JP2004304696A - 暗号通信装置 - Google Patents
暗号通信装置 Download PDFInfo
- Publication number
- JP2004304696A JP2004304696A JP2003097878A JP2003097878A JP2004304696A JP 2004304696 A JP2004304696 A JP 2004304696A JP 2003097878 A JP2003097878 A JP 2003097878A JP 2003097878 A JP2003097878 A JP 2003097878A JP 2004304696 A JP2004304696 A JP 2004304696A
- Authority
- JP
- Japan
- Prior art keywords
- sad
- packet
- ipsec
- registered
- service class
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】従来のIPsec通信を提供する暗号通信装置では、メインメモリ上のSADを使用する場合には高速処理を提供できず、ハードウェア上に実装されたSADを使用する場合には同時に多くの通信相手とIPsec通信をすることができなかった。
【解決手段】高速処理可能だが登録可能なセキュリティパラメータの少ないセキュア処理部と処理が低速であるが登録可能なセキュリティパラメータの多いセキュア処理部を有することで、高速処理が不要なセキュリティ通信を提供しつつ、高速処理が必要なセキュリティ通信も同時に提供することが可能となる。
【選択図】 図2
【解決手段】高速処理可能だが登録可能なセキュリティパラメータの少ないセキュア処理部と処理が低速であるが登録可能なセキュリティパラメータの多いセキュア処理部を有することで、高速処理が不要なセキュリティ通信を提供しつつ、高速処理が必要なセキュリティ通信も同時に提供することが可能となる。
【選択図】 図2
Description
【0001】
【発明の属する技術分野】
本発明は、IPパケットの暗号化や認証、シーケンス番号の付与を行い、インターネット上において安全な情報の送受信を可能にするIPsecプロトコルにおいて、IPパケットからIPsecパケットを組み立てる機能、およびIPsecパケットからIPパケットを復元する機能を有する暗号化通信装置および暗号化通信方法に関する。
【0002】
【従来の技術】
近年、パーソナルコンピュータやインターネットの普及により、容易かつ安価にインターネット上に公開されるホームページによる情報提供や情報収集が可能になってきている。
【0003】
また、インターネットや企業間のイントラネットを介した電子メールの交換や、映像の配信、電子商取引や電子決済が一般化しつつある。
【0004】
このようなサービスを利用する場合、特に重要な情報を含む通信や個人のプライバシーに関わる情報の通信には、専用線並みのセキュリティの確保が求められる。
【0005】
上述したようなセキュリティを確保する技術の一例として、IPsecがあげられる。IPsecとは、ネットワーク層(OSI参照モデル第3層)で暗号化、認証を行うセキュリティプロトコルであって、インターネット技術標準化委員会(IETF)で標準化されている(RFC2401から2412、2451)。
【0006】
IPsec機能を搭載したコンピュータやルータ等のネットワーク接続装置を介してインターネットに接続することにより、インターネットのような広域ネットワーク上に仮想施設網(VPN)を構築できる。つまり、ユーザはセキュリティを意識することなく、安全にインターネットを利用することができる。
【0007】
IPsecを利用した通信を行うにあたって、どのような暗号アルゴリズムや認証アルゴリズムを使用するか、あるいは、どのような暗号鍵や認証鍵を使用するかなどを事前に送信側と受信側のIPsec機能を搭載したコンピュータやネットワーク接続装置間で整合をとっておく必要がある。
【0008】
この暗号アルゴリズムや認証アルゴリズム等のセキュリティパラメータの整合をとるためにIKE(Internet Key Exchange)と呼ばれるアプリケーションによって相互通信が行なわれる。その結果、整合のとれた暗号アルゴリズムや認証アルゴリズム等のセキュリティパラメータ値は、SA(Security Associsation)と呼ばれる枠組みによって保持され、IPsec処理部に通知される。SAは送信用と受信用の2つで1組であり、送信用と受信用とが同じ値である必要はない。また、IKEを用いて相互通信を行う代わりに、何からの方法(例えば、送信側と受信側とが電話等を用いてセキュリティパラメータを通知し合う等)によって整合のとれたSAを手動でそれぞれのIPsec処理部に設定しても構わない。
【0009】
IPsec処理部はSAで規定された暗号アルゴリズム、認証アルゴリズム、暗号鍵、認証鍵等に基づいて、送信するIPパケットをIPsecパケットに変換したり、受信したIPsecパケットをIPパケットに復元したりする。以下、IPパケットは、非暗号化パケット、すなわち、暗号化されない、あるいは、復号化されたパケットを指し、IPsecパケットは、暗号化されたパケットを指すことにする。
【0010】
以下に、図25を用いて従来のIPsecを用いた通信方法について説明する。
【0011】
図25は、従来のIPsecを用いた暗号通信装置の構成図である。図25に示すように、暗号通信装置300は、鍵交換部310、パケット送受信部320、IPsec処理部330、ネットワークインタフェース340から構成される。
【0012】
上記IKEに相当する鍵交換部310は、IPsec通信の通信相手と相互通信を行なってセキュリティパラメータ値の整合をとり、これらのセキュリティパラメータ値をSAとしてIPsec処理部330に通知する。
【0013】
IPsec処理部330はSAを格納するためのデータベースであるSAD331を有しており、鍵交換部310から受け取ったSAをSAD331に登録する。
【0014】
SADとはSPI(Security Parameter Index)やIPヘッダ情報をキーとしてSAを検索できるデータベースである。SAはセレクタとセキュリティパラメータから構成される。セレクタとはIPパケットのヘッダ情報から適用するSAを特定するための情報であり、セキュリティパラメータとは暗号アルゴリズムや暗号鍵、認証アルゴリズムや認証鍵、IPsecプロトコル(AHまたはESPの識別)、モード(トランスポートモードまたはトンネルモードの識別)等のIPパケットをセキュアなIPsecパケットに変換するための識別子やパラメータ値の集合である。
【0015】
ここで、AHとはそのIPパケット全体の認証を行うプロトコルであり、ESPとはペイロードの暗号・認証を行うプロトコルである。
【0016】
また、トランスポートモードとは、ホスト間のIPsec通信で用いられるモードである。ホストは暗号化、復号化の機能を有しており、ホスト自身が、元のIPパケットにIPsecプロトコルに応じたヘッダを付加してIPsecパケットとするモードである。トランスポートモードで作成される電文は、暗号化された送信電文に、IPsecヘッダを付加し、その上に、送信元のIPアドレスと宛先のIPアドレスの対を含むIPヘッダを付与した形となっている。トランスポートモードによる電文の各段階の形態を図27に示す。ホストとして機能する暗号通信装置SGW#1のパケット送受信部が、IPヘッダと電文本体であるペイロードとから構成される送信電文を作成し、SGW#1内のIPsec処理部が、ペイロードを暗号化し、IPsecヘッダを付加し、その上に、元のIPヘッダを付与したものを、ネットワークに送出する。受信側のホストである暗号通信装置SGW#2では、IPヘッダの宛先がSGW#2自身である電文を受信し、受信した電文のIPsecヘッダ内のSPI値を使ってペイロードの暗号化を解き、SGW#2のパケット送受信部は、元の電文を受け取る。暗号化や復号化の詳細については後述する。
【0017】
一方、トンネルモードとは、ゲートウェイなどのネットワーク接続装置間のIPsec通信に用いられるモードであり、ネットワーク接続装置が、元の非暗号化IPパケットを別のIPヘッダを持つIPsecパケットでカプセル化することでIPsecパケットとするモードである。トンネルモードで作成される電文は、IPヘッダを含む送信電文全体が暗号化された後、IPsecヘッダが付加され、その上に、暗号化処理を行った送信元と宛先を含むIPヘッダが新たに付加された形となる。送られる電文の各段階の形態を、図28に示す。
【0018】
セレクタには送信元のIPアドレス、宛先のIPアドレス、IPヘッダ内のプロトコル情報等が含まれる。IPアドレスの代わりに、サブネットワークを指すネットワークアドレスとサブネットマスクの組み合わせが使用される場合もある。したがって、IPパケットのヘッダ情報が、セレクタの設定値に一致するかセレクタで定められたサブネットワークに含まれるIPアドレスに含まれるならば、そのセレクタを持つSAが検索結果として得られることになる。
【0019】
一方、SPIはSAを識別するための識別子である。宛先アドレスが等しいSAは必ず異なるSPI値を持ち、全てのIPsecパケットは必ずSPI値を有する。
【0020】
したがって、ある宛先アドレスを持つIPsecパケットに適用されているSAは、その宛先アドレスを持つホスト装置やネットワーク接続装置上では、SPI値をキーとしてSADを検索することにより誤りなく特定できる。
【0021】
次に、パケットの送信処理について説明する。
【0022】
パケット送受信部320が送信用IPパケットを生成すると、IPsec処理部330に転送される。IPsec処理部330はSAD331、パケット処理部332、暗号認証処理部333を有する。パケット処理部332はIPパケットを受け取ると、IPヘッダ情報をキーとしてSADを検索してIPパケットに対応したSAを獲得する。さらに、SAに記録されたセキュリティパラメータに従ってIPsecパケットを生成する。また、この生成において、IPsecパケットヘッダが付加される。IPパケットヘッダには、使用したSAに対応してあらかじめ決められたSPI値を書き込まれる。SPI値は、受信の際に使用する。IPsecパケットの生成処理において、セキュリティパラメータに基づく暗号化や認証処理は暗号認証処理部333が行う。生成されたIPsecパケットはネットワークインタフェース340に転送されて通信相手に送信される。
【0023】
次に、パケットの受信処理について説明する。
【0024】
ネットワークインタフェース340がパケットを受信すると、IPsec処理部330に転送され、パケット処理部332がパケットのヘッダ情報を解析して自分宛のパケットであることを確認した後、IPsecパケットであるか否かを確認する。
【0025】
IPsecパケットであれば、パケットからSPI値を獲得し、そのSPI値をキーとしてSAD331を検索してパケットに対応したSAを獲得する。さらに、パケットを暗号認証処理部333に送ってSAに定められたセキュリティパラメータに基づいて復号化や認証処理を行い、IPパケットを復元する。復元されたIPパケットは、パケット送受信部320に送られる。パケット送受信部320は、受け取ったIPパケットから電文データを取り出し、図示しない所定のアプリケーションに渡す。アプリケーションは、受け取った電文データを利用する。
【0026】
以上説明したように、IPsec処理部330はSAD331を有し、送信するIPパケットのIPヘッダ情報をキーにSAD331を検索することで、IPパケットに対応するSAを特定する。また、受信したIPsecパケットに含まれるSPI値をキーにSADを検索することで、IPsecパケットに対応したSAを特定する。
【0027】
このように、IPsec処理部330は上記検索によって獲得したSAで定められたセキュリティパラメータに基づいて、IPパケットを暗号化してIPsecパケットを生成したり、IPsecパケットからIPパケットの復元を行ったりする。
【0028】
また、IPsec処理にはSAで規定されたセキュリティパラメータに基づくパケットの暗復号化や認証処理が含まれる。この暗復号化や認証処理はパケットごとに実行され、CPUに非常に大きな負荷をかけたり、多くのシステムバス帯域を消費する。このため、IPsec処理部330の実装方法として、全ての処理をソフトウェアで行う実装や暗号認証処理部333をハードウェア化した実装がある。これらの実装方法では、SAD331をメインメモリ上に構築するため多くのSAを登録することができ、一度に多くの通信相手と通信することができる。
【0029】
しかし、全ての処理をソフトウェアで行う実装では、CPU負荷が高いためにスループットが低く、IPsec処理による遅延時間も大きくなる。
【0030】
また、暗号認証処理部333のみをハードウェア化した実装では、メインメモリ上にある暗復号化や認証処理前のパケットデータをハードウェア化された暗号認証処理部333に転送して暗復号化や認証処理を行った後に、ハードウェア化された暗号認証処理部333から暗復号化や認証処理後のパケットデータをメインメモリ上に転送し、CPUにより暗号認証処理以外のIPsec処理を行う必要があり、IPsec処理を行わないIPパケットの処理の場合に比べてCPU負荷は高くなり、システムバス帯域の消費も多くなってスループットの向上も限られる。
【0031】
そこで、CPU負荷やシステムバス帯域の消費を低減して高スループットを実現するために、IPsec処理全体を実行するハードウェアと専用のSADを有したネットワークインタフェースが開発されている。
【0032】
図26は、このようなネットワークインタフェースを用いた従来の暗号通信装置の構成図である。
【0033】
図26において、IPsec処理部350は、SAD351および図25におけるパケット処理部332や暗号認証処理部333に相当する機能部を有している。
【0034】
図26における暗号通信装置では、IPsec処理がネットワークインタフェース340上で実行されるため、CPUがIPsec処理を行う必要がなく、このため、暗復号化や認証処理のためのシステムバスの消費やCPU周辺のデータ転送の必要性がない。
【0035】
したがって、上記のようなネットワークインタフェースを有する暗号通信装置では、通常のIPパケットを送受信する場合と同じCPU負荷、同じシステムバス帯域の消費でIPsec通信を行なえ、CPU能力やシステムバス帯域が低くても高スループットを実現することができる。
【0036】
また、別の従来例として、CPUをスレッドごとに切り分けてマルチタスクを実行するようにし、優先度の高い暗号通信には、カーネル部での処理を割り当て、更に、割り当てるスレッドの数を優先度に応じて制御することにより、見かけのCPU数を優先度に対応して制御する方法がある(例えば、特許文献1参照)。
【0037】
【特許文献1】
特開2001−344228号公報 (第3−5頁、第1図)
【0038】
【発明が解決しようとする課題】
しかしながら、図26に示したような従来の暗号通信装置では、SADがハードウェア化されたIPsec処理部内の専用メモリであるため、登録できるSA数が限られてしまう。例えば、SADのエントリ数が送信用、受信用共に2の場合、同時に登録できるSA数も共に2となり、同時に2箇所の通信相手としかIPsec通信が行えない。すなわち、高スループットが必要でなくとも、同時に3箇所以上の通信相手とのIPsec通信が行えないことになる。また、SADに登録可能なSA数を増加させるために多くのメモリを搭載すると、コストアップにつながってしまう。
【0039】
一方、ソフトウェアのみによる実装や、暗復号や認証処理のみを行うハードウェアを用いた実装では、SADがメインメモリ上に構築されているため、SADに一度に多くのSAを登録でき、多くの通信相手とIPsec通信を行うことができるが、高スループットや低遅延を実現することは困難であり、高スループットや低遅延を必要とするIPsec通信には対応できない。
【0040】
以上に述べたように、従来の暗号通信装置では、多くの通信相手にIPsec通信を提供するためにメインメモリ上のSADを使用する場合は高速処理が必要なIPsec通信を提供することができず、一方、高速処理が必要なIPsec通信を提供するためにハードウェア上に実装されたSADを使用する場合はSA数が制限されて多くの通信相手にIPsec通信を提供することができない。
【0041】
また、特許文献1では、CPUを見かけ上複数にしているので、全体として処理能力の大幅な向上は容易ではない。
【0042】
そこで、本発明は、多くの通信相手に高速処理が不要なIPsec通信を提供しつつ高速処理が必要なIPsec通信を提供し、さらに、高速処理可能なSA数も増加させた暗号通信装置を提供することを目的とする。
【0043】
【課題を解決するための手段】
上記課題を解決するために、請求項1記載の発明によれば、ネットワークインタフェース上に実装した、高速処理可能だが登録可能なセキュリティパラメータの少ない第1のセキュリティデータベースを有した第1のセキュア処理部に加え、第n(n=2、3、…)のセキュリティデータベースを備え、第1のセキュア処理部に比べて処理が低速であるが多くのセキュリティパラメータを登録できる第nのセキュア処理部と、セキュリティパラメータごとに定められたサービスクラスに基づき、各セキュリティパラメータを第1から第nのセキュリティデータベースに登録する制御部を有する。この結果、高速処理が必要なセキュリティパラメータと高速処理が不要なセキュリティパラメータに異なるサービスクラスを設定することにより、高速処理が必要なセキュリティパラメータだけを第1のセキュリティデータベースに、それ以外を第nのセキュリティデータベースに登録でき、高速処理が不要なセキュリティ通信を提供しつつ、高速処理が必要なセキュリティ通信を同時に提供することが可能となる。
【0044】
また、請求項2記載の発明によれば、ネットワークインタフェース上に実装した、高速処理が可能だが登録可能なSA数の少ない第1のSADを有した第1のIPsec処理部に加え、第1のIPsec処理部に比べて処理が低速であるが登録可能なSA数が多い第n(n=2、3、…)のIPsec処理部を備え、SAごとに規定されたサービスクラスに基づいて各SAを第1から第nのSADに登録する制御部を有する。その結果、高速処理を必要としないIPsec通信のSAを第nのIPsec処理部に登録してIPsec通信の処理を実行させることで、高スループットや低遅延での処理が可能な第1のIPsec処理部に登録できるSA数を増加させることが可能となる。
【0045】
また、請求項3記載の発明によれば、経路制御部を設け、制御部がSAの登録先に応じて経路情報を経路制御部に通知することにより、第1のIPsec処理部にてIPsec処理が実行されるべきIPパケットを、第nのIPsec処理部を介することなく第1のIPsec処理部に転送できるため、暗号通信装置のCPU負荷を低減させることが可能となる。
【0046】
また、請求項6記載の発明によれば、サービスクラスとしてクラスAを設け、制御部がクラスAに属するSAを、第1のSADに空きエントリがある場合は第1のSADに登録し、空きエントリが無い場合は第2のSADに登録し、第j(2≦j≦n−1)のSADにも空きエントリが無い場合は第j+1のSADに登録することで、第1のSADに空きエントリがある場合のみ、当該SAは第1のIPsec処理部にて処理されるため、暗号通信装置のCPU負荷を低減させることが可能となる。
【0047】
また、請求項10記載の発明によれば、サービスクラスとしてクラスBを設け、クラスBのサービスクラス情報登録時に制御部は第1のSADの空きエントリを予約することで、後に第1のSADにクラスBのSA登録を実行する際には必ず空きエントリが確保されており、第1のSADへのSA登録を保証することが可能となる。
【0048】
また、請求項16記載の発明によれば、第2のSADが、第2のSADに登録されたSAに加えて、第1のSADに登録されたSAも併せて保持することで、第1のSADから第2のSADにSAを移動する場合、登録先を変更するのみで良く、SAそのものを移動する必要がない。このため、SA移動の処理時間を短縮することが可能となる。
【0049】
また、請求項17記載の発明によれば、ネットワークインタフェース内に切り替え部を設け、制御部からの指示によりネットワークインタフェースから第1のIPsec処理部を切り離すことにより、第1のIPsec処理部が故障した場合でも、第2のSADに登録されていたSAを用いることで、サービス品質は低下するものの、サービスを継続することが可能となる。
【0050】
また、請求項24記載の発明によれば、制御部はSAで指定されたQOSパラメータ値と第m(1≦m≦n−1)の閾値との比較結果から、登録するSADを特定することで、ユーザはIPsec通信に求めるスループットや遅延時間等のQOSパラメータ値を指定するだけでサービスクラスを判断する必要がなく、自動的にSAがQOSパラメータ値を満たすIPsec処理部のSADに登録される。
【0051】
【発明の実施の形態】
(実施の形態1)
図1は、本実施の形態に係る暗号通信装置を用いたセキュリティ通信システムの構成図である。
【0052】
図1に示したように、暗号通信装置100は、インターネット等のWAN103で他の暗号通信装置101、102と接続されている。ここで、暗号通信装置100〜103は、パーソナルコンピュータやIP電話機などの通信機能を持った端末であればよい。
【0053】
本実施の形態では、暗号通信装置100が、暗号通信装置101、102とIPsec通信を行う通信端末である場合、すなわち、トランスポートモードの場合を例にとって説明する。すなわち、IPsec処理は暗号通信装置100〜102において実行される。
【0054】
図2は、本実施の形態に係る暗号通信装置100の構成図である。まず、各構成要素の機能について説明し、そのあと、全体的な動作について説明する。
【0055】
図2において、パケット送受信部40は、送信データをIPパケットとして生成したり、受信したIPパケットから受信データを抽出したりする。
【0056】
ネットワークインタフェース20は、第1のIPsec処理部21を有する。ここで、第1のIPsec処理部21はハードウェアで構成されており、第1のSAD211を有する。第1のSAD211は、送信用、受信用にそれぞれ2つのエントリを持ち、合計4つのSAを登録することができる。
【0057】
第1のIPsec処理部21は、パケット送受信部40が生成した送信用IPパケットをネットワークインタフェース20から受け取ると、IPヘッダ情報をキーに第1のSAD211を検索して対応するSAの有無を確認する。対応するSAが存在すれば、SAに従ってIPパケットからIPsecパケットを生成してネットワークインタフェース20に渡す。ネットワークインタフェース20は、WAN103を介して、渡されたIPsecパケットを送信する。
【0058】
また、第1のIPsec処理部21は、ネットワークインタフェース20がWAN103を介して受信したIPsecパケットを受け取ると、自分宛のパケットの場合、IPsecパケット内のSPI値をキーに第1のSAD211を検索して対応するSAの有無を確認する。対応するSAが存在すれば、SAに基づいてIPsecパケットからIPパケットを生成してネットワークインタフェース20を介して第2のIPsec処理部30に渡す。SAが存在する場合、あるいは、しない場合の全体の動作については後述する。
【0059】
なお、第1のIPsec処理部21は、ネットワークインタフェース20から送信用のIPsecパケットを受け取ってもヘッダ情報から、暗号化済のIPsecパケットであることが判明するため、IPsec処理を行うことはない。同様に、ネットワークインタフェース20からWAN103を介して受信したIPパケットを受け取ってもSPI値が含まれないため、誤ってIPsec処理を行うことはない。
【0060】
第2のIPsec処理部30は、主にソフトウェアで構成されており、第2のSAD31を有する。第2のSADには、メインメモリのサイズが許す限りでSAを登録することができる。
【0061】
送信の場合、第2のIPsec処理部30は、パケット送受信部40から送信用IPパケットを受け取ると、IPヘッダ情報をキーに第2のSAD31を検索して対応するSAの有無を確認する。対応するSAが存在すれば、SAに基づいてIPパケットからIPsecパケットを生成してネットワークインタフェース20に渡す。
【0062】
また、受信の場合、第2のIPsec処理部30は、ネットワークインタフェース20からWAN103を介して受信したIPsecパケットを受け取ると、IPsecパケット内のSPI値をキーに第2のSAD31を検索して対応するSAの有無を確認する。対応するSAが存在すれば、SAに基づいてIPsecパケットからIPパケットを生成してパケット送受信部40に渡す。SAが存在する場合、あるいは、しない場合の全体の動作については後述する。
【0063】
なお、第2のIPsec処理部30は、WAN103を介して受信したIPパケットをネットワークインタフェース20から受け取ると、IPパケットにはSPI値がないのでそのままパケット送受信部40に渡す。
【0064】
セキュリティ制御部10は、鍵交換部11と制御部12から構成される。鍵交換部11は通信相手の暗号通信装置101、102とセキュリティ通信を行うためのIPsecで使用するプロトコル、モード、暗号アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵等のパラメータをネゴシエーションし、セキュリティアソシエーション(SA)として制御部12に通知する。ネゴシエーションは、鍵交換部11が、WAN103を介して、通信相手の暗号通信装置101、102と所定のプロトコルを用いて所定の手順により行われる。
【0065】
SAはセレクタとセキュリティパラメータから構成される。セレクタとはSAを適用するIPパケットを特定する情報であり、少なくとも送信元のIPアドレス、宛先のIPアドレスが含まれる。IPアドレスの代わりに、サブネットを示すサブネットアドレスとサブネットマスクの組が用いられる場合もある。セキュリティパラメータとは、IPパケットからどのようなIPsecパケットを生成するかを決定する情報であり、SAの識別子として使用するSPI(セキュリティパラメータインデックス)、IPsecプロトコル種別(AHまたはESP)、モード(トランスポートモードまたはトンネルモード)、暗号アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵、有効期限等から構成される。
【0066】
鍵交換部11は、SAとSAごとに定められたサービスクラスを制御部12に通知する。サービスクラスとは、SAによって提供されるIPsec通信に求められるスループットや遅延時間等の要求条件に基いて、そのIPsec通信を第1のIPsec処理部で実行するか、第2のIPsec処理部で実行するか、を定めたものである。
【0067】
本実施の形態では、サービスクラスとしては、第1のIPsec処理部を用いてIPsec通信を行う第1のクラスと第2のIPsec処理部を用いてIPsec通信を行う第2のクラスがあるものとする。
【0068】
制御部12は、鍵交換部11からサービスクラスとSAを受け取ると、サービスクラスに基づいてSAを第1のSAD211または第2のSAD31のいずれかに登録する。
【0069】
図3は、本実施の形態におけるパケットの通過経路を示す図である。
【0070】
以下に、図3を用いてパケット送信時の動作について説明する。
【0071】
図3において、パケット送受信部40が、IPパケットXを生成して第2のIPsec処理部30に渡す。第2のIPsec処理部30は、IPパケットXのヘッダ情報に基づき第2のSAD31を検索する。IPパケットXのIPヘッダに記載された送信元IPアドレス、宛先IPアドレスが第2のSAD31に登録されているSAのセレクタに設定された値と一致するか、あるいは、セレクタに範囲を示す値が設定されているときにはその範囲内の値である場合にそのSAがIPパケットXに対応するSAとなる。
【0072】
まず、IPパケットXに対応するSAが第2のSAD31に登録されている場合について説明する。
【0073】
第2のIPsec処理部30は、SAで定められたセキュリティパラメータに基づいてIPパケットXの暗号化や認証処理を行ってIPsecパケットX’を生成してネットワークインタフェース20に渡し、ネットワークインタフェース20は、IPsecパケットX’を第1のIPsec処理部21に渡す。
【0074】
第1のIPsec処理部21は、受け取ったIPsecパケットX’のヘッダ情報に基づき第1のSAD211を検索する。ここで、IPsecパケットX’のIPヘッダのプロトコルフィールドにはESPまたはAHのいずれかが設定されており、AHやESPが一般のIPパケットとは区別できるIPsecパケット特有のプロトコルであるために誤ったSAが検索されることはない。なぜなら、AHやESPにより、すでに暗号化されたIPsecパケットであることが分り、SAを検索する必要がないし、検索しても、対応するSAは、第2のSAD31にあって、第1のSAD211にはないため、見つからないからである。そのため、第1のIPsec処理部21はIPsecパケットX’をそのままネットワークインタフェース20に渡し、ネットワークインタフェース20は、WAN103を介してIPsecパケットX’を送信する。
【0075】
次に、IPパケットXに対応するSAが第2のSAD31に登録されていない場合について説明する。
【0076】
第2のIPsec処理部30は、SAが第2のSAD31に登録されていないため、IPsec処理を行うことなく、IPパケットXをそのままネットワークインタフェース20に渡す。
【0077】
ネットワークインタフェース20は、IPパケットXを第1のIPsec処理部21に渡し、IPパケットXのヘッダ情報に基づき第1のSAD211を検索する。IPパケットXのIPヘッダに記載された送信元IPアドレス、宛先IPアドレスが第1のSAD211に登録されているSAのセレクタの設定値に一致するか、あるいは、セレクタに範囲を示す値が設定されているときにはその範囲内の値である場合にそのSAがIPパケットXに対応するSAとなる。
【0078】
ここで、IPパケットXに対応するSAが第1のSAD211に登録されていて見つかれば、第1のIPsec処理部21はSAのセキュリティパラメータに基づいてIPパケットXからIPsecパケットX’を生成し、ネットワークインタフェース20を介してWAN103に送信する。
【0079】
一方、IPパケットXに対応するSAが第1のSAD211に登録されていなければ、暗号通信が不要なパケットであると判断して、第1のIPsec処理部21はネットワークインタフェース20を介してIPパケットXをそのままWAN103に送信する。
【0080】
次に、図3を用いてパケット受信時の動作について説明する。
【0081】
ネットワークインタフェース20は、WAN103を介して受信したIPsecパケットX’を第1のIPsec処理部21に渡す。第1のIPsec処理部21は、IPsecパケットX’のヘッダ情報を解析してIPsecパケットであるか否かを判断する。IPsecパケットである場合には、IPsecパケットのIPsecヘッダ内に含まれるSPI値に基づき第1のSAD211を検索する。同じSPI値を持つSAが登録されていれば、そのSAがIPsecパケットX’に対応したSAとなる。第1のIPsec処理部21は、そのSAのセキュリティパラメータに基づいてIPsecパケットX’からIPパケットXを復元し、ネットワークインタフェース20を介してパケット送受信部40に転送する。パケット送受信部40は、IPパケットXのヘッダ解析を行って通常のIPパケットであることが判明するとIPパケットXを受信し、抽出した電文を対応するアプリケーションに電文を渡す。
【0082】
次に、IPsecパケットX’に対応するSAが第1のSAD211に登録されていない場合について説明する。この場合は、第1のIPsec処理部21は、ネットワークインタフェース20を介してIPsecパケットX’をそのままパケット送受信部40に転送する。パケット送受信部40はIPsecパケットX’のヘッダ解析を行った結果、プロトコルにAHまたはESPが設定されていることを検出するとIPsecパケットX’がIPsecパケットであると判定して第2のIPsec処理部30に転送する。第2のIPsec処理部30はIPsecパケットX’のヘッダ情報を解析してIPsecパケットであるか否かを判断する。IPsecパケットである場合には、パケットに含まれるSPI値に基づいて第2のSAD31を検索する。IPsecパケットに対応するSAが見つかれば、そのSAのセキュリティパラメータに基づいてIPsecパケットX’からIPパケットXを復元し、パケット送受信部40に転送する。パケット送受信部40は、IPパケットXのヘッダ解析を行って、AH、ESPが設定されていない通常のIPパケットであると判断するとそのIPパケットXを受信し、電文を抽出しアプリケーションに渡す。
【0083】
また、ネットワークインタフェース20が暗号化されていないIPパケットXを受信した場合には、第1のIPsec処理部21がヘッダ解析を行ってIPsecパケットでないと判断するとネットワークインタフェース20を介してそのIPパケットXをパケット送受信部40に転送する。パケット送受信部40はヘッダ解析を行ってXがIPパケットであると判断するとそのIPパケットXを受信し、電文を抽出しアプリケーションに渡す。
【0084】
以上のように、IPパケットからのIPsecパケット生成やIPsecパケットからのIPパケット復元が、第1のIPsec処理部21で行われるか、第2のIPsec処理部30で行われるかは、IPパケットやIPsecパケットに対応したSAが第1のSAD211に登録されているか、第2のSAD31に登録されているか、で決定される。
【0085】
第1と第2のIPsec処理部のどちらを使用するかについては、サービスクラスにより選択する。サービスクラスは、ネゴシエーションにおいて生成したSAをSADに登録する際に決定する。制御部12のサービスクラスに基づくSAの登録処理を図4、5を用いて説明する。
【0086】
なお、SAとサービスクラスの組は送信用と受信用の2組から成るが、登録処理は送信用でも受信用でも同じであるため、送信用についてのみ説明する。
【0087】
<SAの登録処理>
ステップ1で、制御部12が鍵交換部11からサービスクラスとSAの組を受け取る。ステップ2で、制御部12がサービスクラスを確認し、第1のクラスならばステップ3に進む。ステップ3で、制御部12が第1のSAD211の空きエントリの有無を調べ、空きエントリがあればステップ4に進み、空きエントリがなければSA登録をエラー終了する。ステップ4で、第1のSAD211の空きエントリにSAを登録し、処理を終了する。
【0088】
ステップ2の判定において、サービスクラスが第2のクラスならば、ステップ5で、第2のSAD31にSAを登録し、処理を終了する。
【0089】
以上のように、制御部12が、鍵交換部11からSAとサービスクラスの組を受け取ると、サービスクラスに基づいてSAを第1のSAD211または第2のSAD31に登録し、第1のIPsec処理部21または第2のIPsec処理部30が登録されたSAに基づいてIPパケットからIPsecパケットを生成する。
【0090】
これによって、暗号通信装置100は、暗号通信装置101、102との間でサービスクラスに従ったIPsec通信を実現できる。
【0091】
次に、制御部12のSAの削除処理を図6を用いて説明する。
【0092】
なお、削除するSAは鍵交換部11から指定されたものとする。
【0093】
<SAの削除処理>
ステップ1で、制御部12が鍵交換部11から削除するSA、または、SAのセレクタを受け取る。
【0094】
ステップ2で、制御部12が第1のSAD211を検索して指定されたSAが登録されているか否かを確認し、登録されていればステップ3へ、登録されていなければステップ4へ移る。
【0095】
ステップ3で、制御部12が指定されたSAを第1のSAD211から削除し、処理を終了する。
【0096】
ステップ2で、SAが第1のSADに登録されていなければ、ステップ4で、制御部12が指定されたSAを第2のSAD31から削除し、処理を終了する。
【0097】
以上、本実施の形態で説明したように、制御部12がサービスクラスに基づいてSAを第1のSAD211または第2のSAD31に登録することで、第1のIPsec処理部21または第2のIPsec処理部30はSAに基づくIPsec処理を行うことができる。さらに詳細に述べると、第1のクラスに属するSAは第1のIPsec処理部21によって、第2のクラスに属するSAは第2のIPsec処理部30によってIPsec処理されることになる。
【0098】
すなわち、高スループットや低遅延を要するIPsec通信用のSAを第1のクラスに、それ以外のSAを第2のクラスに設定することで、高スループットや低遅延が求められるIPsec通信とそれ以外の多数のIPsec通信とを両立させることができる。
【0099】
(実施の形態2)
以下に、本実施の形態について図2を用いて説明する。本実施の形態2では、新たなサービスクラスであるクラスAを導入し、より柔軟なIPsec処理部の選択を可能にする。
【0100】
図2において、制御部12以外は実施の形態1と同じ構成である。制御部12はSA登録先管理表を有する。SA登録先管理表とは、第1のSAD211または第2のSAD31に登録したすべてのSAについて、送信元IPアドレスと宛先IPアドレスの対、SPI、サービスクラス、登録先(第1のSADまたは第2のSAD)の組を登録先情報として管理するための管理表である。送信元IPアドレスと宛先IPアドレスの対の代わりに、SA端点の宛先IPアドレスを用いてもよい。ここで、SA端点とは、暗号化、復号化のためにSAを使用する暗号通信装置の位置のことであって、送信SA端点と受信SA端点があり、それぞれ、送信元IPアドレスと宛先IPアドレスにより位置を表現できる。
【0101】
また、本実施の形態では、サービスクラスとして実施の形態1で説明した第1のクラス、第2のクラスに、クラスAを加える。クラスAでは、第1のIPsec処理部20で実行可能な場合は、第1のIPsec処理部で実行し、それ以外の場合は第2のIPsec処理部30で実行する。
【0102】
まず、図7のフローチャートを用いて制御部12によるSAの登録処理について説明する。
【0103】
<SAの登録処理>
ステップ1で、制御部12が鍵交換部11からサービスクラスとSAを受け取る。
【0104】
ステップ2で、制御部12が登録するSAのサービスクラスを確認し、第1のクラスまたはクラスAであればステップ3に移る。第2のクラスであればステップ8に移り、ステップ8において、第2のSADに受理したSAを登録し、SA登録先管理表にSAのSPI、SAのサービスクラス、登録先(第1のSAD211)の組を登録して、処理を終了する。
【0105】
ステップ3で、制御部12が第1のSAD211の空きエントリの有無を確認し、空きエントリがあればステップ4に進み、空きエントリがなければステップ5に移る。
【0106】
ステップ4で、制御部12がステップ1で受け取ったSAを第1のSAD211の空きエントリに登録し、SA登録先管理表にSAのSPI、SAのサービスクラス、登録先(第1のSAD211)の組を登録して、処理を終了する。
【0107】
ステップ3において第1のSADに空きエントリがない場合、ステップ5で、制御部12が登録するSAのサービスクラスを確認し、第1のクラスであればステップ6に進む。クラスAであればステップ8に移り、第2のSADに受理したSAを登録し、SA登録先管理表にSAのSPI、SAのサービスクラス、登録先(第1のSAD211)の組を登録して、処理を終了する。
【0108】
ステップ6では、受理したクラスが第1のクラスであるので、制御部12がSA登録先管理表を参照して第1のSAD211にクラスAに属するSAが登録されているか否かを確認し、登録されていればそれらのSAの中から1つを選びSA’としてステップ7に進み、登録されていなければSAの登録が不可能であるので、エラーとして鍵交換部11にエラー応答を返す。
【0109】
ステップ7で、ステップ6で選択されたSA’を第1のSAD211から削除して第2のSAD31に登録し、SA登録先管理表の内容を更新する。具体的には、SA’のSPI値に基づきSA登録先管理表を検索し、SA’の登録先情報の登録先を「第2のSAD31」と更新する。これによって、第1のSAD211に空きエントリができる。次に、ステップ4に移り、上記ステップ4の処理を行い、登録処理を終了する。
【0110】
以上説明したように、クラスAに属するSAは、第1のSAD211に空きエントリがある場合には第1のSAD211に登録され、第1のIPsec処理部21でIPsec処理されるので暗号通信装置のCPU負荷が軽減される。一方、第1のSAD211に空きエントリが無い場合には第2のSAD31に登録され、第2のIPsec処理部30でIPsec処理されるので第1のSAD211に空きエントリが無くてもIPsecによる通信は可能となる。
【0111】
また、第1のクラスに属するSAを登録する場合、第1の実施の形態におけるSAの登録処理に対してステップ6、7が追加されているため、第1のSAD211に空きエントリが無くても第1のSAD211にクラスAに属するSA’が登録されていれば、そのSA’を第2のクラスに移して第1のクラスに空きを作ることにより、第1のクラスに属するSAを第1のSAD211に登録することができる。
【0112】
次に、図8のフローチャートを用いて制御部12によるSAの削除処理について説明する。
【0113】
<SAの削除処理>
ステップ1で、制御部12が鍵交換部11から削除するSAを受け取る。
【0114】
ステップ2で、制御部12が削除するSAのSPI値に基づいてSA登録先管理表を検索して削除するSAの登録先を取得し、登録先が第1のSAD211ならステップ3に、第2のSAD31ならステップ6に移る。
【0115】
ステップ3で、制御部12が削除するSAを第1のSAD211から削除し、さらに、SA登録先管理表から削除したSAの登録先情報を削除してステップ4に移る。
【0116】
ステップ4で、制御部12がSA登録先管理表を参照して第2のSAD31にクラスAに属するSAが登録されているか否かを確認し、登録されていればそれらのSAの中から1つを選びSA’としてステップ5に移り、登録されていなければ処理を終了する。
【0117】
ステップ5で、制御部12がSA’を第2のSAD31から削除して第1のSAD211に登録し、SA’のSPI値に基づきSA登録先管理表のSA’の登録先を「第1のSAD」に更新して処理を終了する。
【0118】
ステップ6で、制御部12が第2のSAD31からSAを削除し、SAのSPI値に基づきSA登録先管理表からSAの登録先情報を削除して処理を終了する。
【0119】
以上説明したように、第1の実施の形態におけるSAの削除処理にステップ4、5が追加されているため、第2のSAD31にクラスAに属するSA’が登録されている場合に第1のSAD211から第1のクラスに属するSAを削除するとSA’が第2のSAD31から第1のSAD211に登録される。その結果、第1のIPsec処理部21がSA’の処理を行うことになって暗号通信装置100のCPU負荷が軽減される。
【0120】
(実施の形態3)
図9は、本実施の形態に係るセキュリティ通信システムの構成図である。
【0121】
図9において、ホスト202はLAN207でホスト203および暗号通信装置200と接続されており、暗号通信装置200を経由して外部のインターネットやイントラネット等のWAN206に接続されている。このWAN206には他の暗号通信装置201が接続されており、暗号通信装置201にはLANを介してホスト204、205が接続されている。ここで、暗号通信装置200、201はルータ、ゲートウェイ等のVPN専用装置等である。またホスト202〜205はパーソナルコンピュータ、IP電話機等の通信機能を持った端末であればよく、セキュリティ通信機能を有する必要はない。
【0122】
以下では、暗号通信装置200、201間でトンネルモードのIPsec通信を行うものとして説明を行う。
【0123】
図10は、暗号通信装置200の構成図である。
【0124】
図10で示された暗号通信装置200は、セキュリティ制御部10、ネットワークインタフェース20、第2のIPsec処理部30、パケット送受信部40、ネットワークインタフェース50で構成されている。まず、各構成要素の基本的な機能について説明する。その後で、全体的な動作について説明する。
【0125】
ネットワークインタフェース50は、LAN207と接続されてホスト202、203とIPパケットの送受信を行う。ネットワークインタフェース20は実施の形態1で説明したネットワークインタフェースと同様の機能を有し、更に切り替え部22を備え、WAN206と接続されている。切り替え部22は、通常、ネットワークインタフェース20が受け取ったIPパケットやIPsecパケットを第1のIPsec処理部21に転送するが、制御部12からのバイパス指示があるとIPパケットやIPsecパケットを第1のIPsec処理部21を介さずにWAN206やパケット送受信部40に転送する。第2のIPsec処理部30は、実施の形態1で説明した第2のIPsec処理部と同様の機能を有する。パケット送受信部40は、実施の形態1で説明したパケット送受信部の機能を備え、さらに、経路制御部41を有する。経路制御部41は、ルーティングテーブルを有しており、ネットワークインタフェース20、50が受信したIPパケットやパケット送受信部40が生成したIPパケットをそのルーティングテーブルに基づいて転送する。転送先は、ネットワークインタフェース20、第2のIPsec処理部30、ネットワークインタフェース50、パケット送受信部40自身のいずれかである。セキュリティ制御部10は、鍵交換部11と制御部12から構成される。鍵交換部11は、あらかじめ鍵交換部用設定ファイル等に記述されたサービスクラス情報や暗号通信装置201とのネゴシエーションによって決定したSAを制御部12に通知する。鍵交換部用設定ファイルの例を図24に示す。制御部12は、サービスクラス管理表と第1のSAD管理表を有し、サービスクラス管理表にはセレクタ、サービスクラス、サービスクラス情報識別子の組がサービスクラス情報として登録されており、セレクタはSAで規定されたセレクタの送信元IPアドレスと宛先IPアドレスとから構成される。なお、IPアドレスの代わりにサブネットを示すサブネットアドレスとサブネットマスクの組を用いても良い。
【0126】
本実施の形態では、サービスクラスとして実施の形態2で説明したクラスAに加え、クラスBを追加する。クラスBでは、サービスクラス情報登録時に第1のSAD211の空きエントリを予約しておき、SA登録時に予約した空きエントリにSAを実際に登録することでサービスクラス情報登録時に第1のSAD211へのSA登録を保証するサービスクラスである。なお、本実施の形態では、第1のSAD211上で予約できる空きエントリ数を送信用、受信用共に1とする。また、サービスクラス情報識別子とは、サービスクラス情報を区別するために用いる識別子であって0以外の値を持つ。なお、本実施の形態では、送信と受信では異なるサービスクラスを使用するものとすることで、サービスクラス管理表は送信用、受信用のエントリを持ち、送信用と受信用とでは送信元IPアドレスと宛先IPアドレスが逆になる点を除いて構成は同じになる。送信側のサービスクラス管理表の一例を図20(2)に示す。
【0127】
第1のSAD管理表は、第1のSAD211のエントリごとにSA登録の有無、サービスクラス情報識別子、SPI値の組を保持する管理表であり、SA登録の有無には、そのエントリにSAが登録されていれば「有」に、登録されていなければ「無」に設定される。サービスクラス情報識別子には、そのエントリがクラスBによって予約されていればそのサービスクラス情報識別子が、そうでなければ「0」が設定される。SPI値には、そのエントリにSAが登録されていればそのSPI値が、登録されていなければ「0」が設定される。宛先アドレスを追加してもよい。第1のSAD管理表の一例を図23(1)に示す。
【0128】
以下に、本実施の形態におけるサービスクラスおよびSAの登録処理について図11を用いて説明する。
【0129】
鍵交換部11は、暗号通信装置200の起動時や新たなサービスクラス情報の定義時にサービスクラス情報を制御部12に通知し、制御部12は通知されたサービスクラス情報をサービスクラス管理表に登録する。制御部12は登録されるサービスクラスにクラスBが含まれていれば、第1のSAD211の空きエントリをサービスクラス情報ごとに定められたサービスクラス情報識別子で予約する。鍵交換部11は、暗号通信装置200、201間でのSAのネゴシエーションで決められたSAを制御部12に通知する。制御部12は、サービスクラス管理表を検索して通知されたSAのセレクタと一致するセレクタを持つサービスクラス情報を得、さらに、サービスクラス情報からSAのサービスクラスを得て第1のSAD211または第2のSAD31にSAを登録する。制御部12は、登録したSAのセレクタで定められた送信元IPアドレスと宛先IPアドレス(あるいは、送信元サブネットアドレスとサブネットマスクおよび宛先サブネットアドレスとサブネットマスク)を有するIPパケットが登録先に応じてネットワークインタフェース20または第2のIPsec処理部30に転送されるように、ルーティング情報を経路制御部41のルーティングテーブルに設定する。また、制御部12は、SAを第1のSAD211に登録した場合、同時に、そのSAを第2のSAD31にも登録する。
【0130】
次に、図12を用いて暗号通信装置200のパケット送信動作を説明する。
【0131】
ネットワークインタフェース50は、LAN207を介して受信したIPパケットXを経路制御部41に転送する。経路制御部41はルーティングテーブルに基づいてIPパケットXを第2のIPsec処理部30またはネットワークインタフェース20に転送する。ルーティングテーブルについては、後述する。
【0132】
第2のIPsec処理部30に転送された場合には、第2のIPsec処理部30がIPパケットXのヘッダ情報から第2のSAD31を検索して対応するSAに基づいてIPパケットXからIPsecパケットX’を生成し、ネットワークインタフェース20に転送する。ネットワークインタフェース20は、X’のヘッダからIPsecパケットであることを確認し、暗号化済みであるので、パケットX’を再度暗号化することなく、IPsecパケットX’をWAN206に送信する。
【0133】
一方、経路制御部41からネットワークインタフェース20に転送された場合には、第1のIPsec処理部21は、IPパケットXのヘッダ情報から第1のSAD211を検索して対応するSAが登録されているか否かを確認し、登録されていればそのSAに基づいてIPパケットXからIPsecパケットX’を生成してWAN206に送信し、SAが登録されていなければIPパケットXを、WAN206上の暗号通信装置200のIPアドレスと暗号通信装置201のIPアドレスをそれぞれ送信元、宛先とするIPヘッダを付加して、WAN206に送信する。
【0134】
次に、図13を用いて暗号通信装置200のパケット受信動作を説明する。
【0135】
ネットワークインタフェース20は、WAN206を介して受信したIPsecパケットX’を第1のIPsec処理部20に転送する。第1のIPsec処理部20は、IPsecパケットX’のヘッダ情報からSPI値を得て、そのSPI値で第1のSAD211を検索し、対応するSAが登録されていればそのSAに基づいてIPsecパケットX’からIPパケットXを生成して、ネットワークインタフェース20から、経路制御部41に転送する。対応するSAが登録されていなければIPsecパケットX’をそのまま、ネットワークインタフェース20からパケット送受信部40に転送する。パケット送受信部40は、転送されたIPパケットXまたはIPsecパケットX’のヘッダ情報にESPもしくはAHが含まれていれば第2のIPsec処理部30に転送し、そうでなければ経路制御部41内のルーティングテーブルに従った宛先、例えば、IPパケットXの宛先がホスト202の場合には、ネットワークインタフェース50に転送する。第2のIPsec処理部30に転送された場合には、第2のIPsec処理部30は、X’のヘッダ情報から得たSPI値で第2のSAD31を検索し、対応するSAが登録されていればそのSAに基づきIPsecパケットX’からIPパケットXを生成してパケット送受信部40に転送する。パケット送受信部40はIPパケットXを受け取るとネットワークインタフェース50に転送し、ネットワークインタフェース50がIPパケットXをLAN207に送信して、パケット受信処理が終了する。復号されたIPパケットXには、送信元と宛先のIPアドレスが付加されているので、新たにIPアドレスを付加する必要はない。なお、第2のSAD31を検索しても、対応するSAが見つからない場合は、エラーである。
【0136】
次に、本実施の形態におけるサービスクラス情報の登録処理、SAの登録処理、SAの削除処理、サービスクラス情報の削除処理について図14〜図17を用いて説明する。
【0137】
<サービスクラス情報の登録処理>
図14は、サービスクラス情報(SC)の登録処理を示すフローチャートである。
【0138】
ステップ1で、制御部12はSCを鍵交換部11から受け取り、受理する。SCに対応するサービスクラス情報識別子が未生成の場合、識別子を生成する。
【0139】
ステップ2で、制御部12は、受理したSC内のサービスクラスがクラスBであるか否かを確認し、クラスBであればステップ3に、それ以外のクラスであればステップ5に移る。
【0140】
ステップ3で、制御部12は第1のSAD管理表を参照して第1のSAD211の空きエントリがあるか否かを確認し、空きエントリがあればステップ4に、なければステップ6に移る。ここで、空きエントリとはSAが登録されておらず、かつ、予約もされていないエントリのことである。
【0141】
ステップ4で、制御部12は、登録要求されたサービスクラスBに対応したサービスクラス情報識別子を第1のSAD管理表の空きエントリに登録する。
【0142】
ステップ5で、制御部12は、ステップ2において受理したサービスクラスSCをサービスクラス管理表に登録し、サービスクラス情報識別子も併せて登録して、処理を終了する。
【0143】
空きエントリがない状態のステップ6で、制御部12は第1のSAD管理表を参照してクラスAに属するSAが第1のSAD211に登録されているか否かを確認し、登録されていればそれらのSAの中から1つを選びSA’としてステップ7に移り、登録されていなければ予約は失敗して鍵交換部11にエラーを返す。
【0144】
ステップ7で、制御部12はSA’を第1のSAD211から削除し、第2のSAD31にSA’を登録する。さらに、経路制御部41に対して、SA’に対応するIPパケットが第2のIPsec処理部30に転送されるように経路情報の転送先を、第1のIPsec処理部21から第2のIPsec処理部30に更新して、ステップ4に移る。
【0145】
以上のように、クラスBに対して第1のSAD211の空きエントリを予約することで、後に実行されるSA登録時に第1のSAD211へのSA登録が保証される。
【0146】
<SAの登録処理>
図15は、SAの登録処理を示すフローチャートである。
【0147】
ステップ1で、制御部12は鍵交換部11からSAを受け取り、ステップ9に移る。
【0148】
ステップ9で、制御部12は受理したSAのセレクタに基づき制御部12内に設けた後述するサービスクラス管理表を検索してSAのサービスクラス情報を獲得し、サービスクラス情報のサービスクラスがクラスBならばステップ10に移り、それ以外ならばステップ150に示すように、図7のステップ2〜ステップ8と同様の処理を行う。
【0149】
ステップ10で、制御部12はサービスクラス管理表を参照して、サービスクラス情報(SC)からクラスBに対応するサービスクラス情報識別子を獲得し、獲得したサービスクラス情報識別子と同じ識別子を保持する、すなわち予約済みのエントリを第1のSAD211から検索し、そのエントリにSAを登録して処理を終了する。
【0150】
以上のように、制御部12はサービスクラス情報識別子を用いることで、クラスBに属するSAをクラスBに属する他のSAおよび第1、第2のクラスやクラスAに属するSAと区別でき、予約しておいたエントリに正しく登録することができる。なお、上記サービスクラス情報の登録のフロ−チャートにおいて、予約ができなかった場合は、SAの登録ができないことは言うまでもない。
【0151】
<SAの削除処理>
図16は、SAの削除処理を示すフローチャートである。
【0152】
ステップ1で、制御部12は鍵交換部11から削除するSAを受け取る。
【0153】
ステップ2で、制御部12は鍵交換部11から受け取ったSAのSPI値に基づいて第1のSAD211を検索してSAの登録先を得、SAの登録先が第1のSAD211の場合にはステップ3に移る。第2のSAD31の場合にはステップ6に移り、ステップ6において、第2のSAD31からSAとその登録先情報を削除して処理を終了する(なお、SA登録先管理表から登録先を知ってもよい。)。
【0154】
ステップ3で、制御部12は、SAの存在する第1のSAD211からSAを削除し、第1のSAD管理表を更新してSA登録の有無を「無」に、SPI値を「0」に設定し、ステップ4に移る。なお、サービスクラス情報識別子はそのままとし、更新しない。
【0155】
ステップ4で、制御部12は、第2のSAD31を検索してクラスAに属するSAが登録されているか否かを確認し、登録されていればそれらのSAから1つを選んでSA”としてステップ5に移り、登録されていなければ処理を終了する。
【0156】
ステップ5で、制御部12は、選択したSA”を第1のSAD211に登録し、第2のSAD31上のSA”の登録先情報を「第1のSAD」に更新し、SA”に対応するIPパケットがネットワークインタフェース20に転送されるように経路制御部41のルーティングテーブルを更新して処理を終了する。
【0157】
以上のように、SAを削除しても、第2のSAD31にクラスAのSAが登録されていない場合にはSAの第1のSADへの移動がないので、第1のSAD管理表123にはサービスクラス情報識別子が登録されたままである。したがって、今回削除したSAと同じセレクタを持つクラスBに属するSAを登録する場合、上記サービスクラス情報識別子が登録されたエントリに登録することができる。また、ステップ5において、第2のSAD31にクラスAのSAが第1のSAD211に移動登録された場合でも、第2のSAD31に再び戻すことができるので、実質的にクラスBを予約しているのと同じになり、クラスBのSAを登録することが可能である。
【0158】
<サービスクラス情報の削除処理>
図17は、サービスクラス情報(SC)の削除処理を示すフローチャートである。
【0159】
ステップ1で、制御部12は鍵交換部11から削除するサービスクラス情報SCを受理する。
【0160】
ステップ2で、制御部12は鍵交換部11から受け取ったSCのサービスクラスを確認し、サービスクラスがクラスBの場合にはステップ3に、それ以外の場合にはステップ6に移り、ステップ6で、制御部12は、サービスクラス管理表からSCを削除して処理を終了する。
【0161】
SCがクラスBの場合、ステップ3において、制御部12は、鍵交換部11から受け取ったクラスBのSCに対応する第1のSAD管理表のサービスクラス情報識別子を0に設定することでエントリの予約を解除する。
【0162】
ステップ4で、制御部12は、第2のSAD31を検索してクラスAに属するSAが登録されているか否かを確認し、登録されていればそれらのSAから1つを選んでSA”としてステップ5に移り、登録されていなければステップ6に移り、制御部12は、サービスクラス管理表からSCを削除して処理を終了する。
【0163】
ステップ5で、制御部12は、選択されたSA”を第1のSAD211に登録して第2のSAD31上のSA”の登録先情報を「第1のSAD」に更新し、SA”に対応するIPパケットがネットワークインタフェース20に転送されるよう経路制御部41のルーティングテーブルのルーティング先を更新して処理を終了する。
【0164】
以上のように、クラスBを削除すると第1のSAD上に予約していた領域が解放されることで、第2のSAD31に登録されているクラスAに属するSAを第1のSAD211に移動することができ、暗号通信装置200のCPU負荷を低減することができる。
【0165】
以下に、図18を用いてサービスクラスおよびSAの登録・削除処理を説明する。
【0166】
図18は、本実施の形態における第1のSADおよび第2のSADの状態遷移図である。なお、括弧内は、登録先とサービスクラス識別子である。登録先1は、第1のSAD211、登録先2は、第2のSAD31を示す。第1のサービスクラスは“1”、第2のクラスは“2”、クラスAは“3”、クラスBは“4”の識別子をそれぞれ使用する。
【0167】
初期状態では、第1のSAD211には第1のクラスであるSA1とクラスAであるSA2が、第2のSAD31には第2のクラスであるSA3が登録されているものとする。SA1とSA2については第2のSAD31にも登録しておき、登録先情報とサービスクラスをSAと併せて保持することにする。ここでは、SA1の登録先およびサービスクラスは第1のSADおよび第1のクラスであり、SA2の登録先およびサービスクラスは第1のSADおよびクラスAとなる。また、経路制御部41には、SA1およびSA2を適用するパケットはネットワークインタフェース20に、SA3を適用するパケットは第2のIPsec処理部30に転送するように経路情報が設定し、サービスクラス管理表にはSA1からSA3のサービスクラス情報を登録する。以上を初期状態とする。
【0168】
次に、制御部12が、クラスBであるSA4のサービスクラス情報SC4の登録要求を受信すると、まず、サービスクラスSC4の登録作業に入る。すなわち、第1のSAD管理表を参照して第1のSAD211の空きエントリの有無を確認する。図18の初期状態では、第1のSAD211にはSA1、SA2が登録されており、空きエントリは存在しない。そこで、制御部12はSA2がクラスAであることを検出するとSA2を第1のSAD211から削除して第2のSAD31のSA登録先情報を更新し、SA2用パケットが第2のIPsec処理部30に転送されるように経路情報を更新する。これによって、第1のSAD211上で得られた空きエントリをSC4用のサービスクラス情報識別子を用いて予約する。
【0169】
制御部12は、SA4の登録要求に対し、SA4がSC4に属するクラスBであることを確認するとSC4用のサービスクラス情報識別子で第1のSAD管理表を検索して予約されたエントリにSA4を登録する。さらに、第2のSAD31にもSA4を登録先情報とサービスクラスと共に登録し、サービスクラス管理表にはサービスクラス情報SC4を追加し、更に、SA4用のパケットがネットワークインタフェース20に向かうように経路情報を設定する。
【0170】
次に、SA4の削除要求が発生すると、制御部12は、SA4の削除要求に対し、SA4のサービスクラスを調べ、SA4がSC4に属するクラスBであることを確認すると、第1のSAD管理表を検索してSA4が第1のSAD211に登録されていることを確認し、SA4を第1のSAD211から削除する。さらに、第2のSAD31からSA4を登録先情報やサービスクラスと共に削除し、SA4用のパケットの経路情報を削除する。なお、第1のSAD211には、サービスクラスSC4は、削除せず残すので、SC4はSA4が削除された時点では予約状態である。
【0171】
制御部12は、SC4の削除要求を受信すると、サービスクラス管理表を検索してクラスBであることを確認し、SC4のサービスクラス情報識別子を獲得する。さらに、SC4のサービスクラス情報識別子を用いて第1のSAD管理表を検索してSC4の予約を解除する。これにより、第1のSADに空きエントリが生じるため、制御部12は第2のSAD31を検索してクラスAに属するSA2を検出し、SA2を第1のSAD211に登録する。さらに、第2のSAD31上のSA2の登録先を更新し、SA2用のパケットがネットワークインタフェース20に転送されるように経路情報を更新する。
【0172】
以上説明したように、クラスBに属するSAのサービスクラス情報を登録しておくことで、SAの登録前に第1のSAD211上に空きエントリを確保してSAの登録を保証することができる。
【0173】
また、クラスBを含むサービスクラス情報を登録する際に、クラスAに属するSAが第1のSAD211に登録されており、かつ、第1のSAD211に空きエントリが無い場合には、クラスAに属するSAを第1のSAD211から削除して第2のSAD31に登録する。これにより、第1のSAD211に空きエントリが生成されてクラスBを含むサービスクラス情報が登録可能となる。
【0174】
また、第4のサービスクラス情報(SC4)を削除することで生じた第1のSAD211上の空きエントリに第2のSAD31に登録されたクラスAのSAを登録することにより、第2のIPsec処理部30が実行するSA数が減少して暗号通信装置200のCPU負荷が低減される。
【0175】
以下に、制御部12が第1のIPsec処理部21の異常を検出した場合の動作について説明する。なお、異常の検出方法の一例としては、制御部12が一定時間ごとに第1のIPsec処理部21内のレジスタにアクセスして正しい反応が返ってこない時点で異常とみなす方法がある。
【0176】
まず、第2のSAD31に登録されている全てのSAについて登録先を第2のSADに変更し、登録先が第1のSADであったSAに対応するIPパケットが第2のIPsec処理部30に転送されるように経路制御部41のルーティングテーブルを更新する。
【0177】
次に、切り替え部22をバイパス側に設定することで、ネットワークインタフェース20によって全てのパケットが第1のIPsec処理部21を経由しないようにする。
【0178】
以上のように、全てのSAが第2のSAD31にも登録されているため、第1のIPsec処理部21に異常が発生した場合でも第1のIPsec処理部21で処理されていたSAはすべて第2のIPsec処理部30で処理される。
【0179】
その結果、第1のIPsec処理部21で提供されていた高速処理は実現できないが、IPsec通信そのものは継続することができる。
【0180】
なお、本実施の形態3においては、トンネルモードを想定して説明したが、暗号通信装置200、201の一方、または両方が、IPパケットを生成または利用、消費するトランスポートモードの装置、すなわち、ホストとして動作する場合においても、上記説明の構成や動作手順を適用できる。
【0181】
(実施の形態4)
次に、上記各実施の形態で説明した各表について、その一例を具体的に説明する。
【0182】
図19は、ネットワーク構成の別の例である。セキュリティゲートウェイSGW#1、SGW#2、SGW#3、および、SGW#4は、ハブを介してサブネットワーク間で暗号通信を行う。SGW#1、SGW#2、SGW#3、SGW#4のハブとは反対の側には、暗号通信を行わないサブネットワークがそれぞれ接続されている。それらのサブネットワークアドレスは、それぞれ、図19に示すように、192.168.1.0、192.168.2.0、192.168.3.0、192.168.4.0とする。SGW#1、SGW#2、SGW#3、SGW#4のハブ側のIPアドレスは、それぞれ、132.182.1.1、132.182.1.2、132.182.1.3、132.182.1.4とする。SGW#1、SGW#2、SGW#3、SGW#4は、それぞれ、(実施の形態3)において説明した暗号通信装置である。以下、SGW#1に着目して、SA登録先管理表、サービスクラス管理表、第1のSAD管理表、ルーティングテーブル、鍵交換部設定ファイルの例につき説明する。
【0183】
図19のネットワークにおいて、SGW#1−SGW#2の間は、クラスB、SGW#1−SGW#3の間は第1のクラス、SGW#1−SGW#4の間は第2のクラスの各サービスクラスを適用する場合、鍵交換部設定ファイルには、図24に示すようなデータが記述されている。図24においては、各暗号通信装置間の暗号通信のサービスクラス定義の他に、暗号通信のモード、使用する暗号化プロトコル、装置自身の接続サブネットID、相手の装置の接続サブネットIDなどが記述されている。
【0184】
図20は、(1)SA登録先管理表、(2)サービスクラス管理表の例を示している。SA登録先管理表では、SGW#1から見た暗号通信の相手であるSA端点の宛先IPアドレス、その相手との暗号通信に使用するSAのSPI値、使用するサービスクラス、および、SAの登録先が、一覧表になっている。サービスクラス管理表では、セレクタとしてサブネットワークの送信元と宛先のIPアドレスの対、適用するサービスクラス、および、その識別子が一覧表になっている。
【0185】
図21は、図20に示した(1)SA登録先管理表と(2)サービスクラス管理表とを統合した統合管理表の例を示している。図22に示すように、参照するデータ部分を選択することにより、SA登録先管理表としても、サービスクラス管理表としても使用することができる。SA端点の宛先の代わりに、IPアドレス送信元IPアドレスと宛先IPアドレスの対をセレクタ用に記載している。
【0186】
図23は、(1)第1のSAD管理表、(2)ルーティングテーブルの例である。第1のSAD管理表は、第1のSAD2つのエントリに格納されているSAのデータ、パラメータなどの情報に対応して、SA登録の有無、サービスクラス情報識別子、宛先IPアドレス、SPI値が表になっている。同様の表は、第2のSADに対しても、第2のSAD管理表として用意される。図23の(2)ルーティングテーブルは、SGW#1が、どの経路を介して、外部に接続されているかを示す。図23(2)において、1行目と2行目は、ネットワークインタフェース20と50が、それぞれ、サブネットワーク132.182.1.0と192.168.1.0に接続されていることを示す。5行目は、宛先アドレスが、SGW#4の場合、第2のIPsec処理部30を介して、処理が行われることを示す。
【0187】
サービスクラスAやBを適用しない場合は、図20、図21、図22、図23の各表におけるサービスクラス情報識別子とサービスクラスの欄は省略できる。また、図20(2)のサービスクラス管理表(統合前)は、不要である。
【0188】
図20、図21、図22、図23に示した各表のうち、図23(1)のルーティングテーブル以外は、上記実施の形態1で説明したトランスポートモードの構成の場合にも、同様の形式が採用できる。
【0189】
また、図20、図21、図22、図23に示した各表は、一例であって、同様の機能を果たすものであれば、他の形式の表でも、また、データの集合体であってもよい。
【0190】
(実施の形態5)
次に、図2において、鍵交換部11と制御部12を、実施の形態1から変えた例について説明する。図2において、鍵交換部11と制御部12以外は実施の形態1と同様の動作を行うので説明は省略する。
【0191】
鍵交換部11は実施の形態1と同様、通信相手の暗号通信装置とのセキュリティ通信に用いるパラメータをネゴシエーションし、SAおよびユーザがセレクタごとに規定したQOSパラメータを制御部12に通知する。
【0192】
なお、本実施の形態では、QOSパラメータとして平均スループット値がセレクタごとに設定ファイル等に記載されており、鍵交換部11が起動時等に設定ファイル等を読み込んで制御部12に通知するものとする。
【0193】
制御部12は、SAの登録先を決定するためのQOSパラメータの閾値を保持している。
【0194】
なお、本実施の形態では、QOSパラメータの閾値は第2のIPsec処理部30で処理可能な平均スループット値である。
【0195】
制御部12は、鍵交換部11からSAとQOSパラメータである平均スループット値を受け取る。受け取った平均スループット値を閾値と比較し、閾値を上回れば受け取ったSAを第1のクラスであると判断し、下回れば受け取ったSAを第2のクラスであると判断する。これによって、SAのサービスクラスが決定されるので、制御部12は実施の形態1で説明した登録処理に従って受け取ったSAを第1のSAD211または第2のSAD31に登録する。
【0196】
以上のように、IPsec通信に求められるQOSパラメータに従ってサービスクラスを決定することで、高スループットが必要なIPsec通信のSAは第1のクラスに、それ以外のSAは第2のクラスに設定される。その結果、高スループットが求められるIPsec通信は第1のIPsec処理部が、それ以外は第2のIPsec処理部がIPsec処理を行うようになることで、高スループットが必要なIPsec通信を提供し、同時に、それ以外の多数のIPsec通信を提供することができる。
【0197】
(実施の形態6)
次に、図2において、鍵交換部11と制御部12を、実施の形態1からさらに変えた例について説明する。図2において、鍵交換部11と制御部12以外は実施の形態1と同様の動作を行うので説明は省略する。
【0198】
鍵交換部11は実施の形態1と同様、通信相手の暗号通信装置とのセキュリティ通信に用いるパラメータをネゴシエーションし、SAおよび管理者がセレクタごとに規定したSAの優先度を制御部12に通知する。
【0199】
なお、本実施の形態では、優先度は全てのセレクタについて優先度の高いものから1、2、3、…と設定され、セレクタごとに鍵交換部11用の設定ファイルに記載されており、鍵交換部11は起動時または設定ファイルの更新時に設定ファイルを読み込んでSAと共に制御部12に通知するものとする。
【0200】
制御部12は、第1のSAD211のエントリ数に従った閾値(本実施の形態では2)を保持している。制御部12は、鍵交換部11からSAと共に受け取った優先度を保持している閾値と比較し、優先度が閾値と以下の場合には受け取ったSAを第1のクラスであると判断し、優先度が閾値よりも大きい場合には受け取ったSAを第2のクラスであると判断する。これによって、SAのサービスクラスが決定されるので、制御部12は実施の形態1で説明した登録処理に従い受け取ったSAを第1のSAD211または第2のSAD31に登録する。
【0201】
以上のように、SAはその優先度に基づいて第1のSAD211または第2のSAD31に登録されるので、優先度の高いSAは第1のIPsec処理部21で、優先度の低いSAは第2のIPsec処理部30で処理されることになる。その結果、高スループットや低遅延が必要なSAの優先度を高く、それ以外のSAの優先度を低く設定することで、高スループットや低遅延が必要なIPsec通信を提供し、同時に、それ以外の多数のIPsec通信を提供することができる。
【0202】
(実施の形態7)
上記各実施の形態において、ネットワークインタフェース20を複数個設け、これらのネットワークインタフェースを、それぞれ、第2のIPsec処理部30、パケット送受信部40に結合し、別々のサブネットワークに接続した暗号処理装置としてもよい。各ネットワークインタフェースは、各サブネットワークに対して用意されるので、複数のサブネットワークとの暗号通信を同時並列的に処理可能となる。制御部12には、各ネットワークインタフェースと、接続されているサブネットワークのIPアドレスを対比するIPアドレス管理表を設け、接続時あるいは起動時にこの管理表を設定する。送信元IPアドレスと宛先IPアドレスの対、SA端点の宛先IPアドレス、SPI値などの検索キーに対応して、使用するネットワークインタフェースを指定する識別子をSA登録先管理表、ルーティングテーブルなどに登録記載できるようにする。
【0203】
SAを登録する場合、まず、SA端点の宛先IPアドレスをキーに、IPアドレス管理表を検索し、SAを登録すべきIPsec処理部を複数の中から選択し特定する。SA登録先管理表には、登録先として、選択したIPsec処理部の識別子を記載する。SA端点のIPアドレスとしては、送信用では送信元のIPアドレスを、受信用では宛先のIPアドレスを使用する。登録すべきIPsec処理部が特定されれば、あとは、すでに説明した手順により、SAが登録できる。
【0204】
SAの削除時には、SA登録先管理表から、削除したいSAが第1のIPsec処理部に登録されていることを確認後、削除したいSAのSA端点の宛先IPアドレスとSPI値の組、あるいは、一方をキーにして、SA登録先管理表から、登録先のSADの番号を知る。そのSADを検索し、SAを削除する。なお、すべての第1のSAD管理表を検索するようにしてもよい。
【0205】
(実施の形態8)
また、本発明の実施の形態において、すでに説明した第1のIPsec処理部21、第2のIPsec処理部30に加えて、暗復号処理および認証処理を行う第i(i=3、4、…、n)のハードウェアと第i(i=3、4、…、n)のSADを有した(n−2)個のIPsec処理部i(i=3〜n)を有し、サービスクラスとして第nのSADにSAを登録することを示す第nのクラスを設け、制御部がSAごとに設定されたサービスクラスに応じて第1または第2のSADあるいは第nのSADにSAを登録しても良い。また、n個のIPsec処理部を設けた場合に、SAごとに設定されたQOSパラメータを第1から第(n−1)の閾値と比較し、SAのサービスクラスを第1のクラス、第2のクラス、…、第nのクラスとして決定するようにしても良い。ここで、QOSパラメータとして、IPsec通信が要求するスループット値やIPsec処理の遅延時間を用いても良い。例えば、QOSパラメータがIPsec通信で要求するスループット値の場合、スループット値が第1の閾値よりも大きければ第1のクラスに、第1の閾値と第2の閾値との間であれば第2のクラスに、同様に、第j(2≦j≦nの最大値−1)の閾値と第(j+1)の閾値との間であれば第(j+1)のクラスにサービスクラスが設定される。
【0206】
(その他の実施の形態、および、補足)
本発明の実施の形態では、セキュリティを確保する技術としてIPsecを用いて説明したが、パケット単位でセキュア化され、セキュア化のためのセキュリティパラメータがパケットのヘッダ情報に基づいて検索可能なものであれば、IPsec以外の技術についても有効である。
【0207】
また、本発明の実施の形態では、第1のSADの送信用、受信用のエントリをそれぞれ2個としたが、第1のSADのエントリ数を制限する必要はない。
【0208】
また、本発明の実施の形態では、予約するエントリ数を送信用、受信用共に1個としたが、1個より多くても構わず、また、送信用、受信用で同じ個数である必要はない。
【0209】
また、本発明の実施の形態では、第2のIPsec処理部は主にソフトウェアで構成されていると説明したが、暗復号処理および認証処理を行うハードウェアを含んでいても構わない。この時、第1のIPsec処理部に含まれる暗復号処理や認証処理を行うハードウェアを共用しても良い。
【0210】
また、本発明の実施の形態では、鍵交換部がSAとサービスクラスを通知するものとして説明したが、鍵交換部以外の管理アプリケーションがSAまたはサービスクラス、もしくは、その両方を制御部に通知しても良い。
【0211】
また、本発明の実施の形態では、サービスクラスは送信用と受信用とで必ずしも等しいクラスである必要はなく、異なるクラスであっても良い。また、送信用と受信用のサービスクラスが必ず等しい場合には、送信用と受信用でサービスクラス情報管理表を1つにして共用しても良い。この場合、削除した側のサービスクラス情報は、SAのセレクタに含まれる送信元IPアドレスと宛先IPアドレスを入れ替えることで決定できる。
【0212】
また、本発明の実施の形態において、暗号通信装置は端末の形態であっても経路制御部を有したゲートウェイ装置の形態であっても良い。この場合、制御部は、SAの登録先に応じて経路情報を設定する。
【0213】
また、本発明の実施の形態では、制御部が第1のIPsec処理部内のレジスタに一定時間おきにアクセスして正しい応答が返ってこないことで第1のIPsec処理部の異常を検出したが、第1のIPsec処理部自身が異常か否かを判断するセルフチェック回路を有して異常の発生を制御部に通知しても良い。また、異常の検出は一定時間おきに実行する以外に、起動直後や終了処理時に実行しても良い。
【0214】
また、本発明の実施の形態では、QOSパラメータとして平均スループット値を用いたが最大スループット値や必要なスループット値の最小値でも良い。
【0215】
また、本発明の実施の形態において、第1のIPsec処理部の平均スループット値を閾値とし、制御部はQOSパラメータが閾値を上回った場合には第1のクラスと、閾値を下回った場合には第2のクラスと設定しても良い。
【0216】
また、本発明の実施の形態おいて、QOSパラメータとしてSAを用いたセキュリティ通信に求められる遅延時間を用い、閾値として第1のIPsec処理部の処理時間または第2のIPsec処理部の処理時間を用いても良い。
【0217】
また、本発明の実施の形態において、暗号アルゴリズムや認証アルゴリズムおよびその組み合わせごとに閾値を設けて、SAに設定された暗号アルゴリズムや認証アルゴリズムおよびその組み合わせに対応した閾値とQOSパラメータとを比較してもよい。
【0218】
また、本発明の実施の形態において、鍵交換部がRFC2367で定められたPF_KEYメッセージやその独自拡張メッセージを用いて制御部にSAを通知しても良い。
【0219】
また、本発明の実施の形態において、鍵交換部がRFC2367で定められたPF_KEYメッセージの独自拡張メッセージを用いて制御部にサービスクラス情報を通知しても良い。
【0220】
上記各実施の形態での説明では、サービスクラスをサービスクラス管理表に追加登録、あるいは、削除するようにしたが、使用する可能性のあるサービスクラスについては、全部登録しておき、削除はせず、サービスクラス名とサービスクラス情報識別子との対応が常時取れるようにしてもよい。
【0221】
上記説明では、すべてのサービスクラスに対して、サービスクラス識別子を設けるようにしたが、クラスBのみに、サービスクラス識別子を設けるようにしてもよい。また、サービスクラスSCは、サービスクラス名とサービスクラス識別子とが1対1で対応するものであるから、サービスクラス名に対して、識別子を別に設けずに、サービスクラス名を識別子として使用してもよい。たとえば、サービスクラス第1に対して“1”、第2に対して“2”、クラスAに対して“A”、クラスBに対して“B”としてもよい。この場合は、サービスクラス情報の登録により、実質的にサービスクラス識別子も登録されるので、別途サービスクラス識別子を登録する必要はない。
【0222】
上記各実施の形態においては、複数のSAD、たとえば、第1のSAD211と第2のSAD31とを設けたが、第1のIPsec処理部21の中に、第1のSAD211の代わりにSAメモリを設け、第1のSADの内容は第2のSADに統合してもよい。この場合、各表におけるSADの登録先欄の代わりに、使用IPsec処理部欄を設け、使用IPsec処理部が第1のIPsec処理部か、第2のIPsec処理部か、を識別する識別子を設けて、この識別子を使用IPsec処理部欄に記載する。サービスクラスSC1は、第1のIPsec処理部使用、サービスクラスSC2は、第2のIPsec処理部使用、サービスクラスAは、第1または第2のIPsec処理部使用、サービスクラスBは、第1のIPsec処理部使用予約可能となる。暗号通信を行う前に、各表と、統合SADを参照して、第1のIPsec処理部を使用できる状態であれば、使用すべきSAを統合SADから取り出し、第1のIPsec処理部に設けたSAメモリに書き写して、以降、SAメモリ内のSAのデータを使用して暗復号化処理を行う。
【0223】
3つ以上のIPsec処理部を備える場合にも、それぞれにSADを設けずに、統合SADを設けて、SAを登録するとともに、そのSAをどのIPsec処理部で使用するかの使用識別子を登録して置き、セレクタであるIPアドレス対やSPI値により、SAを検索するとともに、使用識別子を検出し、検索したSAを指定されたIPsec処理部に送って、そのIPsec処理部において、暗復号処理を行うようにしてもよい。
【0224】
統合したSADを設ける場合、第1のIPsec処理部21が空いていれば、サービスクラスにかかわらず、これを優先的に使用しておき、優先度がより高いSAを使用する暗号通信の要求が発生した段階で、第1のIPsec処理部21で行っている暗号通信の処理を第2のIPsec処理部30に移して、第1のIPsec処理部21を空け、新たな暗号通信要求を実行するようにしてもよい。このような場合、サービスクラス1、2やクラスA、Bを設けてもよいが、クラス1だけにしてもよい。クラス1の場合だけ、優先的に第1のIPsec処理部21を使用することができ、クラス1でなければ、クラス1の暗号通信の要求が発生すると、第2のIPsec処理部30に移動することになり、クラスAと同様の扱いとなる。なお、第1のIPsec処理部21と第2のIPsec処理部30の間の処理の移動は、パケット毎に処理が完了した時点で行うことが好ましい。このようにすれば、高々1個のパケット処理が完了するのを待てば、より高速なIPsec処理部を使用することが可能になり、全体として柔軟なIPsec処理が行える。
【0225】
上記各実施の形態の説明において、さらに、第3のIPsec処理部を設ける場合、IPsec処理の重複を避けるため、第2のIPsec処理部は、プロトコルがAHやESPでないことを確認しなければならない。また、IPsecの処理方式では、送信元アドレスと宛先アドレスの組に加えて、上記プロトコルと(TCPやUDPの)ポート番号も検索キーに含める方法も規定されているが、この場合、IPヘッダ内にある、プロトコルやポート番号も検索キーに含んだ形で検索を行う。プロトコルとポート番号は、送信側・受信側、それぞれを設定することができる。
【0226】
上記各実施の形態における各種パケットの経路のうち、第2のIPsec処理部30とネットワークインタフェース20の間は、前者から後者へ向けての経路のみとし、ネットワークインタフェース20から第2のIPsec処理部30へ向けてパケットを送る場合は、経路制御部41の制御により、パケット送受信部40を経由するようにした。後者から前者への逆の方向の経路も設けておき、受信パケットについて、第1のSADにSAが見つからなかった場合、ネットワークインタフェース20から第2のIPsec処理部30へパケットを送るようにしてもよい。
【0227】
次に、IPアドレス対、セレクタ、SA、SPI値について、補足説明する。トランスポートモードの暗号通信では、暗号通信装置自身がホストであり、自身のIPアドレス対をセレクタとし、SA、SPI値が決められる。トンネルモードでは、セレクタとして使うIPアドレス対には、いくつかの形態があるので補足する。図9のようなネットワークにおいて、ホスト202は、暗号化対象電文を発行し、暗号通信装置200が、暗号化対象電文を暗号化して送信し、暗号通信装置201が、受信した電文の復号化を行い、ホスト204が、復号化された暗号化対象電文を受信して、電文を利用する。このような場合、暗号通信装置200と暗号通信装置201が使用するSAを生成するネゴシエーションには、様々な形態がある。以下に、その形態を列挙しておく。
【0228】
ホスト202が、ホスト204宛の暗号通信を必要とするアプリケーションを起動した段階で、暗号通信装置200と暗号通信装置201とにネゴシエーションを実行させて、SAを生成するような形態の場合は、暗号通信装置200と暗号通信装置201は、ホスト202とホスト204のIPアドレスの対をセレクタとし、生成したSAに対応するSPI値を割り振る。
【0229】
ホスト202が、ホスト204宛の暗号通信を必要とするアプリケーションを起動する以前に、あらかじめ、暗号通信装置200と暗号通信装置201とにネゴシエーションを実行させて、SAを生成しておくような形態の場合にも、暗号通信装置200と暗号通信装置201は、ホスト202とホスト204のIPアドレスの対をセレクタとし、生成したSAに対応するSPI値を割り振る。
【0230】
ホスト202が属するサブネットワークLAN207上の任意の機器から、ホスト204が属するサブネットワークLAN208上の任意の機器宛の暗号通信を行うアプリケーションに対してSAを生成する場合は、あらかじめ、暗号通信装置200と暗号通信装置201とにネゴシエーションを実行させ、暗号通信装置200と暗号通信装置201は、2つのサブネットワークのIPアドレスの対をセレクタとし、生成したSAに対応するSPI値を割り振るようにする。この場合、複数のSAを生成しておき、その中から適宜選択して使用するようにしてもよい。
【0231】
暗号通信装置200と暗号通信装置201の間を通るすべての暗号通信に使用するSAを生成する場合は、あらかじめ、暗号通信装置200と暗号通信装置201がネゴシエーションを実行しておき、暗号通信装置200と暗号通信装置201は、暗号通信装置200、201のIPアドレスの対をセレクタとし、生成したSAに対応するSPI値を割り振る。この場合、複数のSAを生成しておき、その中から適宜選択して使用するようにしてもよい。
【0232】
ホスト202が、ホスト204宛の暗号通信を必要とするアプリケーションを起動した段階で、暗号通信装置200と暗号通信装置201とにネゴシエーションを実行させて、SAを生成するような形態の場合に、暗号通信装置200と暗号通信装置201は、暗号通信装置200と暗号通信装置201の、WAN206側のIPアドレスの対をセレクタとし、生成したSAに対応するSPI値を割り振るようにしてもよい。
【0233】
上記をまとめると、暗号化対象電文を発行する機器を電文送信端点、復号化済電文を受信する機器を電文受信端点、暗号化処理する機器を送信SA端点、復号化処理する機器を受信SA端点と名づけた場合、アプリケーションや暗号化対象電文が発行される機器やサブネットワークの範囲、および、復号化済電文を受信し使用する機器やサブネットワークの範囲によって、電文送信端点と送信SA端点のいずれかの送信元IPアドレスと、受信SA端点と電文受信端点のいずれかの宛先IPアドレスと、を対とする組が、セレクタと成りうることになる。
【0234】
さらに、送信元IPアドレスと宛先IPアドレスの組に加え、送信元の上位プロトコルとポート番号、宛先の上位プロトコルとポート番号をセレクタに加えてもよい。上位プロトコルとはTCPやUDPなど、IPの上位に位置するプロトコルである。上位プロトコルとポート番号をセレクタに加えた場合、同じ宛先アドレスでも、上位プロトコルやポート番号が異なれば、複数のSAを登録できる。このため、同じ宛先アドレスに対する複数のSAについて、一方は第1のSADに、もう一方は第2のSADに登録される場合が存在する。ルーティングは宛先アドレスごとにしか指定することはできないので、両者をルーティングだけで区別することはできない。そこで、いずれのSADも参照するようにルーティングを設定しなければならない。
【0235】
すなわち、上位プロトコルとポート番号をセレクタに含むSAを登録する場合は、常に第2のIPSEC処理部に当該パケットが転送されるようにルーティングを設定する。こうすることで、仮にSAが第1のSADに登録されたとしても、当該パケットは第2のIPSEC処理部を通過し、ネットワーク−インタフェースを介して第1のIPSEC処理部に達する。そして、第1のIPSEC処理部が上記SAを適用し、IPSECパケットを生成することができる。
【0236】
また、上位プロトコルとポート番号をセレクタに含んでいても、同じ宛先アドレスを持つSAが存在しない場合は、そのSAを登録したSADに応じて、ルーティングを設定しても構わない。この場合、同じ宛先アドレスを持つ、別のSAを登録する際には、第2のIPSEC処理部に登録しなければならないことに注意する必要がある。この点について、もう少し詳しく説明する。上位プロトコルとポート番号をセレクタに含んでいても、同じ宛先アドレスを持つSA(複数存在しても良い)が、暗号通信装置内の同じSAD内に存在している場合は、宛先アドレスによってSAの登録先が特定できるので、そのSAが登録されているSADに応じて、ルーティングを設定しても良い。例えば、上記SAを第1のSADに登録している場合、ネットワークインタフェース20にルーティングすることにより、送信時に第2のIPSEC処理部を経由する必要がなくなり、負荷を軽減することがでる。しかしながら、同じ宛先アドレスを持つSAが、暗号通信装置内の複数のSADにまたがって登録されている場合は、宛先アドレスによってSAの登録先が特定できないため、第2のIPSEC処理部にルーティングするよう設定する。その結果、送受信とも第1のIPSEC処理部および第2のIPSEC処理部を通るので、いずれのSADに該当するSAが登録されていたとしても、そのSAを検出することができることになる。
【0237】
一方、上位プロトコルとポート番号をセレクタに含むSAを削除する場合、当該SAと同じ宛先アドレスを持つSAが、当該SAが登録されているSADに登録されていないか確認しなければならない。もし、別のSAが登録されていなければ、ルーティングは削除してもよいが、別のSAが登録されている場合、ルーティングは削除してはならない。この点について、もう少し詳しく説明する。上記2通りのルーティング設定方法に対応して、2通りの削除方法を選択できる。
(1)常に第2のIPSEC処理部にルーティング設定を行う場合において、上位プロトコルとポート番号をセレクタに含むSAの削除については、削除するSA以外に、削除するSAと同じ宛先アドレスを持つSAが、暗号通信装置内のいずれのSADにも登録されていなければ、ルーティング設定を削除してよい。一方、登録されている場合は、ルーティング設定を削除してはならない。また、(2)SAの登録状況によって、第1または第2のIPSEC処理部にルーティングを設定する場合では、削除するSAと同じ宛先アドレスを持つSAが、暗号通信装置内のSADに登録されているか、否かを確認したうえで、以下の(イ)〜(ニ)の処理を行えばよい。(イ)該当するSAが登録されていない場合には、ルーティング設定を削除する。(ロ)該当するSAが、削除するSAが登録されたSADのみに登録されている場合には、ルーティング設定は削除しない。(ハ)該当するSAが、削除するSAとは別のSADのみに登録されている場合には、別のSADに転送されるよう、ルーティングを設定しなおす。(ニ)該当するSAが、複数のSADにまたがって登録されている場合には、ルーティング設定は削除しない。
【0238】
上記各実施の形態の説明では、生成したSAをセレクタに対応づけ、次に、第1のSAD211、第2のSAD31のどちらで使用するかによって、SADの登録先を、SAに対応して決めるようにした。別のやり方として、セレクタに対応してSAを生成するとともに、セレクタに対応して登録先を決めるようにしてもよい。この場合、リキー処理などにより、使用するSAを暗号通信の途中で、定期的に切り替えるような場合にも、SAのみを更新し、SADの登録先は、そのままとすることができる。
【0239】
本発明は、パケットのヘッダ情報に対応したセキュリティパラメータが登録された第1のセキュリティデータベースと、前記第1のセキュリティデータベースに登録されたセキュリティパラメータに基づいて、通常のパケットをセキュアなパケットに変換して送信し、受信したセキュアなパケットを通常のパケットに変換する第1のセキュア処理部を有するネットワークインターフェースと、パケットのヘッダ情報に対応したセキュリティパラメータが登録された1つないし複数の(n−1)個(nは2以上の整数)の第i(i=2〜n)のセキュリティデータベースと、前記第iのセキュリティデータベースに登録されたセキュリティパラメータに基づいて、通常のパケットをセキュアなパケットに変換して前記ネットワークインターフェースに転送し、受信したセキュアなパケットを通常のパケットに変換する第iのセキュア処理部(i=2〜n)と、セキュリティパラメータのサービスクラスに基づいてセキュリティパラメータを前記第1〜第nのセキュリティデータベースのいずれかに登録する制御部とを有する暗号通信装置である。セキュア処理部としては、IPsec処理部が代表的であるが、これに限定はされず、他の処理方式でもよい。SADのようなセキュリティデータベースに登録するセキュリティパラメータも、SAに限定せず同様の機能を果たすパラメータなら適用できる。
【0240】
【発明の効果】
以上、本発明によれば、
(1)複数のセキュア処理部を備え、階層化して使用することにより、高速の暗号通信や低速の暗号通信要求に対して、セキュア処理部を柔軟に使い分けることができ、速度要求を満たすことが容易になり、CPUの処理能力も有効に活用できる。
【0241】
(2)サービスクラスを設け、さらに、クラスA、Bを設けることが可能になり、高速の暗号通信の要求に更に柔軟に対処できる。
【0242】
(3)第1のセキュア処理部で使用するSAを第2〜第nのSADにも登録し、登録先情報も記載しておくことにより、SAの検索や、SAのデータの移動の処理負担が低減できる。
【図面の簡単な説明】
【図1】実施の形態1に係るセキュリティ通信システムの構成図
【図2】実施の形態1、実施の形態4および実施の形態5に係る暗号通信装置の構成図
【図3】実施の形態1におけるパケットの通過経路を示す図
【図4】実施の形態1におけるSAの通過経路を示す図
【図5】実施の形態1における制御部のSAの登録処理を示すフローチャート
【図6】実施の形態1における制御部のSAの削除処理を示すフローチャート
【図7】実施の形態2における制御部のSAの登録処理を示すフローチャート
【図8】実施の形態2における制御部のSAの削除処理を示すフローチャート
【図9】実施の形態3に係るセキュリティ通信システムの構成図
【図10】実施の形態3に係る暗号通信装置の構成図
【図11】実施の形態3におけるサービスクラスおよびSAの登録処理の動作説明図
【図12】実施の形態3におけるパケット送信の動作説明図
【図13】実施の形態3におけるパケット受信の動作説明図
【図14】実施の形態3におけるサービスクラス登録処理を示すフローチャート
【図15】実施の形態3におけるSA登録処理を示すフローチャート
【図16】実施の形態3におけるSA削除処理を示すフローチャート
【図17】実施の形態3におけるサービスクラス削除処理を示すフローチャート
【図18】実施の形態3における第1のSADおよび第2のSADの状態遷移図
【図19】実施の形態3に係るセキュリティ通信ネットワークの構成図
【図20】SA登録先管理表とサービスクラス管理表の例を示す図
【図21】統合管理表の例を示す図
【図22】統合管理表のSA登録先管理表部分とサービスクラス管理表部分の例を示す図
【図23】第1のSAD管理表とルーティングテーブルの例を示す図
【図24】鍵交換部設定ファイルのデータの例を示す図
【図25】従来のIPsecを用いた暗号通信装置の構成図
【図26】従来のIPsecを用いた他の暗号通信装置の構成図
【図27】トランスポートモードによるIPsec暗号通信の電文構成例を示す図
【図28】トンネルモードによるIPsec暗号通信の電文構成例を示す図
【符号の説明】
10 セキュリティ制御部
11 鍵交換部
12 制御部
20 ネットワークインタフェース
21 第1のIPsec処理部
22 切り替え部
211 第1のSAD
30 第2のIPsec処理部
31 第2のSAD
40 パケット送受信部
41 経路制御部
50 ネットワークインタフェース
100〜102 暗号通信装置
103 WAN
200,201 暗号通信装置
202〜205 ホスト
206 WAN
207 LAN
208 LAN
300 暗号通信装置
310 鍵交換部
320 パケット送受信部
330 IPsec処理部
331 SAD
332 パケット処理部
333 暗号認証処理部
340 ネットワークインタフェース
350 IPsec処理部
351 SAD
【発明の属する技術分野】
本発明は、IPパケットの暗号化や認証、シーケンス番号の付与を行い、インターネット上において安全な情報の送受信を可能にするIPsecプロトコルにおいて、IPパケットからIPsecパケットを組み立てる機能、およびIPsecパケットからIPパケットを復元する機能を有する暗号化通信装置および暗号化通信方法に関する。
【0002】
【従来の技術】
近年、パーソナルコンピュータやインターネットの普及により、容易かつ安価にインターネット上に公開されるホームページによる情報提供や情報収集が可能になってきている。
【0003】
また、インターネットや企業間のイントラネットを介した電子メールの交換や、映像の配信、電子商取引や電子決済が一般化しつつある。
【0004】
このようなサービスを利用する場合、特に重要な情報を含む通信や個人のプライバシーに関わる情報の通信には、専用線並みのセキュリティの確保が求められる。
【0005】
上述したようなセキュリティを確保する技術の一例として、IPsecがあげられる。IPsecとは、ネットワーク層(OSI参照モデル第3層)で暗号化、認証を行うセキュリティプロトコルであって、インターネット技術標準化委員会(IETF)で標準化されている(RFC2401から2412、2451)。
【0006】
IPsec機能を搭載したコンピュータやルータ等のネットワーク接続装置を介してインターネットに接続することにより、インターネットのような広域ネットワーク上に仮想施設網(VPN)を構築できる。つまり、ユーザはセキュリティを意識することなく、安全にインターネットを利用することができる。
【0007】
IPsecを利用した通信を行うにあたって、どのような暗号アルゴリズムや認証アルゴリズムを使用するか、あるいは、どのような暗号鍵や認証鍵を使用するかなどを事前に送信側と受信側のIPsec機能を搭載したコンピュータやネットワーク接続装置間で整合をとっておく必要がある。
【0008】
この暗号アルゴリズムや認証アルゴリズム等のセキュリティパラメータの整合をとるためにIKE(Internet Key Exchange)と呼ばれるアプリケーションによって相互通信が行なわれる。その結果、整合のとれた暗号アルゴリズムや認証アルゴリズム等のセキュリティパラメータ値は、SA(Security Associsation)と呼ばれる枠組みによって保持され、IPsec処理部に通知される。SAは送信用と受信用の2つで1組であり、送信用と受信用とが同じ値である必要はない。また、IKEを用いて相互通信を行う代わりに、何からの方法(例えば、送信側と受信側とが電話等を用いてセキュリティパラメータを通知し合う等)によって整合のとれたSAを手動でそれぞれのIPsec処理部に設定しても構わない。
【0009】
IPsec処理部はSAで規定された暗号アルゴリズム、認証アルゴリズム、暗号鍵、認証鍵等に基づいて、送信するIPパケットをIPsecパケットに変換したり、受信したIPsecパケットをIPパケットに復元したりする。以下、IPパケットは、非暗号化パケット、すなわち、暗号化されない、あるいは、復号化されたパケットを指し、IPsecパケットは、暗号化されたパケットを指すことにする。
【0010】
以下に、図25を用いて従来のIPsecを用いた通信方法について説明する。
【0011】
図25は、従来のIPsecを用いた暗号通信装置の構成図である。図25に示すように、暗号通信装置300は、鍵交換部310、パケット送受信部320、IPsec処理部330、ネットワークインタフェース340から構成される。
【0012】
上記IKEに相当する鍵交換部310は、IPsec通信の通信相手と相互通信を行なってセキュリティパラメータ値の整合をとり、これらのセキュリティパラメータ値をSAとしてIPsec処理部330に通知する。
【0013】
IPsec処理部330はSAを格納するためのデータベースであるSAD331を有しており、鍵交換部310から受け取ったSAをSAD331に登録する。
【0014】
SADとはSPI(Security Parameter Index)やIPヘッダ情報をキーとしてSAを検索できるデータベースである。SAはセレクタとセキュリティパラメータから構成される。セレクタとはIPパケットのヘッダ情報から適用するSAを特定するための情報であり、セキュリティパラメータとは暗号アルゴリズムや暗号鍵、認証アルゴリズムや認証鍵、IPsecプロトコル(AHまたはESPの識別)、モード(トランスポートモードまたはトンネルモードの識別)等のIPパケットをセキュアなIPsecパケットに変換するための識別子やパラメータ値の集合である。
【0015】
ここで、AHとはそのIPパケット全体の認証を行うプロトコルであり、ESPとはペイロードの暗号・認証を行うプロトコルである。
【0016】
また、トランスポートモードとは、ホスト間のIPsec通信で用いられるモードである。ホストは暗号化、復号化の機能を有しており、ホスト自身が、元のIPパケットにIPsecプロトコルに応じたヘッダを付加してIPsecパケットとするモードである。トランスポートモードで作成される電文は、暗号化された送信電文に、IPsecヘッダを付加し、その上に、送信元のIPアドレスと宛先のIPアドレスの対を含むIPヘッダを付与した形となっている。トランスポートモードによる電文の各段階の形態を図27に示す。ホストとして機能する暗号通信装置SGW#1のパケット送受信部が、IPヘッダと電文本体であるペイロードとから構成される送信電文を作成し、SGW#1内のIPsec処理部が、ペイロードを暗号化し、IPsecヘッダを付加し、その上に、元のIPヘッダを付与したものを、ネットワークに送出する。受信側のホストである暗号通信装置SGW#2では、IPヘッダの宛先がSGW#2自身である電文を受信し、受信した電文のIPsecヘッダ内のSPI値を使ってペイロードの暗号化を解き、SGW#2のパケット送受信部は、元の電文を受け取る。暗号化や復号化の詳細については後述する。
【0017】
一方、トンネルモードとは、ゲートウェイなどのネットワーク接続装置間のIPsec通信に用いられるモードであり、ネットワーク接続装置が、元の非暗号化IPパケットを別のIPヘッダを持つIPsecパケットでカプセル化することでIPsecパケットとするモードである。トンネルモードで作成される電文は、IPヘッダを含む送信電文全体が暗号化された後、IPsecヘッダが付加され、その上に、暗号化処理を行った送信元と宛先を含むIPヘッダが新たに付加された形となる。送られる電文の各段階の形態を、図28に示す。
【0018】
セレクタには送信元のIPアドレス、宛先のIPアドレス、IPヘッダ内のプロトコル情報等が含まれる。IPアドレスの代わりに、サブネットワークを指すネットワークアドレスとサブネットマスクの組み合わせが使用される場合もある。したがって、IPパケットのヘッダ情報が、セレクタの設定値に一致するかセレクタで定められたサブネットワークに含まれるIPアドレスに含まれるならば、そのセレクタを持つSAが検索結果として得られることになる。
【0019】
一方、SPIはSAを識別するための識別子である。宛先アドレスが等しいSAは必ず異なるSPI値を持ち、全てのIPsecパケットは必ずSPI値を有する。
【0020】
したがって、ある宛先アドレスを持つIPsecパケットに適用されているSAは、その宛先アドレスを持つホスト装置やネットワーク接続装置上では、SPI値をキーとしてSADを検索することにより誤りなく特定できる。
【0021】
次に、パケットの送信処理について説明する。
【0022】
パケット送受信部320が送信用IPパケットを生成すると、IPsec処理部330に転送される。IPsec処理部330はSAD331、パケット処理部332、暗号認証処理部333を有する。パケット処理部332はIPパケットを受け取ると、IPヘッダ情報をキーとしてSADを検索してIPパケットに対応したSAを獲得する。さらに、SAに記録されたセキュリティパラメータに従ってIPsecパケットを生成する。また、この生成において、IPsecパケットヘッダが付加される。IPパケットヘッダには、使用したSAに対応してあらかじめ決められたSPI値を書き込まれる。SPI値は、受信の際に使用する。IPsecパケットの生成処理において、セキュリティパラメータに基づく暗号化や認証処理は暗号認証処理部333が行う。生成されたIPsecパケットはネットワークインタフェース340に転送されて通信相手に送信される。
【0023】
次に、パケットの受信処理について説明する。
【0024】
ネットワークインタフェース340がパケットを受信すると、IPsec処理部330に転送され、パケット処理部332がパケットのヘッダ情報を解析して自分宛のパケットであることを確認した後、IPsecパケットであるか否かを確認する。
【0025】
IPsecパケットであれば、パケットからSPI値を獲得し、そのSPI値をキーとしてSAD331を検索してパケットに対応したSAを獲得する。さらに、パケットを暗号認証処理部333に送ってSAに定められたセキュリティパラメータに基づいて復号化や認証処理を行い、IPパケットを復元する。復元されたIPパケットは、パケット送受信部320に送られる。パケット送受信部320は、受け取ったIPパケットから電文データを取り出し、図示しない所定のアプリケーションに渡す。アプリケーションは、受け取った電文データを利用する。
【0026】
以上説明したように、IPsec処理部330はSAD331を有し、送信するIPパケットのIPヘッダ情報をキーにSAD331を検索することで、IPパケットに対応するSAを特定する。また、受信したIPsecパケットに含まれるSPI値をキーにSADを検索することで、IPsecパケットに対応したSAを特定する。
【0027】
このように、IPsec処理部330は上記検索によって獲得したSAで定められたセキュリティパラメータに基づいて、IPパケットを暗号化してIPsecパケットを生成したり、IPsecパケットからIPパケットの復元を行ったりする。
【0028】
また、IPsec処理にはSAで規定されたセキュリティパラメータに基づくパケットの暗復号化や認証処理が含まれる。この暗復号化や認証処理はパケットごとに実行され、CPUに非常に大きな負荷をかけたり、多くのシステムバス帯域を消費する。このため、IPsec処理部330の実装方法として、全ての処理をソフトウェアで行う実装や暗号認証処理部333をハードウェア化した実装がある。これらの実装方法では、SAD331をメインメモリ上に構築するため多くのSAを登録することができ、一度に多くの通信相手と通信することができる。
【0029】
しかし、全ての処理をソフトウェアで行う実装では、CPU負荷が高いためにスループットが低く、IPsec処理による遅延時間も大きくなる。
【0030】
また、暗号認証処理部333のみをハードウェア化した実装では、メインメモリ上にある暗復号化や認証処理前のパケットデータをハードウェア化された暗号認証処理部333に転送して暗復号化や認証処理を行った後に、ハードウェア化された暗号認証処理部333から暗復号化や認証処理後のパケットデータをメインメモリ上に転送し、CPUにより暗号認証処理以外のIPsec処理を行う必要があり、IPsec処理を行わないIPパケットの処理の場合に比べてCPU負荷は高くなり、システムバス帯域の消費も多くなってスループットの向上も限られる。
【0031】
そこで、CPU負荷やシステムバス帯域の消費を低減して高スループットを実現するために、IPsec処理全体を実行するハードウェアと専用のSADを有したネットワークインタフェースが開発されている。
【0032】
図26は、このようなネットワークインタフェースを用いた従来の暗号通信装置の構成図である。
【0033】
図26において、IPsec処理部350は、SAD351および図25におけるパケット処理部332や暗号認証処理部333に相当する機能部を有している。
【0034】
図26における暗号通信装置では、IPsec処理がネットワークインタフェース340上で実行されるため、CPUがIPsec処理を行う必要がなく、このため、暗復号化や認証処理のためのシステムバスの消費やCPU周辺のデータ転送の必要性がない。
【0035】
したがって、上記のようなネットワークインタフェースを有する暗号通信装置では、通常のIPパケットを送受信する場合と同じCPU負荷、同じシステムバス帯域の消費でIPsec通信を行なえ、CPU能力やシステムバス帯域が低くても高スループットを実現することができる。
【0036】
また、別の従来例として、CPUをスレッドごとに切り分けてマルチタスクを実行するようにし、優先度の高い暗号通信には、カーネル部での処理を割り当て、更に、割り当てるスレッドの数を優先度に応じて制御することにより、見かけのCPU数を優先度に対応して制御する方法がある(例えば、特許文献1参照)。
【0037】
【特許文献1】
特開2001−344228号公報 (第3−5頁、第1図)
【0038】
【発明が解決しようとする課題】
しかしながら、図26に示したような従来の暗号通信装置では、SADがハードウェア化されたIPsec処理部内の専用メモリであるため、登録できるSA数が限られてしまう。例えば、SADのエントリ数が送信用、受信用共に2の場合、同時に登録できるSA数も共に2となり、同時に2箇所の通信相手としかIPsec通信が行えない。すなわち、高スループットが必要でなくとも、同時に3箇所以上の通信相手とのIPsec通信が行えないことになる。また、SADに登録可能なSA数を増加させるために多くのメモリを搭載すると、コストアップにつながってしまう。
【0039】
一方、ソフトウェアのみによる実装や、暗復号や認証処理のみを行うハードウェアを用いた実装では、SADがメインメモリ上に構築されているため、SADに一度に多くのSAを登録でき、多くの通信相手とIPsec通信を行うことができるが、高スループットや低遅延を実現することは困難であり、高スループットや低遅延を必要とするIPsec通信には対応できない。
【0040】
以上に述べたように、従来の暗号通信装置では、多くの通信相手にIPsec通信を提供するためにメインメモリ上のSADを使用する場合は高速処理が必要なIPsec通信を提供することができず、一方、高速処理が必要なIPsec通信を提供するためにハードウェア上に実装されたSADを使用する場合はSA数が制限されて多くの通信相手にIPsec通信を提供することができない。
【0041】
また、特許文献1では、CPUを見かけ上複数にしているので、全体として処理能力の大幅な向上は容易ではない。
【0042】
そこで、本発明は、多くの通信相手に高速処理が不要なIPsec通信を提供しつつ高速処理が必要なIPsec通信を提供し、さらに、高速処理可能なSA数も増加させた暗号通信装置を提供することを目的とする。
【0043】
【課題を解決するための手段】
上記課題を解決するために、請求項1記載の発明によれば、ネットワークインタフェース上に実装した、高速処理可能だが登録可能なセキュリティパラメータの少ない第1のセキュリティデータベースを有した第1のセキュア処理部に加え、第n(n=2、3、…)のセキュリティデータベースを備え、第1のセキュア処理部に比べて処理が低速であるが多くのセキュリティパラメータを登録できる第nのセキュア処理部と、セキュリティパラメータごとに定められたサービスクラスに基づき、各セキュリティパラメータを第1から第nのセキュリティデータベースに登録する制御部を有する。この結果、高速処理が必要なセキュリティパラメータと高速処理が不要なセキュリティパラメータに異なるサービスクラスを設定することにより、高速処理が必要なセキュリティパラメータだけを第1のセキュリティデータベースに、それ以外を第nのセキュリティデータベースに登録でき、高速処理が不要なセキュリティ通信を提供しつつ、高速処理が必要なセキュリティ通信を同時に提供することが可能となる。
【0044】
また、請求項2記載の発明によれば、ネットワークインタフェース上に実装した、高速処理が可能だが登録可能なSA数の少ない第1のSADを有した第1のIPsec処理部に加え、第1のIPsec処理部に比べて処理が低速であるが登録可能なSA数が多い第n(n=2、3、…)のIPsec処理部を備え、SAごとに規定されたサービスクラスに基づいて各SAを第1から第nのSADに登録する制御部を有する。その結果、高速処理を必要としないIPsec通信のSAを第nのIPsec処理部に登録してIPsec通信の処理を実行させることで、高スループットや低遅延での処理が可能な第1のIPsec処理部に登録できるSA数を増加させることが可能となる。
【0045】
また、請求項3記載の発明によれば、経路制御部を設け、制御部がSAの登録先に応じて経路情報を経路制御部に通知することにより、第1のIPsec処理部にてIPsec処理が実行されるべきIPパケットを、第nのIPsec処理部を介することなく第1のIPsec処理部に転送できるため、暗号通信装置のCPU負荷を低減させることが可能となる。
【0046】
また、請求項6記載の発明によれば、サービスクラスとしてクラスAを設け、制御部がクラスAに属するSAを、第1のSADに空きエントリがある場合は第1のSADに登録し、空きエントリが無い場合は第2のSADに登録し、第j(2≦j≦n−1)のSADにも空きエントリが無い場合は第j+1のSADに登録することで、第1のSADに空きエントリがある場合のみ、当該SAは第1のIPsec処理部にて処理されるため、暗号通信装置のCPU負荷を低減させることが可能となる。
【0047】
また、請求項10記載の発明によれば、サービスクラスとしてクラスBを設け、クラスBのサービスクラス情報登録時に制御部は第1のSADの空きエントリを予約することで、後に第1のSADにクラスBのSA登録を実行する際には必ず空きエントリが確保されており、第1のSADへのSA登録を保証することが可能となる。
【0048】
また、請求項16記載の発明によれば、第2のSADが、第2のSADに登録されたSAに加えて、第1のSADに登録されたSAも併せて保持することで、第1のSADから第2のSADにSAを移動する場合、登録先を変更するのみで良く、SAそのものを移動する必要がない。このため、SA移動の処理時間を短縮することが可能となる。
【0049】
また、請求項17記載の発明によれば、ネットワークインタフェース内に切り替え部を設け、制御部からの指示によりネットワークインタフェースから第1のIPsec処理部を切り離すことにより、第1のIPsec処理部が故障した場合でも、第2のSADに登録されていたSAを用いることで、サービス品質は低下するものの、サービスを継続することが可能となる。
【0050】
また、請求項24記載の発明によれば、制御部はSAで指定されたQOSパラメータ値と第m(1≦m≦n−1)の閾値との比較結果から、登録するSADを特定することで、ユーザはIPsec通信に求めるスループットや遅延時間等のQOSパラメータ値を指定するだけでサービスクラスを判断する必要がなく、自動的にSAがQOSパラメータ値を満たすIPsec処理部のSADに登録される。
【0051】
【発明の実施の形態】
(実施の形態1)
図1は、本実施の形態に係る暗号通信装置を用いたセキュリティ通信システムの構成図である。
【0052】
図1に示したように、暗号通信装置100は、インターネット等のWAN103で他の暗号通信装置101、102と接続されている。ここで、暗号通信装置100〜103は、パーソナルコンピュータやIP電話機などの通信機能を持った端末であればよい。
【0053】
本実施の形態では、暗号通信装置100が、暗号通信装置101、102とIPsec通信を行う通信端末である場合、すなわち、トランスポートモードの場合を例にとって説明する。すなわち、IPsec処理は暗号通信装置100〜102において実行される。
【0054】
図2は、本実施の形態に係る暗号通信装置100の構成図である。まず、各構成要素の機能について説明し、そのあと、全体的な動作について説明する。
【0055】
図2において、パケット送受信部40は、送信データをIPパケットとして生成したり、受信したIPパケットから受信データを抽出したりする。
【0056】
ネットワークインタフェース20は、第1のIPsec処理部21を有する。ここで、第1のIPsec処理部21はハードウェアで構成されており、第1のSAD211を有する。第1のSAD211は、送信用、受信用にそれぞれ2つのエントリを持ち、合計4つのSAを登録することができる。
【0057】
第1のIPsec処理部21は、パケット送受信部40が生成した送信用IPパケットをネットワークインタフェース20から受け取ると、IPヘッダ情報をキーに第1のSAD211を検索して対応するSAの有無を確認する。対応するSAが存在すれば、SAに従ってIPパケットからIPsecパケットを生成してネットワークインタフェース20に渡す。ネットワークインタフェース20は、WAN103を介して、渡されたIPsecパケットを送信する。
【0058】
また、第1のIPsec処理部21は、ネットワークインタフェース20がWAN103を介して受信したIPsecパケットを受け取ると、自分宛のパケットの場合、IPsecパケット内のSPI値をキーに第1のSAD211を検索して対応するSAの有無を確認する。対応するSAが存在すれば、SAに基づいてIPsecパケットからIPパケットを生成してネットワークインタフェース20を介して第2のIPsec処理部30に渡す。SAが存在する場合、あるいは、しない場合の全体の動作については後述する。
【0059】
なお、第1のIPsec処理部21は、ネットワークインタフェース20から送信用のIPsecパケットを受け取ってもヘッダ情報から、暗号化済のIPsecパケットであることが判明するため、IPsec処理を行うことはない。同様に、ネットワークインタフェース20からWAN103を介して受信したIPパケットを受け取ってもSPI値が含まれないため、誤ってIPsec処理を行うことはない。
【0060】
第2のIPsec処理部30は、主にソフトウェアで構成されており、第2のSAD31を有する。第2のSADには、メインメモリのサイズが許す限りでSAを登録することができる。
【0061】
送信の場合、第2のIPsec処理部30は、パケット送受信部40から送信用IPパケットを受け取ると、IPヘッダ情報をキーに第2のSAD31を検索して対応するSAの有無を確認する。対応するSAが存在すれば、SAに基づいてIPパケットからIPsecパケットを生成してネットワークインタフェース20に渡す。
【0062】
また、受信の場合、第2のIPsec処理部30は、ネットワークインタフェース20からWAN103を介して受信したIPsecパケットを受け取ると、IPsecパケット内のSPI値をキーに第2のSAD31を検索して対応するSAの有無を確認する。対応するSAが存在すれば、SAに基づいてIPsecパケットからIPパケットを生成してパケット送受信部40に渡す。SAが存在する場合、あるいは、しない場合の全体の動作については後述する。
【0063】
なお、第2のIPsec処理部30は、WAN103を介して受信したIPパケットをネットワークインタフェース20から受け取ると、IPパケットにはSPI値がないのでそのままパケット送受信部40に渡す。
【0064】
セキュリティ制御部10は、鍵交換部11と制御部12から構成される。鍵交換部11は通信相手の暗号通信装置101、102とセキュリティ通信を行うためのIPsecで使用するプロトコル、モード、暗号アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵等のパラメータをネゴシエーションし、セキュリティアソシエーション(SA)として制御部12に通知する。ネゴシエーションは、鍵交換部11が、WAN103を介して、通信相手の暗号通信装置101、102と所定のプロトコルを用いて所定の手順により行われる。
【0065】
SAはセレクタとセキュリティパラメータから構成される。セレクタとはSAを適用するIPパケットを特定する情報であり、少なくとも送信元のIPアドレス、宛先のIPアドレスが含まれる。IPアドレスの代わりに、サブネットを示すサブネットアドレスとサブネットマスクの組が用いられる場合もある。セキュリティパラメータとは、IPパケットからどのようなIPsecパケットを生成するかを決定する情報であり、SAの識別子として使用するSPI(セキュリティパラメータインデックス)、IPsecプロトコル種別(AHまたはESP)、モード(トランスポートモードまたはトンネルモード)、暗号アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵、有効期限等から構成される。
【0066】
鍵交換部11は、SAとSAごとに定められたサービスクラスを制御部12に通知する。サービスクラスとは、SAによって提供されるIPsec通信に求められるスループットや遅延時間等の要求条件に基いて、そのIPsec通信を第1のIPsec処理部で実行するか、第2のIPsec処理部で実行するか、を定めたものである。
【0067】
本実施の形態では、サービスクラスとしては、第1のIPsec処理部を用いてIPsec通信を行う第1のクラスと第2のIPsec処理部を用いてIPsec通信を行う第2のクラスがあるものとする。
【0068】
制御部12は、鍵交換部11からサービスクラスとSAを受け取ると、サービスクラスに基づいてSAを第1のSAD211または第2のSAD31のいずれかに登録する。
【0069】
図3は、本実施の形態におけるパケットの通過経路を示す図である。
【0070】
以下に、図3を用いてパケット送信時の動作について説明する。
【0071】
図3において、パケット送受信部40が、IPパケットXを生成して第2のIPsec処理部30に渡す。第2のIPsec処理部30は、IPパケットXのヘッダ情報に基づき第2のSAD31を検索する。IPパケットXのIPヘッダに記載された送信元IPアドレス、宛先IPアドレスが第2のSAD31に登録されているSAのセレクタに設定された値と一致するか、あるいは、セレクタに範囲を示す値が設定されているときにはその範囲内の値である場合にそのSAがIPパケットXに対応するSAとなる。
【0072】
まず、IPパケットXに対応するSAが第2のSAD31に登録されている場合について説明する。
【0073】
第2のIPsec処理部30は、SAで定められたセキュリティパラメータに基づいてIPパケットXの暗号化や認証処理を行ってIPsecパケットX’を生成してネットワークインタフェース20に渡し、ネットワークインタフェース20は、IPsecパケットX’を第1のIPsec処理部21に渡す。
【0074】
第1のIPsec処理部21は、受け取ったIPsecパケットX’のヘッダ情報に基づき第1のSAD211を検索する。ここで、IPsecパケットX’のIPヘッダのプロトコルフィールドにはESPまたはAHのいずれかが設定されており、AHやESPが一般のIPパケットとは区別できるIPsecパケット特有のプロトコルであるために誤ったSAが検索されることはない。なぜなら、AHやESPにより、すでに暗号化されたIPsecパケットであることが分り、SAを検索する必要がないし、検索しても、対応するSAは、第2のSAD31にあって、第1のSAD211にはないため、見つからないからである。そのため、第1のIPsec処理部21はIPsecパケットX’をそのままネットワークインタフェース20に渡し、ネットワークインタフェース20は、WAN103を介してIPsecパケットX’を送信する。
【0075】
次に、IPパケットXに対応するSAが第2のSAD31に登録されていない場合について説明する。
【0076】
第2のIPsec処理部30は、SAが第2のSAD31に登録されていないため、IPsec処理を行うことなく、IPパケットXをそのままネットワークインタフェース20に渡す。
【0077】
ネットワークインタフェース20は、IPパケットXを第1のIPsec処理部21に渡し、IPパケットXのヘッダ情報に基づき第1のSAD211を検索する。IPパケットXのIPヘッダに記載された送信元IPアドレス、宛先IPアドレスが第1のSAD211に登録されているSAのセレクタの設定値に一致するか、あるいは、セレクタに範囲を示す値が設定されているときにはその範囲内の値である場合にそのSAがIPパケットXに対応するSAとなる。
【0078】
ここで、IPパケットXに対応するSAが第1のSAD211に登録されていて見つかれば、第1のIPsec処理部21はSAのセキュリティパラメータに基づいてIPパケットXからIPsecパケットX’を生成し、ネットワークインタフェース20を介してWAN103に送信する。
【0079】
一方、IPパケットXに対応するSAが第1のSAD211に登録されていなければ、暗号通信が不要なパケットであると判断して、第1のIPsec処理部21はネットワークインタフェース20を介してIPパケットXをそのままWAN103に送信する。
【0080】
次に、図3を用いてパケット受信時の動作について説明する。
【0081】
ネットワークインタフェース20は、WAN103を介して受信したIPsecパケットX’を第1のIPsec処理部21に渡す。第1のIPsec処理部21は、IPsecパケットX’のヘッダ情報を解析してIPsecパケットであるか否かを判断する。IPsecパケットである場合には、IPsecパケットのIPsecヘッダ内に含まれるSPI値に基づき第1のSAD211を検索する。同じSPI値を持つSAが登録されていれば、そのSAがIPsecパケットX’に対応したSAとなる。第1のIPsec処理部21は、そのSAのセキュリティパラメータに基づいてIPsecパケットX’からIPパケットXを復元し、ネットワークインタフェース20を介してパケット送受信部40に転送する。パケット送受信部40は、IPパケットXのヘッダ解析を行って通常のIPパケットであることが判明するとIPパケットXを受信し、抽出した電文を対応するアプリケーションに電文を渡す。
【0082】
次に、IPsecパケットX’に対応するSAが第1のSAD211に登録されていない場合について説明する。この場合は、第1のIPsec処理部21は、ネットワークインタフェース20を介してIPsecパケットX’をそのままパケット送受信部40に転送する。パケット送受信部40はIPsecパケットX’のヘッダ解析を行った結果、プロトコルにAHまたはESPが設定されていることを検出するとIPsecパケットX’がIPsecパケットであると判定して第2のIPsec処理部30に転送する。第2のIPsec処理部30はIPsecパケットX’のヘッダ情報を解析してIPsecパケットであるか否かを判断する。IPsecパケットである場合には、パケットに含まれるSPI値に基づいて第2のSAD31を検索する。IPsecパケットに対応するSAが見つかれば、そのSAのセキュリティパラメータに基づいてIPsecパケットX’からIPパケットXを復元し、パケット送受信部40に転送する。パケット送受信部40は、IPパケットXのヘッダ解析を行って、AH、ESPが設定されていない通常のIPパケットであると判断するとそのIPパケットXを受信し、電文を抽出しアプリケーションに渡す。
【0083】
また、ネットワークインタフェース20が暗号化されていないIPパケットXを受信した場合には、第1のIPsec処理部21がヘッダ解析を行ってIPsecパケットでないと判断するとネットワークインタフェース20を介してそのIPパケットXをパケット送受信部40に転送する。パケット送受信部40はヘッダ解析を行ってXがIPパケットであると判断するとそのIPパケットXを受信し、電文を抽出しアプリケーションに渡す。
【0084】
以上のように、IPパケットからのIPsecパケット生成やIPsecパケットからのIPパケット復元が、第1のIPsec処理部21で行われるか、第2のIPsec処理部30で行われるかは、IPパケットやIPsecパケットに対応したSAが第1のSAD211に登録されているか、第2のSAD31に登録されているか、で決定される。
【0085】
第1と第2のIPsec処理部のどちらを使用するかについては、サービスクラスにより選択する。サービスクラスは、ネゴシエーションにおいて生成したSAをSADに登録する際に決定する。制御部12のサービスクラスに基づくSAの登録処理を図4、5を用いて説明する。
【0086】
なお、SAとサービスクラスの組は送信用と受信用の2組から成るが、登録処理は送信用でも受信用でも同じであるため、送信用についてのみ説明する。
【0087】
<SAの登録処理>
ステップ1で、制御部12が鍵交換部11からサービスクラスとSAの組を受け取る。ステップ2で、制御部12がサービスクラスを確認し、第1のクラスならばステップ3に進む。ステップ3で、制御部12が第1のSAD211の空きエントリの有無を調べ、空きエントリがあればステップ4に進み、空きエントリがなければSA登録をエラー終了する。ステップ4で、第1のSAD211の空きエントリにSAを登録し、処理を終了する。
【0088】
ステップ2の判定において、サービスクラスが第2のクラスならば、ステップ5で、第2のSAD31にSAを登録し、処理を終了する。
【0089】
以上のように、制御部12が、鍵交換部11からSAとサービスクラスの組を受け取ると、サービスクラスに基づいてSAを第1のSAD211または第2のSAD31に登録し、第1のIPsec処理部21または第2のIPsec処理部30が登録されたSAに基づいてIPパケットからIPsecパケットを生成する。
【0090】
これによって、暗号通信装置100は、暗号通信装置101、102との間でサービスクラスに従ったIPsec通信を実現できる。
【0091】
次に、制御部12のSAの削除処理を図6を用いて説明する。
【0092】
なお、削除するSAは鍵交換部11から指定されたものとする。
【0093】
<SAの削除処理>
ステップ1で、制御部12が鍵交換部11から削除するSA、または、SAのセレクタを受け取る。
【0094】
ステップ2で、制御部12が第1のSAD211を検索して指定されたSAが登録されているか否かを確認し、登録されていればステップ3へ、登録されていなければステップ4へ移る。
【0095】
ステップ3で、制御部12が指定されたSAを第1のSAD211から削除し、処理を終了する。
【0096】
ステップ2で、SAが第1のSADに登録されていなければ、ステップ4で、制御部12が指定されたSAを第2のSAD31から削除し、処理を終了する。
【0097】
以上、本実施の形態で説明したように、制御部12がサービスクラスに基づいてSAを第1のSAD211または第2のSAD31に登録することで、第1のIPsec処理部21または第2のIPsec処理部30はSAに基づくIPsec処理を行うことができる。さらに詳細に述べると、第1のクラスに属するSAは第1のIPsec処理部21によって、第2のクラスに属するSAは第2のIPsec処理部30によってIPsec処理されることになる。
【0098】
すなわち、高スループットや低遅延を要するIPsec通信用のSAを第1のクラスに、それ以外のSAを第2のクラスに設定することで、高スループットや低遅延が求められるIPsec通信とそれ以外の多数のIPsec通信とを両立させることができる。
【0099】
(実施の形態2)
以下に、本実施の形態について図2を用いて説明する。本実施の形態2では、新たなサービスクラスであるクラスAを導入し、より柔軟なIPsec処理部の選択を可能にする。
【0100】
図2において、制御部12以外は実施の形態1と同じ構成である。制御部12はSA登録先管理表を有する。SA登録先管理表とは、第1のSAD211または第2のSAD31に登録したすべてのSAについて、送信元IPアドレスと宛先IPアドレスの対、SPI、サービスクラス、登録先(第1のSADまたは第2のSAD)の組を登録先情報として管理するための管理表である。送信元IPアドレスと宛先IPアドレスの対の代わりに、SA端点の宛先IPアドレスを用いてもよい。ここで、SA端点とは、暗号化、復号化のためにSAを使用する暗号通信装置の位置のことであって、送信SA端点と受信SA端点があり、それぞれ、送信元IPアドレスと宛先IPアドレスにより位置を表現できる。
【0101】
また、本実施の形態では、サービスクラスとして実施の形態1で説明した第1のクラス、第2のクラスに、クラスAを加える。クラスAでは、第1のIPsec処理部20で実行可能な場合は、第1のIPsec処理部で実行し、それ以外の場合は第2のIPsec処理部30で実行する。
【0102】
まず、図7のフローチャートを用いて制御部12によるSAの登録処理について説明する。
【0103】
<SAの登録処理>
ステップ1で、制御部12が鍵交換部11からサービスクラスとSAを受け取る。
【0104】
ステップ2で、制御部12が登録するSAのサービスクラスを確認し、第1のクラスまたはクラスAであればステップ3に移る。第2のクラスであればステップ8に移り、ステップ8において、第2のSADに受理したSAを登録し、SA登録先管理表にSAのSPI、SAのサービスクラス、登録先(第1のSAD211)の組を登録して、処理を終了する。
【0105】
ステップ3で、制御部12が第1のSAD211の空きエントリの有無を確認し、空きエントリがあればステップ4に進み、空きエントリがなければステップ5に移る。
【0106】
ステップ4で、制御部12がステップ1で受け取ったSAを第1のSAD211の空きエントリに登録し、SA登録先管理表にSAのSPI、SAのサービスクラス、登録先(第1のSAD211)の組を登録して、処理を終了する。
【0107】
ステップ3において第1のSADに空きエントリがない場合、ステップ5で、制御部12が登録するSAのサービスクラスを確認し、第1のクラスであればステップ6に進む。クラスAであればステップ8に移り、第2のSADに受理したSAを登録し、SA登録先管理表にSAのSPI、SAのサービスクラス、登録先(第1のSAD211)の組を登録して、処理を終了する。
【0108】
ステップ6では、受理したクラスが第1のクラスであるので、制御部12がSA登録先管理表を参照して第1のSAD211にクラスAに属するSAが登録されているか否かを確認し、登録されていればそれらのSAの中から1つを選びSA’としてステップ7に進み、登録されていなければSAの登録が不可能であるので、エラーとして鍵交換部11にエラー応答を返す。
【0109】
ステップ7で、ステップ6で選択されたSA’を第1のSAD211から削除して第2のSAD31に登録し、SA登録先管理表の内容を更新する。具体的には、SA’のSPI値に基づきSA登録先管理表を検索し、SA’の登録先情報の登録先を「第2のSAD31」と更新する。これによって、第1のSAD211に空きエントリができる。次に、ステップ4に移り、上記ステップ4の処理を行い、登録処理を終了する。
【0110】
以上説明したように、クラスAに属するSAは、第1のSAD211に空きエントリがある場合には第1のSAD211に登録され、第1のIPsec処理部21でIPsec処理されるので暗号通信装置のCPU負荷が軽減される。一方、第1のSAD211に空きエントリが無い場合には第2のSAD31に登録され、第2のIPsec処理部30でIPsec処理されるので第1のSAD211に空きエントリが無くてもIPsecによる通信は可能となる。
【0111】
また、第1のクラスに属するSAを登録する場合、第1の実施の形態におけるSAの登録処理に対してステップ6、7が追加されているため、第1のSAD211に空きエントリが無くても第1のSAD211にクラスAに属するSA’が登録されていれば、そのSA’を第2のクラスに移して第1のクラスに空きを作ることにより、第1のクラスに属するSAを第1のSAD211に登録することができる。
【0112】
次に、図8のフローチャートを用いて制御部12によるSAの削除処理について説明する。
【0113】
<SAの削除処理>
ステップ1で、制御部12が鍵交換部11から削除するSAを受け取る。
【0114】
ステップ2で、制御部12が削除するSAのSPI値に基づいてSA登録先管理表を検索して削除するSAの登録先を取得し、登録先が第1のSAD211ならステップ3に、第2のSAD31ならステップ6に移る。
【0115】
ステップ3で、制御部12が削除するSAを第1のSAD211から削除し、さらに、SA登録先管理表から削除したSAの登録先情報を削除してステップ4に移る。
【0116】
ステップ4で、制御部12がSA登録先管理表を参照して第2のSAD31にクラスAに属するSAが登録されているか否かを確認し、登録されていればそれらのSAの中から1つを選びSA’としてステップ5に移り、登録されていなければ処理を終了する。
【0117】
ステップ5で、制御部12がSA’を第2のSAD31から削除して第1のSAD211に登録し、SA’のSPI値に基づきSA登録先管理表のSA’の登録先を「第1のSAD」に更新して処理を終了する。
【0118】
ステップ6で、制御部12が第2のSAD31からSAを削除し、SAのSPI値に基づきSA登録先管理表からSAの登録先情報を削除して処理を終了する。
【0119】
以上説明したように、第1の実施の形態におけるSAの削除処理にステップ4、5が追加されているため、第2のSAD31にクラスAに属するSA’が登録されている場合に第1のSAD211から第1のクラスに属するSAを削除するとSA’が第2のSAD31から第1のSAD211に登録される。その結果、第1のIPsec処理部21がSA’の処理を行うことになって暗号通信装置100のCPU負荷が軽減される。
【0120】
(実施の形態3)
図9は、本実施の形態に係るセキュリティ通信システムの構成図である。
【0121】
図9において、ホスト202はLAN207でホスト203および暗号通信装置200と接続されており、暗号通信装置200を経由して外部のインターネットやイントラネット等のWAN206に接続されている。このWAN206には他の暗号通信装置201が接続されており、暗号通信装置201にはLANを介してホスト204、205が接続されている。ここで、暗号通信装置200、201はルータ、ゲートウェイ等のVPN専用装置等である。またホスト202〜205はパーソナルコンピュータ、IP電話機等の通信機能を持った端末であればよく、セキュリティ通信機能を有する必要はない。
【0122】
以下では、暗号通信装置200、201間でトンネルモードのIPsec通信を行うものとして説明を行う。
【0123】
図10は、暗号通信装置200の構成図である。
【0124】
図10で示された暗号通信装置200は、セキュリティ制御部10、ネットワークインタフェース20、第2のIPsec処理部30、パケット送受信部40、ネットワークインタフェース50で構成されている。まず、各構成要素の基本的な機能について説明する。その後で、全体的な動作について説明する。
【0125】
ネットワークインタフェース50は、LAN207と接続されてホスト202、203とIPパケットの送受信を行う。ネットワークインタフェース20は実施の形態1で説明したネットワークインタフェースと同様の機能を有し、更に切り替え部22を備え、WAN206と接続されている。切り替え部22は、通常、ネットワークインタフェース20が受け取ったIPパケットやIPsecパケットを第1のIPsec処理部21に転送するが、制御部12からのバイパス指示があるとIPパケットやIPsecパケットを第1のIPsec処理部21を介さずにWAN206やパケット送受信部40に転送する。第2のIPsec処理部30は、実施の形態1で説明した第2のIPsec処理部と同様の機能を有する。パケット送受信部40は、実施の形態1で説明したパケット送受信部の機能を備え、さらに、経路制御部41を有する。経路制御部41は、ルーティングテーブルを有しており、ネットワークインタフェース20、50が受信したIPパケットやパケット送受信部40が生成したIPパケットをそのルーティングテーブルに基づいて転送する。転送先は、ネットワークインタフェース20、第2のIPsec処理部30、ネットワークインタフェース50、パケット送受信部40自身のいずれかである。セキュリティ制御部10は、鍵交換部11と制御部12から構成される。鍵交換部11は、あらかじめ鍵交換部用設定ファイル等に記述されたサービスクラス情報や暗号通信装置201とのネゴシエーションによって決定したSAを制御部12に通知する。鍵交換部用設定ファイルの例を図24に示す。制御部12は、サービスクラス管理表と第1のSAD管理表を有し、サービスクラス管理表にはセレクタ、サービスクラス、サービスクラス情報識別子の組がサービスクラス情報として登録されており、セレクタはSAで規定されたセレクタの送信元IPアドレスと宛先IPアドレスとから構成される。なお、IPアドレスの代わりにサブネットを示すサブネットアドレスとサブネットマスクの組を用いても良い。
【0126】
本実施の形態では、サービスクラスとして実施の形態2で説明したクラスAに加え、クラスBを追加する。クラスBでは、サービスクラス情報登録時に第1のSAD211の空きエントリを予約しておき、SA登録時に予約した空きエントリにSAを実際に登録することでサービスクラス情報登録時に第1のSAD211へのSA登録を保証するサービスクラスである。なお、本実施の形態では、第1のSAD211上で予約できる空きエントリ数を送信用、受信用共に1とする。また、サービスクラス情報識別子とは、サービスクラス情報を区別するために用いる識別子であって0以外の値を持つ。なお、本実施の形態では、送信と受信では異なるサービスクラスを使用するものとすることで、サービスクラス管理表は送信用、受信用のエントリを持ち、送信用と受信用とでは送信元IPアドレスと宛先IPアドレスが逆になる点を除いて構成は同じになる。送信側のサービスクラス管理表の一例を図20(2)に示す。
【0127】
第1のSAD管理表は、第1のSAD211のエントリごとにSA登録の有無、サービスクラス情報識別子、SPI値の組を保持する管理表であり、SA登録の有無には、そのエントリにSAが登録されていれば「有」に、登録されていなければ「無」に設定される。サービスクラス情報識別子には、そのエントリがクラスBによって予約されていればそのサービスクラス情報識別子が、そうでなければ「0」が設定される。SPI値には、そのエントリにSAが登録されていればそのSPI値が、登録されていなければ「0」が設定される。宛先アドレスを追加してもよい。第1のSAD管理表の一例を図23(1)に示す。
【0128】
以下に、本実施の形態におけるサービスクラスおよびSAの登録処理について図11を用いて説明する。
【0129】
鍵交換部11は、暗号通信装置200の起動時や新たなサービスクラス情報の定義時にサービスクラス情報を制御部12に通知し、制御部12は通知されたサービスクラス情報をサービスクラス管理表に登録する。制御部12は登録されるサービスクラスにクラスBが含まれていれば、第1のSAD211の空きエントリをサービスクラス情報ごとに定められたサービスクラス情報識別子で予約する。鍵交換部11は、暗号通信装置200、201間でのSAのネゴシエーションで決められたSAを制御部12に通知する。制御部12は、サービスクラス管理表を検索して通知されたSAのセレクタと一致するセレクタを持つサービスクラス情報を得、さらに、サービスクラス情報からSAのサービスクラスを得て第1のSAD211または第2のSAD31にSAを登録する。制御部12は、登録したSAのセレクタで定められた送信元IPアドレスと宛先IPアドレス(あるいは、送信元サブネットアドレスとサブネットマスクおよび宛先サブネットアドレスとサブネットマスク)を有するIPパケットが登録先に応じてネットワークインタフェース20または第2のIPsec処理部30に転送されるように、ルーティング情報を経路制御部41のルーティングテーブルに設定する。また、制御部12は、SAを第1のSAD211に登録した場合、同時に、そのSAを第2のSAD31にも登録する。
【0130】
次に、図12を用いて暗号通信装置200のパケット送信動作を説明する。
【0131】
ネットワークインタフェース50は、LAN207を介して受信したIPパケットXを経路制御部41に転送する。経路制御部41はルーティングテーブルに基づいてIPパケットXを第2のIPsec処理部30またはネットワークインタフェース20に転送する。ルーティングテーブルについては、後述する。
【0132】
第2のIPsec処理部30に転送された場合には、第2のIPsec処理部30がIPパケットXのヘッダ情報から第2のSAD31を検索して対応するSAに基づいてIPパケットXからIPsecパケットX’を生成し、ネットワークインタフェース20に転送する。ネットワークインタフェース20は、X’のヘッダからIPsecパケットであることを確認し、暗号化済みであるので、パケットX’を再度暗号化することなく、IPsecパケットX’をWAN206に送信する。
【0133】
一方、経路制御部41からネットワークインタフェース20に転送された場合には、第1のIPsec処理部21は、IPパケットXのヘッダ情報から第1のSAD211を検索して対応するSAが登録されているか否かを確認し、登録されていればそのSAに基づいてIPパケットXからIPsecパケットX’を生成してWAN206に送信し、SAが登録されていなければIPパケットXを、WAN206上の暗号通信装置200のIPアドレスと暗号通信装置201のIPアドレスをそれぞれ送信元、宛先とするIPヘッダを付加して、WAN206に送信する。
【0134】
次に、図13を用いて暗号通信装置200のパケット受信動作を説明する。
【0135】
ネットワークインタフェース20は、WAN206を介して受信したIPsecパケットX’を第1のIPsec処理部20に転送する。第1のIPsec処理部20は、IPsecパケットX’のヘッダ情報からSPI値を得て、そのSPI値で第1のSAD211を検索し、対応するSAが登録されていればそのSAに基づいてIPsecパケットX’からIPパケットXを生成して、ネットワークインタフェース20から、経路制御部41に転送する。対応するSAが登録されていなければIPsecパケットX’をそのまま、ネットワークインタフェース20からパケット送受信部40に転送する。パケット送受信部40は、転送されたIPパケットXまたはIPsecパケットX’のヘッダ情報にESPもしくはAHが含まれていれば第2のIPsec処理部30に転送し、そうでなければ経路制御部41内のルーティングテーブルに従った宛先、例えば、IPパケットXの宛先がホスト202の場合には、ネットワークインタフェース50に転送する。第2のIPsec処理部30に転送された場合には、第2のIPsec処理部30は、X’のヘッダ情報から得たSPI値で第2のSAD31を検索し、対応するSAが登録されていればそのSAに基づきIPsecパケットX’からIPパケットXを生成してパケット送受信部40に転送する。パケット送受信部40はIPパケットXを受け取るとネットワークインタフェース50に転送し、ネットワークインタフェース50がIPパケットXをLAN207に送信して、パケット受信処理が終了する。復号されたIPパケットXには、送信元と宛先のIPアドレスが付加されているので、新たにIPアドレスを付加する必要はない。なお、第2のSAD31を検索しても、対応するSAが見つからない場合は、エラーである。
【0136】
次に、本実施の形態におけるサービスクラス情報の登録処理、SAの登録処理、SAの削除処理、サービスクラス情報の削除処理について図14〜図17を用いて説明する。
【0137】
<サービスクラス情報の登録処理>
図14は、サービスクラス情報(SC)の登録処理を示すフローチャートである。
【0138】
ステップ1で、制御部12はSCを鍵交換部11から受け取り、受理する。SCに対応するサービスクラス情報識別子が未生成の場合、識別子を生成する。
【0139】
ステップ2で、制御部12は、受理したSC内のサービスクラスがクラスBであるか否かを確認し、クラスBであればステップ3に、それ以外のクラスであればステップ5に移る。
【0140】
ステップ3で、制御部12は第1のSAD管理表を参照して第1のSAD211の空きエントリがあるか否かを確認し、空きエントリがあればステップ4に、なければステップ6に移る。ここで、空きエントリとはSAが登録されておらず、かつ、予約もされていないエントリのことである。
【0141】
ステップ4で、制御部12は、登録要求されたサービスクラスBに対応したサービスクラス情報識別子を第1のSAD管理表の空きエントリに登録する。
【0142】
ステップ5で、制御部12は、ステップ2において受理したサービスクラスSCをサービスクラス管理表に登録し、サービスクラス情報識別子も併せて登録して、処理を終了する。
【0143】
空きエントリがない状態のステップ6で、制御部12は第1のSAD管理表を参照してクラスAに属するSAが第1のSAD211に登録されているか否かを確認し、登録されていればそれらのSAの中から1つを選びSA’としてステップ7に移り、登録されていなければ予約は失敗して鍵交換部11にエラーを返す。
【0144】
ステップ7で、制御部12はSA’を第1のSAD211から削除し、第2のSAD31にSA’を登録する。さらに、経路制御部41に対して、SA’に対応するIPパケットが第2のIPsec処理部30に転送されるように経路情報の転送先を、第1のIPsec処理部21から第2のIPsec処理部30に更新して、ステップ4に移る。
【0145】
以上のように、クラスBに対して第1のSAD211の空きエントリを予約することで、後に実行されるSA登録時に第1のSAD211へのSA登録が保証される。
【0146】
<SAの登録処理>
図15は、SAの登録処理を示すフローチャートである。
【0147】
ステップ1で、制御部12は鍵交換部11からSAを受け取り、ステップ9に移る。
【0148】
ステップ9で、制御部12は受理したSAのセレクタに基づき制御部12内に設けた後述するサービスクラス管理表を検索してSAのサービスクラス情報を獲得し、サービスクラス情報のサービスクラスがクラスBならばステップ10に移り、それ以外ならばステップ150に示すように、図7のステップ2〜ステップ8と同様の処理を行う。
【0149】
ステップ10で、制御部12はサービスクラス管理表を参照して、サービスクラス情報(SC)からクラスBに対応するサービスクラス情報識別子を獲得し、獲得したサービスクラス情報識別子と同じ識別子を保持する、すなわち予約済みのエントリを第1のSAD211から検索し、そのエントリにSAを登録して処理を終了する。
【0150】
以上のように、制御部12はサービスクラス情報識別子を用いることで、クラスBに属するSAをクラスBに属する他のSAおよび第1、第2のクラスやクラスAに属するSAと区別でき、予約しておいたエントリに正しく登録することができる。なお、上記サービスクラス情報の登録のフロ−チャートにおいて、予約ができなかった場合は、SAの登録ができないことは言うまでもない。
【0151】
<SAの削除処理>
図16は、SAの削除処理を示すフローチャートである。
【0152】
ステップ1で、制御部12は鍵交換部11から削除するSAを受け取る。
【0153】
ステップ2で、制御部12は鍵交換部11から受け取ったSAのSPI値に基づいて第1のSAD211を検索してSAの登録先を得、SAの登録先が第1のSAD211の場合にはステップ3に移る。第2のSAD31の場合にはステップ6に移り、ステップ6において、第2のSAD31からSAとその登録先情報を削除して処理を終了する(なお、SA登録先管理表から登録先を知ってもよい。)。
【0154】
ステップ3で、制御部12は、SAの存在する第1のSAD211からSAを削除し、第1のSAD管理表を更新してSA登録の有無を「無」に、SPI値を「0」に設定し、ステップ4に移る。なお、サービスクラス情報識別子はそのままとし、更新しない。
【0155】
ステップ4で、制御部12は、第2のSAD31を検索してクラスAに属するSAが登録されているか否かを確認し、登録されていればそれらのSAから1つを選んでSA”としてステップ5に移り、登録されていなければ処理を終了する。
【0156】
ステップ5で、制御部12は、選択したSA”を第1のSAD211に登録し、第2のSAD31上のSA”の登録先情報を「第1のSAD」に更新し、SA”に対応するIPパケットがネットワークインタフェース20に転送されるように経路制御部41のルーティングテーブルを更新して処理を終了する。
【0157】
以上のように、SAを削除しても、第2のSAD31にクラスAのSAが登録されていない場合にはSAの第1のSADへの移動がないので、第1のSAD管理表123にはサービスクラス情報識別子が登録されたままである。したがって、今回削除したSAと同じセレクタを持つクラスBに属するSAを登録する場合、上記サービスクラス情報識別子が登録されたエントリに登録することができる。また、ステップ5において、第2のSAD31にクラスAのSAが第1のSAD211に移動登録された場合でも、第2のSAD31に再び戻すことができるので、実質的にクラスBを予約しているのと同じになり、クラスBのSAを登録することが可能である。
【0158】
<サービスクラス情報の削除処理>
図17は、サービスクラス情報(SC)の削除処理を示すフローチャートである。
【0159】
ステップ1で、制御部12は鍵交換部11から削除するサービスクラス情報SCを受理する。
【0160】
ステップ2で、制御部12は鍵交換部11から受け取ったSCのサービスクラスを確認し、サービスクラスがクラスBの場合にはステップ3に、それ以外の場合にはステップ6に移り、ステップ6で、制御部12は、サービスクラス管理表からSCを削除して処理を終了する。
【0161】
SCがクラスBの場合、ステップ3において、制御部12は、鍵交換部11から受け取ったクラスBのSCに対応する第1のSAD管理表のサービスクラス情報識別子を0に設定することでエントリの予約を解除する。
【0162】
ステップ4で、制御部12は、第2のSAD31を検索してクラスAに属するSAが登録されているか否かを確認し、登録されていればそれらのSAから1つを選んでSA”としてステップ5に移り、登録されていなければステップ6に移り、制御部12は、サービスクラス管理表からSCを削除して処理を終了する。
【0163】
ステップ5で、制御部12は、選択されたSA”を第1のSAD211に登録して第2のSAD31上のSA”の登録先情報を「第1のSAD」に更新し、SA”に対応するIPパケットがネットワークインタフェース20に転送されるよう経路制御部41のルーティングテーブルのルーティング先を更新して処理を終了する。
【0164】
以上のように、クラスBを削除すると第1のSAD上に予約していた領域が解放されることで、第2のSAD31に登録されているクラスAに属するSAを第1のSAD211に移動することができ、暗号通信装置200のCPU負荷を低減することができる。
【0165】
以下に、図18を用いてサービスクラスおよびSAの登録・削除処理を説明する。
【0166】
図18は、本実施の形態における第1のSADおよび第2のSADの状態遷移図である。なお、括弧内は、登録先とサービスクラス識別子である。登録先1は、第1のSAD211、登録先2は、第2のSAD31を示す。第1のサービスクラスは“1”、第2のクラスは“2”、クラスAは“3”、クラスBは“4”の識別子をそれぞれ使用する。
【0167】
初期状態では、第1のSAD211には第1のクラスであるSA1とクラスAであるSA2が、第2のSAD31には第2のクラスであるSA3が登録されているものとする。SA1とSA2については第2のSAD31にも登録しておき、登録先情報とサービスクラスをSAと併せて保持することにする。ここでは、SA1の登録先およびサービスクラスは第1のSADおよび第1のクラスであり、SA2の登録先およびサービスクラスは第1のSADおよびクラスAとなる。また、経路制御部41には、SA1およびSA2を適用するパケットはネットワークインタフェース20に、SA3を適用するパケットは第2のIPsec処理部30に転送するように経路情報が設定し、サービスクラス管理表にはSA1からSA3のサービスクラス情報を登録する。以上を初期状態とする。
【0168】
次に、制御部12が、クラスBであるSA4のサービスクラス情報SC4の登録要求を受信すると、まず、サービスクラスSC4の登録作業に入る。すなわち、第1のSAD管理表を参照して第1のSAD211の空きエントリの有無を確認する。図18の初期状態では、第1のSAD211にはSA1、SA2が登録されており、空きエントリは存在しない。そこで、制御部12はSA2がクラスAであることを検出するとSA2を第1のSAD211から削除して第2のSAD31のSA登録先情報を更新し、SA2用パケットが第2のIPsec処理部30に転送されるように経路情報を更新する。これによって、第1のSAD211上で得られた空きエントリをSC4用のサービスクラス情報識別子を用いて予約する。
【0169】
制御部12は、SA4の登録要求に対し、SA4がSC4に属するクラスBであることを確認するとSC4用のサービスクラス情報識別子で第1のSAD管理表を検索して予約されたエントリにSA4を登録する。さらに、第2のSAD31にもSA4を登録先情報とサービスクラスと共に登録し、サービスクラス管理表にはサービスクラス情報SC4を追加し、更に、SA4用のパケットがネットワークインタフェース20に向かうように経路情報を設定する。
【0170】
次に、SA4の削除要求が発生すると、制御部12は、SA4の削除要求に対し、SA4のサービスクラスを調べ、SA4がSC4に属するクラスBであることを確認すると、第1のSAD管理表を検索してSA4が第1のSAD211に登録されていることを確認し、SA4を第1のSAD211から削除する。さらに、第2のSAD31からSA4を登録先情報やサービスクラスと共に削除し、SA4用のパケットの経路情報を削除する。なお、第1のSAD211には、サービスクラスSC4は、削除せず残すので、SC4はSA4が削除された時点では予約状態である。
【0171】
制御部12は、SC4の削除要求を受信すると、サービスクラス管理表を検索してクラスBであることを確認し、SC4のサービスクラス情報識別子を獲得する。さらに、SC4のサービスクラス情報識別子を用いて第1のSAD管理表を検索してSC4の予約を解除する。これにより、第1のSADに空きエントリが生じるため、制御部12は第2のSAD31を検索してクラスAに属するSA2を検出し、SA2を第1のSAD211に登録する。さらに、第2のSAD31上のSA2の登録先を更新し、SA2用のパケットがネットワークインタフェース20に転送されるように経路情報を更新する。
【0172】
以上説明したように、クラスBに属するSAのサービスクラス情報を登録しておくことで、SAの登録前に第1のSAD211上に空きエントリを確保してSAの登録を保証することができる。
【0173】
また、クラスBを含むサービスクラス情報を登録する際に、クラスAに属するSAが第1のSAD211に登録されており、かつ、第1のSAD211に空きエントリが無い場合には、クラスAに属するSAを第1のSAD211から削除して第2のSAD31に登録する。これにより、第1のSAD211に空きエントリが生成されてクラスBを含むサービスクラス情報が登録可能となる。
【0174】
また、第4のサービスクラス情報(SC4)を削除することで生じた第1のSAD211上の空きエントリに第2のSAD31に登録されたクラスAのSAを登録することにより、第2のIPsec処理部30が実行するSA数が減少して暗号通信装置200のCPU負荷が低減される。
【0175】
以下に、制御部12が第1のIPsec処理部21の異常を検出した場合の動作について説明する。なお、異常の検出方法の一例としては、制御部12が一定時間ごとに第1のIPsec処理部21内のレジスタにアクセスして正しい反応が返ってこない時点で異常とみなす方法がある。
【0176】
まず、第2のSAD31に登録されている全てのSAについて登録先を第2のSADに変更し、登録先が第1のSADであったSAに対応するIPパケットが第2のIPsec処理部30に転送されるように経路制御部41のルーティングテーブルを更新する。
【0177】
次に、切り替え部22をバイパス側に設定することで、ネットワークインタフェース20によって全てのパケットが第1のIPsec処理部21を経由しないようにする。
【0178】
以上のように、全てのSAが第2のSAD31にも登録されているため、第1のIPsec処理部21に異常が発生した場合でも第1のIPsec処理部21で処理されていたSAはすべて第2のIPsec処理部30で処理される。
【0179】
その結果、第1のIPsec処理部21で提供されていた高速処理は実現できないが、IPsec通信そのものは継続することができる。
【0180】
なお、本実施の形態3においては、トンネルモードを想定して説明したが、暗号通信装置200、201の一方、または両方が、IPパケットを生成または利用、消費するトランスポートモードの装置、すなわち、ホストとして動作する場合においても、上記説明の構成や動作手順を適用できる。
【0181】
(実施の形態4)
次に、上記各実施の形態で説明した各表について、その一例を具体的に説明する。
【0182】
図19は、ネットワーク構成の別の例である。セキュリティゲートウェイSGW#1、SGW#2、SGW#3、および、SGW#4は、ハブを介してサブネットワーク間で暗号通信を行う。SGW#1、SGW#2、SGW#3、SGW#4のハブとは反対の側には、暗号通信を行わないサブネットワークがそれぞれ接続されている。それらのサブネットワークアドレスは、それぞれ、図19に示すように、192.168.1.0、192.168.2.0、192.168.3.0、192.168.4.0とする。SGW#1、SGW#2、SGW#3、SGW#4のハブ側のIPアドレスは、それぞれ、132.182.1.1、132.182.1.2、132.182.1.3、132.182.1.4とする。SGW#1、SGW#2、SGW#3、SGW#4は、それぞれ、(実施の形態3)において説明した暗号通信装置である。以下、SGW#1に着目して、SA登録先管理表、サービスクラス管理表、第1のSAD管理表、ルーティングテーブル、鍵交換部設定ファイルの例につき説明する。
【0183】
図19のネットワークにおいて、SGW#1−SGW#2の間は、クラスB、SGW#1−SGW#3の間は第1のクラス、SGW#1−SGW#4の間は第2のクラスの各サービスクラスを適用する場合、鍵交換部設定ファイルには、図24に示すようなデータが記述されている。図24においては、各暗号通信装置間の暗号通信のサービスクラス定義の他に、暗号通信のモード、使用する暗号化プロトコル、装置自身の接続サブネットID、相手の装置の接続サブネットIDなどが記述されている。
【0184】
図20は、(1)SA登録先管理表、(2)サービスクラス管理表の例を示している。SA登録先管理表では、SGW#1から見た暗号通信の相手であるSA端点の宛先IPアドレス、その相手との暗号通信に使用するSAのSPI値、使用するサービスクラス、および、SAの登録先が、一覧表になっている。サービスクラス管理表では、セレクタとしてサブネットワークの送信元と宛先のIPアドレスの対、適用するサービスクラス、および、その識別子が一覧表になっている。
【0185】
図21は、図20に示した(1)SA登録先管理表と(2)サービスクラス管理表とを統合した統合管理表の例を示している。図22に示すように、参照するデータ部分を選択することにより、SA登録先管理表としても、サービスクラス管理表としても使用することができる。SA端点の宛先の代わりに、IPアドレス送信元IPアドレスと宛先IPアドレスの対をセレクタ用に記載している。
【0186】
図23は、(1)第1のSAD管理表、(2)ルーティングテーブルの例である。第1のSAD管理表は、第1のSAD2つのエントリに格納されているSAのデータ、パラメータなどの情報に対応して、SA登録の有無、サービスクラス情報識別子、宛先IPアドレス、SPI値が表になっている。同様の表は、第2のSADに対しても、第2のSAD管理表として用意される。図23の(2)ルーティングテーブルは、SGW#1が、どの経路を介して、外部に接続されているかを示す。図23(2)において、1行目と2行目は、ネットワークインタフェース20と50が、それぞれ、サブネットワーク132.182.1.0と192.168.1.0に接続されていることを示す。5行目は、宛先アドレスが、SGW#4の場合、第2のIPsec処理部30を介して、処理が行われることを示す。
【0187】
サービスクラスAやBを適用しない場合は、図20、図21、図22、図23の各表におけるサービスクラス情報識別子とサービスクラスの欄は省略できる。また、図20(2)のサービスクラス管理表(統合前)は、不要である。
【0188】
図20、図21、図22、図23に示した各表のうち、図23(1)のルーティングテーブル以外は、上記実施の形態1で説明したトランスポートモードの構成の場合にも、同様の形式が採用できる。
【0189】
また、図20、図21、図22、図23に示した各表は、一例であって、同様の機能を果たすものであれば、他の形式の表でも、また、データの集合体であってもよい。
【0190】
(実施の形態5)
次に、図2において、鍵交換部11と制御部12を、実施の形態1から変えた例について説明する。図2において、鍵交換部11と制御部12以外は実施の形態1と同様の動作を行うので説明は省略する。
【0191】
鍵交換部11は実施の形態1と同様、通信相手の暗号通信装置とのセキュリティ通信に用いるパラメータをネゴシエーションし、SAおよびユーザがセレクタごとに規定したQOSパラメータを制御部12に通知する。
【0192】
なお、本実施の形態では、QOSパラメータとして平均スループット値がセレクタごとに設定ファイル等に記載されており、鍵交換部11が起動時等に設定ファイル等を読み込んで制御部12に通知するものとする。
【0193】
制御部12は、SAの登録先を決定するためのQOSパラメータの閾値を保持している。
【0194】
なお、本実施の形態では、QOSパラメータの閾値は第2のIPsec処理部30で処理可能な平均スループット値である。
【0195】
制御部12は、鍵交換部11からSAとQOSパラメータである平均スループット値を受け取る。受け取った平均スループット値を閾値と比較し、閾値を上回れば受け取ったSAを第1のクラスであると判断し、下回れば受け取ったSAを第2のクラスであると判断する。これによって、SAのサービスクラスが決定されるので、制御部12は実施の形態1で説明した登録処理に従って受け取ったSAを第1のSAD211または第2のSAD31に登録する。
【0196】
以上のように、IPsec通信に求められるQOSパラメータに従ってサービスクラスを決定することで、高スループットが必要なIPsec通信のSAは第1のクラスに、それ以外のSAは第2のクラスに設定される。その結果、高スループットが求められるIPsec通信は第1のIPsec処理部が、それ以外は第2のIPsec処理部がIPsec処理を行うようになることで、高スループットが必要なIPsec通信を提供し、同時に、それ以外の多数のIPsec通信を提供することができる。
【0197】
(実施の形態6)
次に、図2において、鍵交換部11と制御部12を、実施の形態1からさらに変えた例について説明する。図2において、鍵交換部11と制御部12以外は実施の形態1と同様の動作を行うので説明は省略する。
【0198】
鍵交換部11は実施の形態1と同様、通信相手の暗号通信装置とのセキュリティ通信に用いるパラメータをネゴシエーションし、SAおよび管理者がセレクタごとに規定したSAの優先度を制御部12に通知する。
【0199】
なお、本実施の形態では、優先度は全てのセレクタについて優先度の高いものから1、2、3、…と設定され、セレクタごとに鍵交換部11用の設定ファイルに記載されており、鍵交換部11は起動時または設定ファイルの更新時に設定ファイルを読み込んでSAと共に制御部12に通知するものとする。
【0200】
制御部12は、第1のSAD211のエントリ数に従った閾値(本実施の形態では2)を保持している。制御部12は、鍵交換部11からSAと共に受け取った優先度を保持している閾値と比較し、優先度が閾値と以下の場合には受け取ったSAを第1のクラスであると判断し、優先度が閾値よりも大きい場合には受け取ったSAを第2のクラスであると判断する。これによって、SAのサービスクラスが決定されるので、制御部12は実施の形態1で説明した登録処理に従い受け取ったSAを第1のSAD211または第2のSAD31に登録する。
【0201】
以上のように、SAはその優先度に基づいて第1のSAD211または第2のSAD31に登録されるので、優先度の高いSAは第1のIPsec処理部21で、優先度の低いSAは第2のIPsec処理部30で処理されることになる。その結果、高スループットや低遅延が必要なSAの優先度を高く、それ以外のSAの優先度を低く設定することで、高スループットや低遅延が必要なIPsec通信を提供し、同時に、それ以外の多数のIPsec通信を提供することができる。
【0202】
(実施の形態7)
上記各実施の形態において、ネットワークインタフェース20を複数個設け、これらのネットワークインタフェースを、それぞれ、第2のIPsec処理部30、パケット送受信部40に結合し、別々のサブネットワークに接続した暗号処理装置としてもよい。各ネットワークインタフェースは、各サブネットワークに対して用意されるので、複数のサブネットワークとの暗号通信を同時並列的に処理可能となる。制御部12には、各ネットワークインタフェースと、接続されているサブネットワークのIPアドレスを対比するIPアドレス管理表を設け、接続時あるいは起動時にこの管理表を設定する。送信元IPアドレスと宛先IPアドレスの対、SA端点の宛先IPアドレス、SPI値などの検索キーに対応して、使用するネットワークインタフェースを指定する識別子をSA登録先管理表、ルーティングテーブルなどに登録記載できるようにする。
【0203】
SAを登録する場合、まず、SA端点の宛先IPアドレスをキーに、IPアドレス管理表を検索し、SAを登録すべきIPsec処理部を複数の中から選択し特定する。SA登録先管理表には、登録先として、選択したIPsec処理部の識別子を記載する。SA端点のIPアドレスとしては、送信用では送信元のIPアドレスを、受信用では宛先のIPアドレスを使用する。登録すべきIPsec処理部が特定されれば、あとは、すでに説明した手順により、SAが登録できる。
【0204】
SAの削除時には、SA登録先管理表から、削除したいSAが第1のIPsec処理部に登録されていることを確認後、削除したいSAのSA端点の宛先IPアドレスとSPI値の組、あるいは、一方をキーにして、SA登録先管理表から、登録先のSADの番号を知る。そのSADを検索し、SAを削除する。なお、すべての第1のSAD管理表を検索するようにしてもよい。
【0205】
(実施の形態8)
また、本発明の実施の形態において、すでに説明した第1のIPsec処理部21、第2のIPsec処理部30に加えて、暗復号処理および認証処理を行う第i(i=3、4、…、n)のハードウェアと第i(i=3、4、…、n)のSADを有した(n−2)個のIPsec処理部i(i=3〜n)を有し、サービスクラスとして第nのSADにSAを登録することを示す第nのクラスを設け、制御部がSAごとに設定されたサービスクラスに応じて第1または第2のSADあるいは第nのSADにSAを登録しても良い。また、n個のIPsec処理部を設けた場合に、SAごとに設定されたQOSパラメータを第1から第(n−1)の閾値と比較し、SAのサービスクラスを第1のクラス、第2のクラス、…、第nのクラスとして決定するようにしても良い。ここで、QOSパラメータとして、IPsec通信が要求するスループット値やIPsec処理の遅延時間を用いても良い。例えば、QOSパラメータがIPsec通信で要求するスループット値の場合、スループット値が第1の閾値よりも大きければ第1のクラスに、第1の閾値と第2の閾値との間であれば第2のクラスに、同様に、第j(2≦j≦nの最大値−1)の閾値と第(j+1)の閾値との間であれば第(j+1)のクラスにサービスクラスが設定される。
【0206】
(その他の実施の形態、および、補足)
本発明の実施の形態では、セキュリティを確保する技術としてIPsecを用いて説明したが、パケット単位でセキュア化され、セキュア化のためのセキュリティパラメータがパケットのヘッダ情報に基づいて検索可能なものであれば、IPsec以外の技術についても有効である。
【0207】
また、本発明の実施の形態では、第1のSADの送信用、受信用のエントリをそれぞれ2個としたが、第1のSADのエントリ数を制限する必要はない。
【0208】
また、本発明の実施の形態では、予約するエントリ数を送信用、受信用共に1個としたが、1個より多くても構わず、また、送信用、受信用で同じ個数である必要はない。
【0209】
また、本発明の実施の形態では、第2のIPsec処理部は主にソフトウェアで構成されていると説明したが、暗復号処理および認証処理を行うハードウェアを含んでいても構わない。この時、第1のIPsec処理部に含まれる暗復号処理や認証処理を行うハードウェアを共用しても良い。
【0210】
また、本発明の実施の形態では、鍵交換部がSAとサービスクラスを通知するものとして説明したが、鍵交換部以外の管理アプリケーションがSAまたはサービスクラス、もしくは、その両方を制御部に通知しても良い。
【0211】
また、本発明の実施の形態では、サービスクラスは送信用と受信用とで必ずしも等しいクラスである必要はなく、異なるクラスであっても良い。また、送信用と受信用のサービスクラスが必ず等しい場合には、送信用と受信用でサービスクラス情報管理表を1つにして共用しても良い。この場合、削除した側のサービスクラス情報は、SAのセレクタに含まれる送信元IPアドレスと宛先IPアドレスを入れ替えることで決定できる。
【0212】
また、本発明の実施の形態において、暗号通信装置は端末の形態であっても経路制御部を有したゲートウェイ装置の形態であっても良い。この場合、制御部は、SAの登録先に応じて経路情報を設定する。
【0213】
また、本発明の実施の形態では、制御部が第1のIPsec処理部内のレジスタに一定時間おきにアクセスして正しい応答が返ってこないことで第1のIPsec処理部の異常を検出したが、第1のIPsec処理部自身が異常か否かを判断するセルフチェック回路を有して異常の発生を制御部に通知しても良い。また、異常の検出は一定時間おきに実行する以外に、起動直後や終了処理時に実行しても良い。
【0214】
また、本発明の実施の形態では、QOSパラメータとして平均スループット値を用いたが最大スループット値や必要なスループット値の最小値でも良い。
【0215】
また、本発明の実施の形態において、第1のIPsec処理部の平均スループット値を閾値とし、制御部はQOSパラメータが閾値を上回った場合には第1のクラスと、閾値を下回った場合には第2のクラスと設定しても良い。
【0216】
また、本発明の実施の形態おいて、QOSパラメータとしてSAを用いたセキュリティ通信に求められる遅延時間を用い、閾値として第1のIPsec処理部の処理時間または第2のIPsec処理部の処理時間を用いても良い。
【0217】
また、本発明の実施の形態において、暗号アルゴリズムや認証アルゴリズムおよびその組み合わせごとに閾値を設けて、SAに設定された暗号アルゴリズムや認証アルゴリズムおよびその組み合わせに対応した閾値とQOSパラメータとを比較してもよい。
【0218】
また、本発明の実施の形態において、鍵交換部がRFC2367で定められたPF_KEYメッセージやその独自拡張メッセージを用いて制御部にSAを通知しても良い。
【0219】
また、本発明の実施の形態において、鍵交換部がRFC2367で定められたPF_KEYメッセージの独自拡張メッセージを用いて制御部にサービスクラス情報を通知しても良い。
【0220】
上記各実施の形態での説明では、サービスクラスをサービスクラス管理表に追加登録、あるいは、削除するようにしたが、使用する可能性のあるサービスクラスについては、全部登録しておき、削除はせず、サービスクラス名とサービスクラス情報識別子との対応が常時取れるようにしてもよい。
【0221】
上記説明では、すべてのサービスクラスに対して、サービスクラス識別子を設けるようにしたが、クラスBのみに、サービスクラス識別子を設けるようにしてもよい。また、サービスクラスSCは、サービスクラス名とサービスクラス識別子とが1対1で対応するものであるから、サービスクラス名に対して、識別子を別に設けずに、サービスクラス名を識別子として使用してもよい。たとえば、サービスクラス第1に対して“1”、第2に対して“2”、クラスAに対して“A”、クラスBに対して“B”としてもよい。この場合は、サービスクラス情報の登録により、実質的にサービスクラス識別子も登録されるので、別途サービスクラス識別子を登録する必要はない。
【0222】
上記各実施の形態においては、複数のSAD、たとえば、第1のSAD211と第2のSAD31とを設けたが、第1のIPsec処理部21の中に、第1のSAD211の代わりにSAメモリを設け、第1のSADの内容は第2のSADに統合してもよい。この場合、各表におけるSADの登録先欄の代わりに、使用IPsec処理部欄を設け、使用IPsec処理部が第1のIPsec処理部か、第2のIPsec処理部か、を識別する識別子を設けて、この識別子を使用IPsec処理部欄に記載する。サービスクラスSC1は、第1のIPsec処理部使用、サービスクラスSC2は、第2のIPsec処理部使用、サービスクラスAは、第1または第2のIPsec処理部使用、サービスクラスBは、第1のIPsec処理部使用予約可能となる。暗号通信を行う前に、各表と、統合SADを参照して、第1のIPsec処理部を使用できる状態であれば、使用すべきSAを統合SADから取り出し、第1のIPsec処理部に設けたSAメモリに書き写して、以降、SAメモリ内のSAのデータを使用して暗復号化処理を行う。
【0223】
3つ以上のIPsec処理部を備える場合にも、それぞれにSADを設けずに、統合SADを設けて、SAを登録するとともに、そのSAをどのIPsec処理部で使用するかの使用識別子を登録して置き、セレクタであるIPアドレス対やSPI値により、SAを検索するとともに、使用識別子を検出し、検索したSAを指定されたIPsec処理部に送って、そのIPsec処理部において、暗復号処理を行うようにしてもよい。
【0224】
統合したSADを設ける場合、第1のIPsec処理部21が空いていれば、サービスクラスにかかわらず、これを優先的に使用しておき、優先度がより高いSAを使用する暗号通信の要求が発生した段階で、第1のIPsec処理部21で行っている暗号通信の処理を第2のIPsec処理部30に移して、第1のIPsec処理部21を空け、新たな暗号通信要求を実行するようにしてもよい。このような場合、サービスクラス1、2やクラスA、Bを設けてもよいが、クラス1だけにしてもよい。クラス1の場合だけ、優先的に第1のIPsec処理部21を使用することができ、クラス1でなければ、クラス1の暗号通信の要求が発生すると、第2のIPsec処理部30に移動することになり、クラスAと同様の扱いとなる。なお、第1のIPsec処理部21と第2のIPsec処理部30の間の処理の移動は、パケット毎に処理が完了した時点で行うことが好ましい。このようにすれば、高々1個のパケット処理が完了するのを待てば、より高速なIPsec処理部を使用することが可能になり、全体として柔軟なIPsec処理が行える。
【0225】
上記各実施の形態の説明において、さらに、第3のIPsec処理部を設ける場合、IPsec処理の重複を避けるため、第2のIPsec処理部は、プロトコルがAHやESPでないことを確認しなければならない。また、IPsecの処理方式では、送信元アドレスと宛先アドレスの組に加えて、上記プロトコルと(TCPやUDPの)ポート番号も検索キーに含める方法も規定されているが、この場合、IPヘッダ内にある、プロトコルやポート番号も検索キーに含んだ形で検索を行う。プロトコルとポート番号は、送信側・受信側、それぞれを設定することができる。
【0226】
上記各実施の形態における各種パケットの経路のうち、第2のIPsec処理部30とネットワークインタフェース20の間は、前者から後者へ向けての経路のみとし、ネットワークインタフェース20から第2のIPsec処理部30へ向けてパケットを送る場合は、経路制御部41の制御により、パケット送受信部40を経由するようにした。後者から前者への逆の方向の経路も設けておき、受信パケットについて、第1のSADにSAが見つからなかった場合、ネットワークインタフェース20から第2のIPsec処理部30へパケットを送るようにしてもよい。
【0227】
次に、IPアドレス対、セレクタ、SA、SPI値について、補足説明する。トランスポートモードの暗号通信では、暗号通信装置自身がホストであり、自身のIPアドレス対をセレクタとし、SA、SPI値が決められる。トンネルモードでは、セレクタとして使うIPアドレス対には、いくつかの形態があるので補足する。図9のようなネットワークにおいて、ホスト202は、暗号化対象電文を発行し、暗号通信装置200が、暗号化対象電文を暗号化して送信し、暗号通信装置201が、受信した電文の復号化を行い、ホスト204が、復号化された暗号化対象電文を受信して、電文を利用する。このような場合、暗号通信装置200と暗号通信装置201が使用するSAを生成するネゴシエーションには、様々な形態がある。以下に、その形態を列挙しておく。
【0228】
ホスト202が、ホスト204宛の暗号通信を必要とするアプリケーションを起動した段階で、暗号通信装置200と暗号通信装置201とにネゴシエーションを実行させて、SAを生成するような形態の場合は、暗号通信装置200と暗号通信装置201は、ホスト202とホスト204のIPアドレスの対をセレクタとし、生成したSAに対応するSPI値を割り振る。
【0229】
ホスト202が、ホスト204宛の暗号通信を必要とするアプリケーションを起動する以前に、あらかじめ、暗号通信装置200と暗号通信装置201とにネゴシエーションを実行させて、SAを生成しておくような形態の場合にも、暗号通信装置200と暗号通信装置201は、ホスト202とホスト204のIPアドレスの対をセレクタとし、生成したSAに対応するSPI値を割り振る。
【0230】
ホスト202が属するサブネットワークLAN207上の任意の機器から、ホスト204が属するサブネットワークLAN208上の任意の機器宛の暗号通信を行うアプリケーションに対してSAを生成する場合は、あらかじめ、暗号通信装置200と暗号通信装置201とにネゴシエーションを実行させ、暗号通信装置200と暗号通信装置201は、2つのサブネットワークのIPアドレスの対をセレクタとし、生成したSAに対応するSPI値を割り振るようにする。この場合、複数のSAを生成しておき、その中から適宜選択して使用するようにしてもよい。
【0231】
暗号通信装置200と暗号通信装置201の間を通るすべての暗号通信に使用するSAを生成する場合は、あらかじめ、暗号通信装置200と暗号通信装置201がネゴシエーションを実行しておき、暗号通信装置200と暗号通信装置201は、暗号通信装置200、201のIPアドレスの対をセレクタとし、生成したSAに対応するSPI値を割り振る。この場合、複数のSAを生成しておき、その中から適宜選択して使用するようにしてもよい。
【0232】
ホスト202が、ホスト204宛の暗号通信を必要とするアプリケーションを起動した段階で、暗号通信装置200と暗号通信装置201とにネゴシエーションを実行させて、SAを生成するような形態の場合に、暗号通信装置200と暗号通信装置201は、暗号通信装置200と暗号通信装置201の、WAN206側のIPアドレスの対をセレクタとし、生成したSAに対応するSPI値を割り振るようにしてもよい。
【0233】
上記をまとめると、暗号化対象電文を発行する機器を電文送信端点、復号化済電文を受信する機器を電文受信端点、暗号化処理する機器を送信SA端点、復号化処理する機器を受信SA端点と名づけた場合、アプリケーションや暗号化対象電文が発行される機器やサブネットワークの範囲、および、復号化済電文を受信し使用する機器やサブネットワークの範囲によって、電文送信端点と送信SA端点のいずれかの送信元IPアドレスと、受信SA端点と電文受信端点のいずれかの宛先IPアドレスと、を対とする組が、セレクタと成りうることになる。
【0234】
さらに、送信元IPアドレスと宛先IPアドレスの組に加え、送信元の上位プロトコルとポート番号、宛先の上位プロトコルとポート番号をセレクタに加えてもよい。上位プロトコルとはTCPやUDPなど、IPの上位に位置するプロトコルである。上位プロトコルとポート番号をセレクタに加えた場合、同じ宛先アドレスでも、上位プロトコルやポート番号が異なれば、複数のSAを登録できる。このため、同じ宛先アドレスに対する複数のSAについて、一方は第1のSADに、もう一方は第2のSADに登録される場合が存在する。ルーティングは宛先アドレスごとにしか指定することはできないので、両者をルーティングだけで区別することはできない。そこで、いずれのSADも参照するようにルーティングを設定しなければならない。
【0235】
すなわち、上位プロトコルとポート番号をセレクタに含むSAを登録する場合は、常に第2のIPSEC処理部に当該パケットが転送されるようにルーティングを設定する。こうすることで、仮にSAが第1のSADに登録されたとしても、当該パケットは第2のIPSEC処理部を通過し、ネットワーク−インタフェースを介して第1のIPSEC処理部に達する。そして、第1のIPSEC処理部が上記SAを適用し、IPSECパケットを生成することができる。
【0236】
また、上位プロトコルとポート番号をセレクタに含んでいても、同じ宛先アドレスを持つSAが存在しない場合は、そのSAを登録したSADに応じて、ルーティングを設定しても構わない。この場合、同じ宛先アドレスを持つ、別のSAを登録する際には、第2のIPSEC処理部に登録しなければならないことに注意する必要がある。この点について、もう少し詳しく説明する。上位プロトコルとポート番号をセレクタに含んでいても、同じ宛先アドレスを持つSA(複数存在しても良い)が、暗号通信装置内の同じSAD内に存在している場合は、宛先アドレスによってSAの登録先が特定できるので、そのSAが登録されているSADに応じて、ルーティングを設定しても良い。例えば、上記SAを第1のSADに登録している場合、ネットワークインタフェース20にルーティングすることにより、送信時に第2のIPSEC処理部を経由する必要がなくなり、負荷を軽減することがでる。しかしながら、同じ宛先アドレスを持つSAが、暗号通信装置内の複数のSADにまたがって登録されている場合は、宛先アドレスによってSAの登録先が特定できないため、第2のIPSEC処理部にルーティングするよう設定する。その結果、送受信とも第1のIPSEC処理部および第2のIPSEC処理部を通るので、いずれのSADに該当するSAが登録されていたとしても、そのSAを検出することができることになる。
【0237】
一方、上位プロトコルとポート番号をセレクタに含むSAを削除する場合、当該SAと同じ宛先アドレスを持つSAが、当該SAが登録されているSADに登録されていないか確認しなければならない。もし、別のSAが登録されていなければ、ルーティングは削除してもよいが、別のSAが登録されている場合、ルーティングは削除してはならない。この点について、もう少し詳しく説明する。上記2通りのルーティング設定方法に対応して、2通りの削除方法を選択できる。
(1)常に第2のIPSEC処理部にルーティング設定を行う場合において、上位プロトコルとポート番号をセレクタに含むSAの削除については、削除するSA以外に、削除するSAと同じ宛先アドレスを持つSAが、暗号通信装置内のいずれのSADにも登録されていなければ、ルーティング設定を削除してよい。一方、登録されている場合は、ルーティング設定を削除してはならない。また、(2)SAの登録状況によって、第1または第2のIPSEC処理部にルーティングを設定する場合では、削除するSAと同じ宛先アドレスを持つSAが、暗号通信装置内のSADに登録されているか、否かを確認したうえで、以下の(イ)〜(ニ)の処理を行えばよい。(イ)該当するSAが登録されていない場合には、ルーティング設定を削除する。(ロ)該当するSAが、削除するSAが登録されたSADのみに登録されている場合には、ルーティング設定は削除しない。(ハ)該当するSAが、削除するSAとは別のSADのみに登録されている場合には、別のSADに転送されるよう、ルーティングを設定しなおす。(ニ)該当するSAが、複数のSADにまたがって登録されている場合には、ルーティング設定は削除しない。
【0238】
上記各実施の形態の説明では、生成したSAをセレクタに対応づけ、次に、第1のSAD211、第2のSAD31のどちらで使用するかによって、SADの登録先を、SAに対応して決めるようにした。別のやり方として、セレクタに対応してSAを生成するとともに、セレクタに対応して登録先を決めるようにしてもよい。この場合、リキー処理などにより、使用するSAを暗号通信の途中で、定期的に切り替えるような場合にも、SAのみを更新し、SADの登録先は、そのままとすることができる。
【0239】
本発明は、パケットのヘッダ情報に対応したセキュリティパラメータが登録された第1のセキュリティデータベースと、前記第1のセキュリティデータベースに登録されたセキュリティパラメータに基づいて、通常のパケットをセキュアなパケットに変換して送信し、受信したセキュアなパケットを通常のパケットに変換する第1のセキュア処理部を有するネットワークインターフェースと、パケットのヘッダ情報に対応したセキュリティパラメータが登録された1つないし複数の(n−1)個(nは2以上の整数)の第i(i=2〜n)のセキュリティデータベースと、前記第iのセキュリティデータベースに登録されたセキュリティパラメータに基づいて、通常のパケットをセキュアなパケットに変換して前記ネットワークインターフェースに転送し、受信したセキュアなパケットを通常のパケットに変換する第iのセキュア処理部(i=2〜n)と、セキュリティパラメータのサービスクラスに基づいてセキュリティパラメータを前記第1〜第nのセキュリティデータベースのいずれかに登録する制御部とを有する暗号通信装置である。セキュア処理部としては、IPsec処理部が代表的であるが、これに限定はされず、他の処理方式でもよい。SADのようなセキュリティデータベースに登録するセキュリティパラメータも、SAに限定せず同様の機能を果たすパラメータなら適用できる。
【0240】
【発明の効果】
以上、本発明によれば、
(1)複数のセキュア処理部を備え、階層化して使用することにより、高速の暗号通信や低速の暗号通信要求に対して、セキュア処理部を柔軟に使い分けることができ、速度要求を満たすことが容易になり、CPUの処理能力も有効に活用できる。
【0241】
(2)サービスクラスを設け、さらに、クラスA、Bを設けることが可能になり、高速の暗号通信の要求に更に柔軟に対処できる。
【0242】
(3)第1のセキュア処理部で使用するSAを第2〜第nのSADにも登録し、登録先情報も記載しておくことにより、SAの検索や、SAのデータの移動の処理負担が低減できる。
【図面の簡単な説明】
【図1】実施の形態1に係るセキュリティ通信システムの構成図
【図2】実施の形態1、実施の形態4および実施の形態5に係る暗号通信装置の構成図
【図3】実施の形態1におけるパケットの通過経路を示す図
【図4】実施の形態1におけるSAの通過経路を示す図
【図5】実施の形態1における制御部のSAの登録処理を示すフローチャート
【図6】実施の形態1における制御部のSAの削除処理を示すフローチャート
【図7】実施の形態2における制御部のSAの登録処理を示すフローチャート
【図8】実施の形態2における制御部のSAの削除処理を示すフローチャート
【図9】実施の形態3に係るセキュリティ通信システムの構成図
【図10】実施の形態3に係る暗号通信装置の構成図
【図11】実施の形態3におけるサービスクラスおよびSAの登録処理の動作説明図
【図12】実施の形態3におけるパケット送信の動作説明図
【図13】実施の形態3におけるパケット受信の動作説明図
【図14】実施の形態3におけるサービスクラス登録処理を示すフローチャート
【図15】実施の形態3におけるSA登録処理を示すフローチャート
【図16】実施の形態3におけるSA削除処理を示すフローチャート
【図17】実施の形態3におけるサービスクラス削除処理を示すフローチャート
【図18】実施の形態3における第1のSADおよび第2のSADの状態遷移図
【図19】実施の形態3に係るセキュリティ通信ネットワークの構成図
【図20】SA登録先管理表とサービスクラス管理表の例を示す図
【図21】統合管理表の例を示す図
【図22】統合管理表のSA登録先管理表部分とサービスクラス管理表部分の例を示す図
【図23】第1のSAD管理表とルーティングテーブルの例を示す図
【図24】鍵交換部設定ファイルのデータの例を示す図
【図25】従来のIPsecを用いた暗号通信装置の構成図
【図26】従来のIPsecを用いた他の暗号通信装置の構成図
【図27】トランスポートモードによるIPsec暗号通信の電文構成例を示す図
【図28】トンネルモードによるIPsec暗号通信の電文構成例を示す図
【符号の説明】
10 セキュリティ制御部
11 鍵交換部
12 制御部
20 ネットワークインタフェース
21 第1のIPsec処理部
22 切り替え部
211 第1のSAD
30 第2のIPsec処理部
31 第2のSAD
40 パケット送受信部
41 経路制御部
50 ネットワークインタフェース
100〜102 暗号通信装置
103 WAN
200,201 暗号通信装置
202〜205 ホスト
206 WAN
207 LAN
208 LAN
300 暗号通信装置
310 鍵交換部
320 パケット送受信部
330 IPsec処理部
331 SAD
332 パケット処理部
333 暗号認証処理部
340 ネットワークインタフェース
350 IPsec処理部
351 SAD
Claims (31)
- パケットのヘッダ情報に対応したセキュリティパラメータが登録された第1のセキュリティデータベースと、
前記第1のセキュリティデータベースに登録されたセキュリティパラメータに基づいて、通常のパケットをセキュアなパケットに変換して送信し、受信したセキュアなパケットを通常のパケットに変換する第1のセキュア処理部を有するネットワークインターフェースと、
パケットのヘッダ情報に対応したセキュリティパラメータが登録された1つないし複数の(n−1)個(nは2以上の整数)の第2〜第iのセキュリティデータベースと、
前記第iのセキュリティデータベースに登録されたセキュリティパラメータに基づいて、通常のパケットをセキュアなパケットに変換して前記ネットワークインターフェースに転送し、受信したセキュアなパケットを通常のパケットに変換する第iのセキュア処理部(i=2〜n)と、
セキュリティパラメータのサービスクラスに基づいてセキュリティパラメータを前記第1〜第nのセキュリティデータベースのいずれかに登録する制御部と
を有する暗号通信装置。 - パケットのヘッダ情報に対応したセキュリティアソシエーションが登録された第1のSADと、
前記第1のSADに登録されたセキュリティアソシエーションに基づいて、IPパケットをIPsecパケットに変換し、IPsecパケットをIPパケットに変換する第1のIPsec処理部を有するネットワークインタフェースと、
パケットのヘッダ情報に対応したセキュリティアソシエーションが登録された1つないし複数の(n−1)個(nは2以上の整数)の第2〜第iのSADと、
前記第iのSADに登録されたセキュリティアソシエーションに基づいて、IPパケットをIPsecパケットに変換して前記ネットワークインタフェースに転送し、受信したIPsecパケットをIPパケットに変換する第iのIPsec処理部(i=2〜n)と、
セキュリティアソシエーションのサービスクラスに基づいてセキュリティアソシエーションを前記第1〜第nのSADのいずれかに登録する制御部と
を有する暗号通信装置。 - IPパケットの宛先アドレスと前記IPパケットの転送先を定めた経路情報に基づいてIPパケットを転送する経路制御部を有し、制御部がセキュリティアソシエーションを登録したSADに応じて前記経路情報を設定する請求項2記載の暗号通信装置。
- 制御部が削除したセキュリティアソシエーションに対応した経路情報も削除する請求項3記載の暗号通信装置。
- サービスクラスとして、セキュリティアソシエーションを第1のSADに登録することを示す第1のクラスと、セキュリティアソシエーションを第iのSADに登録することを示す第iのクラスを有する請求項2〜4記載の暗号通信装置。
- サービスクラスとして、セキュリティアソシエーションを第1のSADに空きエントリが存在すれば前記第1のSADに登録し、空きエントリが存在しなければ第2のSADに登録することを示すクラスAを有する請求項2〜5記載の暗号通信装置。
- 制御部が第1のSADからセキュリティアソシエーションを削除し、第iのSADに登録されたクラスAに属するセキュリティアソシエーションを1つ選択して削除し、前記第1のSADに登録する請求項6記載の暗号通信装置。
- 制御部が、第1のSADの空きエントリが存在しない場合に、前記第1のSADからクラスAに属するセキュリティアソシエーションを1つ選択し、選択された前記セキュリティアソシエーションを前記第1のSADから削除して第2のSADに登録し、第1のクラスに属するセキュリティアソシエーションを前記第1のSADに登録する請求項6記載の暗号通信装置。
- 制御部がセキュリティアソシエーションに対応したアドレス情報とサービスクラスを含むサービスクラス情報を保持するサービスクラス管理表を有し、前記制御部が前記サービスクラス管理表からセキュリティアソシエーションに対応したサービスクラスを獲得する請求項2〜8記載の暗号通信装置。
- サービスクラスとして、サービスクラス情報をサービスクラス管理表に登録する際に第1のSADの空きエントリを予約し、予約された前記第1のSADの空きエントリにセキュリティアソシエーションを登録することを示すクラスBを有する請求項9記載の暗号通信装置。
- サービスクラス情報がサービスクラス情報の識別子であるサービスクラス情報識別子を含み、制御部が第1のSADのエントリごとに前記サービスクラス情報識別子を保持する第1のSAD管理表を有し、サービスクラス管理表に登録されたクラスBのサービスクラス情報のサービスクラス情報識別子を前記第1のSAD管理表に登録することで前記第1のSADの空きエントリが予約される請求項10記載の暗号通信装置。
- 制御部がクラスBのサービスクラス情報をサービスクラス管理表から削除することで第1のSADの空きエントリの予約を解消する請求項10記載の暗号通信装置。
- サービスクラス情報がサービスクラス情報の識別子であるサービスクラス情報識別子を含み、制御部が第1のSADのエントリごとに前記サービスクラス情報識別子を保持する第1のSAD管理表を有し、前記サービスクラス情報識別子を前記第1のSAD管理表から削除することで前記第1のSADの空きエントリの予約が解消される請求項12記載の暗号通信装置。
- 制御部が、第1のSADの空きエントリが存在しない場合に、前記第1のSADからクラスAに属するセキュリティアソシエーションを削除して第2のSADに登録し、前記第1のSADにクラスBに属するセキュリティアソシエーションに対する予約を行う請求項10、11記載の暗号通信装置。
- 制御部が、第1のSADからクラスBに属するセキュリティアソシエーションに対する予約の解消後、第iのSADからクラスAに属するセキュリティアソシエーションを削除して前記第1のSADに登録する請求項12、13記載の暗号通信装置。
- 第2のSADがセキュリティアソシエーションごとにセキュリティアソシエーションが登録されているSADを指し示す登録先を保持し、制御部が第1のSADに登録したセキュリティアソシエーションを登録先と共に前記第2のSADに登録する請求項2〜15記載の暗号通信装置。
- ネットワークインタフェースが制御部からのバイパス指示に従って第1のIPsec処理部を前記ネットワークインタフェースから切り離す切り替え部を有し、前記制御部が前記第1のIPsec処理部の異常を検出すると前記切り替え部にバイパス指示を出して第2のSADに登録された全てのセキュリティアソシエーションの登録先を前記第2のSADに設定する請求項16記載の暗号通信装置。
- 制御部が第1のIPsec処理部の特定レジスタにアクセスすることで異常を検出する請求項17記載の暗号通信装置。
- 制御部が起動時に第1のIPsec処理部の特定レジスタにアクセスする請求項18記載の暗号通信装置。
- 制御部が一定時間ごとに第1のIPsec処理部の特定レジスタにアクセスする請求項18記載の暗号通信装置。
- 第1のIPsec処理部が前記第1のIPsec処理部の異常を検出する自己診断部を有して制御部に異常の検出を通知する請求項17記載の暗号通信装置。
- 第1のIPsec処理部の自己診断部が起動時に前記第1のIPsec処理部の異常検出を行う請求項21記載の暗号通信装置。
- 第1のIPsec処理部の自己診断部が一定時間ごとに前記第1のIPsec処理部の異常検出を行う請求項21記載の暗号通信装置。
- パケットのヘッダ情報に対応したセキュリティアソシエーションが登録された第1のSADと、
前記第1のSADに登録されたセキュリティアソシエーションに基づいてIPパケットをIPsecパケットに変換し、IPsecパケットをIPパケットに変換する第1のIPsec処理部を有したネットワークインタフェースと、
パケットのヘッダ情報に対応したセキュリティアソシエーションが登録された1つないし複数の(n−1)個(nは2以上の整数)の第2〜第iのSADと、
前記第iのSADに登録されたセキュリティアソシエーションに基づいて、IPパケットをIPsecパケットに変換して前記ネットワークインタフェースに転送し、IPsecパケットをIPパケットに変換する第iのIPsec処理部(i=2〜n)と、
前記第iのIPsec処理部に対するQOSパラメータ値の閾値である第iの閾値を保持し、セキュリティアソシエーションのQOSパラメータと前記第iの閾値との比較結果に基づいて前記セキュリティアソシエーションを前記第1〜第nのSADのいずれかに登録する制御部と
を有する暗号通信装置。 - QOSパラメータとしてスループット値を用いる請求項24記載の暗号通信装置。
- QOSパラメータとして遅延時間を用いる請求項24記載の暗号通信装置。
- パケットのヘッダ情報に対応したセキュリティアソシエーションが登録された第1のSADと、
前記第1のSADに登録されたセキュリティアソシエーションに基づいて、IPパケットをIPsecパケットに変換し、IPsecパケットをIPパケットに変換する第1のIPsec処理部を有したネットワークインタフェースと、
パケットのヘッダ情報に対応したセキュリティアソシエーションが登録された1つないし複数の(n−1)個(nは2以上の整数)の第2〜第iのSADと、
前記第iのSADに登録されたセキュリティアソシエーションに基づいて、IPパケットをIPsecパケットに変換して前記ネットワークインタフェースに転送し、IPsecパケットをIPパケットに変換する第iのIPsec処理部(i=2〜n)と、
前記第iのSADのエントリ数から定まる第iの閾値を保持し、セキュリティアソシエーションごとに優先順位の高いものから順に指定される優先度と前記第iの閾値との比較結果に基づいてセキュリティアソシエーションを前記第1〜第nのSADのいずれかに登録する暗号通信装置。 - 通信相手と相互通信を行ってセキュリティアソシエーションを決定する鍵交換部を有し、前記鍵交換部が送信元アドレス情報と宛先アドレス情報とサービスクラスの組を含む設定ファイルから前記セキュリティアソシエーションのサービスクラスを特定して制御部に前記セキュリティアソシエーションと前記サービスクラスを通知する請求項2〜8記載の暗号通信装置。
- 通信相手と相互通信を行ってセキュリティアソシエーションを決定する鍵交換部を有し、前記鍵交換部が送信元アドレス情報と宛先アドレス情報とサービスクラスの組を含む設定ファイルから制御部にセキュリティアソシエーションとそのサービスクラス情報を通知する請求項9〜23記載の暗号通信装置。
- 第1のIPsec処理部が暗号認証処理機能部を有し、第i(iは2以上の整数)のIPsec処理部が前記第1のIPsec処理部の有する暗号認証処理機能を共用する請求項2〜29記載の暗号通信装置。
- 第i(iは3以上の整数)のSADが第2のSADと同一である請求項2〜29記載の暗号通信装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003097878A JP2004304696A (ja) | 2003-04-01 | 2003-04-01 | 暗号通信装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003097878A JP2004304696A (ja) | 2003-04-01 | 2003-04-01 | 暗号通信装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004304696A true JP2004304696A (ja) | 2004-10-28 |
Family
ID=33409554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003097878A Pending JP2004304696A (ja) | 2003-04-01 | 2003-04-01 | 暗号通信装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004304696A (ja) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006093021A1 (ja) * | 2005-02-28 | 2006-09-08 | Nec Corporation | 通信装置、通信システム、通信方法、及びプログラム |
| JP2007043724A (ja) * | 2005-08-04 | 2007-02-15 | Dibcom | ホストプロセッサおよびコプロセッサを用いてデータを復号化する方法、装置およびコンピュータプログラム |
| JP2007208632A (ja) * | 2006-02-01 | 2007-08-16 | Sony Corp | 情報処理装置および方法、プログラム、並びに記録媒体 |
| JP2008048042A (ja) * | 2006-08-11 | 2008-02-28 | Matsushita Electric Ind Co Ltd | 暗号装置、復号装置、暗号方法、および復号方法 |
| JP2008141290A (ja) * | 2006-11-30 | 2008-06-19 | Sharp Corp | Nicを備えるシステム機器および同システム機器の省電力制御方法 |
| JP2008301072A (ja) * | 2007-05-30 | 2008-12-11 | Ricoh Co Ltd | 暗号通信路復帰方法、暗号通信装置及び暗号通信システム |
| WO2008155905A1 (ja) * | 2007-06-18 | 2008-12-24 | Panasonic Corporation | 暗号装置及び暗号操作方法 |
| JP2009015507A (ja) * | 2007-07-03 | 2009-01-22 | Canon Inc | データ処理装置およびデータ処理装置の制御方法およびプログラムおよび記録媒体 |
| JP2009135813A (ja) * | 2007-11-30 | 2009-06-18 | Ricoh Co Ltd | 暗復号化装置、および暗復号化プログラムが格納されたコンピュータで読み取り可能な記憶媒体。 |
| JP2010219604A (ja) * | 2009-03-13 | 2010-09-30 | Canon Inc | 情報処理装置、通信システム、それらの制御方法、及びプログラム |
| JP2011228947A (ja) * | 2010-04-20 | 2011-11-10 | Ricoh Co Ltd | 通信装置 |
| CN102420769A (zh) * | 2011-12-27 | 2012-04-18 | 汉柏科技有限公司 | 一种Ipsec转发的方法 |
| JP2012177942A (ja) * | 2012-06-07 | 2012-09-13 | Ricoh Co Ltd | 暗号通信路復帰方法、暗号通信装置及び暗号通信システム |
| JP2014522605A (ja) * | 2011-07-15 | 2014-09-04 | ドイチェ テレコム アクチエンゲゼルシャフト | セキュアな電気通信ネットワークにおける高可用性を向上させる方法、及び複数のリモートノードを備える電気通信ネットワーク |
| JP2019033402A (ja) * | 2017-08-09 | 2019-02-28 | 三菱電機株式会社 | 通信装置 |
-
2003
- 2003-04-01 JP JP2003097878A patent/JP2004304696A/ja active Pending
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8250643B2 (en) | 2005-02-28 | 2012-08-21 | Nec Corporation | Communication device, communication system, communication method, and program |
| JPWO2006093021A1 (ja) * | 2005-02-28 | 2008-08-07 | 日本電気株式会社 | 通信装置、通信システム、通信方法、及びプログラム |
| WO2006093021A1 (ja) * | 2005-02-28 | 2006-09-08 | Nec Corporation | 通信装置、通信システム、通信方法、及びプログラム |
| JP4826827B2 (ja) * | 2005-02-28 | 2011-11-30 | 日本電気株式会社 | 通信装置、通信システム、通信方法、及びプログラム |
| JP2007043724A (ja) * | 2005-08-04 | 2007-02-15 | Dibcom | ホストプロセッサおよびコプロセッサを用いてデータを復号化する方法、装置およびコンピュータプログラム |
| JP2007208632A (ja) * | 2006-02-01 | 2007-08-16 | Sony Corp | 情報処理装置および方法、プログラム、並びに記録媒体 |
| US7961614B2 (en) | 2006-02-01 | 2011-06-14 | Sony Corporation | Information processing device, information processing method, and recording medium for reducing consumption of memory capacity |
| JP2008048042A (ja) * | 2006-08-11 | 2008-02-28 | Matsushita Electric Ind Co Ltd | 暗号装置、復号装置、暗号方法、および復号方法 |
| JP2008141290A (ja) * | 2006-11-30 | 2008-06-19 | Sharp Corp | Nicを備えるシステム機器および同システム機器の省電力制御方法 |
| JP2008301072A (ja) * | 2007-05-30 | 2008-12-11 | Ricoh Co Ltd | 暗号通信路復帰方法、暗号通信装置及び暗号通信システム |
| WO2008155905A1 (ja) * | 2007-06-18 | 2008-12-24 | Panasonic Corporation | 暗号装置及び暗号操作方法 |
| JP2009015507A (ja) * | 2007-07-03 | 2009-01-22 | Canon Inc | データ処理装置およびデータ処理装置の制御方法およびプログラムおよび記録媒体 |
| JP2009135813A (ja) * | 2007-11-30 | 2009-06-18 | Ricoh Co Ltd | 暗復号化装置、および暗復号化プログラムが格納されたコンピュータで読み取り可能な記憶媒体。 |
| JP2010219604A (ja) * | 2009-03-13 | 2010-09-30 | Canon Inc | 情報処理装置、通信システム、それらの制御方法、及びプログラム |
| JP2011228947A (ja) * | 2010-04-20 | 2011-11-10 | Ricoh Co Ltd | 通信装置 |
| JP2014522605A (ja) * | 2011-07-15 | 2014-09-04 | ドイチェ テレコム アクチエンゲゼルシャフト | セキュアな電気通信ネットワークにおける高可用性を向上させる方法、及び複数のリモートノードを備える電気通信ネットワーク |
| US9451457B2 (en) | 2011-07-15 | 2016-09-20 | Deutsche Telekom Ag | Method to enhance high availability in a secure telecommunications network, and telecommunications network comprising a plurality of remote nodes |
| CN102420769A (zh) * | 2011-12-27 | 2012-04-18 | 汉柏科技有限公司 | 一种Ipsec转发的方法 |
| JP2012177942A (ja) * | 2012-06-07 | 2012-09-13 | Ricoh Co Ltd | 暗号通信路復帰方法、暗号通信装置及び暗号通信システム |
| JP2019033402A (ja) * | 2017-08-09 | 2019-02-28 | 三菱電機株式会社 | 通信装置 |
| JP7080024B2 (ja) | 2017-08-09 | 2022-06-03 | 三菱電機株式会社 | 通信装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4382328B2 (ja) | セキュアストレージシステム | |
| US7586916B2 (en) | Packet routing apparatus and method of efficiently routing packets among network equipment | |
| US6154839A (en) | Translating packet addresses based upon a user identifier | |
| JP3651721B2 (ja) | 移動計算機装置、パケット処理装置及び通信制御方法 | |
| US6839346B1 (en) | Packet switching apparatus with high speed routing function | |
| JP3411159B2 (ja) | 移動計算機サポートシステム | |
| US7159109B2 (en) | Method and apparatus to manage address translation for secure connections | |
| US10484279B2 (en) | Executing multiple virtual private network (VPN) endpoints associated with an endpoint pool address | |
| US8364948B2 (en) | System and method for supporting secured communication by an aliased cluster | |
| US8073949B2 (en) | Secure multiapplication proxy | |
| US20030231632A1 (en) | Method and system for packet-level routing | |
| JP2004304696A (ja) | 暗号通信装置 | |
| US11888818B2 (en) | Multi-access interface for internet protocol security | |
| JPH11205388A (ja) | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 | |
| US7694015B2 (en) | Connection control system, connection control equipment and connection management equipment | |
| JP5445262B2 (ja) | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム | |
| US20060209830A1 (en) | Packet processing system including control device and packet forwarding device | |
| CN114915451A (zh) | 一种基于企业级路由器的融合隧道加密传输方法 | |
| JP2001036581A (ja) | 通信帯域設定システムと方法 | |
| Cisco | Intranet and Extranet VPN Business Scenarios | |
| US8036218B2 (en) | Technique for achieving connectivity between telecommunication stations | |
| JPH1132088A (ja) | ネットワークシステム | |
| US20250097198A1 (en) | Zero-trust packet routing | |
| CN114553633B (zh) | 隧道协商方法及装置 | |
| JP3802464B2 (ja) | 通信ネットワークシステム、サービス処理制御方法、プロバイダサーバおよびサービス処理装置 |