Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP3603830B2 - Security gateway device - Google Patents
[go: Go Back, main page]

JP3603830B2 - Security gateway device - Google Patents

Security gateway device Download PDF

Info

Publication number
JP3603830B2
JP3603830B2 JP2001300137A JP2001300137A JP3603830B2 JP 3603830 B2 JP3603830 B2 JP 3603830B2 JP 2001300137 A JP2001300137 A JP 2001300137A JP 2001300137 A JP2001300137 A JP 2001300137A JP 3603830 B2 JP3603830 B2 JP 3603830B2
Authority
JP
Japan
Prior art keywords
packet
security processing
security
authentication key
key exchange
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001300137A
Other languages
Japanese (ja)
Other versions
JP2003110628A (en
Inventor
拓也 久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2001300137A priority Critical patent/JP3603830B2/en
Publication of JP2003110628A publication Critical patent/JP2003110628A/en
Application granted granted Critical
Publication of JP3603830B2 publication Critical patent/JP3603830B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、例えば、イントラネットとインターネットとを接続するために使用されるゲートウェイ装置におけるセキュリティーを向上させたセキュリティーゲートウェイ装置に関する。
【0002】
【従来の技術】
インターネットのアプリケーションの一つとして、仮想専用線(Virtual Private Network:VPN)がある。この仮想専用線においては、インターネット自体のオープン性から、セキュリティの問題があるため、インターネットプロトコル(IP)にセキュリティー機能を付加するプロトコルであるIPセキュリティー(IP Security:以下「IPsec」と記する)によりパケットを暗号化して通信を行うことが必須となっている。
【0003】
図9は従来の信号通信システムの一例のブロック図である。
【0004】
この暗号通信システムにおいては、端末100a−100nからなる第1のグループの各端末に第1の暗号ゲートウェイ装置110が接続されており、同様に、端末120a−120nからなる第2のグループの各端末に第2の暗号ゲートウェイ装置130が接続されている。第1の暗号ゲートウェイ装置110と第2の暗号ゲートウェイ装置130とはネットワーク140を介して相互に接続されている。
【0005】
第1のグループの各端末100a−100nと第2のグループの各端末120a−120nとの間の通信において、第1及び第2の暗号ゲートウェイ装置110、130を介して通信されるパケットデータの暗号化アルゴリズムあるいは暗号化に使用する鍵その他のパラメータは、第1及び第2の暗号ゲートウェイ装置110、130間においては、固定されている。
【0006】
図9に示すような暗号通信システムにおいては、第1及び第2の暗号ゲートウェイ装置110、130を通過しないパケットは、本来、復号化されることはない。しかしながら、第1及び第2の暗号ゲートウェイ装置110、130を接続するネットワーク140においては、これらの暗号化されたパケットが傍受され、パケットの暗号化アルゴリズムや鍵を解読されるおそれがある。
【0007】
このようなおそれに対して、例えば、特開平7−107082号公報は、暗号化または非暗号化の選択またはセッション鍵の選択を端末の組み合わせ毎に、あるいは、セッション毎に設定することができる暗号ゲートウェイ装置を開示している。
【0008】
【発明が解決しようとする課題】
また、RFC(Request For Comments)1825−1828には、インターネットプロトコル(IP)におけるセキュリティーを扱った「Security Architecture for Internet Protocol」(以下「IPsec」と呼ぶ)が規定されている。
【0009】
図10は、IPsecにおいて規定されているIP用セキュリティ認証ヘッダの一例を示す図である。
【0010】
このIP用セキュリティ認証ヘッダには、このヘッダの次のヘッダの識別子、このヘッダの長さ、SPI(Security Parameter Index)可変長の認証データ(authenticated data)が格納されている。このIP用セキュリティ認証ヘッダは、各IPパケットにおいて、IPヘッダとIPデータグラムとの間に挿入される。
【0011】
上述したようなパケットの暗号化処理はそれ自体非常に演算処理負荷が高い。このため、専用の暗号LSIを適用するなどの性能向上がはかられているが、根本的な解決にはなっていないのが現状である。
【0012】
本発明は、このような問題点に鑑みてなされたものであり、パケットを暗号化して通信を行うシステムにおいて、パケットの暗号化に要する演算処理の負荷の集中を防止し、個々のコンポーネントにおける演算処理の負荷を減少させることを可能にするセキュリティーゲートウェイ装置及びパケット処理方法を提供することを目的とする。
【0013】
【課題を解決するための手段】
この目的を達成するため、本発明は、IPセキュリティ通信に必要なパラメータを対向するセキュリティゲートウェイとの間でネゴシエートするネゴシエーション処理を行う認証キー交換手段と、前記認証キー交換手段と内部通信路で接続されており、前記認証キー交換手段から送られてきたパケットに対してIPセキュリティ処理を実行するIPセキュリティ処理手段と、からなり、前記IPセキュリティ処理手段は複数のIPセキュリティ処理装置からなり、前記認証キー交換手段は、前記ネゴシエーション処理後に、前記パケットを前記複数のIPセキュリティ処理装置の何れかに振り分ける振り分け処理を行い、前記複数のIPセキュリティ処理装置の各々は前記認証キー交換手段から振り分けられた前記パケットに対してIPセキュリティ処理を実行するものであり、前記認証キー交換手段は、IPセキュリティ処理を行うべきパケットを受信した場合に、ネゴシエートしたパラメータの中からそのパケットに対応するパラメータを検索し、検索したパラメータに基づいて、前記パケットのIPセキュリティ処理を行うIPセキュリティ処理装置を決定し、前記パケットを前記IPセキュリティ処理装置に転送することを特徴とするセキュリティゲートウェイ装置を提供する。
【0015】
本発明に係るセキュリティゲートウェイ装置においては、IPsec通信に必要な2つの機能要素である認証キー交換(Internet Key Exchange:IKE)とIPsecとが別手段として配備され、さらに、IPsec通信のバンドルが負荷分散される。これにより、通信スループットをマクロレベルで向上させることが可能となる。
【0016】
さらに、IPセキュリティ処理手段をクラスタ構成とし、すなわち、複数のIPセキュリティ処理装置からなるものとすることにより、セキュリティゲートウェイ装置全体のスケーラビリティを確保することが可能となる。
【0018】
前記認証キー交換手段はローカルデータベースを有しているものとして構成することができる。この場合、前記認証キー交換手段は、検索したパラメータと、前記パケットのIPセキュリティ処理を行わせることに決定した前記IPセキュリティ処理装置の識別子とを相互にリンク付けした状態で、前記パラメータ及び前記識別子を前記ローカルデータベースに保存することができる。
【0019】
前記認証キー交換手段は、検索したパラメータを前記パケットとともに前記IPセキュリティ処理装置に転送することが好ましい。
【0020】
前記複数のIPセキュリティ処理装置の各々はローカルデータベースを備えており、前記認証キー交換手段から受信した前記パラメータを前記ローカルデータベースに保存するものとして構成することができる。
【0021】
前記認証キー交換手段から前記パケットを受信した前記IPセキュリティ処理装置は、前記ローカルデータベースから、前記パケットに対応するパラメータを検索し、検索したパラメータに基づいて、前記パケットに対してIPセキュリティ処理を行うものとして構成することができる。
【0022】
前記認証キー交換手段は前記パケットをカプセル化し、カプセル化した前記パケットを前記IPセキュリティ処理装置に転送するものとして構成することができる。
【0023】
前記複数のIPセキュリティ処理装置の各々はローカルデータベースを備えているものとして構成することができる。この場合、前記複数のIPセキュリティ処理装置の各々は、前記認証キー交換手段から受信したカプセル化した前記パケットを復元し、前記ローカルデータベースから、前記パケットに対応するパラメータを検索し、検索したパラメータに基づいて、前記パケットに対してIPセキュリティ処理を行うことものとして構成することができる。
【0024】
前記認証キー交換手段並びに前記複数のIPセキュリティ処理装置の各々はプロセッサを搭載した基板から構成することができる。この場合、前記認証キー交換手段並びに前記複数のIPセキュリティ処理装置の各々は内部バスで相互に接続される。
【0025】
前記認証キー交換手段と前記IPセキュリティ処理手段との間におけるパケットの転送は、データリンクレイヤの種別に応じて、最適化することが可能である。
【0026】
また、本発明は、認証キー交換手段が、IPセキュリティ通信に必要なパラメータを対向するセキュリティゲートウェイとの間でネゴシエートする第1の過程と、
前記認証キー交換手段と内部通信路で接続され、複数のIPセキュリティ処理装置からなるIPセキュリティ処理手段にて、前記認証キー交換手段から送られてきたパケットに対してIPセキュリティ処理を実行する第2の過程と
前記第1の過程の後に、前記認証キー交換手段が、前記パケットを前記複数のIPセキュリティ処理装置の何れかに振り分ける第3の過程と、
を備え、
前記第2の過程においては、前記複数のIPセキュリティ処理装置の各々が前記認証キー交換手段から振り分けられた前記パケットに対してIPセキュリティ処理を実行するものであり、
前記認証キー交換手段が、IPセキュリティ処理を行うべきパケットを受信した場合に、ネゴシエートしたパラメータの中からそのパケットに対応するパラメータを検索する第4の過程と、
検索したパラメータに基づいて、前記パケットのIPセキュリティ処理を行うIPセキュリティ処理装置を決定する第5の過程と、
前記パケットを前記第5の過程において決定した前記IPセキュリティ処理装置に転送する第6の過程と、
を備えることを特徴とするパケットに対するIPセキュリティ処理方法を提供する。
【0029】
前記認証キー交換手段はローカルデータベースを有するものとして構成することができる。この場合、本方法は、前記認証キー交換手段が、検索したパラメータと、前記パケットのIPセキュリティ処理を行わせることに決定した前記IPセキュリティ処理装置の識別子とを相互にリンク付けする過程と、前記認証キー交換手段が、前記パラメータ及び前記識別子を前記ローカルデータベースに保存する過程と、を備えることが好ましい。
【0030】
前記第6の過程において、前記認証キー交換手段は、検索したパラメータを前記パケットとともに前記IPセキュリティ処理装置に転送することが好ましい。
【0031】
前記複数のIPセキュリティ処理装置の各々はローカルデータベースを備えているものとして構成することができる。この場合、本方法は、前記複数のIPセキュリティ処理装置の各々が、前記認証キー交換手段から受信した前記パラメータを前記ローカルデータベースに保存する過程を備えることができる。
【0032】
本方法は、前記認証キー交換手段から前記パケットを受信した前記IPセキュリティ処理装置が、前記ローカルデータベースから、前記パケットに対応するパラメータを検索する過程と、前記IPセキュリティ処理装置が、検索したパラメータに基づいて、前記パケットに対してIPセキュリティ処理を行う過程と、を備えることが好ましい。
【0033】
本方法は、前記認証キー交換手段が前記パケットをカプセル化する過程を備えることが好ましく、この場合、前記カプセル化された前記パケットが前記第6の過程において前記IPセキュリティ処理装置に転送されることが好ましい。
【0034】
前記複数のIPセキュリティ処理装置の各々はローカルデータベースを備えているものとして構成することができる。この場合、本方法は、前記複数のIPセキュリティ処理装置の各々が、前記認証キー交換手段から受信したカプセル化した前記パケットを復元する過程と、前記複数のIPセキュリティ処理装置の各々が、前記ローカルデータベースから、前記パケットに対応するパラメータを検索する過程と、前記複数のIPセキュリティ処理装置の各々が、検索したパラメータに基づいて、前記パケットに対してIPセキュリティ処理を行う過程と、を備えることが好ましい。
【0035】
さらに、本方法は、前記認証キー交換手段と前記IPセキュリティ処理手段との間におけるパケットの転送を、データリンクレイヤの種別に応じて、最適化する過程を備えることができる。
【0036】
【発明の実施の形態】
図1は、本発明の第1の実施形態に係るセキュリティゲートウェイ装置のブロック図である。
【0037】
IPsec通信を行う際には、対向装置との間でアルゴリズムや鍵などのIPsec通信パラメータをネゴシエートするプロトコル(IKE)と、ネゴシエートしたパラメータを適用して実際にIPsec処理を行うプロトコル(IPsec)とが必要となる。
【0038】
このため、本実施形態に係るセキュリティゲートウェイ装置は、図1に示すように、認証キー交換を行う、すなわち、IPsec通信パラメータをネゴシエートする認証キー交換処理部11(以下、「IKE処理部11」と呼ぶ)と、実際にIPsec処理を行うIPsec処理部12の2つのコンポーネントに分割されている。
【0039】
さらに、IPsec処理部12をクラスタ構成とされている。すなわち、IPsec処理部12はn個(nは2以上の正の整数)のIPsec処理装置12a−12nから構成されている。
【0040】
IKE処理部11とIPsec処理部12とはイーサネットその他の内部通信路13を介して接続されている。
【0041】
図2は、本実施形態に係るセキュリティゲートウェイ装置のより具体的なブロック図である。
【0042】
図2に示すように、IKE処理部11は対向するセキュリティゲートウェイ(SGW)14とインターネットその他のインセキュアネットワーク17を介して接続されている。
【0043】
また、IKE処理部11はローカルデータベース15を内蔵しており、同様に、IPsec処理部12を構成するIPsec処理装置12a−12nの各々もローカルデータベース16を内蔵している。
【0044】
次いで、本実施形態に係るセキュリティゲートウェイ装置の動作の概要を以下に説明する。
【0045】
IKE処理部11は、対向するセキュリティゲートウェイ14との間でIKEプロトコルによりIPsec通信パラメータをネゴシエートする。ネゴシエートしたパラメータ情報(以後「IPsec SA」と呼ぶ)を、ローカルデータベース15に保存するとともに、このIPsec処理を実際に行うIPsec処理装置をIPsec処理装置12a−12nの中から一つ決定する。例えば、IPsec処理装置12aが決定される。
【0046】
次いで、IPsec SAをIPsec処理装置12aに転送する。同時に、選択したIPsec処理装置12aの識別子を、対応するIPsec SAにリンク付ける。
【0047】
IKE処理部11からIPsec SAタを受信したIPsec処理装置12aは、そのIPsec SAをローカルデータベース16に保存する。
【0048】
IKE処理部11は、セキュリティゲートウェイ14からIPsec処理すべきパケットを受信した場合、そのパケットに対応するIPsec SAを検索する。次いで、IKE処理部11は、検索したIPsec SAに基づいて、対応するIPsec処理装置(例えば、IPsec処理装置12a)を決定し、受信パケットをIPsec処理装置12aへ転送する。
【0049】
IKE処理部11からIPsec処理パケットを受信したIPsec処理装置12aは、ローカルデータベース16から、対応するIPsec SAを検索する。IPsec処理装置12aは、検索したIPsec SAに基づいて、実際のIPsec処理(暗号/復号処理及び認証処理)を実行し、処理済みのパケット18を出力する。
【0050】
次いで、本実施形態に係るセキュリティゲートウェイ装置の動作をIPsecSA確立フェーズ及びIPsec通信フェーズの2つのフェーズに分けて、それぞれ図2から図7までを参照して説明する。図2は、IPsec SA確立フェーズにおける本セキュリティゲートウェイ装置の作動状態を示すブロック図、図3は、IPsec通信フェーズにおける本セキュリティゲートウェイ装置の作動状態を示すブロック図、図4は、IPsec SA確立フェーズにおけるIKE処理部11の動作を示すフローチャート、図5は、IPsec SA確立フェーズにおけるIPsec処理部12の動作を示すフローチャート、図6は、IPsec通信フェーズにおけるIKE処理部11の動作を示すフローチャート、図7は、IPsec通信フェーズにおけるIPsec処理部12の動作を示すフローチャートである。
【0051】
IPsec SA確立フェーズにおいては、IKE処理部11が対向するセキュリティゲートウェイ14との間で、IKEプロトコルを用いてIPsec処理に必要な各種パラメータ(アルゴリズム、鍵等)をネゴシエートする(図4のステップS401)。以後、このネゴシエーション処理の実行をIPsec SA確立と呼ぶ。
【0052】
IPsec SAを確立すると、IKE処理部11は、このIPsec処理を実際に行うIPsec処理装置として、クラスタすなわちIPsec処理装置12a−12nの中から一つのIPsec処理装置を選択する(図4のステップS402)。この際、ラウンドロビン等のアルゴリズムにより、クラスタ内の負荷分散を考慮して、IPsec処理装置を選択する。ここでは、IPsec処理装置12nが選択されたものと想定する。
【0053】
次いで、IKE処理部11は、IPsec SAと選択したIPsec処理装置12nの識別子とをリンク付けし、双方をローカルデータベース15に保存する(図4のステップS403)。例えば、図2に示すように、ローカルデータベース15には、IPsec SAとしてパラメータ「SA21」、それに対応するIPsec処理装置としてIPsec処理装置12nの識別子「23」がリンク付けされた状態で保存される。
【0054】
次いで、IKE処理部11は、そのIPsec SAを、選択したIPsec処理装置であるIPsec処理装置12nに転送する(図4のステップS404)。
【0055】
IKE処理部11からIPsec SA「SA21」を受信したIPsec処理装置12nは(図5のステップS501)、そのIPsec SA「SA21」を自らのローカルデータベース16に保存する(図5のステップS502)。
【0056】
IPsec通信フェーズにおいては、IKE処理部11は対向するセキュリティゲートウェイ14からパケットを受信すると(図6のステップS601)、
受信したパケットに基づいて、そのパケットを処理すべきIPsec SAをローカルデータベース15から検索する(図6のステップS602)。例えば、図3に示すように、ローカルデータベース15には、IPsec SA「SA31」と、それに対応するIPsec処理装置の識別子「33」とが相互にリンク付けされた状態で保存されている。
【0057】
次いで、IKE処理部11はエントリがあるか否かを判定する(図6のステップS603)。
【0058】
エントリがある場合には(図6のステップS603のYES)、パケットを処理すべきIPsec処理装置を決定する(図6のステップS604)。例えば、パケットを処理すべきIPsec SAとしてIPsec SA「SA31」が検索された場合には、そのIPsec SA「SA31」に対応するIPsec処理装置として、識別子「33」で表されるIPsec処理装置が決定される。ここでは、識別子「33」で表されるIPsec処理装置はIPsec処理装置12nであるとする。
【0059】
次いで、IKE処理部11は、パケットをIP in IP Tunnelingでカプセル化し、カプセル化したパケットをIPsec処理装置12nに対して転送する(図6のステップS605)。
【0060】
一方、エントリがない場合には(図6のステップS603のNO)、受信したパケットを破棄し(図6のステップS606)、次のパケットの受信を待つ。
【0061】
IPsec処理装置12nはIKE受信部11からパケットを受信すると(図7のステップS701)、カプセル化されたパケットを復元する、すなわち、パケットからカプセルを取り外す(図7のステップS702)。
【0062】
次いで、IPsec処理装置12nは、ローカルデータベース16から、そのパケットに対応するIPsec SAを検索する(図7のステップS703)。
【0063】
次いで、IPsec処理装置12nは、エントリが有るか否かを判定する(図7のステップS704)。
【0064】
エントリが有る場合には(図7のステップS704のYES)、検索したIPsec SAに基づいて実際のIPsec処理(暗号化/復号及び認証)を実行する(図7のステップS705)。
【0065】
次いで、IPsec処理装置12nは、このようにしてIPsec処理したパケット19(図3参照)をネットワークへ送出する(図7のステップS706)。
【0066】
一方、エントリがない場合には(図7のステップS704のNO)、受信したパケットを破棄し(図7のステップS707)、次のパケットの受信を待つ。
【0067】
以上のように、本実施形態に係るセキュリティゲートウェイ装置によれば、次のような効果を得ることができる。
【0068】
第一の効果は、処理負荷の高いIPsec処理からIPsec SA確立処理を分離させることにより、IPsec処理のスループットを上げることができる点である。
【0069】
第二の効果は、IPsec処理部12を複数のIPsec処理装置12a−12nからなるクラスタ構成とすることにより、IPsec処理の負荷分散を図り、通信負荷に対して柔軟に対応することができ、スケーラビリティを確保することができる点である。
【0070】
図8は、本発明の第2の実施形態に係るセキュリティゲートウェイ装置の構造を示す概略図である。
【0071】
本実施形態に係るセキュリティゲートウェイ装置においては、第1の実施形態の場合と同様に、IKE処理部とIPsec処理部とはそれぞれ別のコンポーネントとして形成されているが、本実施形態におけるIKE処理部81とIPsec処理部82とはともにプロセッサ搭載ボードとして形成されており、内部バス83を介して相互に接続されている。これにより、IKE処理部81とIPsec処理部82とは外見上は単一の装置として構成されている。
【0072】
IKE処理部81とIPsec処理部82を構成する複数のIPsec処理装置との間の通信は内部バス83を経由して行われる。
【0073】
また、IKE処理部81とIPsec処理部82との間の通信路においては、データリンクレイヤの種別に応じて、転送方式を最適化することが可能である。
【0074】
例えば、ATM(Asynchronous Transfer Mode:非同期転送モード)を用いる場合、IKE処理部81とIPsec処理部82との間をポイントツーポイント(Point to Point)の仮想チャネル(Virtual Channel:VC)で接続し、ダイレクトにLLC/SNAPカプセル化することにより、IP in IP Tunnelingのオーバヘッドを軽減することができる。
【0075】
【発明の効果】
以上のように、本発明に係るセキュリティゲートウェイ装置によれば、IPsec処理のスループットを上げることができるという効果を得ることができる。
【0076】
本発明に係るセキュリティゲートウェイ装置においては、IPsec SA確立処理とIPsec処理とが分離されている。具体的には、認証キー交換手段(実施形態におけるIKE処理部)がIPsec SA確立処理、すなわち、IPセキュリティ通信に必要なパラメータをセキュリティゲートウェイとの間でネゴシエートする処理を行い、IPセキュリティ処理手段(実施形態におけるIPsec処理部)が認証キー交換手段から送られてきたパケットに対して実際にIPセキュリティ処理を実行する。このように、処理負荷の高いIPsec処理からIPsec SA確立処理を分離させることにより、IPsec処理のスループットを上げることが可能である。
【0077】
また、IPsec処理部を複数のIPsec処理装置からなるクラスタ構成とすることにより、IPsec処理の負荷分散を図ることができ、高いスケーラビリティを確保することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係るセキュリティゲートウェイ装置のブロック図である。
【図2】IPsec SA確立フェーズにおける、第1の実施形態に係るセキュリティゲートウェイ装置の作動状態を示すブロック図である。
【図3】IPsec通信フェーズにおける、第1の実施形態に係るセキュリティゲートウェイ装置の作動状態を示すブロック図である。
【図4】第1の実施形態に係るセキュリティゲートウェイ装置において、IPsec SA確立フェーズにおけるIKE処理部の動作を示すフローチャートである。
【図5】第1の実施形態に係るセキュリティゲートウェイ装置において、IPsec SA確立フェーズにおけるIPsec処理部の動作を示すフローチャートである。
【図6】第1の実施形態に係るセキュリティゲートウェイ装置において、IPsec通信フェーズにおけるIKE処理部の動作を示すフローチャートである。
【図7】第1の実施形態に係るセキュリティゲートウェイ装置において、IPsec通信フェーズにおけるIPsec処理部の動作を示すフローチャートである。
【図8】本発明の第1の実施形態に係るセキュリティゲートウェイ装置の概略図である。
【図9】従来の信号通信システムの一例のブロック図である。
【図10】IPsecにおいて規定されているIP用セキュリティ認証ヘッダの一例を示す図である。
【符号の説明】
11 第1の実施形態におけるIKE処理部
12 第1の実施形態におけるIPsec処理部
12a−12n IPsec処理装置
13 内部通信路
14 セキュリティゲートウェイ
15 ローカルデータベース
16 ローカルデータベース
17 インセキュアネットワーク
18、19 パケット
81 第2の実施形態におけるIKE処理部
82 第2の実施形態におけるIPsec処理部
83 内部バス
[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a security gateway device that improves security in a gateway device used for connecting an intranet and the Internet, for example.
[0002]
[Prior art]
One of the applications of the Internet is a virtual private network (Virtual Private Network: VPN). In this virtual leased line, since there is a security problem due to the openness of the Internet itself, IP security (IP Security), which is a protocol for adding a security function to Internet Protocol (IP), is hereinafter referred to as “IPsec”. It is essential to communicate by encrypting packets.
[0003]
FIG. 9 is a block diagram of an example of a conventional signal communication system.
[0004]
In this cryptographic communication system, a first cryptographic gateway device 110 is connected to each terminal of a first group consisting of terminals 100a-100n, and similarly, each terminal of a second group consisting of terminals 120a-120n. Is connected to the second encryption gateway device 130. The first cryptographic gateway device 110 and the second cryptographic gateway device 130 are mutually connected via a network 140.
[0005]
In communication between each terminal 100a-100n in the first group and each terminal 120a-120n in the second group, encryption of packet data communicated via the first and second cryptographic gateway devices 110 and 130 is performed. The encryption algorithm, the key used for encryption, and other parameters are fixed between the first and second cryptographic gateway devices 110 and 130.
[0006]
In a cryptographic communication system as shown in FIG. 9, packets that do not pass through the first and second cryptographic gateway devices 110 and 130 are not originally decrypted. However, in the network 140 connecting the first and second cryptographic gateway devices 110 and 130, these encrypted packets may be intercepted and the encryption algorithm or key of the packets may be decrypted.
[0007]
To cope with such a fear, for example, Japanese Patent Application Laid-Open No. 7-107082 discloses a cryptographic gateway that can select encryption or non-encryption or session key selection for each combination of terminals or for each session. An apparatus is disclosed.
[0008]
[Problems to be solved by the invention]
RFC (Request For Comments) 1825-1828 specifies "Security Architecture for Internet Protocol" (hereinafter, referred to as "IPsec") which deals with security in the Internet Protocol (IP).
[0009]
FIG. 10 is a diagram illustrating an example of an IP security authentication header defined in IPsec.
[0010]
The IP security authentication header stores the identifier of the header next to the header, the length of the header, and authentication data (authenticated data) having a SPI (Security Parameter Index) variable length. This IP security authentication header is inserted between the IP header and the IP datagram in each IP packet.
[0011]
The above-described packet encryption processing itself has a very high calculation processing load. For this reason, the performance has been improved by applying a dedicated cryptographic LSI or the like, but at present it has not been a fundamental solution.
[0012]
The present invention has been made in view of such a problem, and in a system for encrypting and communicating a packet, it is possible to prevent a concentration of an arithmetic processing required for encrypting a packet from being concentrated, and to perform an arithmetic operation in each component. An object of the present invention is to provide a security gateway device and a packet processing method capable of reducing a processing load.
[0013]
[Means for Solving the Problems]
In order to achieve this object, the present invention provides an authentication key exchanging means for performing negotiation processing for negotiating parameters necessary for IP security communication with an opposing security gateway, and connecting the authentication key exchanging means with an internal communication path. are, and IP security processing means for performing an IP security processing for packets sent from the authentication key exchange unit, Ri Tona, the IP security processing means comprises a plurality of IP security processor, wherein The authentication key exchange unit performs a distribution process of distributing the packet to any of the plurality of IP security processing devices after the negotiation process, and each of the plurality of IP security processing devices is distributed from the authentication key exchange unit. IPsec for the packet The authentication key exchanging means, when receiving a packet to be subjected to IP security processing, searches for a parameter corresponding to the packet from the negotiated parameters, based on the searched parameter. Thus, an IP security processing device that performs IP security processing on the packet is determined, and the packet is transferred to the IP security processing device .
[0015]
In the security gateway device according to the present invention, the authentication key exchange (Internet Key Exchange: IKE) and the IPsec, which are two functional elements necessary for the IPsec communication, are provided as separate means, and the bundle of the IPsec communication is load-balanced. Is done. This makes it possible to improve the communication throughput at the macro level.
[0016]
Further, by configuring the IP security processing means in a cluster configuration, that is, by configuring a plurality of IP security processing devices, it is possible to ensure the scalability of the entire security gateway device.
[0018]
The authentication key exchange means may be configured to have a local database. In this case, the authentication key exchange means links the retrieved parameter and the identifier of the IP security processing device determined to perform the IP security processing on the packet, with the parameter and the identifier being linked to each other. Can be stored in the local database.
[0019]
It is preferable that the authentication key exchange unit transfers the searched parameters together with the packet to the IP security processing device.
[0020]
Each of the plurality of IP security processing devices may include a local database, and may store the parameters received from the authentication key exchange unit in the local database.
[0021]
The IP security processing device that has received the packet from the authentication key exchange means searches the local database for a parameter corresponding to the packet, and performs IP security processing on the packet based on the searched parameter. Can be configured as
[0022]
The authentication key exchange means may be configured to encapsulate the packet and transfer the encapsulated packet to the IP security processing device.
[0023]
Each of the plurality of IP security processing devices may be configured to include a local database. In this case, each of the plurality of IP security processing devices restores the encapsulated packet received from the authentication key exchange means, searches the local database for a parameter corresponding to the packet, and Based on this, the packet can be configured to perform IP security processing.
[0024]
Each of the authentication key exchange means and the plurality of IP security processing devices can be constituted by a board on which a processor is mounted. In this case, the authentication key exchange means and each of the plurality of IP security processing devices are mutually connected by an internal bus.
[0025]
Packet transfer between the authentication key exchange unit and the IP security processing unit can be optimized according to the type of the data link layer.
[0026]
Also, the present invention provides a first step in which the authentication key exchange means negotiates parameters necessary for IP security communication with the opposite security gateway,
A second IP security processing unit connected to the authentication key exchange unit via an internal communication path and configured to perform IP security processing on a packet sent from the authentication key exchange unit by an IP security processing unit including a plurality of IP security processing devices; and the process of,
A third step in which after the first step, the authentication key exchange means distributes the packet to one of the plurality of IP security processing devices;
With
In the second step, each of the plurality of IP security processing devices performs an IP security process on the packet distributed from the authentication key exchange means,
A fourth step of, when the authentication key exchange means receives a packet to be subjected to IP security processing, searching for a parameter corresponding to the packet from the negotiated parameters;
A fifth step of determining an IP security processing device that performs IP security processing on the packet based on the retrieved parameters;
A sixth step of transferring the packet to the IP security processing device determined in the fifth step,
It provides IP security processing method for a packet, characterized in that it comprises a.
[0029]
The authentication key exchange means may be configured to have a local database. In this case, the method comprises the steps of: the authentication key exchange means linking the retrieved parameters with an identifier of the IP security processing device determined to perform IP security processing on the packet; Preferably, the authentication key exchange means includes a step of storing the parameter and the identifier in the local database.
[0030]
In the sixth step, it is preferable that the authentication key exchange unit transfers the searched parameters together with the packet to the IP security processing device.
[0031]
Each of the plurality of IP security processing devices may be configured to include a local database. In this case, the method may include the step of each of the plurality of IP security processing devices storing the parameters received from the authentication key exchange means in the local database.
[0032]
In the method, the IP security processing device receiving the packet from the authentication key exchange means searches the local database for parameters corresponding to the packet, and the IP security processing device Performing an IP security process on the packet based on the IP address.
[0033]
Preferably, the method further comprises the step of the authentication key exchange means encapsulating the packet, in which case the encapsulated packet is forwarded to the IP security processing device in the sixth step. Is preferred.
[0034]
Each of the plurality of IP security processing devices may be configured to include a local database. In this case, the method comprises the steps of: restoring the encapsulated packet received from the authentication key exchange means by each of the plurality of IP security processing devices; A step of searching a database for a parameter corresponding to the packet; and a step of each of the plurality of IP security processing devices performing IP security processing on the packet based on the searched parameter. preferable.
[0035]
Further, the method may include a step of optimizing a transfer of a packet between the authentication key exchange unit and the IP security processing unit according to a type of a data link layer.
[0036]
BEST MODE FOR CARRYING OUT THE INVENTION
FIG. 1 is a block diagram of the security gateway device according to the first embodiment of the present invention.
[0037]
When performing IPsec communication, a protocol (IKE) for negotiating an IPsec communication parameter such as an algorithm and a key with an opposing device and a protocol (IPsec) for actually performing IPsec processing by applying the negotiated parameter are used. Required.
[0038]
For this reason, as shown in FIG. 1, the security gateway device according to the present embodiment performs an authentication key exchange, that is, an authentication key exchange processing unit 11 (hereinafter, referred to as an “IKE processing unit 11”) that negotiates IPsec communication parameters. This is divided into two components of an IPsec processing unit 12 that actually performs IPsec processing.
[0039]
Further, the IPsec processing unit 12 has a cluster configuration. That is, the IPsec processing unit 12 includes n (n is a positive integer of 2 or more) IPsec processing devices 12a to 12n.
[0040]
The IKE processing unit 11 and the IPsec processing unit 12 are connected via an Ethernet or other internal communication path 13.
[0041]
FIG. 2 is a more specific block diagram of the security gateway device according to the present embodiment.
[0042]
As shown in FIG. 2, the IKE processing unit 11 is connected to a facing security gateway (SGW) 14 via the Internet or another insecure network 17.
[0043]
Further, the IKE processing unit 11 has a built-in local database 15, and similarly, each of the IPsec processing devices 12a to 12n constituting the IPsec processing unit 12 also has a built-in local database 16.
[0044]
Next, an outline of the operation of the security gateway device according to the present embodiment will be described below.
[0045]
The IKE processing unit 11 negotiates an IPsec communication parameter with the security gateway 14 using the IKE protocol. The negotiated parameter information (hereinafter, referred to as "IPsec SA") is stored in the local database 15, and one IPsec processing device that actually performs the IPsec processing is determined from the IPsec processing devices 12a to 12n. For example, the IPsec processing device 12a is determined.
[0046]
Next, the IPsec SA is transferred to the IPsec processing device 12a. At the same time, the identifier of the selected IPsec processing device 12a is linked to the corresponding IPsec SA.
[0047]
The IPsec processing device 12a that has received the IPsec SA data from the IKE processing unit 11 stores the IPsec SA in the local database 16.
[0048]
When receiving a packet to be subjected to IPsec processing from the security gateway 14, the IKE processing unit 11 searches for an IPsec SA corresponding to the packet. Next, the IKE processing unit 11 determines a corresponding IPsec processing device (for example, the IPsec processing device 12a) based on the searched IPsec SA, and transfers the received packet to the IPsec processing device 12a.
[0049]
Upon receiving the IPsec processing packet from the IKE processing unit 11, the IPsec processing device 12a searches the local database 16 for a corresponding IPsec SA. The IPsec processing device 12a executes the actual IPsec processing (encryption / decryption processing and authentication processing) based on the searched IPsec SA, and outputs the processed packet 18.
[0050]
Next, the operation of the security gateway device according to the present embodiment will be described with reference to FIGS. 2 to 7 by dividing into two phases, an IPsec SA establishment phase and an IPsec communication phase. FIG. 2 is a block diagram showing an operation state of the security gateway device in an IPsec SA establishment phase, FIG. 3 is a block diagram showing an operation state of the security gateway device in an IPsec communication phase, and FIG. 4 is a diagram in an IPsec SA establishment phase. 5 is a flowchart showing the operation of the IKE processing unit 11, FIG. 5 is a flowchart showing the operation of the IPsec processing unit 12 in the IPsec SA establishment phase, FIG. 6 is a flowchart showing the operation of the IKE processing unit 11 in the IPsec communication phase, and FIG. 5 is a flowchart showing the operation of the IPsec processing unit 12 in the IPsec communication phase.
[0051]
In the IPsec SA establishment phase, the IKE processing unit 11 negotiates various parameters (algorithm, key, etc.) required for the IPsec processing with the facing security gateway 14 using the IKE protocol (step S401 in FIG. 4). . Hereinafter, the execution of the negotiation process is referred to as IPsec SA establishment.
[0052]
When the IPsec SA is established, the IKE processing unit 11 selects one IPsec processing device from the cluster, that is, the IPsec processing devices 12a to 12n, as the IPsec processing device that actually performs the IPsec processing (step S402 in FIG. 4). . At this time, an IPsec processing device is selected by an algorithm such as round robin in consideration of load distribution in a cluster. Here, it is assumed that the IPsec processing device 12n is selected.
[0053]
Next, the IKE processing unit 11 links the IPsec SA with the identifier of the selected IPsec processing device 12n, and stores both in the local database 15 (Step S403 in FIG. 4). For example, as shown in FIG. 2, the local database 15 stores the parameter “SA 21 ” as an IPsec SA and the identifier “23” of the IPsec processing device 12 n as a corresponding IPsec processing device in a linked state. .
[0054]
Next, the IKE processing unit 11 transfers the IPsec SA to the IPsec processing device 12n that is the selected IPsec processing device (Step S404 in FIG. 4).
[0055]
IPsec processing apparatus 12n which received the IPsec SA "SA 21" from the IKE processing unit 11 (step S501 in FIG. 5), and stores the IPsec SA "SA 21" to its own local database 16 (step S502 in FIG. 5) .
[0056]
In the IPsec communication phase, when the IKE processing unit 11 receives a packet from the opposite security gateway 14 (Step S601 in FIG. 6),
Based on the received packet, the local database 15 is searched for an IPsec SA to process the packet (step S602 in FIG. 6). For example, as shown in FIG. 3, the local database 15 stores the IPsec SA “SA 31 ” and the identifier “33” of the corresponding IPsec processing device in a state of being mutually linked.
[0057]
Next, the IKE processing unit 11 determines whether or not there is an entry (Step S603 in FIG. 6).
[0058]
If there is an entry (YES in step S603 in FIG. 6), the IPsec processing device to process the packet is determined (step S604 in FIG. 6). For example, when the IPsec SA “SA 31 ” is searched as the IPsec SA to process the packet, the IPsec processing device represented by the identifier “33” is regarded as the IPsec processing device corresponding to the IPsec SA “SA 31 ”. Is determined. Here, it is assumed that the IPsec processing device represented by the identifier “33” is the IPsec processing device 12n.
[0059]
Next, the IKE processing unit 11 encapsulates the packet with IP in IP Tunneling, and transfers the encapsulated packet to the IPsec processing device 12n (Step S605 in FIG. 6).
[0060]
On the other hand, if there is no entry (NO in step S603 in FIG. 6), the received packet is discarded (step S606 in FIG. 6), and the reception of the next packet is waited.
[0061]
Upon receiving the packet from the IKE receiving unit 11 (step S701 in FIG. 7), the IPsec processing device 12n restores the encapsulated packet, that is, removes the capsule from the packet (step S702 in FIG. 7).
[0062]
Next, the IPsec processing device 12n searches the local database 16 for an IPsec SA corresponding to the packet (Step S703 in FIG. 7).
[0063]
Next, the IPsec processing device 12n determines whether or not there is an entry (Step S704 in FIG. 7).
[0064]
If there is an entry (YES in step S704 in FIG. 7), an actual IPsec process (encryption / decryption and authentication) is executed based on the retrieved IPsec SA (step S705 in FIG. 7).
[0065]
Next, the IPsec processing apparatus 12n sends the packet 19 (see FIG. 3) subjected to the IPsec processing to the network (step S706 in FIG. 7).
[0066]
On the other hand, if there is no entry (NO in step S704 in FIG. 7), the received packet is discarded (step S707 in FIG. 7), and the reception of the next packet is waited.
[0067]
As described above, according to the security gateway device of the present embodiment, the following effects can be obtained.
[0068]
The first effect is that the throughput of the IPsec processing can be increased by separating the IPsec SA establishment processing from the IPsec processing with a high processing load.
[0069]
The second effect is that, by configuring the IPsec processing unit 12 in a cluster configuration including a plurality of IPsec processing devices 12a to 12n, the load of the IPsec processing can be distributed, and the communication load can be flexibly dealt with. This is the point that can be secured.
[0070]
FIG. 8 is a schematic diagram showing the structure of the security gateway device according to the second embodiment of the present invention.
[0071]
In the security gateway device according to the present embodiment, the IKE processing unit and the IPsec processing unit are formed as separate components, respectively, as in the case of the first embodiment. The IPsec processing unit 82 and the IPsec processing unit 82 are both formed as a processor-mounted board, and are mutually connected via an internal bus 83. Thus, the IKE processing unit 81 and the IPsec processing unit 82 are externally configured as a single device.
[0072]
Communication between the IKE processing unit 81 and a plurality of IPsec processing devices constituting the IPsec processing unit 82 is performed via the internal bus 83.
[0073]
In the communication path between the IKE processing unit 81 and the IPsec processing unit 82, it is possible to optimize the transfer method according to the type of the data link layer.
[0074]
For example, when using an ATM (Asynchronous Transfer Mode), the IKE processing unit 81 and the IPsec processing unit 82 are connected by a point-to-point virtual channel (Virtual Channel: VC). By directly encapsulating the LLC / SNAP, the overhead of IP in IP Tunneling can be reduced.
[0075]
【The invention's effect】
As described above, according to the security gateway device of the present invention, the effect that the throughput of the IPsec processing can be increased can be obtained.
[0076]
In the security gateway device according to the present invention, the IPsec SA establishment process and the IPsec process are separated. Specifically, the authentication key exchange means (IKE processing unit in the embodiment) performs IPsec SA establishment processing, that is, processing for negotiating parameters necessary for IP security communication with the security gateway, and performs IP security processing means ( The IPsec processing unit in the embodiment) actually executes the IP security processing on the packet sent from the authentication key exchange unit. As described above, by separating the IPsec SA establishment processing from the IPsec processing having a high processing load, it is possible to increase the throughput of the IPsec processing.
[0077]
In addition, by configuring the IPsec processing unit in a cluster configuration including a plurality of IPsec processing devices, the load of the IPsec processing can be distributed, and high scalability can be secured.
[Brief description of the drawings]
FIG. 1 is a block diagram of a security gateway device according to a first embodiment of the present invention.
FIG. 2 is a block diagram illustrating an operation state of the security gateway device according to the first embodiment in an IPsec SA establishment phase.
FIG. 3 is a block diagram illustrating an operation state of the security gateway device according to the first embodiment in an IPsec communication phase.
FIG. 4 is a flowchart illustrating an operation of an IKE processing unit in an IPsec SA establishment phase in the security gateway device according to the first embodiment.
FIG. 5 is a flowchart illustrating an operation of an IPsec processing unit in an IPsec SA establishment phase in the security gateway device according to the first embodiment.
FIG. 6 is a flowchart illustrating an operation of an IKE processing unit in an IPsec communication phase in the security gateway device according to the first embodiment.
FIG. 7 is a flowchart illustrating an operation of an IPsec processing unit in an IPsec communication phase in the security gateway device according to the first embodiment.
FIG. 8 is a schematic diagram of a security gateway device according to the first embodiment of the present invention.
FIG. 9 is a block diagram illustrating an example of a conventional signal communication system.
FIG. 10 is a diagram illustrating an example of an IP security authentication header defined in IPsec.
[Explanation of symbols]
11 IKE processing unit 12 in the first embodiment 12 IPsec processing unit 12a-12n IPsec processing device 13 in the first embodiment Internal communication path 14 Security gateway 15 Local database 16 Local database 17 Insecure network 18, 19 Packet 81 Second IKE processing unit 82 in the second embodiment IPsec processing unit 83 in the second embodiment Internal bus

Claims (17)

IPセキュリティ通信に必要なパラメータを対向するセキュリティゲートウェイとの間でネゴシエートするネゴシエーション処理を行う認証キー交換手段と、
前記認証キー交換手段と内部通信路で接続されており、前記認証キー交換手段から送られてきたパケットに対してIPセキュリティ処理を実行するIPセキュリティ処理手段と、
からなり、
前記IPセキュリティ処理手段は複数のIPセキュリティ処理装置からなり、
前記認証キー交換手段は、前記ネゴシエーション処理後に、前記パケットを前記複数のIPセキュリティ処理装置の何れかに振り分ける振り分け処理を行い、
前記複数のIPセキュリティ処理装置の各々は前記認証キー交換手段から振り分けられた前記パケットに対してIPセキュリティ処理を実行するものであり、
前記認証キー交換手段は、IPセキュリティ処理を行うべきパケットを受信した場合に、ネゴシエートしたパラメータの中からそのパケットに対応するパラメータを検索し、検索したパラメータに基づいて、前記パケットのIPセキュリティ処理を行うIPセキュリティ処理装置を決定し、前記パケットを前記IPセキュリティ処理装置に転送することを特徴とするセキュリティゲートウェイ装置。
Authentication key exchange means for performing negotiation processing for negotiating parameters required for IP security communication with the opposite security gateway;
An IP security processing unit connected to the authentication key exchange unit via an internal communication path and performing IP security processing on a packet sent from the authentication key exchange unit;
Tona is,
The IP security processing means comprises a plurality of IP security processing devices;
The authentication key exchange unit performs a distribution process of distributing the packet to any of the plurality of IP security processing devices after the negotiation process,
Each of the plurality of IP security processing devices executes an IP security process on the packet distributed from the authentication key exchange means,
The authentication key exchange means, when receiving a packet to be subjected to IP security processing, searches for a parameter corresponding to the packet from the negotiated parameters, and performs an IP security processing of the packet based on the searched parameter. A security gateway device that determines an IP security processing device to be performed and transfers the packet to the IP security processing device.
前記認証キー交換手段はローカルデータベースを有しており、
前記認証キー交換手段は、検索したパラメータと、前記パケットのIPセキュリティ処理を行わせることに決定した前記IPセキュリティ処理装置の識別子とを相互にリンク付けした状態で、前記パラメータ及び前記識別子を前記ローカルデータベースに保存することを特徴とする請求項に記載のセキュリティゲートウェイ装置。
The authentication key exchange means has a local database,
The authentication key exchange unit links the retrieved parameter and the identifier of the IP security processing apparatus determined to cause the IP security processing of the packet to be performed, and stores the parameter and the identifier in the local area. The security gateway device according to claim 1 , wherein the security gateway device is stored in a database.
前記認証キー交換手段は、検索したパラメータを前記パケットとともに前記IPセキュリティ処理装置に転送することを特徴とする請求項1又は2に記載のセキュリティゲートウェイ装置。The authentication key exchange unit, the security gateway device according to claim 1 or 2, characterized in that to transfer the retrieved parameter in the IP security processing apparatus together with the packet. 前記複数のIPセキュリティ処理装置の各々はローカルデータベースを備えており、前記認証キー交換手段から受信した前記パラメータを前記ローカルデータベースに保存するものであることを特徴とする請求項1乃至3の何れか一項に記載のセキュリティゲートウェイ装置。Each of the plurality of IP security processor has a local database, any one of claims 1 to 3, characterized in that said that said received from the authentication key exchange unit parameters intended to be stored in the local database The security gateway device according to claim 1. 前記認証キー交換手段から前記パケットを受信した前記IPセキュリティ処理装置は、前記ローカルデータベースから、前記パケットに対応するパラメータを検索し、検索したパラメータに基づいて、前記パケットに対してIPセキュリティ処理を行うことを特徴とする請求項に記載のセキュリティゲートウェイ装置。The IP security processing device that has received the packet from the authentication key exchange means searches the local database for a parameter corresponding to the packet, and performs IP security processing on the packet based on the searched parameter. The security gateway device according to claim 4 , wherein: 前記認証キー交換手段は前記パケットをカプセル化し、カプセル化した前記パケットを前記IPセキュリティ処理装置に転送することを特徴とする請求項1乃至5の何れか一項に記載のセキュリティゲートウェイ装置。The security gateway device according to any one of claims 1 to 5, wherein the authentication key exchange unit encapsulates the packet and transfers the encapsulated packet to the IP security processing device. 前記複数のIPセキュリティ処理装置の各々はローカルデータベースを備えており、
前記複数のIPセキュリティ処理装置の各々は、前記認証キー交換手段から受信したカプセル化した前記パケットを復元し、前記ローカルデータベースから、前記パケットに対応するパラメータを検索し、検索したパラメータに基づいて、前記パケットに対してIPセキュリティ処理を行うことを特徴とする請求項に記載のセキュリティゲートウェイ装置。
Each of the plurality of IP security processing devices has a local database,
Each of the plurality of IP security processing devices restores the encapsulated packet received from the authentication key exchange means, searches the local database for a parameter corresponding to the packet, and, based on the searched parameter, The security gateway device according to claim 6 , wherein an IP security process is performed on the packet.
前記認証キー交換手段並びに前記複数のIPセキュリティ処理装置の各々はプロセッサを搭載した基板から構成されており、前記認証キー交換手段並びに前記複数のIPセキュリティ処理装置の各々は内部バスで相互に接続されていることを特徴とする請求項1乃至の何れか一項に記載のセキュリティゲートウェイ装置。Each of the authentication key exchange means and the plurality of IP security processing devices is constituted by a board on which a processor is mounted, and each of the authentication key exchange means and the plurality of IP security processing devices are interconnected by an internal bus. The security gateway device according to any one of claims 1 to 7 , wherein: 前記認証キー交換手段と前記IPセキュリティ処理手段との間におけるパケットの転送は、データリンクレイヤの種別に応じて、最適化されることを特徴とする請求項1乃至の何れか一項に記載のセキュリティゲートウェイ装置。The transfer of packets between the authentication key exchange unit and the IP security processing unit, according to the type of data link layer, according to any one of claims 1 to 8, characterized in that it is optimized Security gateway device. 認証キー交換手段が、IPセキュリティ通信に必要なパラメータを対向するセキュリティゲートウェイとの間でネゴシエートする第1の過程と、
前記認証キー交換手段と内部通信路で接続され、複数のIPセキュリティ処理装置からなるIPセキュリティ処理手段にて、前記認証キー交換手段から送られてきたパケットに対してIPセキュリティ処理を実行する第2の過程と
前記第1の過程の後に、前記認証キー交換手段が、前記パケットを前記複数のIPセキュリティ処理装置の何れかに振り分ける第3の過程と、
を備え、
前記第2の過程においては、前記複数のIPセキュリティ処理装置の各々が前記認証キー交換手段から振り分けられた前記パケットに対してIPセキュリティ処理を実行するものであり、
前記認証キー交換手段が、IPセキュリティ処理を行うべきパケットを受信した場合に、ネゴシエートしたパラメータの中からそのパケットに対応するパラメータを検索する第4の過程と、
検索したパラメータに基づいて、前記パケットのIPセキュリティ処理を行うIPセキュリティ処理装置を決定する第5の過程と、
前記パケットを前記第5の過程において決定した前記IPセキュリティ処理装置に転送する第6の過程と、
を備えることを特徴とするパケットに対するIPセキュリティ処理方法。
A first step in which the authentication key exchange means negotiates parameters necessary for IP security communication with the opposite security gateway;
A second IP security processing unit connected to the authentication key exchange unit via an internal communication path and configured to perform IP security processing on a packet sent from the authentication key exchange unit by an IP security processing unit including a plurality of IP security processing devices; and the process of,
A third step in which after the first step, the authentication key exchange means distributes the packet to one of the plurality of IP security processing devices;
With
In the second step, each of the plurality of IP security processing devices performs an IP security process on the packet distributed from the authentication key exchange means,
A fourth step of, when the authentication key exchange means receives a packet to be subjected to IP security processing, searching for a parameter corresponding to the packet from the negotiated parameters;
A fifth step of determining an IP security processing device that performs IP security processing on the packet based on the retrieved parameters;
A sixth step of transferring the packet to the IP security processing device determined in the fifth step,
IP security processing method for a packet, characterized in that it comprises a.
前記認証キー交換手段はローカルデータベースを有しており、
前記認証キー交換手段が、検索したパラメータと、前記パケットのIPセキュリティ処理を行わせることに決定した前記IPセキュリティ処理装置の識別子とを相互にリンク付けする過程と、
前記認証キー交換手段が、前記パラメータ及び前記識別子を前記ローカルデータベースに保存する過程と、
を備えることを特徴とする請求項10に記載のパケットに対するIPセキュリティ処理方法。
The authentication key exchange means has a local database,
A step in which the authentication key exchanging means mutually links the retrieved parameter and an identifier of the IP security processing device determined to perform the IP security processing on the packet;
A step in which the authentication key exchange means stores the parameter and the identifier in the local database;
The IP security processing method for a packet according to claim 10 , further comprising:
前記第6の過程において、前記認証キー交換手段は、検索したパラメータを前記パケットとともに前記IPセキュリティ処理装置に転送することを特徴とする請求項10又は11に記載のパケットに対するIPセキュリティ処理方法。12. The IP security processing method for a packet according to claim 10 , wherein in the sixth step, the authentication key exchange unit transfers the retrieved parameter together with the packet to the IP security processing device. 前記複数のIPセキュリティ処理装置の各々はローカルデータベースを備えており、
前記複数のIPセキュリティ処理装置の各々が、前記認証キー交換手段から受信した前記パラメータを前記ローカルデータベースに保存する過程を備えることを特徴とする請求項10乃至12の何れか一項に記載のパケットに対するIPセキュリティ処理方法。
Each of the plurality of IP security processing devices has a local database,
The packet according to any one of claims 10 to 12 , further comprising a step of each of the plurality of IP security processing devices storing the parameter received from the authentication key exchange unit in the local database. IP security processing method.
前記認証キー交換手段から前記パケットを受信した前記IPセキュリティ処理装置が、前記ローカルデータベースから、前記パケットに対応するパラメータを検索する過程と、
前記IPセキュリティ処理装置が、検索したパラメータに基づいて、前記パケットに対してIPセキュリティ処理を行う過程と、
を備えることを特徴とする請求項1に記載のパケットに対するIPセキュリティ処理方法。
A step in which the IP security processing device receiving the packet from the authentication key exchange means searches the local database for a parameter corresponding to the packet;
A step in which the IP security processing device performs IP security processing on the packet based on the searched parameters;
IP security processing method for a packet of claim 1 3, characterized in that it comprises a.
前記認証キー交換手段が前記パケットをカプセル化する過程を備えており、
前記カプセル化された前記パケットが前記第6の過程において前記IPセキュリティ処理装置に転送されることを特徴とする請求項10乃至14の何れか一項に記載のパケットに対するIPセキュリティ処理方法。
The authentication key exchange means includes a step of encapsulating the packet,
The method according to any one of claims 10 to 14, wherein the encapsulated packet is transferred to the IP security processing device in the sixth step.
前記複数のIPセキュリティ処理装置の各々はローカルデータベースを備えており、
前記複数のIPセキュリティ処理装置の各々が、前記認証キー交換手段から受信したカプセル化した前記パケットを復元する過程と、
前記複数のIPセキュリティ処理装置の各々が、前記ローカルデータベースから、前記パケットに対応するパラメータを検索する過程と、
前記複数のIPセキュリティ処理装置の各々が、検索したパラメータに基づいて、前記パケットに対してIPセキュリティ処理を行う過程と、
を備えることを特徴とする請求項1に記載のパケットに対するIPセキュリティ処理方法。
Each of the plurality of IP security processing devices has a local database,
A step in which each of the plurality of IP security processing devices restores the encapsulated packet received from the authentication key exchange means;
A step in which each of the plurality of IP security processing devices retrieves a parameter corresponding to the packet from the local database;
A step in which each of the plurality of IP security processing devices performs IP security processing on the packet based on the searched parameters;
16. The IP security processing method for packets according to claim 15 , further comprising:
前記認証キー交換手段と前記IPセキュリティ処理手段との間におけるパケットの転送を、データリンクレイヤの種別に応じて、最適化する過程を備えることを特徴とする請求項10乃至16の何れか一項に記載のパケットに対するIPセキュリティ処理方法。17. The method according to claim 10 , further comprising a step of optimizing a transfer of a packet between the authentication key exchange unit and the IP security processing unit according to a type of a data link layer. 2. An IP security processing method for a packet described in 1.
JP2001300137A 2001-09-28 2001-09-28 Security gateway device Expired - Fee Related JP3603830B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001300137A JP3603830B2 (en) 2001-09-28 2001-09-28 Security gateway device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001300137A JP3603830B2 (en) 2001-09-28 2001-09-28 Security gateway device

Publications (2)

Publication Number Publication Date
JP2003110628A JP2003110628A (en) 2003-04-11
JP3603830B2 true JP3603830B2 (en) 2004-12-22

Family

ID=19120762

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001300137A Expired - Fee Related JP3603830B2 (en) 2001-09-28 2001-09-28 Security gateway device

Country Status (1)

Country Link
JP (1) JP3603830B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4346094B2 (en) * 2004-04-05 2009-10-14 日本電信電話株式会社 Packet encryption processing proxy device
JP3803680B2 (en) 2004-06-16 2006-08-02 Necインフロンティア株式会社 Unauthorized access prevention method, unauthorized access prevention apparatus and unauthorized access prevention program
JP4575219B2 (en) 2005-04-12 2010-11-04 株式会社東芝 Security gateway system and method and program thereof
EP1873674B1 (en) * 2005-12-19 2019-09-04 Nippon Telegraph And Telephone Corporation Terminal identification method, authentication method, authentication system, server, terminal, radio base station, program, and recording medium
CN105991562B (en) 2015-02-05 2019-07-23 华为技术有限公司 IPSec acceleration method, device and system

Also Published As

Publication number Publication date
JP2003110628A (en) 2003-04-11

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
CN1756234B (en) Server, VPN client, VPN system
US6708218B1 (en) IpSec performance enhancement using a hardware-based parallel process
EP2823620B1 (en) Enhancing ipsec performance and security against eavesdropping
US6484257B1 (en) System and method for maintaining N number of simultaneous cryptographic sessions using a distributed computing environment
US20100268935A1 (en) Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
CN104137508A (en) Network node with network-attached stateless security offload device
Dhall et al. Implementation of IPSec protocol
JP3885573B2 (en) Packet processing method and apparatus
WO2025118789A1 (en) Double-encryption method based on ipsec and quantum key, and encryption gateway
JP3603830B2 (en) Security gateway device
US20110271097A1 (en) Loosely-Coupled Encryption Functionality for Operating Systems
CN117254976B (en) National standard IPsec VPN implementation method, device, system and electronic equipment based on VPP
US8332639B2 (en) Data encryption over a plurality of MPLS networks
CN116723037A (en) Selective transport layer security encryption
CN1984131A (en) Method for processing distributed IPSec
Hohendorf et al. Secure End-to-End Transport Over SCTP.
JP3651424B2 (en) Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus
JP2001007849A (en) MPLS packet processing method and MPLS packet processing device
CN112636913A (en) Networking method for key sharing
FI109436B (en) Data processing in an access node
WO2011139440A2 (en) Loosely-coupled encryption functionality for operating systems

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040608

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040615

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040802

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040907

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040920

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071008

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081008

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091008

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091008

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101008

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111008

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121008

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131008

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees