID=36990874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006138157A Expired - Fee Related JP4138819B2 (en) | 2006-05-17 | 2006-05-17 | Encrypted communication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4138819B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009088934A (en) * | 2007-09-28 | 2009-04-23 | Saxa Inc | Wireless lan access point, and wireless lan access point program |
| JP4831224B2 (en) * | 2009-09-30 | 2011-12-07 | 沖電気工業株式会社 | Relay device and program, relay system, and communication system |
| JP5712725B2 (en) * | 2011-03-28 | 2015-05-07 | 富士通株式会社 | Management apparatus and method |
-
2006
- 2006-05-17 JP JP2006138157A patent/JP4138819B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006230023A (en) | 2006-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107682284B (en) | Method and network equipment for sending message | |
| CN102904818B (en) | A kind of ARP information entry updating method and device | |
| US7146432B2 (en) | Methods, systems and computer program products for providing failure recovery of network secure communications in a cluster computing environment | |
| EP1175061B1 (en) | Computer systems, in particular virtual private networks | |
| US6941366B2 (en) | Methods, systems and computer program products for transferring security processing between processors in a cluster computing environment | |
| US8972475B2 (en) | Network secure communications in a cluster computing environment | |
| US7689722B1 (en) | Methods and apparatus for virtual private network fault tolerance | |
| US20110299386A1 (en) | Apparatus and method for switching between redundant communication devices | |
| US20030037165A1 (en) | Dynamic load sharing system using a virtual router | |
| US20060256801A1 (en) | Gateway system | |
| CN101611610A (en) | The apparatus and method that are used for IP security/internet key exchanging safety gateway | |
| JP5419907B2 (en) | Network system and communication recovery method | |
| JP4902878B2 (en) | Link management system | |
| JP6107498B2 (en) | COMMUNICATION METHOD, COMMUNICATION DEVICE, AND COMMUNICATION PROGRAM | |
| US6966003B1 (en) | System and method for switching security associations | |
| JP2004032103A (en) | Network system and server switching method | |
| JP2016063234A (en) | Communication control method for communication device, communication device, and communication control system | |
| CN111083049B (en) | User table item recovery method and device, electronic equipment and storage medium | |
| US20020133602A1 (en) | Methods, systems and computer program products for security processing outbound communications in a cluster computing environment | |
| JP4138819B2 (en) | Encrypted communication method | |
| JP3817140B2 (en) | Encrypted communication system | |
| US20130305347A1 (en) | Methods, Systems, and Computer Readable Media for Adaptive Assignment of an Active Security Association Instance in a Redundant Gateway Configuration | |
| JP4645839B2 (en) | Security communication apparatus and sequence number management method | |
| JP2004328563A (en) | Encryption communication apparatus and system | |
| JP2005051458A (en) | Communication network system and method for automatically setting security therefor |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060517 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071127 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080128 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080311 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080507 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080603 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080605 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110613 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120613 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120613 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130613 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |