Nothing Special   »   [go: up one dir, main page]

JP6228370B2 - COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM - Google Patents

COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM Download PDF

Info

Publication number
JP6228370B2
JP6228370B2 JP2013040032A JP2013040032A JP6228370B2 JP 6228370 B2 JP6228370 B2 JP 6228370B2 JP 2013040032 A JP2013040032 A JP 2013040032A JP 2013040032 A JP2013040032 A JP 2013040032A JP 6228370 B2 JP6228370 B2 JP 6228370B2
Authority
JP
Japan
Prior art keywords
communication
ipsec
packet
ike
started
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013040032A
Other languages
Japanese (ja)
Other versions
JP2014168204A (en
JP2014168204A5 (en
Inventor
暁央 木下
暁央 木下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2013040032A priority Critical patent/JP6228370B2/en
Publication of JP2014168204A publication Critical patent/JP2014168204A/en
Publication of JP2014168204A5 publication Critical patent/JP2014168204A5/ja
Application granted granted Critical
Publication of JP6228370B2 publication Critical patent/JP6228370B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明はセキュリティを確保した通信のための技術に関する。   The present invention relates to a technique for communication with security.

近年、ネットワーク上におけるセキュリティの重要性が高まってきており、特に、暗号化通信によるセキュリティの確保の重要性が高まってきている。現在、セキュリティプロトコルとして幾つかのプロトコルが存在し、IPsec(Security Architecture for Internet Protocol)がその中に含まれる。IPsecは、AH(Authentication Header)プロトコルとESP(Encapsulating Security Payload)プロトコルとを含む。AHプロトコルは、送信元の認証とデータの完全性保証を提供する機能であり、ESPプロトコルはIPパケットの機密性の確保と安全性保証と送信元の認証を提供する機能である。IPsecは、IPレベル(OSI参照モデルではネットワーク層)で実現されるセキュリティプロトコルであるため、IPパケット単位でAH及びESPのIPsec処理が行われる。   In recent years, the importance of security on networks has increased, and in particular, the importance of ensuring security by encrypted communication has increased. At present, there are several protocols as security protocols, including IPsec (Security Architecture for Internet Protocol). IPsec includes an AH (Authentication Header) protocol and an ESP (Encapsulating Security Payload) protocol. The AH protocol is a function that provides source authentication and data integrity guarantee, and the ESP protocol is a function that provides IP packet confidentiality, security guarantee, and sender authentication. Since IPsec is a security protocol implemented at the IP level (network layer in the OSI reference model), AH and ESP IPsec processing is performed in units of IP packets.

なお、IPsecの処理では、通信装置は、AHやESPで使用するアルゴリズム、鍵等のパラメータを持つIPsec SA(Security Association)を使用する(非特許文献1参照)。また、通信装置は、IPsecにおいて、鍵管理プロトコルであるIKEを利用した相手方装置との鍵交換により、IPsec SAを確立する(非特許文献2参照)。   In the IPsec processing, the communication device uses IPsec SA (Security Association) having parameters such as algorithms and keys used in AH and ESP (see Non-Patent Document 1). Further, the communication apparatus establishes IPsec SA in IPsec by exchanging keys with a counterpart apparatus using IKE which is a key management protocol (see Non-Patent Document 2).

通信装置は、IPsecによるIPパケットの送信を開始する際にIPsec SAが確立されていない場合は、IKE(Internet Key Exchange)を用いてIPsec SAを構築する。このとき、通信装置は、自らがIKE要求を相手方装置へ発行することとなるため、イニシエータ(Initiator)として相手方装置との間でIPsec SAを確立する。なお、通信装置は、IPsec SAを確立するまでは、IPsecの処理を行うことはできない。ここで、IPsecの処理を行うことができない場合のIPパケットの処理方式には、IPsec SAが確立されるまでの期間において、IPパケットを破棄する方式とIPパケットをキューに格納する方式(特許文献1参照)とがある。   When the IPsec SA is not established when starting the transmission of the IP packet by IPsec, the communication apparatus constructs the IPsec SA using IKE (Internet Key Exchange). At this time, since the communication device itself issues an IKE request to the counterpart device, it establishes an IPsec SA with the counterpart device as an initiator. Note that the communication device cannot perform IPsec processing until IPsec SA is established. Here, as a method of processing an IP packet when IPsec processing cannot be performed, a method of discarding an IP packet and a method of storing an IP packet in a queue during a period until IPsec SA is established (Patent Document) 1).

特開2009−60245号公報JP 2009-60245 A

IPsec(RFC2401、RFC2402、RFC2406)IPsec (RFC2401, RFC2402, RFC2406) IKE(RFC2408、RFC2409)IKE (RFC2408, RFC2409)

しかしながら、IPパケットを破棄する方式は、IPsec SAが確立されるまでの期間、パケットロスの状態になるため、再送の発生による通信の遅延や通信データの欠落が発生するという課題があった。   However, the method for discarding the IP packet has a problem that a packet loss occurs during the period until the IPsec SA is established, which causes a communication delay due to retransmission and a loss of communication data.

一方、IPパケットをキューに格納する方式は、IPsec機能がIKE機能へIPsec SA確立要求行い、IKE機能がその要求に応じてイニシエータとしてIKE処理を行い、IPsec SAを確立する。IPsec機能はIKE機能からのIPsec SA確立通知を受け取った後、確立したIPsec SAに対応するIPパケットをキューから取り出してIPsec処理を行った上でIPパケットの送信を行う。したがって、IPsec SAの確立後、キューから確立したIPsec SAに対応するIPパケットを探索するための、一定の処理量及び処理時間が要求されるという課題があった。   On the other hand, in the method of storing IP packets in a queue, the IPsec function makes an IPsec SA establishment request to the IKE function, and the IKE function performs an IKE process as an initiator in response to the request to establish an IPsec SA. After receiving the IPsec SA establishment notification from the IKE function, the IPsec function takes out an IP packet corresponding to the established IPsec SA from the queue, performs an IPsec process, and then transmits the IP packet. Therefore, after establishing the IPsec SA, there is a problem that a certain amount of processing and processing time are required to search for an IP packet corresponding to the IPsec SA established from the queue.

また、相手方装置がイニシエータとして、そして通信装置がレスポンダ(Responder)として実行されるIKE処理と、その逆の役割によるIKE処理とが同時に実行される場合がある。ここで、通信装置では、イニシエータとして実行したIKE処理が失敗すると、IPsec機能がIPsec SA確立失敗通知を受け取り、キューに格納したIPパケットが削除される。このため、通信装置がレスポンダとして実行したIKE処理が成功し、レスポンダによって使用できるIPsec SAが確立している場合であっても、IPパケットが削除され、送信されなくなってしまう、という課題があった。   In some cases, an IKE process executed by the counterpart apparatus as an initiator and a communication apparatus as a responder, and an IKE process by the opposite role are executed simultaneously. Here, in the communication apparatus, when the IKE process executed as the initiator fails, the IPsec function receives an IPsec SA establishment failure notification, and the IP packet stored in the queue is deleted. For this reason, even if the IKE process executed by the communication device as a responder succeeds and an IPsec SA that can be used by the responder is established, there is a problem that the IP packet is deleted and cannot be transmitted. .

本発明は上記課題に鑑みなされたものであり、上述の課題の少なくとも1つを解消することを目的とする。   The present invention has been made in view of the above problems, and an object thereof is to solve at least one of the above problems.

上記目的を達成するため、本発明による通信装置は、通信セッションが確立されている相手装置に対して送信する送信データを生成する生成手段と、前記相手装置との前記通信セッションにおいてIPSec(Security Architecture for Internet Protocol)を利用した通信をするための設定がなされていない状態において、前記生成手段により前記送信データが生成された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第1の処理が前記相手装置により開始されているかを判定する判定手段と、前記判定手段により、前記第1の処理が開始されていないと判定された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第2の処理を開始する開始手段と、前記判定手段により、前記第1の処理が開始されていると判定された場合、当該第1の処理により前記設定がなされたことに応じて、前記第1の処理により設定されたIPSecを利用して、前記送信データを送信し、前記判定手段により、前記第1の処理が開始されていないと判定された場合、前記第2の処理により前記設定がなされたことに応じて、前記第2の処理により設定されたIPSecを利用して、前記送信データを送信する送信手段と、を有する。
In order to achieve the above object, a communication apparatus according to the present invention includes a generation unit that generates transmission data to be transmitted to a partner apparatus with which a communication session is established, and a security architecture in the communication session with the partner apparatus. for in a state where no setting for the communication using the Internet Protocol) is performed, when the transmission data is generated by the generation unit, said at already said communication session established between said partner device A determination unit configured to determine whether the first process for setting is started by the counterpart device; and when the determination unit determines that the first process is not started , already a starting means for starting the second processing for the setting in the communication session established between, by the determination unit If the first process is determined to have been started, the setting by the first processing in response to is such, by using the IPSec set by the first processing, the transmission It transmits data set, by the determination means, by the case where the first process is determined not to be started, in response to the setting is such by the second processing, the second processing Transmitting means for transmitting the transmission data using the IPSec .

本発明によれば、低処理量で、破棄されるパケットの量を低減することができる。   According to the present invention, the amount of discarded packets can be reduced with a low processing amount.

通信装置の機能構成例を示すブロック図。The block diagram which shows the function structural example of a communication apparatus. IPsec処理部がIKE処理部に対して行うSA確立要求の処理を示すフローチャート。The flowchart which shows the process of the SA establishment request | requirement which an IPsec process part performs with respect to an IKE process part. IKE処理部のPhase1セッションの処理を示すフローチャート。The flowchart which shows the process of Phase1 session of an IKE process part. IKE処理部のPhase2セッションの処理を示すフローチャート。The flowchart which shows the process of Phase2 session of an IKE process part. イニシエータ及びレスポンダとしての同時鍵交換時にイニシエータが失敗し、レスポンダが成功した際の処理を示すフローチャート。The flowchart which shows a process when an initiator fails at the time of simultaneous key exchange as an initiator and a responder, and a responder succeeds.

以下、本発明の実施の形態について図面に基づき説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

<<実施形態1>>
本実施形態では、IPsec通信時に通信セッションについてSAが確立されていない場合、IKEによりSAが確立されるまでその通信セッションと関連付けてIPパケットを保持し、SA確立後にIKEが代理送信を行う。図1は、本実施形態に係る通信装置の機能構成例を示すブロック図である。 << Embodiment 1 >>
In the present embodiment, when the SA is not established for the communication session during IPsec communication, the IP packet is held in association with the communication session until the SA is established by the IKE, and the IKE performs proxy transmission after the SA is established. FIG. 1 is a block diagram illustrating a functional configuration example of a communication apparatus according to the present embodiment.

図1において、通信装置は、プロトコル処理部101、IPsec処理機能部102、IKE処理機能部103、及びネットワークインタフェース部104を有する。なお、IPsec処理機能部102は、例えば、SP管理部201、SA管理部202、及びIPsec処理部203を有する。なお、SPは、Security Policyの略である。また、IKE処理機能部103は、例えば、IKE Policy管理部301、Phase1(ISAKMP SA)管理部302、Phase2管理部303、及びIKE処理部304を有する。   In FIG. 1, the communication apparatus includes a protocol processing unit 101, an IPsec processing function unit 102, an IKE processing function unit 103, and a network interface unit 104. Note that the IPsec processing function unit 102 includes, for example, an SP management unit 201, an SA management unit 202, and an IPsec processing unit 203. Note that SP is an abbreviation for Security Policy. The IKE processing function unit 103 includes, for example, an IKE Policy management unit 301, a Phase 1 (ISAKMP SA) management unit 302, a Phase 2 management unit 303, and an IKE processing unit 304.

プロトコル処理部101は、OSI参照モデルにおけるネットワーク層以上の上位層の処理を行う機能部であり、ネットワークを介して通信をするための処理を行う。プロトコル処理部101は、ネットワークインタフェース部104へIPパケットを渡す。   The protocol processing unit 101 is a functional unit that performs processing of higher layers above the network layer in the OSI reference model, and performs processing for communication via the network. The protocol processing unit 101 passes the IP packet to the network interface unit 104.

IPsec処理機能部102は、プロトコル処理部101から受け取ったIPパケットに対してIPsecの適用処理を行い、IPsec適用後のIPパケットをプロトコル処理部101に渡す。   The IPsec processing function unit 102 performs an IPsec application process on the IP packet received from the protocol processing unit 101, and passes the IP packet after the IPsec application to the protocol processing unit 101.

IKE処理機能部103は、IPsec処理機能部102からの要求、又は通信の相手方装置からの要求により、通信相手とSA確立のための鍵交換処理を行う。そして、IKE処理機能部103は、プロトコル処理部101に対して、鍵交換処理における信号の送信時にはISAKMPメッセージを渡し、信号の受信時にはISAKMPメッセージを受け取る。   The IKE processing function unit 103 performs key exchange processing for SA establishment with the communication partner in response to a request from the IPsec processing function unit 102 or a request from the communication partner device. Then, the IKE processing function unit 103 passes the ISAKMP message to the protocol processing unit 101 when transmitting a signal in the key exchange process, and receives the ISAKMP message when receiving the signal.

ネットワークインタフェース部104は、OSI参照モデルにおけるデータリンク層と物理層の処理を行う機能部であり、IPパケットをネットワーク上へ送信する。   The network interface unit 104 is a functional unit that performs processing of the data link layer and the physical layer in the OSI reference model, and transmits IP packets onto the network.

なお、以下に示す暗号化通信方式において用いられるIPパケットデータは、インターネット上で送受信される1単位のデータである。なお、以下では、IPパケットデータの組成手法については説明を省略するが、IPパケットデータは、一般的な手法を用いて組成することができる。   Note that the IP packet data used in the following encrypted communication method is a unit of data transmitted and received on the Internet. In the following, description of the composition method of the IP packet data is omitted, but the IP packet data can be composed using a general method.

また、暗号化通信を始める前に必要となる鍵交換は、IKEまたはSSLといった方法を利用して行うものとし、詳細な説明を省略する。   The key exchange required before starting encrypted communication is performed using a method such as IKE or SSL, and detailed description thereof is omitted.

次に、IPsec処理機能部102について説明する。SP管理部201は、実際にIPsecによるセキュリティ処理を適用するかどうかについての情報が登録されるSPD(Security Policy Database)を管理する。SA管理部202は、IPパケットに対して行うIPsec処理に関する情報(IPsec SA)が格納されるSAD(Security Association Database)を管理する。なお、SP管理部201とSA管理部202は、通常のIPsecを利用した暗号化通信において利用されるものと同様であるため、詳細な説明は省略する。   Next, the IPsec processing function unit 102 will be described. The SP management unit 201 manages an SPD (Security Policy Database) in which information on whether or not to actually apply IPsec security processing is registered. The SA management unit 202 manages a Security Association Database (SAD) in which information (IPsec SA) related to IPsec processing performed on an IP packet is stored. The SP management unit 201 and the SA management unit 202 are the same as those used in encrypted communication using normal IPsec, and thus detailed description thereof is omitted.

IPsec処理部203は、プロトコル処理部101から受け取ったIPパケットに対してIPsecを適用する。IPsec処理部203は、送信時の処理において、IPパケットに対してIPsecを適用するかどうかを判定する。このため、IPsec処理部203は、まず、IPパケットの送信元IPアドレス、宛先IPアドレス、プロトコル、ポート番号などの情報に基づき、SP管理部201で管理されているSPDからIPパケットに対応するSPを検索する。そして、IPパケットに対応するSPが「破棄」を示す場合には、IPsec処理部203はそのIPパケットを破棄する。また、IPパケットに対応するSPが「IPsecを適用しない」旨を示す場合は、IPsec処理部203は、IPsecを適用せずに、そのIPパケットをプロトコル処理部101に渡す。   The IPsec processing unit 203 applies IPsec to the IP packet received from the protocol processing unit 101. The IPsec processing unit 203 determines whether or not to apply IPsec to the IP packet in the transmission process. For this reason, the IPsec processing unit 203 first starts the SP corresponding to the IP packet from the SPD managed by the SP management unit 201 based on information such as the source IP address, destination IP address, protocol, and port number of the IP packet. Search for. When the SP corresponding to the IP packet indicates “discard”, the IPsec processing unit 203 discards the IP packet. When the SP corresponding to the IP packet indicates that “IPsec is not applied”, the IPsec processing unit 203 passes the IP packet to the protocol processing unit 101 without applying IPsec.

一方、IPパケットに対応するSPが「IPsecを適用する」旨を示す場合は、IPsec処理部203は、SA管理部202で管理されているSADから、そのIPパケットに対応するSAを検索する。そして、そのIPパケットに対応するSAが確立されている場合は、IPsec処理部203は、SAに記載されているアルゴリズムや鍵を利用して、そのIPパケットに対する暗号化処理を実行する。そして、暗号化処理後のIPパケットはプロトコル処理部101に渡される。IPパケットに対応するSAが確立されていない場合は、IPsec処理部203は、そのIPパケットをIKE処理機能部103に渡し、SA確立要求を行う。   On the other hand, when the SP corresponding to the IP packet indicates that “IPsec is applied”, the IPsec processing unit 203 searches the SAD managed by the SA management unit 202 for the SA corresponding to the IP packet. When the SA corresponding to the IP packet is established, the IPsec processing unit 203 executes an encryption process for the IP packet using an algorithm and a key described in the SA. Then, the IP packet after encryption processing is passed to the protocol processing unit 101. If the SA corresponding to the IP packet has not been established, the IPsec processing unit 203 passes the IP packet to the IKE processing function unit 103 and makes an SA establishment request.

IPsec処理部203は、受信時の処理において、受信したIPパケットに対してIPsecが適用されているかどうかを判定する。そして、そのIPパケットにIPsecが適用されていない場合は、IPsec処理部203は、SP管理部201に管理されているSPDからSPを検索する。そして、受信したIPパケットに対応するSPが「破棄」を示す場合は、IPsec処理部203は、そのIPパケットを破棄する。また受信したIPパケットに対応するSPが「IPsecを適用する」旨を示す場合は、この受信したIPパケットにはIPsecが適用されていないため、IPsec処理部203はこのIPパケットを破棄する。また受信したIPパケットに対応するSPが「IPsecを適用しない」旨を示す場合は、IPsec処理部203は、受信したIPパケットと条件が一致するため、プロトコル処理部101にIPパケットを渡す。   The IPsec processing unit 203 determines whether IPsec is applied to the received IP packet in the reception process. If IPsec is not applied to the IP packet, the IPsec processing unit 203 searches the SP from the SPD managed by the SP management unit 201. When the SP corresponding to the received IP packet indicates “discard”, the IPsec processing unit 203 discards the IP packet. When the SP corresponding to the received IP packet indicates that “IPsec is applied”, since IPsec is not applied to the received IP packet, the IPsec processing unit 203 discards the IP packet. When the SP corresponding to the received IP packet indicates that “IPsec is not applied”, the IPsec processing unit 203 passes the IP packet to the protocol processing unit 101 because the conditions match the received IP packet.

受信したIPパケットに対してIPsecが適用されている場合、IPsec処理部203は、まず、SA管理部202に管理されているSADから、そのIPパケットに対応するSAを検索する。そして、IPsec処理部203は、SAに記載されているアルゴリズムや鍵を利用して、そのIPパケットに対して復号化処理を実行する。次に、IPsec処理部203は、復号化処理が行われた後に、SPDからそのIPパケットに対応するSPを検索する。そして、IPsec処理部203は、検索により得たSPの内容と、受信したIPパケットに適用されているセキュリティ処理とが一致しているかどうかを判定する。そして、IPsec処理部203は、これらが一致していない場合はそのIPパケットを破棄し、これらが一致している場合はプロトコル処理部101にそのIPパケットを渡す。   When IPsec is applied to the received IP packet, the IPsec processing unit 203 first searches the SAD managed by the SA management unit 202 for the SA corresponding to the IP packet. Then, the IPsec processing unit 203 performs a decryption process on the IP packet using an algorithm and a key described in SA. Next, after the decryption process is performed, the IPsec processing unit 203 searches the SPD corresponding to the IP packet from the SPD. Then, the IPsec processing unit 203 determines whether or not the contents of the SP obtained by the search match the security processing applied to the received IP packet. The IPsec processing unit 203 discards the IP packet if they do not match, and passes the IP packet to the protocol processing unit 101 if they match.

次に、IKE処理機能部103について図1に基づき説明する。IKE Policy管理部301は、IKEがPhase1セッションにおいて通信相手とISAKMP SAを確立するための情報が登録されるIKE Policyを管理する。   Next, the IKE processing function unit 103 will be described with reference to FIG. The IKE Policy management unit 301 manages an IKE Policy in which information for establishing an ISAKMP SA with a communication partner in the Phase 1 session is registered.

Phase1管理部302は、IKE Policy管理部301に格納されている情報により相手方装置とのネゴシエーションを行ったPhase1セッション中の情報を格納する。そして、Phase1管理部302は、Phase1セッション終了時に、Phase1セッション情報により確立されたISAKMP SAを格納する。   The Phase 1 management unit 302 stores information in the Phase 1 session that has been negotiated with the counterpart device based on the information stored in the IKE Policy management unit 301. Then, the Phase 1 management unit 302 stores the ISAKMP SA established by the Phase 1 session information when the Phase 1 session ends.

Phase2管理部303は、SP管理部201に格納されている情報を用いて相手方装置とネゴシエーションを行ったPhase2セッション中の情報を格納する。また、Phase2管理部303は、Phase2セッション情報においてSAが確立されていないことに起因してIPsec処理部203がIPsecを適用できなかったIPパケットを保持する。   The Phase 2 management unit 303 stores information in the Phase 2 session that has been negotiated with the counterpart device using the information stored in the SP management unit 201. In addition, the Phase 2 management unit 303 holds an IP packet for which the IPsec processing unit 203 cannot apply IPsec because the SA is not established in the Phase 2 session information.

IKE処理部304は、IPsec処理部203からのSA確立要求を受けると、イニシエータとしてIKE処理を実行する。IKE処理部304は、そのときに、SAが確立されていないため送信できなかったIPパケットをIPsec処理部203から受け取り、Phase2管理部303のPhase2セッション情報にそのIPパケットを登録する。また、IKE処理部304は、相手方装置からIKE要求を発行した鍵交換における、レスポンダとしてのIKE処理も実行する。   When the IKE processing unit 304 receives an SA establishment request from the IPsec processing unit 203, the IKE processing unit 304 executes IKE processing as an initiator. At this time, the IKE processing unit 304 receives an IP packet that could not be transmitted because the SA has not been established from the IPsec processing unit 203 and registers the IP packet in the Phase 2 session information of the Phase 2 management unit 303. The IKE processing unit 304 also executes an IKE process as a responder in key exchange in which an IKE request is issued from the counterpart apparatus.

IKE処理では、IKE Policy管理部301に格納された情報によりPhase1セッションを行ってISAKMP SAが確立され、確立したISAKMP SAは、Phase1管理部302に格納される。Phase1セッション終了後、IKE処理では、ISAKMP SAを用いて暗号化したPhase2セッションによりSAが確立され、確立したSAはSA管理部202に格納される。IKE処理部304は、Phase2セッション情報にSAが確立されていないため送信できなかったIPパケットが登録されている場合は、SAのSA管理部202への格納後に、そのIPパケットの代理送信処理を実行する。なお、代理送信処理とは、IPsec処理機能部102(IPsec処理部203)に代わって、IKE処理機能部103(IKE処理部304)がプロトコル処理部101を介してIPパケットを送信する処理である。   In the IKE process, an ISAKMP SA is established by performing a Phase 1 session based on information stored in the IKE Policy management unit 301, and the established ISAKMP SA is stored in the Phase 1 management unit 302. After the Phase 1 session is completed, in the IKE process, the SA is established by the Phase 2 session encrypted using the ISAKMP SA, and the established SA is stored in the SA management unit 202. If an IP packet that could not be transmitted because the SA is not established in the Phase 2 session information, the IKE processing unit 304 performs proxy transmission processing of the IP packet after storing the SA in the SA management unit 202. Run. The proxy transmission process is a process in which the IKE processing function unit 103 (IKE processing unit 304) transmits an IP packet via the protocol processing unit 101 instead of the IPsec processing function unit 102 (IPsec processing unit 203). .

次に、IPsec処理部203がIKE処理部304に対して行うSA確立要求の流れを、図2のフローチャートに基づいて説明する。IPsec処理部203は、まず、S401において、プロトコル処理部101から受け取ったIPパケットの情報に基づいて、SP管理部201に管理されているSPDから、そのIPパケットに対応するSPを検索する。ここで、IPパケットの情報は、例えば、IPパケットの送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先のポート番号の情報を含む。   Next, the flow of the SA establishment request performed by the IPsec processing unit 203 to the IKE processing unit 304 will be described based on the flowchart of FIG. First, in step S401, the IPsec processing unit 203 searches for an SP corresponding to the IP packet from the SPD managed by the SP management unit 201 based on the IP packet information received from the protocol processing unit 101. Here, the IP packet information includes, for example, IP packet source and destination IP addresses, protocol numbers, and source and destination port numbers.

続いて、IPsec処理部203は、S402において、SP管理部に管理されているSPDにおいて、IPパケットに対応するSPが存在するか否かを判定する。そしてSPが存在しない場合は、IPsec処理を適用する必要がないため、IPsec処理部203は、IPパケットをプロトコル処理部101に受け渡して処理を終了する。一方、SPが存在する場合は、IPsec処理部203は、処理をS403へ進め、IPパケットの情報に基づいて、SA管理部202に管理されているSADから、そのIPパケットに対応するSAを検索する。   Subsequently, in S402, the IPsec processing unit 203 determines whether there is an SP corresponding to the IP packet in the SPD managed by the SP management unit. If there is no SP, the IPsec processing unit 203 passes the IP packet to the protocol processing unit 101 and ends the processing because it is not necessary to apply the IPsec processing. On the other hand, if the SP exists, the IPsec processing unit 203 advances the processing to S403, and searches the SA corresponding to the IP packet from the SAD managed by the SA management unit 202 based on the IP packet information. To do.

そして、IPsec処理部203は、S404において、IPパケットに対応するSAが存在する場合は処理をS406へ進め、その対応するSAに基づいてそのIPパケットにIPsec処理を適用する。そして、IPsec処理の適用後のIPパケットは、プロトコル処理部101へ渡される。一方、IPsec処理部203は、IPパケットに対応するSAが存在しない場合は、処理をS405へ進め、そのIPパケットをIKE処理機能部103へ渡してSA確立要求を行う。なお、この場合のIPパケットは、SAが存在しないことによりIPsecを適用できなかったIPパケットである。   In step S404, if there is an SA corresponding to the IP packet, the IPsec processing unit 203 advances the process to step S406, and applies the IPsec processing to the IP packet based on the corresponding SA. Then, the IP packet after application of the IPsec processing is passed to the protocol processing unit 101. On the other hand, if the SA corresponding to the IP packet does not exist, the IPsec processing unit 203 advances the processing to S405, passes the IP packet to the IKE processing function unit 103, and makes an SA establishment request. Note that the IP packet in this case is an IP packet to which IPsec cannot be applied because there is no SA.

IPsec処理部203がIKE処理機能部103へSA確立要求を行うと、続いて、IKE処理部304がIKE処理のPhase1セッションを実行する。IKE処理部304において処理されるIKE処理のPhase1セッションの動作について、図3のフローチャートを用いて説明する。   When the IPsec processing unit 203 makes an SA establishment request to the IKE processing function unit 103, the IKE processing unit 304 subsequently executes a Phase 1 session of the IKE processing. The operation of the Phase 1 session of the IKE process processed in the IKE processing unit 304 will be described with reference to the flowchart of FIG.

IKE処理部304は、IPsec処理部203がSA確立要求を実行したことに応じて、IKE処理を開始する。まず、IKE処理部304は、S501において、IPsec処理部203から受け取ったIPパケットの情報に基づいて、そのIPパケットに対応するPhase2セッション情報がPhase2管理部303に存在するかを確認する。IKE処理部304は、IPパケットに対応するPhase2セッション情報が存在する場合は処理をS502へ進め、発見されたPhase2セッション情報にそのIPパケットを登録し、処理を終了する。IPパケットに対応するPhase2セッション情報が存在しない場合は、IKE処理部304は、処理をS503へ進める。   The IKE processing unit 304 starts the IKE process in response to the IPsec processing unit 203 executing the SA establishment request. First, in step S <b> 501, the IKE processing unit 304 confirms whether the Phase 2 session information corresponding to the IP packet exists in the Phase 2 management unit 303 based on the information of the IP packet received from the IPsec processing unit 203. If there is Phase 2 session information corresponding to the IP packet, the IKE processing unit 304 advances the process to S502, registers the IP packet in the discovered Phase 2 session information, and ends the process. If there is no Phase 2 session information corresponding to the IP packet, the IKE processing unit 304 advances the process to S503.

S503では、IKE処理部304は、IPsec処理部より受け取ったIPパケットの情報に基づいてPhase2セッション情報を生成して、生成したPhase2セッション情報にそのIPパケットを登録する。また、IKE処理部304は、Phase2管理部303にPhase2セッション情報の登録を行い、処理をS504へ進める。なお、ここでのIPパケットの情報は、例えば、送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先のポート番号の情報を含む。   In step S503, the IKE processing unit 304 generates Phase 2 session information based on the IP packet information received from the IPsec processing unit, and registers the IP packet in the generated Phase 2 session information. In addition, the IKE processing unit 304 registers the Phase 2 session information in the Phase 2 management unit 303, and advances the processing to S504. Note that the IP packet information here includes, for example, information on the IP addresses of the transmission source and destination, the protocol number, and the port numbers of the transmission source and destination.

IKE処理部304は、S504において、送信元と宛先IPアドレスの情報を基にIKE Policy管理部301からIPパケットに対応するIKE Policyを検索し、処理をS505へ進める。S505では、IKE処理部304は、IPパケットに対応するIKE Policyが存在するかどうかを判定し、そのようなIKE Policy存在しない場合は、処理をS507へ進める。この場合、IKE処理部304は、IKE Policyが存在しないため、Phase1セッションの開始ができない。このため、IKE処理部304は、S507において、生成したPhase2セッション情報と、受け取ったIPパケットとを削除し、処理を終了する。   In step S504, the IKE processing unit 304 searches the IKE Policy management unit 301 for the IKE Policy corresponding to the IP packet based on the information on the transmission source and the destination IP address, and advances the processing to S505. In S505, the IKE processing unit 304 determines whether there is an IKE Policy corresponding to the IP packet. If no such IKE Policy exists, the process proceeds to S507. In this case, the IKE processing unit 304 cannot start the Phase 1 session because there is no IKE Policy. Therefore, in step S507, the IKE processing unit 304 deletes the generated Phase 2 session information and the received IP packet, and ends the process.

一方、IPパケットに対応するIKE Policyが存在する場合は、IKE処理部304は、処理をS506へ進める。S506においては、IKE処理部304は、送信元と宛先のIPアドレスの情報に基づいて、Phase1セッション情報を生成してPhase1管理部302に登録し、Phase1セッションを実行する。そして、IKE処理部304は、S508において、Phase1セッションが正常に終了したかを確認し、正常に終了しなかった場合は、処理をS509へ進める。S509では、IKE処理部304は、生成したPhase1セッション情報を削除する。   On the other hand, if there is an IKE Policy corresponding to the IP packet, the IKE processing unit 304 advances the process to S506. In step S506, the IKE processing unit 304 generates Phase 1 session information based on the information on the source and destination IP addresses, registers the information in the Phase 1 management unit 302, and executes the Phase 1 session. In step S508, the IKE processing unit 304 checks whether the Phase 1 session has ended normally. If the Phase 1 session has not ended normally, the process proceeds to step S509. In step S509, the IKE processing unit 304 deletes the generated Phase 1 session information.

一方、S509においては、送信元と宛先のIPアドレスが同一の、セッション中のPhase1セッション情報がPhase1管理部に存在する場合は、生成されたPhase2セッション情報とIPパケットは削除されない。同様に、送信元と宛先のIPアドレス、プロトコル番号、及び送信元と宛先のポート番号が同一の、セッション中のPhase2セッション情報がPhase2管理部に存在する場合、生成されたPhase2セッション情報とIPパケットは削除されない。すなわち、これらの場合は、生成されたPhase2セッション情報とIPパケットは削除されず、Phase2管理部に残される。セッション中のPhase1セッション情報又はPhase2セッション情報が存在しない場合は、IKE処理部304は、生成したPhase2セッション情報と受け取ったIPパケットとを削除し、処理を終了する。   On the other hand, in S509, when the Phase 1 session information in the session having the same source and destination IP addresses exists in the Phase 1 management unit, the generated Phase 2 session information and the IP packet are not deleted. Similarly, when Phase 2 session information in the session having the same source and destination IP addresses, protocol numbers, and source and destination port numbers exists in the Phase 2 management unit, the generated Phase 2 session information and IP packet Is not deleted. That is, in these cases, the generated Phase 2 session information and the IP packet are not deleted, and are left in the Phase 2 management unit. If there is no Phase 1 session information or Phase 2 session information in the session, the IKE processing unit 304 deletes the generated Phase 2 session information and the received IP packet, and ends the process.

一方、S508において、Phase1セッションが正常に終了すると、続いて、IKE処理部304は、IKE処理のPhase2セッションを実行する。続いて、IKE処理部304において処理されるIKE処理のPhase2セッションの動作について、図4のフローチャートを用いて説明する。   On the other hand, when the Phase 1 session ends normally in S508, the IKE processing unit 304 subsequently executes the Phase 2 session of the IKE process. Next, the operation of the Phase 2 session of the IKE process processed by the IKE processing unit 304 will be described with reference to the flowchart of FIG.

IKE処理部304は、Phase1セッションが成功したことに応じて、Phase2セッション処理を開始する。IKE処理部304は、まず、S601において、送信元と宛先のIPアドレスの情報に基づいて、Phase2管理部303からPhase2セッション情報を取得する。続いて、IKE処理部304は、S602において、送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先ポート番号の情報に基づいて、SP管理部201よりIPパケットに対応するSPを検索する。そして、IKE処理部304は、S603において、IPパケットに対応するSPが存在するかどうかを確認し、存在しない場合は処理をS605へ進め、Phase2セッション情報とIPパケットとを削除して処理を終了する。   The IKE processing unit 304 starts Phase 2 session processing in response to the successful Phase 1 session. In step S <b> 601, the IKE processing unit 304 first acquires Phase 2 session information from the Phase 2 management unit 303 based on information on the source and destination IP addresses. In step S602, the IKE processing unit 304 searches the SP corresponding to the IP packet from the SP management unit 201 based on the information on the source and destination IP addresses, the protocol number, and the source and destination port numbers. In step S603, the IKE processing unit 304 checks whether there is an SP corresponding to the IP packet. If not, the IKE processing unit 304 proceeds to step S605, deletes the Phase 2 session information and the IP packet, and ends the processing. To do.

一方、IPパケットに対応するSPが存在する場合は、IKE処理部304は、S604において、Phase2セッションを実行して、処理をS606へ進める。S606では、IKE処理部304は、Phase2セッションが成功したかを判定し、失敗した場合は処理をS607へ進め、成功した場合は処理をS608に進める。S607では、送信元と宛先のIPアドレスが同一の、セッション中のPhase1セッション情報がPhase1管理部に存在する場合は、生成されたPhase2セッション情報とIPパケットは削除されない。同様に、送信元と宛先のIPアドレス、プロトコル番号、及び送信元と宛先のポート番号が同一の、セッション中のPhase2セッション情報がPhase2管理部に存在する場合、生成されたPhase2セッション情報とIPパケットは削除されない。すなわち、これらの場合、生成されたPhase2セッション情報とIPパケットは削除されずにPhase2管理部に残される。一方、IKE処理部304は、セッション中のPhase1セッション情報又はPhase2セッション情報が存在しない場合は、生成したPhase2セッション情報と受け取ったIPパケットとを削除し、処理を終了する。   On the other hand, if there is an SP corresponding to the IP packet, the IKE processing unit 304 executes a Phase 2 session in S604 and advances the process to S606. In step S606, the IKE processing unit 304 determines whether the Phase 2 session has been successful. If the phase 2 session has failed, the process proceeds to step S607, and if successful, the process proceeds to step S608. In S607, when the Phase 1 session information in the session having the same source and destination IP addresses exists in the Phase 1 management unit, the generated Phase 2 session information and the IP packet are not deleted. Similarly, when Phase 2 session information in the session having the same source and destination IP addresses, protocol numbers, and source and destination port numbers exists in the Phase 2 management unit, the generated Phase 2 session information and IP packet Is not deleted. That is, in these cases, the generated Phase 2 session information and IP packet are not deleted and are left in the Phase 2 management unit. On the other hand, if there is no Phase 1 session information or Phase 2 session information in the session, the IKE processing unit 304 deletes the generated Phase 2 session information and the received IP packet, and ends the process.

S608では、IKE処理部304は、Phase2セッションにより確立されたSAがSA管理部202に登録された後に、IPパケットを代理送信するため、プロトコル処理部101にIPパケットを渡す。S609では送信元と宛先のIPアドレス、プロトコル番号、送信元と宛先ポート番号の情報に基づいて、同じ相手方装置についてのPhase2セッション情報がPhase2管理部303に存在しないかチェックする。そして、IKE処理部304は、同じ相手方装置についてのPhase2セッション情報が存在しない場合は処理を終了する。同じ相手方装置についてのPhase2セッション情報が存在し、IPパケットがPhase2セッション情報に登録されている場合は、IKE処理部304は、処理をS608へ戻し、IPパケットの代理送信を実行する。S608とS609は同じ通信相手のPhase2セッション情報が存在する場合は繰り返し行う。   In step S <b> 608, the IKE processing unit 304 passes the IP packet to the protocol processing unit 101 in order to perform proxy transmission of the IP packet after the SA established by the Phase 2 session is registered in the SA management unit 202. In step S609, based on the information on the source and destination IP addresses, the protocol number, and the source and destination port numbers, it is checked whether Phase2 session information about the same counterpart device exists in the Phase2 management unit 303. Then, the IKE processing unit 304 ends the process when there is no Phase 2 session information for the same counterpart device. If Phase 2 session information for the same counterpart device exists and the IP packet is registered in the Phase 2 session information, the IKE processing unit 304 returns the process to S608 and executes proxy transmission of the IP packet. S608 and S609 are repeated when there is Phase2 session information of the same communication partner.

以上のように、本実施形態においては、通信セッション単位でセキュリティ確保のための処理(SAの確立、及びそのためのIKE処理)を行う。そして、その処理が完了しておらず、セキュリティが確保されていないセッションにおいて送信すべき信号(IPパケット)が生じると、IPパケットはセッションに関連付けられて保持される(Phase1セッション情報、Phase2セッション情報)。そして、そのIPパケットに関連付けられたセッションについてのセキュリティ確保のための処理が完了した後に、そのIPパケットが送信される。これにより、あるセッションについてSAの確立が完了した時点において、そのセッションに対してIPパケットが対応付けられている状態となるため、キューからIPパケットを検索する処理が不要となる。また、IPパケットは、SAの確立まで保持されるため、破棄されることがなくなり、パケットロスの状態となることがなくなり、その結果、通信データの再送または欠落が生じなくなる。   As described above, in the present embodiment, processing for ensuring security (SA establishment and IKE processing therefor) is performed for each communication session. When a signal (IP packet) to be transmitted is generated in a session in which the processing is not completed and security is not ensured, the IP packet is held in association with the session (Phase 1 session information, Phase 2 session information). ). Then, after the processing for ensuring security for the session associated with the IP packet is completed, the IP packet is transmitted. As a result, when the establishment of SA for a session is completed, an IP packet is associated with the session, so that the process of searching for an IP packet from the queue becomes unnecessary. Further, since the IP packet is held until the SA is established, it is not discarded and no packet loss occurs, and as a result, communication data is not retransmitted or lost.

<<実施形態2>>
本実施形態では、相手方装置との間で、イニシエータ及びレスポンダとして同時鍵交換が実行される際、Phase2セッションにおいてイニシエータとしての処理が失敗し、レスポンダとしての処理が成功した場合を検討する。この場合の、IKE処理部304によるIPパケットの代理送信処理について、図5のフローチャートを用いて以下説明する。 << Embodiment 2 >>
In the present embodiment, when simultaneous key exchange is executed as an initiator and a responder with a counterpart device, a case where the process as the initiator fails in the Phase 2 session and the process as the responder succeeds is considered. The IP packet proxy transmission processing by the IKE processing unit 304 in this case will be described below with reference to the flowchart of FIG.

IKE処理部304は、まず、S701のIKE Policyに基づいてイニシエータ及びレスポンダとして、Phase1セッションを実行する。そして、IKE処理部304は、S702において、実行された鍵交換がイニシエータとして行われたものかレスポンダとして行われたものかをチェックし、イニシエータとして行われたものである場合は処理をS703へ進める。一方、実行された鍵交換がレスポンダとして行われたものである場合は、IKE処理部304は、処理をS704へ進める。S703では、IKE処理部304は、Phase2セッション情報を生成後、そのPhase2セッションに関連付けてIPパケットを登録し、処理をS704へ進める。   The IKE processing unit 304 first executes a Phase 1 session as an initiator and a responder based on the IKE Policy in S701. In step S702, the IKE processing unit 304 checks whether the executed key exchange has been performed as an initiator or a responder. If the key exchange has been performed as an initiator, the process proceeds to step S703. . On the other hand, if the executed key exchange is performed as a responder, the IKE processing unit 304 advances the process to S704. In S703, the IKE processing unit 304 generates Phase 2 session information, registers an IP packet in association with the Phase 2 session, and advances the process to S704.

IKE処理部304は、Phase1セッションがS704において正常終了すると、S705において、IPsec SPに基づいてPhase2セッションを開始する。続いて、S706において、IKE処理部304は、レスポンダとしてのPhase2セッションが成功したか失敗したかを判定し、失敗した場合は処理を終了し、成功した場合は、処理をS707へ進める。S707では、IKE処理部304は、同時鍵交換で失敗したイニシエータとしてのPhase2セッションが存在するかどうかを判定し、存在しない場合は処理を終了し、存在する場合は処理をS708へ進める。S708では、IKE処理部304は、見つかった同時鍵交換で失敗したイニシエータとしてのPhase2セッション情報にIPパケットが登録されている場合、そのIPパケットの代理送信を行い、処理を終了する。   When the Phase 1 session ends normally in S704, the IKE processing unit 304 starts the Phase 2 session based on the IPsec SP in S705. In step S706, the IKE processing unit 304 determines whether the phase 2 session as the responder is successful or unsuccessful. If unsuccessful, the processing ends. If successful, the process proceeds to step S707. In S707, the IKE processing unit 304 determines whether there is a Phase 2 session as an initiator that has failed in the simultaneous key exchange. If there is no Phase 2, the process ends. If it exists, the process proceeds to S708. In S708, if an IP packet is registered in the Phase 2 session information as the initiator that failed in the found simultaneous key exchange, the IKE processing unit 304 performs proxy transmission of the IP packet and ends the processing.

このように、本実施形態では、通信装置は、イニシエータとしてのIKE処理が失敗した場合であっても、レスポンダとしてのIKE処理が成功していれば、その成功したIKE処理によって交換した鍵を用いてセキュリティを確保することが可能となる。一方、通信装置は、イニシエータとしてIKE処理が成功していれば、IPsecによりセキュリティを確保して信号を送信することができる。このとき、レスポンダとしてIKE処理が失敗した場合でも、相手方装置が、その成功したIKE処理に基づくIPsecによりセキュリティを確保して信号を送信することができる。すなわち、IPパケットは、セッションに関連付けられて保持されるところ、そのセッションに関連付けられた複数のIKE処理のいずれかが成功さえすれば、IPsecによるセキュリティを確保した通信を行うことができる。この結果、1つのセッションに関連付けられた複数のIKE処理のうち、いずれかが成功すればよいため、IKE処理が失敗してパケットを破棄する確率を低減することができる。   Thus, in this embodiment, even if the IKE process as the initiator fails, the communication device uses the key exchanged by the successful IKE process if the IKE process as the responder is successful. Security. On the other hand, if the IKE process is successful as an initiator, the communication device can transmit a signal while ensuring security by IPsec. At this time, even if the IKE process fails as a responder, the counterpart apparatus can transmit a signal while ensuring security by IPsec based on the successful IKE process. That is, an IP packet is held in association with a session, and as long as any one of a plurality of IKE processes associated with the session succeeds, communication with security secured by IPsec can be performed. As a result, any one of the plurality of IKE processes associated with one session only needs to be successful, so that the probability that the IKE process fails and the packet is discarded can be reduced.

なお、上述の2つの実施形態では、通信装置においてSAが確立されていない場合に送信すべきIPパケットが生じたことにより、イニシエータとしてIKE処理を実行する場合について説明したが、これに限られない。すなわち、SAが確立されていないセッションにおいて送信すべきIPパケットが生じたとしても、通信装置は、IKE処理を自らイニシエータとして開始する必要はない。例えば、送信すべきIPパケットの宛先である相手方装置が、既にイニシエータとしてIKE処理を実行している場合は、通信装置は、自らをレスポンダとしたIKE処理が完了するのを待ってもよい。そして、IPパケットは、進行中のIKE処理についてのセッションに関連付けられて保持され、IKE処理が完了した後に、IPsecによる暗号化を施された後に相手方装置へ送信されてもよい。すなわち、IPパケットは、通信装置が開始したIKE処理の完了後、又は相手方装置が開始したIKE処理の完了後のいずれかに送信されればよい。また、通信装置は、相手方装置がIKE処理を開始していない場合に限ってイニシエータとしてIKE処理を開始するようにしてもよいし、相手方装置がIKE処理を開始しているかによらず、自らをイニシエータとしたIKE処理を別途開始してもよい。   In the above-described two embodiments, the case where the IKE process is executed as an initiator due to the occurrence of an IP packet to be transmitted when the SA is not established in the communication apparatus has been described. However, the present invention is not limited to this. . That is, even if an IP packet to be transmitted occurs in a session for which SA is not established, the communication apparatus does not need to start the IKE process as an initiator. For example, when the counterpart apparatus that is the destination of the IP packet to be transmitted has already executed the IKE process as an initiator, the communication apparatus may wait for the IKE process with itself as a responder to be completed. Then, the IP packet may be held in association with the session for the IKE process in progress, and after the IKE process is completed, the IP packet may be encrypted and transmitted to the counterpart apparatus. That is, the IP packet may be transmitted either after completion of the IKE process started by the communication apparatus or after completion of the IKE process started by the counterpart apparatus. In addition, the communication device may start the IKE process as an initiator only when the counterpart device has not started the IKE process, or the communication device may start itself regardless of whether the counterpart device has started the IKE process. The IKE process using the initiator may be started separately.

<<その他の実施形態>>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。 << Other Embodiments >>
The present invention can also be realized by executing the following processing. That is, software (program) that realizes the functions of the above-described embodiments is supplied to a system or apparatus via a network or various storage media, and a computer (or CPU, MPU, or the like) of the system or apparatus reads the program. It is a process to be executed.

Claims (10)

通信セッションが確立されている相手装置に対して送信する送信データを生成する生成手段と、
前記相手装置との前記通信セッションにおいてIPSec(Security Architecture for Internet Protocol)を利用した通信をするための設定がなされていない状態において、前記生成手段により前記送信データが生成された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第1の処理が前記相手装置により開始されているかを判定する判定手段と、
前記判定手段により、前記第1の処理が開始されていないと判定された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第2の処理を開始する開始手段と、
前記判定手段により、前記第1の処理が開始されていると判定された場合、当該第1の処理により前記設定がなされたことに応じて、前記第1の処理により設定されたIPSecを利用して、前記送信データを送信し、
前記判定手段により、前記第1の処理が開始されていないと判定された場合、前記第2の処理により前記設定がなされたことに応じて、前記第2の処理により設定されたIPSecを利用して、前記送信データを送信する送信手段と、
を有することを特徴とする通信装置。 Generating means for generating transmission data to be transmitted to a partner apparatus with which a communication session is established ;
When the transmission data is generated by the generation means in a state where communication for communication using IPSec (Security Architecture for Internet Protocol) is not set in the communication session with the other apparatus, the other apparatus Determining means for determining whether the first process for the setting in the communication session already established with the partner apparatus is started by the partner device ;
Start of starting the second process for the setting in the communication session already established with the counterpart device when the determination unit determines that the first process is not started Means,
By the determining means, when the first process is determined to have been started, the in response to the setting is such a first process, utilizing IPSec set by the first processing And transmitting the transmission data,
By the determining means, when the first process is determined not to be started, in response to the setting is such by the second processing, utilizing IPSec set by the second processing And a transmission means for transmitting the transmission data;
A communication apparatus comprising: 前記生成手段により生成された前記送信データを前記通信セッションと対応付けて管理する管理手段をさらに有する、
ことを特徴とする請求項1に記載の通信装置。 Management means for managing the transmission data generated by the generation means in association with the communication session;
The communication apparatus according to claim 1. 前記第1の処理は、前記相手装置が開始した鍵交換処理であり、
前記第2の処理は、前記通信装置が開始した鍵交換処理である、
ことを特徴とする請求項1または2に記載の通信装置。 The first process is a key exchange process before Symbol phase hand apparatus has started,
The second process is a key exchange process started by the communication device.
The communication apparatus according to claim 1 or 2, wherein 前記第1の処理または前記第2の処理によって交換され、前記通信セッションにおいてIPSecを利用した通信をするために利用される暗号鍵を用いて、前記送信データを暗号化する暗号化手段をさらに有し、
前記送信手段は、前記暗号化手段により暗号化された前記送信データを送信する、
ことを特徴とする請求項1から3のいずれか1項に記載の通信装置。 There is further provided an encryption means for encrypting the transmission data using an encryption key exchanged by the first process or the second process and used for communication using IPSec in the communication session. And
The transmission means transmits the transmission data encrypted by the encryption means;
The communication device according to any one of claims 1 to 3, wherein 前記第1の処理、および、前記第2の処理は、IKE(Internet Key Exchange)プロトコルに準拠した処理である、
ことを特徴とする請求項1から4のいずれか1項に記載の通信装置。 The first process and the second process are processes conforming to the IKE (Internet Key Exchange) protocol.
The communication apparatus according to any one of claims 1 to 4, wherein the communication apparatus is characterized in that: 前記判定手段により、前記第1の処理が開始されていると判定された場合、前記開始手段は、前記第2の処理を開始しない、
ことを特徴とする請求項1から5のいずれか1項に記載の通信装置。 When the determination unit determines that the first process has been started, the start unit does not start the second process;
The communication apparatus according to any one of claims 1 to 5, wherein: 前記判定手段により、前記第1の処理が開始されていると判定された場合において、前記第1の処理による前記通信セッションにおいてIPSecを利用した通信をするための設定処理が失敗した場合、前記送信データを破棄する第1の破棄手段をさらに有する、
ことを特徴とする請求項1から6のいずれか1項に記載の通信装置。 When it is determined by the determination means that the first process has been started, if the setting process for performing communication using IPSec in the communication session by the first process has failed, the transmission A first discarding unit for discarding the data;
The communication apparatus according to claim 1, wherein 前記判定手段により、前記第1の処理が開始されていないと判定された場合において、前記第2の処理による通信セッションにおいてIPSecを利用した通信をするための設定処理が失敗した場合、前記送信データを破棄する第2の破棄手段をさらに有する、
ことを特徴とする請求項1から7のいずれか1項に記載の通信装置。 When it is determined by the determination means that the first process has not been started, if the setting process for performing communication using IPSec in the communication session by the second process has failed, the transmission data A second discarding unit for discarding
The communication device according to claim 1, wherein the communication device is a device. 通信セッションが確立されている相手装置に対して送信する送信データを生成する生成工程と、
前記相手装置との前記通信セッションにおいてIPSec(Security Architecture for Internet Protocol)を利用した通信をするための設定がなされていない状態において、前記送信データが生成された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第1の処理が前記相手装置により開始されているかを判定する判定工程と、
前記第1の処理が開始されていないと判定された場合に、前記相手装置との間で既に確立済みの前記通信セッションにおける前記設定のための第2の処理を開始する開始工程と、
前記第1の処理が開始されていると判定された場合、当該第1の処理により前記設定がなされたことに応じて、前記第1の処理により設定されたIPSecを利用して、前記送信データを送信する第1の送信工程と、
前記第1の処理が開始されていないと判定された場合、前記第2の処理により前記設定がなされたことに応じて、前記第2の処理により設定されたIPSecを利用して、前記送信データを送信する第2の送信工程と、
を有することを特徴とする通信方法。 A generation step of generating transmission data to be transmitted to a partner apparatus with which a communication session is established ;
When the transmission data is generated in a state where the communication session with the counterpart device is not set to communicate using IPSec (Security Architecture for Internet Protocol) , A determination step of determining whether a first process for the setting in the already established communication session is started by the counterpart device ;
A start step for starting the second process for the setting in the communication session already established with the counterpart device when it is determined that the first process is not started;
If the first process is determined to have been started, the setting by the first processing in response to is such, by using the IPSec set by the first processing, the transmission A first transmission step of transmitting data;
When the first process is determined not to be started, in response to the setting is such by the second processing, by using the IPSec set by the second processing, the transmission A second transmission step of transmitting data;
A communication method characterized by comprising: コンピュータを請求項1から8のいずれか1項に記載の通信装置として動作させるためのプログラム。   The program for operating a computer as a communication apparatus of any one of Claim 1 to 8.
JP2013040032A 2013-02-28 2013-02-28 COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM Active JP6228370B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013040032A JP6228370B2 (en) 2013-02-28 2013-02-28 COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013040032A JP6228370B2 (en) 2013-02-28 2013-02-28 COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM

Publications (3)

Publication Number Publication Date
JP2014168204A JP2014168204A (en) 2014-09-11
JP2014168204A5 JP2014168204A5 (en) 2016-03-24
JP6228370B2 true JP6228370B2 (en) 2017-11-08

Family

ID=51617675

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013040032A Active JP6228370B2 (en) 2013-02-28 2013-02-28 COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM

Country Status (1)

Country Link
JP (1) JP6228370B2 (en)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07288870A (en) * 1994-04-15 1995-10-31 Kyocera Corp Control system for portable telephone set
JP2005354556A (en) * 2004-06-14 2005-12-22 Matsushita Electric Ind Co Ltd Key exchanging device, system, and method, and encryption communication system
JP2009060245A (en) * 2007-08-30 2009-03-19 Seiko Epson Corp Communication control method, program and communication device
JP2009081779A (en) * 2007-09-27 2009-04-16 Oki Semiconductor Co Ltd Communication path establishing method and system
JP4405569B1 (en) * 2008-07-23 2010-01-27 株式会社東芝 Electronic device and communication control method
JP5609202B2 (en) * 2010-03-26 2014-10-22 カシオ計算機株式会社 Terminal device and program

Also Published As

Publication number Publication date
JP2014168204A (en) 2014-09-11

Similar Documents

Publication Publication Date Title
EP3866434B1 (en) Message sending method and network device
Jokela et al. Using the encapsulating security payload (ESP) transport format with the host identity protocol (HIP)
US9197616B2 (en) Out-of-band session key information exchange
WO2019114703A1 (en) Secure communication method, apparatus and device
JP3629237B2 (en) Node device and communication control method
US8782772B2 (en) Multi-session secure tunnel
US9350711B2 (en) Data transmission method, system, and apparatus
US20140095862A1 (en) Security association detection for internet protocol security
WO2009117844A1 (en) Methods and entities using ipsec esp to support security functionality for udp-based oma enablers
WO2010003335A1 (en) Method, system and device for negotiating security association (sa) in ipv6 network
JP2006121510A (en) Encryption communications system
US20220263811A1 (en) Methods and Systems for Internet Key Exchange Re-Authentication Optimization
US9467471B2 (en) Encrypted communication apparatus and control method therefor
KR100948604B1 (en) Security method of mobile internet protocol based server
CN109040059B (en) Protected TCP communication method, communication device and storage medium
CN114095195B (en) Method, network device, and non-transitory computer readable medium for adaptive control of secure socket layer proxy
JP7408766B2 (en) Security Association SA Rekey
JP2006352500A (en) Processor and method for automatic key replacement processing
JP6228370B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM
JP2022507331A (en) Security association SA key change
JP2009060245A (en) Communication control method, program and communication device
JP2008199420A (en) Gateway device and authentication processing method
JP2012160941A (en) Information processing device, information processing method and program
CN118511480A (en) Communication device for facilitating IKE communications and methods therein
JP2011015042A (en) Encryption communication device, encryption communication method, and program

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160203

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160203

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170324

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170518

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170915

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171013

R151 Written notification of patent or utility model registration

Ref document number: 6228370

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151