Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP3911697B2 - ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体 - Google Patents
[go: Go Back, main page]

JP3911697B2 - ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体 - Google Patents

ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体 Download PDF

Info

Publication number
JP3911697B2
JP3911697B2 JP2004051334A JP2004051334A JP3911697B2 JP 3911697 B2 JP3911697 B2 JP 3911697B2 JP 2004051334 A JP2004051334 A JP 2004051334A JP 2004051334 A JP2004051334 A JP 2004051334A JP 3911697 B2 JP3911697 B2 JP 3911697B2
Authority
JP
Japan
Prior art keywords
network connection
public key
key certificate
address
connection device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004051334A
Other languages
English (en)
Other versions
JP2005244573A5 (ja
JP2005244573A (ja
Inventor
啓輔 ▲崎▼谷
志郎 水野
和彦 鈴木
真司 阿部
昌也 田中
康志 高木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004051334A priority Critical patent/JP3911697B2/ja
Publication of JP2005244573A publication Critical patent/JP2005244573A/ja
Publication of JP2005244573A5 publication Critical patent/JP2005244573A5/ja
Application granted granted Critical
Publication of JP3911697B2 publication Critical patent/JP3911697B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、自動鍵交換プロトコルにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続機器に関する。
従来、インターネット上での通信セキュリティに関する技術としては、IETF(The Internet Engineering Task Force)のIPsec(Internet Protocol Security)ワーキンググループで議論されている技術、例えばSecurity Architecture for the Internet Protocol(インターネットプロトコルのためのセキュリティアーキテクチャ)や公開鍵基盤(Public Key Infrastructure)を利用したIKE(自動鍵交換プロトコル、Internet Key Exchange)等が知られている(非特許文献1、非特許文献2参照)。
ここでIPsecとは、インターネット上でパケットを暗号化して、通信を安全に行うためのプロトコルであり、IKEとは、通信を始める前に暗号化アルゴリズムや暗号化鍵等の情報を交換・共有するための折衝を自動で行うプロトコルである。
IPsecでは、通信を始める前に、暗号化方式、暗号鍵の情報、自身のID等を交換・共有するセキュリティアソシエーション(以下、SAと略す)の折衝を行い、安全な通信路を確立する。このSA(IPsec SA)を確立する際、IKEを用いて通信相手の認証を行う方法があるが、この方法は、IKEのフェーズ1で通信主体側ノードが、通信相手から送信された公開鍵証明書の検証を行うので、通信相手のいわゆる「なりすまし(spoofing)」を防止できたり、通信相手のアクセス否認を防止できるという特徴がある。
なお、前記したIKEのフェーズ1では、IPsecにおいてセキュリティプロトコルのSAの折衝等を安全に行うためのSAの折衝を行う。すなわち、ISAKMP SA(Internet Security Association Key Management Protocol Security Association)の折衝を行う。ちなみに、IKEのフェーズ2では、フェーズ1で折衝し、確立したISAKMP SAに基づいて、セキュリティプロトコルのSAの折衝や共有秘密鍵の生成を行う。
IETF、RFC2401、[online]、[2004年2月17日検索]、インターネット、<URL:http://www.ietf.org/rfc/rfc2401.txt > IETF、RFC2409、[online]、[2004年2月17日検索]、インターネット、<URL:http://www.ietf.org/rfc/rfc2409.txt >
しかし、IKEのフェーズ1では、通信主体側ノードと通信相手側ノードとの間でのID(IPアドレス)の交換で、通信主体側ノードは、通信相手側ノードが送信してきたID(IPアドレス)の使用権がその通信相手側ノードにあるかどうかを判断することができない。すなわち、通信相手側ノードが他人のIPアドレスを利用して(なりすまして)アクセスしても、それがなりすましであることをチェックできない。つまり、通信主体側ノードが、なりすましのIPアドレスを申請してきたノードとのIPsecSAを確立してしまう可能性がある。
本発明は、前記した事情を鑑みてなされたものであり、なりすましのIPアドレスを申請してきたノードとのIPsecSAの確立を防止するネットワーク接続機器等を提供することを課題とする。
前記した課題を解決するため、本発明は、自動鍵交換プロトコルであるIKEにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続機器を、ネットワーク経由で各種情報の送受信を行うインターフェース部と、通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを記憶するIPアドレステーブル記憶部と、インターフェース部を介して、他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信して、他のネットワーク接続機器とのIKEによるセキュリティアソシエーションの折衝処理を行うIKE処理部と、IPアドレステーブル記憶部のIPアドレステーブルを検索して、他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルに記憶されているか否かを判断する検証部とを含み、他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、IPアドレステーブルに記憶されていると検証部が判断したとき、IKE処理部は、他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とする構成とした。
なお、請求項における「ネットワーク接続機器」とは、後記する実施の形態における「ノード」に相当する。また、請求項における「通信相手のネットワーク接続機器」とは、通信主体(ネットワーク接続機器)が通信相手として意図するネットワーク接続機器のことを指し、「他のネットワーク接続機器」とは、ネットワーク経由で通信主体にアクセスしてくる(データを送信してくる)ネットワーク接続機器全般を指すものとする。
本発明によれば、通信主体のネットワーク接続機器が、通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書との対応関係を示したIPアドレステーブルを記憶するので、他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書が、このIPアドレステーブルに記載されていないとき、このネットワーク接続機器との間でIKEフェーズ1におけるISAKMP SAを確立しないようにすることができる。したがって、通信主体のネットワーク接続機器は、なりすましによりアクセスしてきたネットワーク接続機器との間でIPsecSAを確立しないようにすることができる。
以下、本発明の実施の形態について、図面を参照して詳細に説明する。
まず、本発明の実施の形態であるノードを含むシステムの基本的構成および基本的処理手順について図1〜図3を用いて説明し、その後、本発明の特徴的構成を説明する。
なお、ここではIPsecSAの折衝(より詳細には、IPsecSAのIKEのフェーズ1)において、デジタル署名を用いるデジタル署名認証方式(アグレッシブモード)を用いた場合の適用例を説明する。
なお、アグレッシブモードとは、IKEのフェーズ1におけるSAパラメータ、鍵情報、ID(IPアドレス)の交換を、3つのメッセージで交換する方法である。
図1は、本発明の実施の形態であるノード(ネットワーク接続機器)を含むネットワーク接続システムの基本的構成を示したブロック図である。
図2および図3は、本発明の実施の形態であるノード(ネットワーク接続機器)を含むネットワーク接続システムの基本的処理手順を示したシーケンス図である。
<基本的構成>
本実施の形態の基本的構成であるネットワーク接続システムは、図1に示すようにノード100(100A〜C)と、このノード100(100A〜C)の公開鍵証明書や秘密鍵を発行する認証局200(200A、200B)と、これらを接続するネットワーク4とを含んで構成される。
ノード100(100A〜C)は、ネットワーク4を介して通信データの送受信を行うネットワーク接続機器であり、例えばPC(Personal Computer)や、ルータ等である。ネットワーク4は、例えば、地域IP網やインターネット網である。
なお、ノード100は、複数のノード100の間で互いにデータの送受信(通信)を行うものであるが、ここでは説明のため、IKEフェーズ1の第1メッセージを送信する側のノードをノード100B(請求項における他のネットワーク接続機器)とし、IKEフェーズ1の第1メッセージを受信し、通信主体となるノードをノード100Aとする。また、ノード100Aの通信相手のノード(通信相手として意図しているノード)をノード100Cとする。
ノード100Aは、IKE開始前にノード100Cの認証局である認証局200Bから認証局200Bの公開鍵証明書を取得しておく。そして、IKE開始後、ノード100Bからノード100BのID(IPアドレス)、公開鍵証明書およびデジタル署名を含むIKEのメッセージを受信する。次に、認証局200Bの公開鍵証明書で、IKEメッセージに含まれる公開鍵証明書が正当な公開鍵証明書であるか否かを検証する。そして、ノード100Bから受信した公開鍵証明書が正当な公開鍵証明書であることの検証ができたとき、この公開鍵証明書で、ノード100Bのデジタル署名を検証する。
このようにして、ノード100Aは、ノード100Bが正当な通信相手(ノード100C)であることの確認(認証)をした上で、ノード100B(ノード100C)との間でIKEフェーズ2以降の処理を行う。
次に、図1を用いて、ノード100(100A〜C)の基本的構成を説明する。
なお、ノード100Aは、ノード100B,Cと同様の構成であるので、ノード100(100A〜C)の構成は、図1の通信主体のノード100Aの構成を用いて説明する。
ノード100(100A〜C)は、ネットワーク4経由で各種情報の送受信を行うインターフェース部101と、IKEを用いて通信相手のノード100B,CとのIKEによるSAの折衝処理を行う処理手段120と、SAに関する各種情報を記憶する記憶手段110とを含んで構成される。
(処理手段)
処理手段120は、IKE処理部121と、公開鍵証明書取得部122と、検証部123とを含んで構成される。
IKE処理部121は、ノード100Bとの間でIKEフェーズ1(ISAKMP SAの折衝)を実行する。具体的には、1)ノード100Bからノード100BのIPアドレス、公開鍵証明書およびデジタル署名を含むISAKMP SA用データ(メッセージ)を受信し、2)これに応じてノード100AのISAKMP SA用データ(メッセージ)を作成し、3)このメッセージをノード100Bへ送信してノード100BとのISAKMP SAの折衝を行う。
公開鍵証明書取得部122は、IKEフェーズ1のISAKMP SAの折衝開始前に、ネットワーク4経由で、通信相手のノード100Cの認証局である認証局200Bから認証局200Bの公開鍵証明書を取得する。そして、認証局200Bの公開鍵証明書を公開鍵証明書記憶部111に格納し、ノード100A(自身のノード)の公開鍵証明書等をIKE用データ記憶部112に格納する。
検証部123は、ノード100Bから送信されたISAKMP SA用データに含まれる公開鍵証明書を、後記する公開鍵証明書記憶部111に記憶された認証局200Bの公開鍵証明書で検証し、ノード100Bから送信された公開鍵証明書が正当な公開鍵証明書であるか否かを判断する。また、ノード100Bから送信された公開鍵証明書が、正当な公開鍵証明書であると判断したときに、その公開鍵証明書の公開鍵でノード100Bのデジタル署名を検証する。つまり、認証局200Bから取得した公開鍵証明書の検証と、デジタル署名の検証との2つのステップでノード100Bが通信相手(ノード100C)であるか否かを確認する。
これら処理手段120の各構成要素の動作は、後記する通信処理手順の項で詳細に説明する。
(記憶手段)
次に、記憶手段110を説明する。記憶手段110は、公開鍵証明書記憶部111と、IKE用データ記憶部112とを含んで構成される。
公開鍵証明書記憶部111は、公開鍵証明書取得部122が取得した認証局200Bの公開鍵証明書を記憶する。
IKE用データ記憶部112は、ノード100Bとの間のIKEによる折衝(ISAKMP SAの折衝)用の各種データを記憶する。ISAKMP SAの折衝用のデータとは、ノード100Aが認証局200Aから取得した秘密鍵、公開鍵証明書、ISAKMP SA用のパラメータの候補、ノード100Aの鍵情報、ノード100AのID(IPアドレス)等である。
IKE処理部121は、このIKE用データ記憶部112のデータを読み出して、ISAKMP SAの折衝用メッセージを作成する。
<通信処理手順>
次に、図2および図3を用いてノード100(100A,B)の基本的通信処理手順を説明する。
まず、ノード100BとのIKEによるSA(ISAKMP SA)を開始する前に、ノード100Aの公開鍵証明書取得部122は、認証局200Aからノード100Aの秘密鍵と、この秘密鍵の対となる公開鍵を含む公開鍵証明書とを取得する(ステップS101)。そして、これらの情報をIKE用データ記憶部112に格納する。併せて、ノード100Cの認証局である認証局200Bの公開鍵証明書を取得し(ステップS102)、この公開鍵証明書を公開鍵証明書記憶部111に格納する。
このとき、ノード100Bも、ノード100AのステップS101およびステップS102と同様に、認証局200Bからノード100Bの秘密鍵とこの秘密鍵の対となる公開鍵を含む公開鍵証明書とを取得し(ステップS103)、ノード100Aの認証局である認証局200Aから公開鍵証明書を取得しておく(ステップS104)。
次に、ノード100Aは、ノード100Bから送信されたIKEフェーズ1(ISAKMP SAの折衝)の第1メッセージを受信してIKEを開始する。すなわち、ISAKMP SAのパラメータの候補、ノード100Bの鍵情報、ノード100BのID(IPアドレス)、ノード100Aの公開鍵証明書の要求等を受信すると(ステップS201)、ノード100AはIKEの処理を開始する。
具体的には、ノード100AがIKEフェーズ1の第1メッセージを受信すると、IKE処理部121が、1)ノード100Bから送信されたISAKMP SAパラメータ候補からISAKMP SAパラメータを選択し、2)ノード100Aの鍵情報を作成し、3)IKE用データ記憶部112から読み出したノード100Aの秘密鍵でノード100Aの署名(デジタル署名)を作成し、4)これらの情報に、ノード100Aの公開鍵証明書、ノード100AのIPアドレスおよびノード100Bの公開鍵証明書の要求を含めたIKEフェーズ1の第2メッセージを作成する。そして、このメッセージをノード100Bへ送信する(ステップS202)。
次に、ノード100Aは、ノード100Bから送信されたIKEフェーズ1の第3メッセージ(ノード100Bの公開鍵証明書および署名)を受信すると(ステップS203)、図3のステップS301へ進み、ステップS203で受信したノード100Bの署名の検証を行う。つまり、ノード100Bがノード100Aの通信相手(ノード100C)であるか否かを判断する。
このときのノード100Aの処理手順を、図3を用いて具体的に説明する。
まず、検証部123が、ノード100Bの認証局である認証局200Bの公開鍵証明書を公開鍵証明書記憶部113から読み出し、ステップS203で取得した公開鍵証明書が正当なものであるか否かを検証する(ステップS301)。次に、ステップS203で受信した公開鍵証明書が正当なものであることが検証できたとき(ステップS302のYes)、ステップS303へ進む。
一方、検証部123が、ステップS203で受信した公開鍵証明書が正当なものでないと判断したとき(ステップS302のNo)、ノード100BへIKEフェーズ1(ISAKMP SA)の折衝が失敗した旨を通知し、処理を終了する(ステップS306)。つまり、ノード100Aは、アクセスしてきたノード100Bの公開鍵証明書が正当なものか否かを確認し、正当なものではないときは、なりすまし等によるアクセスの可能性もあるので、その後のIPsecSAの処理を行わないようにする。
公開鍵証明書が正当なものであることの確認ができたステップS303では、ステップS203で受信した公開鍵証明書で、検証部123がノード100Bの署名の検証を行う。
具体的には、検証部123がステップS203で受信した公開鍵証明書の公開鍵で、ノード100Bの署名に含まれる暗号文が復号できるか否かを判断する。ここで、ステップS203で受信した公開鍵証明書の公開鍵で、署名に含まれる暗号文を検証部123が復号できたとき(ステップS304のYes)、ステップS305へ進む。
そして、IKE処理部121が、ノード100Bとの間でISAKMP SAを確立し、IKEフェーズ2以降の処理を行う(ステップS305)。すなわち、ノード100Aは、ノード100Bが通信相手(ノード100C)であると確認できたとき、その後のIPsecSAの処理を行うようにする。
なお、ステップS304において、検証部123がノード100Bから送信された公開鍵証明書の公開鍵で、ノード100Bの署名に含まれる暗号文が復号できなかったとき(ステップS304のNo)、IKE処理部120は、ノード100BへIKEフェーズ1(ISAKMP SA)の折衝が失敗した旨を通知し、処理を終了する(ステップS306)。すなわち、ノード100Bは、ノード100AのIPsecの通信相手(ノード100C)ではないと判断し、IPsecSAの処理を行わないようにする。
このようにすることで、ノード100Aはノード100Bが通信相手(ノード100C)であることを確認した上でIPsecSAを確立するようにすることができる。
<特徴的構成>
次に、本発明の実施の形態であるノード300(300A〜C)を含むネットワーク接続システムの特徴的構成および処理手順について適宜図1〜図3を参照しつつ、図4〜図6を用いて説明する。なお、IKEフェーズ1の第1メッセージを送信する側のノードをノード300B(請求項における他のネットワーク接続機器)とし、IKEフェーズ1の第1メッセージを受信する側のノードをノード300Aとする。また、ノード300Aの通信相手のノード(通信相手として意図しているノード)をノード300Cとする。
図4は、本発明の実施の形態であるノードを含むネットワーク接続システムの構成を示したブロック図である。
図5および図6は、本発明の実施の形態であるノードを含むネットワーク接続システムの処理手順を示したシーケンス図である。
なお、前記した基本的構成と同様の構成要素は同じ符号を付して、説明を省略する。
本実施の形態の特徴は、ノード300Aが、1)通信相手(ノード300C)の公開鍵証明書の識別情報とIPアドレスとの対応関係を示したIPアドレステーブルを格納し、2)ノード300BからIKEで受信したIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルに記憶されている(ある)とき、ノード300Bを通信相手(ノード300C)と判断して、IPsecSAを確立可能とするように構成されていることである。
すなわち、ノード300Aは、前記したノード100Aの基本的構成に、IPアドレステーブルを作成するIPアドレステーブル作成部124と、このIPアドレステーブルを記憶するIPアドレステーブル記憶部113とを加えた構成となっている。また、検証部123は、ノード300BからIKEで受信したIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルにあるか否かを判断する。そして検証部123で、ノード300Bから受信したIPアドレスと公開鍵証明書との組み合わせがIPアドレステーブルにあると判断したときに、IKE処理部121は、ノード300Bとの間でISAKMP SAを確立し、IKEのフェーズ2以降の処理を行うようにする。
以下に、本実施の形態の構成要素を説明する。
IPアドレステーブル作成部124は、通信相手(ノード300C)のIPアドレスと認証局200Bから取得した通信相手(ノード300C)の公開鍵証明書との対応関係を示したIPアドレステーブルを作成する。
表1は、IPアドレステーブル作成部124が作成するIPアドレステーブルを例示したものである。
Figure 0003911697
表1に例示されるように、IPアドレステーブルは、ノード300CのIPアドレスと、そのノード300Cの公開鍵証明書の識別情報とから構成される。
例えば、表1のIPアドレステーブルのNo.1の情報は、IPアドレス「aaa.aaa.aaa.aaa」のノード300Cの公開鍵証明書の識別情報は「xxx」であることを示している。
ここで、通信相手(ノード300C)のIPアドレスおよび公開鍵証明書は、ノード300Aのユーザが通信相手(ノード300C)から事前に書面やメール等で入手しておくものとする。すなわち、ノード300Aのユーザが、ノード300CからIPアドレスおよび公開鍵証明書の通知等を受けて、図示しない入力手段(キーボードやマウス等)を介してノード300Aに入力し、ノード300Aの記憶手段110等で記憶するものとする。
また、公開鍵証明書の識別情報は、公開鍵証明書取得部122が認証局200から取得した公開鍵証明書の、1)Subjectフィールド(公開鍵証明書の所有者の情報が書き込まれるフィールド)に記載された文字列から作成するようにしても良いし、2)Issuerフィールド(当該公開鍵証明書を発行した認証局200Bの識別情報が書き込まれるフィールド)に記載された文字列とSerial Numberフィールド(認証局200が作成した公開鍵証明書の通し番号が書き込まれるフィールド)の文字列との組みあわせから作成するようにしても良い。
ここで、公開鍵証明書の識別情報として、Subjectフィールドの文字列の他、Issuerフィールドの文字列とSerial Numberフィールドの文字列との組み合わせも用いることができるのは、これらの情報の組み合わせでもノード300Aは「どの認証局200が作成(発行)した、どの公開鍵証明書であるか」を特定(識別)できるからである。すなわち、ノード300Aが取得した公開鍵証明書を識別することができるからである。
このように、IPアドレステーブルで用いる公開鍵証明書の識別情報は、公開鍵証明書の識別ができる情報であれば、前記した情報に限定されない。また、IPアドレスの形式はIPv4(Internet Protocol version 4)でも良いし、IPv6(Internet Protocol version 6)でも良い。さらに、本実施の形態では、ノード300のID(識別情報)としてIPアドレスを用いることとしたが、ネットワーク4上でノード300を識別できる情報であれば、IPアドレスに限定されない
IPアドレステーブル作成部124が作成したIPアドレステーブルは、IPアドレステーブル記憶部113に格納される。
検証部123は、前記した基本的構成の項で述べた公開鍵証明書の検証機能の他に、IKE処理部121がIKEフェーズ1でノード300BのIPアドレスおよび公開鍵証明書を受信すると、これらの組みあわせがIPアドレステーブルに記憶されているか否かを判断し、ノード300Bが通信相手(ノード300C)であることの検証を行う機能を有する。
<処理手順>
次に、適宜図1〜図4を参照しつつ、図5および図6を用いてノード300(300A,B)の通信処理手順を説明する。ここでも、基本的処理手順と同様にIKEのフェーズ1で、デジタル署名認証方式(アレッシブモード)を用いた場合を例として通信処理手順を説明する。
まず、ノード300Aは、IKE開始前に、IPアドレステーブル作成部124で、ノード300Cの公開鍵証明書のSubjectフィールドの文字列およびノード300CのID(IPアドレス)の入力を受けて、これらの対応関係を示したIPアドレステーブルを作成する(図5のステップS400)。
なお、IPアドレステーブルの作成は、事前に記憶部110等に記憶されたIPアドレスおよび公開鍵証明書を読み出して作成するようにしても良い。
図5のステップS401〜ステップS503の処理は、図2のステップS101〜ステップS203の処理と同様なので説明を省略し、ステップS503の後の処理を示す図6のステップS601の処理から説明する。
ステップS601では、検証部123が、1)ステップS501(IKEフェーズ1の第1メッセージ)で受信したID(IPアドレス)と、2)ステップS503(IKEフェーズ1の第3メッセージ)で受信した公開鍵証明書のSubjectフィールドの文字列の組み合わせをIPアドレステーブル記憶手段113のIPアドレステーブルから検索する。つまり、検証部123は、ノード300Bから送信された公開鍵証明書とIPアドレスとの組み合わせが、IPアドレステーブルに有るか否かを判断する。
ここで、検証部123が、ノード300Bから送信された公開鍵証明書とIPアドレスとの組み合わせがIPアドレステーブルに有る(記憶されている)と判断したとき(ステップS602のYes)、ステップS701以降の処理を行う。このステップS701〜ステップS706の処理は、図3のステップS301〜ステップS306の処理と同様なので説明を省略する。
一方、検証部123が、ノード300Bから送信された公開鍵証明書とIPアドレスの組み合わせが無いと判断したとき(ステップS602のNo)、すなわちこれらの情報のうち、1)両方ともIPアドレステーブルに記載されていないと判断したとき、2)どちらか一方しかIPアドレステーブルに記載されていないと判断したとき、3)これらの情報の組み合わせがIPアドレステーブルに記載されている組み合わせと異なると判断したとき、IKE処理部120は、ノード300BへIKEフェーズ1(ISAKMP SA)の折衝が失敗した旨を通知し(ステップS706)、処理を終了する。
このようにノード300(300A)が、1)公開鍵証明書の正当性の検証、2)デジタル署名の検証、3)IPアドレスと公開鍵証明書の組み合わせの確認の3つのステップを実行することで、ノード300Bが確かに通信相手(ノード300C)であることを確認した上で、IPsecSAの確立を行うことができる。つまり、通信主体であるノード300Aが、なりすましのIPアドレスでアクセスしてきたノード300とIPsecSAを確立してしまうことを防ぐことができるので、よりセキュリティ度の高いネットワーク接続を行うことができる。
本発明は発明の趣旨を逸脱しない範囲で応用可能である。例えば、前記した実施の形態では、ノード300AがIKEフェーズ1における通信相手の認証にデジタル認証方式(アレッシブモード)を用いる場合を例として説明したが、公開鍵証明書とノード300CのIPアドレス(ID)の交換を行う方法であれば、デジタル認証方式(メインモード)を用いる場合や、改良型公開鍵暗号化方式(アレッシブモード、メインモード)を用いる場合にも適用でる。
また、前記した実施の形態では、ノード300(300A〜C)が格納するIPアドレステーブルは、ノード300(300A〜C)内のIPアドレステーブル作成部124が作成することとしたが、外部のサーバ等(図示せず)で作成するようにしても良い。すなわち、外部のサーバ等で作成したIPアドレステーブルを処理手段120等によりネットワーク4経由で取得するようにしても良い。
本実施の形態に係るネットワーク接続機器は、前記したような処理を実行させるネットワーク接続用プログラムによって実現することができ、そのプログラムをコンピュータによる読み取り可能な記憶媒体に記憶して提供することが可能である。また、そのプログラムを、ネットワークを通して提供することも可能である。
発明の実施の形態であるノードを含むネットワーク接続システムの基本的構成を示したブロック図である。 発明の実施の形態であるノードを含むネットワーク接続システムの基本的処理手順を示したシーケンス図である 発明の実施の形態であるノードを含むネットワーク接続システムの基本的処理手順を示したシーケンス図である 発明の実施の形態であるノードを含むネットワーク接続システムの構成を示したブロック図である。 発明の実施の形態であるノードを含むネットワーク接続システムの処理手順を示したシーケンス図である。 発明の実施の形態であるノードを含むネットワーク接続システムの処理手順を示したシーケンス図である。
符号の説明
100(100A〜C) ノード(ネットワーク接続機器)
101 インターフェース部
110 記憶手段
111 公開鍵証明書記憶部
112 IKE用データ記憶部
113 IPアドレステーブル記憶部
120 処理手段
121 IKE処理部
122 公開鍵証明書取得部
123 検証部
124 IPアドレステーブル作成部
200(200A,B) 認証局
300(300A〜C) ノード(ネットワーク接続機器)



Claims (9)

  1. 自動鍵交換プロトコルであるIKEにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続機器であって、
    ネットワーク経由で各種情報の送受信を行うインターフェース部と、
    前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを記憶するIPアドレステーブル記憶部と、
    前記インターフェース部を介して、他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信して、前記他のネットワーク接続機器とのIKEによるセキュリティアソシエーションの折衝処理を行うIKE処理部と、
    前記IPアドレステーブル記憶部の前記IPアドレステーブルを検索して、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されているか否かを判断する検証部と、
    を含み、
    前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、前記IPアドレステーブルに記憶されていると前記検証部が判断したとき、前記IKE処理部は、前記他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とするよう構成したことを特徴とするネットワーク接続機器。
  2. 前記通信相手のネットワーク接続機器のIPアドレスおよび公開鍵証明書の入力を受けて、前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを作成するIPアドレステーブル作成部をさらに備えることを特徴とする請求項1に記載のネットワーク接続機器。
  3. 前記IPアドレステーブル作成部は、前記IKEによるセキュリティアソシエーション開始前に、前記通信相手のネットワーク接続機器のIPアドレスおよび公開鍵証明書の入力を受けて、前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを作成するよう構成し、
    前記検証部が、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、前記IPアドレステーブルに記憶されていると判断したとき、前記IKE処理部は、前記他のネットワーク接続機器とのIKEフェーズ1のセキュリティアソシエーションを確立するよう構成したことを特徴とする請求項2に記載のネットワーク接続機器。
  4. 前記IPアドレステーブルの公開鍵証明書の識別情報は、前記公開鍵証明書の所有者を示すSubjectフィールドに記載された文字列、または前記公開鍵証明書を発行した認証局を示すIssuerフィールドに記載された文字列と前記認証局が発行した前記公開鍵証明書の通し番号を示すSerial Numberフィールドの文字列との組み合わせで構成されていることを特徴とする請求項2または請求項3に記載のネットワーク接続機器。
  5. ネットワーク接続機器が、自動鍵交換プロトコルであるIKEにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続方法であって、
    記憶部に前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを記憶するネットワーク接続機器が、
    他のネットワーク接続機器とのIKE処理を行うIKE処理部で、前記他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信するステップと、
    前記公開鍵証明書の検証およびデジタル署名の検証を行う検証部で、前記記憶に記憶されたIPアドレステーブルを検索して、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されているか否かを判断するステップと、
    前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが、前記IPアドレステーブルに記憶されていると前記検証部が判断したとき、前記IKE処理部で、前記他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とするステップと、
    を実行することを特徴とするネットワーク接続方法。
  6. ネットワーク接続機器が、自動鍵交換プロトコルであるIKEにより公開鍵証明書およびIPアドレスを交換して通信相手のネットワーク接続機器とのセキュリティアソシエーションを確立するネットワーク接続方法であって、
    前記ネットワーク接続機器が、
    前記通信相手のネットワーク接続機器のIPアドレスおよび公開鍵証明書の入力を受け付けるステップと、
    前記入力された前記通信相手のネットワーク接続機器のIPアドレスと公開鍵証明書の識別情報との対応を示したIPアドレステーブルを作成するIPアドレステーブル作成部で、前記IPアドレステーブルを作成し、このIPアドレステーブルを記憶手段に記憶するステップと、
    他のネットワーク接続機器とのIKE処理を行うIKE処理部で、IKEにより前記他のネットワーク接続機器から送信されたIPアドレスおよび公開鍵証明書を受信するステップと、
    前記他のネットワーク接続機器の公開鍵証明書の検証およびデジタル署名の検証を行う検証部で、前記記憶手段のIPアドレステーブルを検索して、前記他のネットワーク接続機器から送信されたIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されているか否かを判断するステップと、
    前記他のネットワーク接続機器から受信したIPアドレスと公開鍵証明書との組み合わせが前記IPアドレステーブルに記憶されていると前記検証部で判断したとき、前記IKE処理部で、前記他のネットワーク接続機器とのセキュリティアソシエーションを確立可能とするステップと、
    を実行することを特徴とするネットワーク接続方法。
  7. 前記IPアドレステーブル作成部で、前記公開鍵証明書の所有者を示すSubjectフィールドに記載された文字列、または前記公開鍵証明書を発行した認証局を示すIssuerフィールドに記載された文字列と前記認証局が発行した前記公開鍵証明書の通し番号を示すSerial Numberフィールドの文字列との組み合わせに基づいて、前記IPアドレステーブルの公開鍵証明書の識別情報を作成することを特徴とする請求項6に記載のネットワーク接続方法。
  8. ネットワーク接続機器を動作させるコンピュータに、請求項5ないし請求項7のいずれか1項に記載のネットワーク接続方法を実行させることを特徴とするネットワーク接続用プログラム。
  9. 請求項8に記載のネットワーク接続用プログラムを記憶し、前記ネットワーク接続機器を動作させるコンピュータに読み取り可能な記憶媒体。
JP2004051334A 2004-02-26 2004-02-26 ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体 Expired - Lifetime JP3911697B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004051334A JP3911697B2 (ja) 2004-02-26 2004-02-26 ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004051334A JP3911697B2 (ja) 2004-02-26 2004-02-26 ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体

Publications (3)

Publication Number Publication Date
JP2005244573A JP2005244573A (ja) 2005-09-08
JP2005244573A5 JP2005244573A5 (ja) 2005-10-27
JP3911697B2 true JP3911697B2 (ja) 2007-05-09

Family

ID=35025825

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004051334A Expired - Lifetime JP3911697B2 (ja) 2004-02-26 2004-02-26 ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体

Country Status (1)

Country Link
JP (1) JP3911697B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100856918B1 (ko) 2006-11-02 2008-09-05 한국전자통신연구원 IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
JP7148947B2 (ja) 2017-06-07 2022-10-06 コネクトフリー株式会社 ネットワークシステムおよび情報処理装置
JP7629151B2 (ja) * 2018-12-12 2025-02-13 久利寿 帝都 情報通信方法及び情報通信システム

Also Published As

Publication number Publication date
JP2005244573A (ja) 2005-09-08

Similar Documents

Publication Publication Date Title
RU2542911C2 (ru) Установление однорангового сеанса с малым временем ожидания
JP4801147B2 (ja) 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム
Housley et al. Guidance for authentication, authorization, and accounting (AAA) key management
JP4962117B2 (ja) 暗号通信処理方法及び暗号通信処理装置
EP2329621B1 (en) Key distribution to a set of routers
JP3944182B2 (ja) セキュリティ通信方法
US20040236965A1 (en) System for cryptographical authentication
JP2005303485A (ja) 暗号化通信のための鍵配付方法及びシステム
JP5012173B2 (ja) 暗号通信処理方法及び暗号通信処理装置
CN114760046A (zh) 一种身份鉴别方法和装置
JP2007143049A (ja) 認証方法および情報処理装置
JP4601979B2 (ja) 証明書相互認証システム、及び証明書相互認証方法
JP6056970B2 (ja) 情報処理装置、端末機、情報処理システム及び情報処理方法
JP5319575B2 (ja) 通信方法および通信システム
JP3911697B2 (ja) ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体
JP4938408B2 (ja) アドレス管理システム、アドレス管理方法およびプログラム
JP5388088B2 (ja) 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
Matama et al. Extension mechanism of overlay network protocol to support digital authenticates
JP4707325B2 (ja) 情報処理装置
JP2007184993A (ja) 暗号化通信のための鍵配付方法及びシステム
JP2008199420A (ja) ゲートウェイ装置および認証処理方法
JP2004147252A (ja) 電子証明書およびその作成方法ならびに電子証明書による認証システム
JP4736722B2 (ja) 認証方法、情報処理装置、およびコンピュータプログラム
JP2005304093A (ja) 暗号化通信のための鍵配付方法及びシステム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050706

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050706

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061018

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061025

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070117

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20070119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070119

R150 Certificate of patent or registration of utility model

Ref document number: 3911697

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110209

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110209

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120209

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130209

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term