Nothing Special   »   [go: up one dir, main page]

JP4228291B2 - Security communication method and apparatus using the same - Google Patents

Security communication method and apparatus using the same Download PDF

Info

Publication number
JP4228291B2
JP4228291B2 JP2003293284A JP2003293284A JP4228291B2 JP 4228291 B2 JP4228291 B2 JP 4228291B2 JP 2003293284 A JP2003293284 A JP 2003293284A JP 2003293284 A JP2003293284 A JP 2003293284A JP 4228291 B2 JP4228291 B2 JP 4228291B2
Authority
JP
Japan
Prior art keywords
security communication
bit
interface
communication method
ipsec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003293284A
Other languages
Japanese (ja)
Other versions
JP2005064928A (en
Inventor
和紀 宮澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2003293284A priority Critical patent/JP4228291B2/en
Publication of JP2005064928A publication Critical patent/JP2005064928A/en
Application granted granted Critical
Publication of JP4228291B2 publication Critical patent/JP4228291B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、TCP/IP(Transmission Control Protocol/Internet Protocol:以下単にTCP/IPと呼ぶ。)環境下でパケットの暗号化と認証を行うセキュリティ通信プロトコルであるIPsec(IP Security Architecture:以下、単にIPsecと呼ぶ。)を用いたセキュリティ通信方法に関し、特にIPv6(Internet Protocol Version 6:以下、単にIPv6と呼ぶ。)のアドレス体系を用いた場合であっても、端末の移動に起因するIPv6アドレスの変化に関わりなくIPsecを用いたセキュリティ通信を行うことが可能なセキュリティ通信方法及びこれを用いた装置に関する。   The present invention is IPsec (IP Security Architecture: hereinafter simply referred to as IPsec), which is a security communication protocol that performs packet encryption and authentication in a TCP / IP (Transmission Control Protocol / Internet Protocol: hereinafter simply referred to as TCP / IP) environment. In particular, even if the IPv6 (Internet Protocol Version 6: hereinafter simply referred to as IPv6) address system is used, the change in the IPv6 address due to the movement of the terminal. The present invention relates to a security communication method capable of performing security communication using IPsec regardless of the method and an apparatus using the same.

従来のIPsecを用いたセキュリティ通信方法及びこれを用いた装置に関連する先行技術文献としては次のようなものがある。   Prior art documents relating to a conventional security communication method using IPsec and an apparatus using the same include the following.

特開2002−077242号公報Japanese Patent Laid-Open No. 2002-077242 特開2003−051818号公報JP 2003-051818 A 特開2003−115880号公報JP 2003-115880 A

図6はこのような従来のセキュリティ通信方法を用いた装置の一例を示す構成ブロック図である。図6において1及び2はTCP/IP環境下で通信を行う機器であるコンピュータ、100はインターネット等の汎用のネットワークである。   FIG. 6 is a block diagram showing an example of an apparatus using such a conventional security communication method. In FIG. 6, reference numerals 1 and 2 denote computers that are devices that perform communication in a TCP / IP environment, and 100 denotes a general-purpose network such as the Internet.

コンピュータ1はネットワーク100に接続され、コンピュータ2もまたネットワーク100に接続される。   The computer 1 is connected to the network 100, and the computer 2 is also connected to the network 100.

ここで、図6に示す従来例の動作を説明する。図6中”CM01”に示すようにコンピュータ1及びコンピュータ2の間で相互に通信を行う場合、IPsecを用いて通信するパケットを暗号化して送受信することにより、ネットワーク100に接続した他のコンピュータ等(図示せず。)から傍受、若しくは、盗聴されることなくセキュアな通信を行うことが可能になる。   Here, the operation of the conventional example shown in FIG. 6 will be described. When communicating between the computer 1 and the computer 2 as indicated by “CM01” in FIG. 6, other computers connected to the network 100 are encrypted by transmitting and receiving packets encrypted using IPsec. Secure communication can be performed without eavesdropping or eavesdropping from (not shown).

但し、IPsecはIPレイヤにおいて暗号化や認証等を行うものであり、実際に送受信するパケットを処理する機能と、パケット処理に必要な鍵を交換する機能とに大きく2つに分類される。   However, IPsec performs encryption, authentication, and the like in the IP layer, and is roughly classified into two functions: a function for processing packets that are actually transmitted and received and a function for exchanging keys necessary for packet processing.

パケットを処理する機能では、パケットを処理するためのルールが必要であり、当該ルールは機器のアドレス、或いは、アドレス空間(これらに加えプロトコルやポート番号等)に対して設定するのが一般的である。   In the packet processing function, a rule for processing the packet is necessary, and the rule is generally set for the device address or address space (in addition to these, protocol, port number, etc.). is there.

このため、図6に示すような従来例においては、例えば、コンピュータ1のアドレスからコンピュータ2のアドレスへの通信(或いは、コンピュータ2のアドレスからコンピュータ1のアドレスへの通信)に関してはIPsecを適用するルールが設定されることになる。   Therefore, in the conventional example as shown in FIG. 6, for example, IPsec is applied to communication from the address of the computer 1 to the address of the computer 2 (or communication from the address of the computer 2 to the address of the computer 1). Rules will be set.

また、近年使用され始めたIPv6のアドレス体系ではアドレスを表すためのフィールドを従来(IPv4:Internet Protocol Version 4)の32ビットから128ビットに拡張している。   Also, in the IPv6 address system that has begun to be used in recent years, the field for representing an address is expanded from 32 bits of the conventional (IPv4: Internet Protocol Version 4) to 128 bits.

図7はこのようなIPv6の128ビットアドレスの具体例を示す説明図である。図7に示すようにIPv6では図7中”PX11”に示す上位64ビットがプレフィックスと呼ばれるネットワークの識別子として取り扱われ、図7中”ID11”に示す下位64ビットがインターフェースIDと呼ばれる機器(コンピュータや端末等)の識別子として取り扱われる。   FIG. 7 is an explanatory diagram showing a specific example of such an IPv6 128-bit address. As shown in FIG. 7, in IPv6, the upper 64 bits indicated by “PX11” in FIG. 7 are treated as a network identifier called a prefix, and the lower 64 bits indicated by “ID11” in FIG. Terminal).

しかし、IPv6のアドレス体系では機器がネットワーク間を移動した場合に、図7中”PX11”に示すプレフィックスが移動先のネットワークに従って変化してしまい、ネットワーク間を移動する機器との間でIPsecを用いたセキュリティ通信を行う場合にはIPv6アドレスに基づき設定されルールを決めることが極めて困難であり、想定されるIPv6アドレスを全て設定しておく等しなければならないと言った問題点があった。   However, in the IPv6 address system, when a device moves between networks, the prefix indicated by “PX11” in FIG. 7 changes according to the destination network, and IPsec is used between the devices moving between networks. When performing security communication, it is extremely difficult to determine a rule that is set based on an IPv6 address, and there is a problem that all the expected IPv6 addresses must be set.

図8、図9及び図10はこのようなネットワーク間を移動する機器との間でIPsecを用いたセキュリティ通信を行う場合の問題点を説明する説明図である。   FIGS. 8, 9 and 10 are explanatory diagrams for explaining problems in performing security communication using IPsec with such a device moving between networks.

図8において、3はTCP/IP環境下で通信を行う機器であるコンピュータ、4及び5はTCP/IP環境下で通信を行う機器であるPDA(Personal Digital(Data) Assistants)、101はインターネット等の汎用のネットワークである。   In FIG. 8, 3 is a computer that is a device that communicates in a TCP / IP environment, 4 and 5 are PDAs (Personal Digital (Data) Assistants) that are devices that communicate in a TCP / IP environment, 101 is the Internet, and the like. It is a general-purpose network.

図8において、コンピュータ3は有線、若しくは、無線によってネットワーク101に接続され、PDA4及びPDA5もまた有線、若しくは、無線によってネットワーク101に接続される。また、図10において3,4,101及びその他記号等に関しては図8と同一符号を付してある。   In FIG. 8, the computer 3 is connected to the network 101 by wire or wireless, and the PDA 4 and PDA 5 are also connected to the network 101 by wire or wireless. In FIG. 10, 3, 4 and 101 and other symbols and the like are assigned the same reference numerals as in FIG. 8.

図8中”CP21”は、例えば、会社内のイントラネット等のネットワーク環境(以下、単に会社のネットワーク環境と呼ぶ。)であり、図8中”HM21”は、例えば、自宅のホームLAN(Local Area Network)等のネットワーク環境(以下、単に自宅のネットワーク環境と呼ぶ。)である。   “CP21” in FIG. 8 is a network environment such as an intranet in a company (hereinafter simply referred to as a company network environment), and “HM21” in FIG. 8 is, for example, a home LAN (Local Area) at home. Network) (hereinafter simply referred to as home network environment).

このため、コンピュータ3のIPv6アドレスの上位64ビットであるプレフィックスは、例えば、”CP21”となり、同様に、会社のネットワーク環境下にあるPDA4のIPv6アドレスの上位64ビットであるプレフィックスもまた”CP21”となる。   Therefore, the prefix that is the upper 64 bits of the IPv6 address of the computer 3 is, for example, “CP21”. Similarly, the prefix that is the upper 64 bits of the IPv6 address of the PDA 4 in the company network environment is also “CP21”. It becomes.

一方、自宅のネットワーク環境下にあるPDA5のIPv6アドレスの上位64ビットであるプレフィックスは、例えば、”HM21”となる。   On the other hand, the prefix that is the upper 64 bits of the IPv6 address of the PDA 5 in the home network environment is, for example, “HM21”.

また、説明の簡単のために、コンピュータ3、PDA4及びPDA5のIPv6アドレスの下位64ビットであるインターフェースIDはそれぞれ、”COMP”、”PDA4”及び”PDA5”とする。   For simplicity of explanation, the interface IDs which are the lower 64 bits of the IPv6 address of the computer 3, PDA4 and PDA5 are “COMP”, “PDA4” and “PDA5”, respectively.

ここで、図8中”RL21”及び”RL22”に示すようにPDA4及びPDA5とコンピュータ3との間でIPsecを用いたセキュリティ通信を行う場合を想定すると、図9中(A)及び(B)に示すようなルールを設定する必要性がある。   Assuming that security communication using IPsec is performed between the PDA 4 and PDA 5 and the computer 3 as indicated by “RL21” and “RL22” in FIG. 8, (A) and (B) in FIG. It is necessary to set rules as shown in.

例えば、図9中(A)に示すルールでは、IPv6アドレスが”CP21:PDA4(ここでは、”上位64ビットアドレス:下位64ビットアドレス”の表記でIPv6の128ビットアドレスを示すものとする。)”であるPDA4からIPv6アドレスが”CP21:COMP”であるコンピュータ3への通信にはIPsecを適用することを示す。   For example, in the rule shown in FIG. 9A, the IPv6 address is “CP21: PDA4 (in this case, the upper 64 bit address: lower 64 bit address” indicates an IPv6 128 bit address). It shows that IPsec is applied to communication from the PDA 4 that is “IP” to the computer 3 whose IPv6 address is “CP21: COMP”.

同様に、例えば、図9中(B)に示すルールでは、IPv6アドレスが”HM21:PDA5”であるPDA5からIPv6アドレスが”CP21:COMP”であるコンピュータ3への通信にはIPsecを適用することを示す。   Similarly, for example, in the rule shown in FIG. 9B, IPsec is applied to communication from the PDA 5 having the IPv6 address “HM21: PDA5” to the computer 3 having the IPv6 address “CP21: COMP”. Indicates.

このように、図9中(A)及び(B)に示すようなIPsecの適用ルールが設定された状況で、図10中”MV31”に示すようにPDA4が会社のネットワーク環境”CP21”から自宅のネットワーク環境”HM21”に移動した場合、PDA4のIPv6アドレスは”CP21:PDA4”から”HM21:PDA4”に変更、言い換えれば、プレフィックスが接続されるネットワーク環境に応じて”CP21”から”HM21”に変更されてしまう。   In this manner, in a situation where the IPsec application rules as shown in FIGS. 9A and 9B are set, the PDA 4 is moved from the company network environment “CP21” to the home as shown by “MV31” in FIG. The IPv6 address of the PDA 4 is changed from “CP21: PDA4” to “HM21: PDA4”, in other words, from “CP21” to “HM21” according to the network environment to which the prefix is connected. Will be changed.

このため、図10中”RL22”に示すようにPDA4とコンピュータ3との間でIPsecを用いたセキュリティ通信を行おうとした場合、PDA4が移動後のIPv6アドレスでは図9中(A)若しくは(B)に示すようなルールに適合できないため、図10中”AD31”に示すようにセキュリティ通信を行うことができなくなってしまう。
従って本発明が解決しようとする課題は、端末の移動に起因するIPv6アドレスの変化に関わりなくIPsecを用いたセキュリティ通信を行うことが可能なセキュリティ通信方法及びこれを用いた装置を実現することにある。 Therefore, when security communication using IPsec is performed between the PDA 4 and the computer 3 as indicated by “RL22” in FIG. 10, the IPv6 address after the movement of the PDA 4 in FIG. 9 (A) or (B ) Cannot be adapted to the rule as shown in FIG. 10, and security communication cannot be performed as indicated by “AD31” in FIG.
Therefore, the problem to be solved by the present invention is to realize a security communication method and an apparatus using the same that can perform security communication using IPsec regardless of the change of the IPv6 address caused by movement of the terminal. is there.

このような課題を達成するために、本発明のうち請求項1記載の発明は、
パケットの暗号化と認証を行うセキュリティ通信プロトコルを用いたセキュリティ通信方法において、
それぞれの機器を一意に定義することが可能なIDに基づくハッシュ値と1ビットの識別ビットを有するIPv6アドレスの下位64ビットのインターフェースIDを生成し、前記インターフェースIDを用いて前記機器間の前記セキュリティ通信プロトコルの適用ルールを設定することにより、端末の移動に起因するIPv6アドレスの変化に関わりなくIPsecを用いたセキュリティ通信を行うことが可能になる。 In order to achieve such a problem, the invention according to claim 1 of the present invention is:
In a security communication method using a security communication protocol for packet encryption and authentication,
An interface ID of lower 64 bits of an IPv6 address having a hash value based on an ID that can uniquely define each device and an identification bit of 1 bit is generated, and the security between the devices is generated using the interface ID By setting communication protocol application rules, it becomes possible to perform security communication using IPsec regardless of changes in the IPv6 address caused by movement of the terminal.

請求項2記載の発明は、
請求項1記載の発明であるセキュリティ通信方法において、
前記インターフェースID内に、
1ビットのランダムビットを追加し、同一のネットワーク環境下で前記インターフェースIDが重複してしまった場合に、前記ランダムビットを変更することにより、重複した機器を区別することができる。 The invention according to claim 2
In the security communication method according to claim 1,
In the interface ID,
When one random bit is added and the interface ID is duplicated under the same network environment, the duplicated device can be distinguished by changing the random bit.

請求項3記載の発明は、
請求項1若しくは請求項2記載の発明であるセキュリティ通信方法において、
暗号・認証のパラメータを動的に生成して交換する自動鍵交換のプロトコルを用いることにより、鍵交換が可能になる。 The invention described in claim 3
In the security communication method according to claim 1 or claim 2,
Using an automatic key exchange protocol that dynamically generates and exchanges encryption and authentication parameters enables key exchange.

請求項4記載の発明は、
請求項3記載の発明であるセキュリティ通信方法において、
前記機器を一意に定義することが可能なIDと自動鍵交換の前記プロトコルで使用するIDとを同一にすることにより、相手の認証をすることが可能になる。 The invention according to claim 4
In the security communication method according to claim 3,
By making the ID capable of uniquely defining the device and the ID used in the protocol for automatic key exchange the other party can be authenticated.

請求項5記載の発明は、
請求項1乃至請求項4のいずれかに記載の発明であるセキュリティ通信方法において、
前記機器を一意に定義することが可能なIDが、
前記機器のシリアル番号、ユーザのID、FQDN、若しくは、公開鍵証明書の識別名であることにより、端末の移動に起因するIPv6アドレスの変化に関わりなくIPsecを用いたセキュリティ通信を行うことが可能になる。 The invention according to claim 5
In the security communication method according to any one of claims 1 to 4,
An ID capable of uniquely defining the device is
By using the device serial number, user ID, FQDN, or public key certificate identification name, security communication using IPsec can be performed regardless of changes in the IPv6 address caused by the movement of the terminal. become.

請求項6記載の発明は、
パケットの暗号化と認証を行うセキュリティ通信プロトコルを用いたセキュリティ通信方法を用いた装置において、
ネットワークに接続され機器を一意に定義することが可能なIDに基づくハッシュ値と1ビットの識別ビットを有するIPv6アドレスの下位64ビットのインターフェースIDが生成された第1の機器と、ネットワークに接続され機器を一意に定義することが可能なIDに基づくハッシュ値と1ビットの識別ビットを有するIPv6アドレスの下位64ビットのインターフェースIDが生成された第2の機器とを備え、前記インターフェースIDを用いて前記第1の機器と前記第2の機器との間の前記セキュリティ通信プロトコルの適用ルールを設定したことにより、端末の移動に起因するIPv6アドレスの変化に関わりなくIPsecを用いたセキュリティ通信を行うことが可能になる。 The invention described in claim 6
In a device using a security communication method using a security communication protocol for packet encryption and authentication,
A first device that is connected to the network and has a hash value based on an ID that can uniquely define the device and an IPv6 address lower 64 bits interface ID having an identification bit of 1 bit, and is connected to the network A hash value based on an ID capable of uniquely defining a device, and a second device in which an interface ID of lower 64 bits of an IPv6 address having a 1-bit identification bit is generated, and using the interface ID By setting the application rule of the security communication protocol between the first device and the second device, the security communication using IPsec is performed regardless of the change of the IPv6 address due to the movement of the terminal. Is possible.

請求項7記載の発明は、
請求項6記載の発明であるセキュリティ通信方法を用いた装置において、
前記インターフェースID内に、
1ビットのランダムビットを追加し、同一のネットワーク環境下で前記インターフェースIDが重複してしまった場合に、前記ランダムビットを変更することにより、重複した機器を区別することができる。 The invention described in claim 7
In the apparatus using the security communication method according to claim 6,
In the interface ID,
When one random bit is added and the interface ID is duplicated under the same network environment, the duplicated device can be distinguished by changing the random bit.

請求項8記載の発明は、
請求項6若しくは請求項7記載の発明であるセキュリティ通信方法を用いた装置において、
暗号・認証のパラメータを動的に生成して交換する自動鍵交換のプロトコルを用いることにより、鍵交換が可能になる。 The invention described in claim 8
In the apparatus using the security communication method according to claim 6 or claim 7,
Using an automatic key exchange protocol that dynamically generates and exchanges encryption and authentication parameters enables key exchange.

請求項9記載の発明は、
請求項8記載の発明であるセキュリティ通信方法を用いた装置において、
前記機器を一意に定義することが可能なIDと自動鍵交換の前記プロトコルで使用するIDとを同一にすることにより、相手の認証をすることが可能になる。 The invention according to claim 9
In the apparatus using the security communication method according to claim 8,
By making the ID capable of uniquely defining the device and the ID used in the protocol for automatic key exchange the other party can be authenticated.

請求項10記載の発明は、
請求項6乃至請求項9のいずれかに記載の発明であるセキュリティ通信方法を用いた装置において、
前記機器を一意に定義することが可能なIDが、
前記機器のシリアル番号、ユーザのID、FQDN、若しくは、公開鍵証明書の識別名であることにより、端末の移動に起因するIPv6アドレスの変化に関わりなくIPsecを用いたセキュリティ通信を行うことが可能になる。 The invention according to claim 10 is:
In the apparatus using the security communication method according to any one of claims 6 to 9,
An ID capable of uniquely defining the device is
By using the device serial number, user ID, FQDN, or public key certificate identification name, security communication using IPsec can be performed regardless of changes in the IPv6 address caused by the movement of the terminal. become.

本発明によれば次のような効果がある。
請求項1,5,6及び請求項10の発明によれば、機器を一意に定義することが可能なIDに基づき生成した60ビットのハッシュ値と1ビットの識別ビットを有する64ビットのインターフェースIDを生成して、当該インターフェースIDを用いてIPsecの適用ルールを設定することにより、端末の移動に起因するIPv6アドレスの変化に関わりなくIPsecを用いたセキュリティ通信を行うことが可能になる。 The present invention has the following effects.
According to the inventions of claims 1, 5, 6 and 10, a 64-bit interface ID having a 60-bit hash value and a 1-bit identification bit generated based on an ID capable of uniquely defining a device. And setting the IPsec application rule using the interface ID, it is possible to perform security communication using IPsec regardless of the change in the IPv6 address caused by the movement of the terminal.

また、請求項2及び請求項7の発明によれば、同一のネットワーク環境下でインターフェースIDが重複してしまった場合に、ランダムビットを変更(”0”から”1”、若しくは、”1”から”0”)することによって重複した機器を区別することができる。   According to the invention of claim 2 and claim 7, when the interface ID is duplicated in the same network environment, the random bit is changed (from “0” to “1” or “1”). ”To“ 0 ”), the duplicated devices can be distinguished.

また、請求項3及び請求項8の発明によれば、IKE(Internet Key Exchange)という暗号・認証のパラメータを動的に生成して交換する自動鍵交換のプロトコルを用いることにより、鍵交換が可能になる。   Further, according to the inventions of claims 3 and 8, key exchange is possible by using an automatic key exchange protocol called IKE (Internet Key Exchange) which dynamically generates and exchanges encryption and authentication parameters. become.

また、請求項4及び請求項9の発明によれば、ハッシュ値生成の元になる機器を一意に定義することが可能なIDとIKE(鍵交換)で使用するIDと同一にすることによって相手の認証をすることが可能になる。   According to the invention of claim 4 and claim 9, it is possible to make the counterpart device by making the ID that can uniquely define the device from which the hash value is generated the same as the ID used in IKE (key exchange). It becomes possible to authenticate.

以下本発明を図面を用いて詳細に説明する。図1及び図2は本発明に係るIPsecを用いたセキュリティ通信方法の一実施例を示す構成ブロック図及びインターフェースIDの生成方法を説明する説明図である。また、図3、図4及び図5はネットワーク間を移動する機器との間でIPsecを用いたセキュリティ通信を行う場合を説明する説明図である。   Hereinafter, the present invention will be described in detail with reference to the drawings. 1 and 2 are a configuration block diagram showing an embodiment of a security communication method using IPsec according to the present invention and an explanatory diagram for explaining an interface ID generation method. FIGS. 3, 4 and 5 are explanatory diagrams for explaining a case where security communication using IPsec is performed with a device moving between networks.

図1において、6はTCP/IP環境下で通信を行う機器であるコンピュータ、7はTCP/IP環境下で通信を行う機器であるPDA(Personal Digital(Data) Assistants)、102はインターネット等の汎用のネットワークである。   In FIG. 1, 6 is a computer that is a device that communicates in a TCP / IP environment, 7 is a PDA (Personal Digital (Data) Assistants) that is a device that communicates in a TCP / IP environment, and 102 is a general-purpose device such as the Internet. Network.

図1において、コンピュータ6は有線、若しくは、無線によってネットワーク102に接続され、PDA7もまた有線、若しくは、無線によってネットワーク102に接続される。また、図4及び図5において6,7,102及びその他記号等に関しては図1と同一符号を付してある。   In FIG. 1, a computer 6 is connected to the network 102 by wire or wirelessly, and the PDA 7 is also connected to the network 102 by wire or wirelessly. 4 and 5, the reference numerals 6, 7, 102 and other symbols are the same as those in FIG.

図1中”CP41”は、例えば、会社内のイントラネット等のネットワーク環境(以下、単に会社のネットワーク環境と呼ぶ。)であり、図1中”HM41”は、例えば、自宅のホームLAN(Local Area Network)等のネットワーク環境(以下、単に自宅のネットワーク環境と呼ぶ。)である。   “CP41” in FIG. 1 is a network environment such as an intranet in a company (hereinafter simply referred to as a company network environment), and “HM41” in FIG. 1 is, for example, a home LAN (Local Area) at home. Network) (hereinafter simply referred to as home network environment).

一方、図2中”ID51”に示す64ビットのインターフェースIDのうち図2中”HA51”に示す上位60ビットは機器を一意に定義することが可能なIDに基づき生成したハッシュ値、図2中”DS51”に示す1ビットは識別ビット、図2中”RB51”に示す1ビットはランダムビットである。ここで、機器を一意に定義することが可能なIDとしては、例えば、機器のシリアル番号やユーザのID等何であっても構わない。   On the other hand, in the 64-bit interface ID shown in “ID51” in FIG. 2, the upper 60 bits shown in “HA51” in FIG. 2 are hash values generated based on the ID that can uniquely define the device. One bit indicated by “DS51” is an identification bit, and one bit indicated by “RB51” in FIG. 2 is a random bit. Here, the ID that can uniquely define a device may be any device serial number or user ID, for example.

このように生成した図2中”ID51”に示すインターフェースIDと図2中”PX51”に示すネットワーク環境によって定義されるプレフィックスとによりIPv6アドレスを決定する。   The IPv6 address is determined based on the interface ID indicated by “ID51” in FIG. 2 and the prefix defined by the network environment indicated by “PX51” in FIG.

そして、図3中”RL61”に示すようにPDA7とコンピュータ6との間でIPsecを用いたセキュリティ通信を行う場合を想定すると、図4中(A)に示すようなルールを設定する。   Assuming the case where security communication using IPsec is performed between the PDA 7 and the computer 6 as indicated by “RL61” in FIG. 3, a rule as shown in FIG. 4A is set.

但し、IPsec適用のルールを設定する場合には、IPv6アドレスの全128ビットを用いるのではなく、先に生成したハッシュ値等を含む下位64ビット(63ビット+ランダムビット)を用いてルールを設定する。言い換えれば、ネットワーク環境に依存するプレフィックスは除外される。   However, when setting a rule to apply IPsec, instead of using all 128 bits of the IPv6 address, the rule is set using the lower 64 bits (63 bits + random bits) including the hash value generated previously. To do. In other words, prefixes that depend on the network environment are excluded.

例えば、図4中(A)に示すルールではIPv6アドレスの下位64ビットが”Hash1”であるPDA7からIPv6アドレスの下位64ビットが”Hash2”であるコンピュータ6への通信にはIPsecを適用することを示す。   For example, in the rule shown in FIG. 4A, IPsec is applied to communication from the PDA 7 whose lower 64 bits of the IPv6 address is “Hash1” to the computer 6 whose lower 64 bits of the IPv6 address is “Hash2”. Indicates.

このように、図4中(A)に示すようなIPsecの適用ルールが設定された状況で、図5中”MV71”に示すようにPDA7が会社のネットワーク環境”CP41”から自宅のネットワーク環境”HM41”に移動した場合、PDA7のIPv6アドレスは”CP21:Hash1”から”HM21:Hash1”に変更、言い換えれば、プレフィックスが接続されるネットワーク環境に応じて”CP21”から”HM21”に変更される。   Thus, in a situation where the IPsec application rules as shown in FIG. 4A are set, the PDA 7 changes from the company network environment “CP41” to the home network environment ”as indicated by“ MV71 ”in FIG. When moving to “HM41”, the IPv6 address of PDA 7 is changed from “CP21: Hash1” to “HM21: Hash1”, in other words, from “CP21” to “HM21” according to the network environment to which the prefix is connected. .

しかしながら、図5中”RL62”に示すようにPDA7とコンピュータ6との間でIPsecを用いたセキュリティ通信を行おうとした場合であっても、図4中(B)は図4中(A)に示すようなルールに同一であるので何らIPsecの適用ルールの設定を変更することなく、PDA7は会社のネットワーク環境”CP41”の下で設定したIPsecの適用ルールのままで自宅から会社のコンピュータ6に対してセキュリティ通信を行うことができる。   However, even when security communication using IPsec is performed between the PDA 7 and the computer 6 as indicated by “RL62” in FIG. 5, (B) in FIG. 4 is replaced with (A) in FIG. The PDA 7 does not change the setting of the IPsec application rule because it is the same as the rule shown, and the PDA 7 keeps the IPsec application rule set under the company network environment “CP41” from the home to the company computer 6. Security communication can be performed.

また、実際の暗号化されたパケットの通信等にあたっては、生成された128ビットのIPv6アドレスによってパケット通信が行われることにはついては、従来例の何ら変わりはない。   In actual communication of encrypted packets, packet communication is performed using the generated 128-bit IPv6 address, which is no different from the conventional example.

この結果、機器を一意に定義することが可能なIDに基づき生成した60ビットのハッシュ値と1ビットの識別ビットを有する64ビットのインターフェースIDを生成して、当該インターフェースIDを用いてIPsecの適用ルールを設定することにより、端末の移動に起因するIPv6アドレスの変化に関わりなくIPsecを用いたセキュリティ通信を行うことが可能になる。   As a result, a 64-bit interface ID having a 60-bit hash value and a 1-bit identification bit generated based on an ID that can uniquely define a device is generated, and IPsec is applied using the interface ID. By setting the rule, it becomes possible to perform security communication using IPsec regardless of the change of the IPv6 address due to the movement of the terminal.

なお、同一のネットワーク環境下でインターフェースIDが重複してしまった場合に、図2中”RB51"に示すランダムビットを変更(”0”から”1”、若しくは、”1”から”0”)することによって重複した機器を区別することができる。このため、図2中”RB51”は必須のビットではなく、60ビットのハッシュ値と1ビットの識別ビットを有するインターフェースIDであれば本願の目的は達成される。   When the interface ID is duplicated in the same network environment, the random bit indicated by “RB51” in FIG. 2 is changed (from “0” to “1”, or from “1” to “0”). By doing so, it is possible to distinguish duplicate devices. Therefore, “RB51” in FIG. 2 is not an essential bit, and the object of the present application is achieved if the interface ID has a 60-bit hash value and a 1-bit identification bit.

また、図2においては説明の簡単のために、64ビットのインターフェースIDのうち上位60ビットは機器を一意に定義することが可能なIDに基づき生成したハッシュ値、続く2ビットを識別ビット及びランダムビットとして記載しているが、特に、このビット位置に限定されるものではなく、60ビットのハッシュ値、各1ビットの識別ビット及びランダムビットが包含される64ビットのインターフェースIDであれば構わない。   In FIG. 2, for simplicity of explanation, the upper 60 bits of the 64-bit interface ID are a hash value generated based on an ID that can uniquely define a device, and the subsequent 2 bits are an identification bit and a random number. Although it is described as a bit, it is not particularly limited to this bit position, and it may be a 64-bit interface ID including a 60-bit hash value, each 1-bit identification bit, and random bits. .

また、鍵交換が必要な場合には、IKE(Internet Key Exchange)という暗号・認証のパラメータを動的に生成して交換する自動鍵交換のプロトコルを用いることができる。これにより、鍵交換が可能になる。   When key exchange is necessary, an automatic key exchange protocol that dynamically generates and exchanges encryption / authentication parameters called IKE (Internet Key Exchange) can be used. This enables key exchange.

また、ハッシュ値生成の元になる機器を一意に定義することが可能なIDとIKE(鍵交換)で使用するIDと同一にすることによって相手の認証をすることも可能である。   It is also possible to authenticate the other party by making the ID that can uniquely define the device from which the hash value is generated the same as the ID used in IKE (key exchange).

また、機器を一意に定義することが可能なIDとしては、機器のシリアル番号やユーザのID等を例示しているが、そのほか、FQDN(Full Qualified Domain Name)、公開鍵証明書の一規格であるX.509の識別名(Distinguished Names)等であっても勿論構わない。   Examples of IDs that can uniquely define devices include device serial numbers and user IDs. In addition, FQDNs (Full Qualified Domain Names) and public key certificate standards are used. X. Of course, 509 identification names (Distinguished Names) may be used.

本発明に係るIPsecを用いたセキュリティ通信方法の一実施例を示す構成ブロック図である。It is a block diagram showing the configuration of an embodiment of a security communication method using IPsec according to the present invention. 本発明に係るインターフェースIDの生成方法を説明する説明図である。It is explanatory drawing explaining the production | generation method of interface ID which concerns on this invention. ネットワーク間を移動する機器との間でIPsecを用いたセキュリティ通信を行う場合を説明する説明図である。It is explanatory drawing explaining the case where the security communication using IPsec is performed between the apparatuses which move between networks. ネットワーク間を移動する機器との間でIPsecを用いたセキュリティ通信を行う場合を説明する説明図である。It is explanatory drawing explaining the case where the security communication using IPsec is performed between the apparatuses which move between networks. ネットワーク間を移動する機器との間でIPsecを用いたセキュリティ通信を行う場合を説明する説明図である。It is explanatory drawing explaining the case where the security communication using IPsec is performed between the apparatuses which move between networks. 従来のセキュリティ通信方法を用いた装置の一例を示す構成ブロック図である。It is a block diagram which shows an example of the apparatus using the conventional security communication method. IPv6の128ビットアドレスの具体例を示す説明図である。It is explanatory drawing which shows the specific example of a 128-bit address of IPv6. ネットワーク間を移動する機器との間でIPsecを用いたセキュリティ通信を行う場合の問題点を説明する説明図である。It is explanatory drawing explaining the problem in the case of performing the security communication using IPsec between the apparatuses which move between networks. ネットワーク間を移動する機器との間でIPsecを用いたセキュリティ通信を行う場合の問題点を説明する説明図である。It is explanatory drawing explaining the problem in the case of performing the security communication using IPsec between the apparatuses which move between networks. ネットワーク間を移動する機器との間でIPsecを用いたセキュリティ通信を行う場合の問題点を説明する説明図である。It is explanatory drawing explaining the problem in the case of performing the security communication using IPsec between the apparatuses which move between networks.

符号の説明Explanation of symbols

1,2,3,6 コンピュータ
4,5,7 PDA
100,101,102 ネットワーク

1,2,3,6 Computer 4,5,7 PDA
100, 101, 102 networks

Claims (10)

パケットの暗号化と認証を行うセキュリティ通信プロトコルを用いたセキュリティ通信方法において、
それぞれの機器を一意に定義することが可能なIDに基づくハッシュ値と1ビットの識別ビットを有するIPv6アドレスの下位64ビットのインターフェースIDを生成し、
前記インターフェースIDを用いて前記機器間の前記セキュリティ通信プロトコルの適用ルールを設定することを特徴とする
セキュリティ通信方法。 In a security communication method using a security communication protocol for packet encryption and authentication,
Generating a hash value based on an ID capable of uniquely defining each device and an interface ID of lower 64 bits of an IPv6 address having an identification bit of 1 bit;
A security communication method, wherein an application rule of the security communication protocol between the devices is set using the interface ID. 前記インターフェースID内に、
1ビットのランダムビットを追加し、同一のネットワーク環境下で前記インターフェースIDが重複してしまった場合に、前記ランダムビットを変更することを特徴とする
請求項1記載のセキュリティ通信方法。 In the interface ID,
The security communication method according to claim 1, wherein one random bit is added and the random bit is changed when the interface ID is duplicated in the same network environment. 暗号・認証のパラメータを動的に生成して交換する自動鍵交換のプロトコルを用いることを特徴とする
請求項1若しくは請求項2記載のセキュリティ通信方法。 3. The security communication method according to claim 1, wherein an automatic key exchange protocol for dynamically generating and exchanging encryption / authentication parameters is used. 前記機器を一意に定義することが可能なIDと自動鍵交換の前記プロトコルで使用するIDとを同一にすることを特徴とする
請求項3記載のセキュリティ通信方法。 4. The security communication method according to claim 3, wherein an ID capable of uniquely defining the device and an ID used in the automatic key exchange protocol are made the same. 前記機器を一意に定義することが可能なIDが、
前記機器のシリアル番号、ユーザのID、FQDN、若しくは、公開鍵証明書の識別名であることを特徴とする
請求項1乃至請求項4のいずれかに記載のセキュリティ通信方法。 An ID capable of uniquely defining the device is
5. The security communication method according to claim 1, wherein the security communication method is a serial number of the device, a user ID, an FQDN, or an identification name of a public key certificate. パケットの暗号化と認証を行うセキュリティ通信プロトコルを用いたセキュリティ通信方法を用いた装置において、
ネットワークに接続され機器を一意に定義することが可能なIDに基づくハッシュ値と1ビットの識別ビットを有するIPv6アドレスの下位64ビットのインターフェースIDが生成された第1の機器と、
ネットワークに接続され機器を一意に定義することが可能なIDに基づくハッシュ値と1ビットの識別ビットを有するIPv6アドレスの下位64ビットのインターフェースIDが生成された第2の機器とを備え、
前記インターフェースIDを用いて前記第1の機器と前記第2の機器との間の前記セキュリティ通信プロトコルの適用ルールを設定したことを特徴とする
装置。 In a device using a security communication method using a security communication protocol for packet encryption and authentication,
A first device in which a hash value based on an ID capable of uniquely defining a device connected to the network and an IPv6 address lower 64 bits interface ID having one identification bit is generated;
A second device in which a hash value based on an ID capable of uniquely defining a device connected to a network and an interface ID of lower 64 bits of an IPv6 address having a 1-bit identification bit is generated;
An apparatus, wherein an application rule of the security communication protocol between the first device and the second device is set using the interface ID. 前記インターフェースID内に、
1ビットのランダムビットを追加し、同一のネットワーク環境下で前記インターフェースIDが重複してしまった場合に、前記ランダムビットを変更することを特徴とする
請求項6記載の装置。 In the interface ID,
7. The apparatus according to claim 6, wherein one random bit is added, and the random bit is changed when the interface ID is duplicated under the same network environment. 暗号・認証のパラメータを動的に生成して交換する自動鍵交換のプロトコルを用いることを特徴とする
請求項6若しくは請求項7記載の装置。 8. The apparatus according to claim 6, wherein an automatic key exchange protocol for dynamically generating and exchanging encryption / authentication parameters is used. 前記機器を一意に定義することが可能なIDと自動鍵交換の前記プロトコルで使用するIDとを同一にすることを特徴とする
請求項8記載の装置。 9. The apparatus according to claim 8, wherein an ID capable of uniquely defining the device and an ID used in the automatic key exchange protocol are the same. 前記機器を一意に定義することが可能なIDが、
前記機器のシリアル番号、ユーザのID、FQDN、若しくは、公開鍵証明書の識別名であることを特徴とする
請求項6乃至請求項9のいずれかに記載の装置。

An ID capable of uniquely defining the device is
The apparatus according to claim 6, wherein the apparatus is a serial number of the device, a user ID, an FQDN, or an identification name of a public key certificate.

JP2003293284A 2003-08-14 2003-08-14 Security communication method and apparatus using the same Expired - Fee Related JP4228291B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003293284A JP4228291B2 (en) 2003-08-14 2003-08-14 Security communication method and apparatus using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003293284A JP4228291B2 (en) 2003-08-14 2003-08-14 Security communication method and apparatus using the same

Publications (2)

Publication Number Publication Date
JP2005064928A JP2005064928A (en) 2005-03-10
JP4228291B2 true JP4228291B2 (en) 2009-02-25

Family

ID=34370293

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003293284A Expired - Fee Related JP4228291B2 (en) 2003-08-14 2003-08-14 Security communication method and apparatus using the same

Country Status (1)

Country Link
JP (1) JP4228291B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008072576A1 (en) * 2006-12-11 2008-06-19 Panasonic Corporation Communication continuing method and communication terminal device used in the method

Also Published As

Publication number Publication date
JP2005064928A (en) 2005-03-10

Similar Documents

Publication Publication Date Title
JP4033868B2 (en) Method and apparatus for processing authentication in IPv6 network
US9237059B2 (en) Method and apparatus for dynamic mapping
WO2017155703A1 (en) System, apparatus and method for generating dynamic ipv6 addresses for secure authentication
Sankar Cisco wireless LAN security
JP4006403B2 (en) Digital signature issuing device
JP2009503916A (en) Multi-key encryption generation address
JP2008271601A (en) Address mechanisms in internet protocol
JP2004030611A (en) Method for changing communication password by remote control
US20170093855A1 (en) Method and system for providing gps location embedded in an ipv6 address using neighbor discovery
EP1458163B1 (en) Return routability method for secure communication
JP2008537429A (en) Providing anonymity to mobile nodes in session with supported nodes
Eronen et al. IKEv2 clarifications and implementation guidelines
JP2010539839A (en) Security method in server-based mobile Internet protocol system
JP4228291B2 (en) Security communication method and apparatus using the same
JP4704247B2 (en) Network equipment
CN109347836B (en) IPv6 network node identity safety protection method
JP4027347B2 (en) Information processing apparatus, data communication method, program, and recording medium
Mathi et al. A new method for preventing man-in-the-middle attack in IPv6 network mobility
Khandkar et al. Masking host identity on internet: Encrypted TLS/SSL handshake
KR101591306B1 (en) Method and apparatus for communication using virtual MAC address
JP3886131B2 (en) Communication device
Salako Authentication in ad hoc networking
JP4235672B2 (en) Information processing apparatus, data communication method, program, and recording medium
JP4994683B2 (en) Network equipment
JP2009038512A (en) Encrypted information communication device, encrypted information communication system, and encrypted information communication method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060516

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080403

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081106

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081119

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111212

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees