Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4874037B2 - Network equipment - Google Patents
[go: Go Back, main page]

JP4874037B2 - Network equipment - Google Patents

Network equipment Download PDF

Info

Publication number
JP4874037B2
JP4874037B2 JP2006247241A JP2006247241A JP4874037B2 JP 4874037 B2 JP4874037 B2 JP 4874037B2 JP 2006247241 A JP2006247241 A JP 2006247241A JP 2006247241 A JP2006247241 A JP 2006247241A JP 4874037 B2 JP4874037 B2 JP 4874037B2
Authority
JP
Japan
Prior art keywords
ipsec
primary
authentication
network device
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006247241A
Other languages
Japanese (ja)
Other versions
JP2008072242A (en
JP2008072242A5 (en
Inventor
憲一 北村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2006247241A priority Critical patent/JP4874037B2/en
Publication of JP2008072242A publication Critical patent/JP2008072242A/en
Publication of JP2008072242A5 publication Critical patent/JP2008072242A5/ja
Application granted granted Critical
Publication of JP4874037B2 publication Critical patent/JP4874037B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、IPsec(Security Architecture for Internet Protocol)の制御を、機器のみでなくユーザ等を単位に行えるようにしたネットワーク機器に関する。   The present invention relates to a network device that can control IPsec (Security Architecture for Internet Protocol) in units of users as well as devices.

IPsecにより通信を暗号化することにより、通信経路上の安全を保つことが可能となってきた(例えば、特許文献1、2参照。)。   It has become possible to maintain safety on the communication path by encrypting communication by IPsec (for example, see Patent Documents 1 and 2).

IPsecの認証とアクセスコントロールについては、IPsecの暗号化共有鍵を生成するための処理であるIKE(Internet Key Exchange)によるPhase1の処理において、規格上はユーザ名やディレクトリサービスの国際標準であるX.500で規定されたものも利用することができる。   With regard to IPsec authentication and access control, in the Phase 1 processing by IKE (Internet Key Exchange), which is processing for generating an IPsec encrypted shared key, the standard is X. which is an international standard for user names and directory services. Those defined in 500 can also be used.

しかし、機器に設定して処理されることを前提としているため、データを振り分ける識別子としては、IP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスが前提とされている。   However, since it is assumed that the data is set in a device and processed, an identifier for distributing data is premised on an IP (Internet Protocol) address and a MAC (Media Access Control) address.

同様に、IPsecのアクセスデータベースとしてもIPアドレスで振り分けることが規格上指示されている。
特開2006−20266号公報 特開2006−20262号公報
Similarly, as an IPsec access database, it is instructed by the standard to sort by IP address.
JP 2006-20266 A JP 2006-20262 A

上述したように、従来はIPアドレスもしくはMACアドレスが管理上の識別子として用いられていたため、本人認証として認証されるIKEの部分では、機器が正しいことは確保されているが、それを使うユーザが正しいことは確保できていない。   As described above, since an IP address or a MAC address has been conventionally used as an administrative identifier, in the IKE portion authenticated as personal authentication, it is ensured that the device is correct, but the user who uses it is The right thing is not secured.

このため、例えば、一つのMFP(Multi Function Printer)等の機器を複数のユーザが共有する環境において、port9100からのROWデータ印刷、LPR(Line PRinter daemon protocol)等の、プロトコル自体に認証機構を持っていないものを使う場面にあっては、機器で認証がされている限り、機器にログインしているどんなユーザからでも印刷できてしまうという問題があった。印刷以外にも、rsh(remote shell)コマンドの実行や、UDP(User Datagram Protocol)によるDNS(Domain Name System)の名前解決等についても、プロトコル上、認証データを流すことができないため、同様の問題があった。   For this reason, for example, in an environment where a plurality of users share a device such as one MFP (Multi Function Printer), the protocol itself has an authentication mechanism such as ROW data printing from port 9100, LPR (Line PRinter daemon protocol), etc. There was a problem that printing was possible from any user logged in to the device as long as it was authenticated by the device. In addition to printing, authentication data cannot be passed on the protocol for execution of rsh (remote shell) commands and DNS (Domain Name System) name resolution using User Datagram Protocol (UDP). was there.

なお、現在のIPsecでは、1つのIDで記述可能なパケットしか通すことができないという仕様があるため、IPsec SA(Security Association)を細かく設定することによりアクセスコントロールすることしかできず、ユーザを単位としたアクセスコントロールを実現することは困難であった。   In the current IPsec, since there is a specification that only a packet that can be described by one ID can be passed, only access control can be performed by finely setting IPsec SA (Security Association), and users can be set as a unit. It was difficult to achieve access control.

一方、SSL(Secure Socket Layer)を用いることによりユーザの認証および暗号化を行うことができるが、SSLはプロトコルに依存するため、アプリケーションに変更が必要となり、既存のシステムに導入することは困難である。   On the other hand, user authentication and encryption can be performed by using SSL (Secure Socket Layer). However, since SSL depends on the protocol, the application needs to be changed and it is difficult to introduce it into an existing system. is there.

本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、IPsecの制御を、機器のみでなくユーザ等を単位に行えるようにしたネットワーク機器を提供することにある。   The present invention has been proposed in view of the above-described conventional problems, and an object of the present invention is to provide a network device capable of performing IPsec control in units of users as well as devices. is there.

上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、機器で認証したIPsec SAに基づいて通信データに1次のIPsecを適用する1次IPsec手段と、1次のIPsecが適用されたペイロードにつき、ユーザで認証したIPsec SAに基づいて2次のIPsecを適用する2次IPsec手段とを備え、認証サーバによりユーザIDおよびパスワードによる認証を行い、当該認証サーバから取得した識別子および共通鍵を用いて上記2次のIPsecを適用するネットワーク機器を要旨としている。
In order to solve the above-mentioned problem, in the present invention, as described in claim 1, primary IPsec means for applying primary IPsec to communication data based on IPsec SA authenticated by a device; A secondary IPsec means for applying a secondary IPsec based on the IPsec SA authenticated by the user for the payload to which the primary IPsec is applied, and authenticating with a user ID and a password by an authentication server. The gist is a network device that applies the second-order IPsec using the identifier and the common key acquired from the above .

また、請求項2に記載されるように、請求項1に記載のネットワーク機器において、送信側と宛先側で互いに決めた識別子とその識別子に対する共通鍵とを利用して認証を行い、認証した識別子をペイロードに適用する2次IPsecのセレクタに利用するようにすることができる。   Further, as described in claim 2, in the network device according to claim 1, authentication is performed using an identifier determined on the transmission side and the destination side and a common key for the identifier, and the authenticated identifier Can be used for the selector of the secondary IPsec that is applied to the payload.

また、請求項3に記載されるように、請求項1に記載のネットワーク機器において、ユーザ認証のための識別子および共通鍵をサーバで管理するようにすることができる。   Further, as described in claim 3, in the network device according to claim 1, an identifier and a common key for user authentication can be managed by a server.

また、請求項に記載されるように、請求項1に記載のネットワーク機器において、1次のIPsecを作成する段階で、2次のIPsecをサポートしている相手かどうかを識別する能力交換手段を備え、上記能力交換手段は、Private USEによるパケット交換により問い合わせを行うようにすることができる。
Further, as described in claim 4 , in the network device according to claim 1, in the stage of creating the primary IPsec, capability exchange means for identifying whether or not the other party supports the secondary IPsec. And the capability exchanging means can make an inquiry by packet exchange by Private USE .

また、請求項に記載されるように、請求項1に記載のネットワーク機器において、上記ユーザによる認証は、データベースにIDが存在し、かつ、アクセス条件に当てはまる場合に適正であると判断するようにすることができる。
Further, as described in claim 5 , in the network device according to claim 1, the authentication by the user is determined to be appropriate when an ID exists in the database and the access condition is satisfied. Can be.

また、請求項に記載されるように、請求項1に記載のネットワーク機器において、宛先側の機器では、1次のIPsecの暗号解除後に機器のアクセス許可があり、かつ、2次のIPsecの暗号解除後にユーザのアクセス許可がある場合に受信パケットを上位の処理に送るようにすることができる。
In addition, as described in claim 6 , in the network device according to claim 1, the destination device has access permission of the device after the decryption of the primary IPsec, and the secondary IPsec If the user has permission to access after descrambling, the received packet can be sent to a higher-level process.

また、請求項7、8に記載されるように、アクセス制御方法として構成することができる。

Further, as described in claims 7 and 8 , it can be configured as an access control method.

本発明のネットワーク機器にあっては、2重のIPsecを適用することにより、IPsecの制御を、機器のみでなくユーザ等を単位に行うことができ、適切なアクセスコントロールを行うことができる。   In the network device of the present invention, by applying double IPsec, IPsec control can be performed not only for the device but also for each user or the like, and appropriate access control can be performed.

以下、本発明の好適な実施形態につき説明する。   Hereinafter, preferred embodiments of the present invention will be described.

<システム構成>
図1は本発明のネットワーク機器を用いたネットワークシステムの一実施形態を示す全体構成図である。
<System configuration>
FIG. 1 is an overall configuration diagram showing an embodiment of a network system using a network device of the present invention.

図1において、ネットワーク3上にはネットワーク機器1A、1Bと認証サーバ(XAUTHサーバ)2とが接続されている。なお、認証サーバ2は必須ではなく、必要に応じて設けられるものである。また、後述する動作説明ではネットワーク機器1Aとネットワーク機器1Bとの間で通信するものとしているが、同一のネットワーク3上に限らず、ルータ等を介して他のセグメントにあるネットワーク機器と通信することも可能である。   In FIG. 1, network devices 1A and 1B and an authentication server (XAUTH server) 2 are connected on a network 3. Note that the authentication server 2 is not essential and is provided as necessary. In addition, in the description of operations described later, it is assumed that communication is performed between the network device 1A and the network device 1B. However, the communication is not limited to the same network 3, but communicates with a network device in another segment via a router or the like. Is also possible.

図2はネットワーク機器1(1A、1B)の内部構成例を示す図である。   FIG. 2 is a diagram showing an example of the internal configuration of the network device 1 (1A, 1B).

図2において、ネットワーク機器1は、通信を利用するアプリケーション11と、ネットワーク制御を行うネットワーク処理部12と、ネットワーク処理部12の内部にあって鍵交換処理を行うIKE処理部13と、IPsecの設定を保持するIPsec SAデータベース14と、IPv4(Internet Protocol version 4)およびIPv6(Internet Protocol version 6)のIPレイヤの処理を行うIP処理部15と、IP処理部15の内部にあって1次IPsecおよび2次IPsecの処理を行うIPsec処理部16と、ネットワークとのインタフェースを行うI/F処理部17とを備えている。   In FIG. 2, the network device 1 includes an application 11 that uses communication, a network processing unit 12 that performs network control, an IKE processing unit 13 that is inside the network processing unit 12 and performs key exchange processing, and an IPsec setting. An IPsec SA database 14, an IP processing unit 15 for processing an IP layer of IPv4 (Internet Protocol version 4) and IPv6 (Internet Protocol version 6), and a primary IPsec and an IP processing unit 15 inside the IP processing unit 15. An IPsec processing unit 16 that performs secondary IPsec processing and an I / F processing unit 17 that interfaces with a network are provided.

<基本的な2重IPsec>
図3はIPsec SAデータベース14の例を示す図であり、(a)は1次IPsec SA、(b)は2次IPsec SAを示している。(a)に示す1次IPsec SAは、送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、暗号化方式、認証方式等の情報を保持している。(b)に示す2次IPsec SAは、ユーザを識別する識別ID(送信側、宛先側で共通の識別子)、送信元ポート、宛先ポート、暗号化方式、認証方式等の情報を保持している。
<Basic double IPsec>
FIG. 3 is a diagram showing an example of the IPsec SA database 14, wherein (a) shows a primary IPsec SA and (b) shows a secondary IPsec SA. The primary IPsec SA shown in (a) holds information such as a source address, a destination address, a source port, a destination port, an encryption method, and an authentication method. The secondary IPsec SA shown in (b) holds information such as an identification ID for identifying a user (identifier common to the transmission side and the destination side), a transmission source port, a destination port, an encryption method, and an authentication method. .

図4は2重IPsecのためのネゴシエーションの例を示す図である。   FIG. 4 is a diagram illustrating an example of negotiation for double IPsec.

図4において、ネットワーク機器1Aが送信側、ネットワーク機器1Bが宛先側であるものとすると、ネットワーク機器1Aからの要求に応じて、1次IPsec SA(図3(a))に基づき、1次IPsec Phase1によるデバイス認証(PreShareKey、デジタル署名、公開鍵認証等)および鍵交換を行い(ステップS101)、続いて1次IPsec Phase2による1次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS102)。これ以降は1次IPsecによる暗号化通信となる。   In FIG. 4, assuming that the network device 1A is the transmission side and the network device 1B is the destination side, the primary IPsec is performed based on the primary IPsec SA (FIG. 3A) in response to a request from the network device 1A. Device authentication (PreShareKey, digital signature, public key authentication, etc.) by Phase 1 and key exchange are performed (step S101), and then the primary IPsec encryption method, encryption key, and SA are determined by primary IPsec Phase 2 (step S101). S102). After this, encrypted communication by primary IPsec is performed.

次いで、2次IPsec SA(図3(b))に基づき、2次IPsec Phase1によるユーザ認証(FQDN(Fully Qualified Domain Name)、X.500等で指定させたユーザIDによる、PreShareKey、デジタル署名、公開鍵認証等)および鍵交換を行い(ステップS103)、続いて2次IPsec Phase2による2次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS104)。これ以降は1次IPsecおよび2次IPsecが適用された暗号化通信を行う(ステップS105)。   Next, based on the secondary IPsec SA (FIG. 3B), user authentication by the secondary IPsec Phase1 (Fully Qualified Domain Name (FQDN), PreShareKey, digital signature, release by the user ID specified by X.500, etc. Key authentication, etc.) and key exchange (step S103), and then the secondary IPsec encryption method, encryption key, and SA are determined by the secondary IPsec Phase 2 (step S104). Thereafter, encrypted communication to which the primary IPsec and the secondary IPsec are applied is performed (step S105).

図5は2次IPsec Phase1によるユーザ認証の宛先側での処理例を示すフローチャートである。   FIG. 5 is a flowchart showing an example of processing on the destination side of user authentication by secondary IPsec Phase1.

図5において、処理を開始すると(ステップS111)、送信側のネットワーク機器1Aから送信されたIDでIPsec SAデータベース14を検索し(ステップS112)、IDが存在するか否か判断する(ステップS113)。   In FIG. 5, when the process is started (step S111), the IPsec SA database 14 is searched with the ID transmitted from the network device 1A on the transmission side (step S112), and it is determined whether or not the ID exists (step S113). .

IDが存在する場合(ステップS113のYES)、IPsec SAデータベース14をさらに検索し(ステップS114)、アクセス条件に当てはまるか判断し(ステップS115)、アクセス条件に当てはまる場合(ステップS115のYES)は共通鍵を確認し(ステップS116)、処理を終了する(ステップS118)。   If the ID exists (YES in step S113), the IPsec SA database 14 is further searched (step S114), it is determined whether the access condition is met (step S115), and the case where the access condition is met (YES in step S115) is common. The key is confirmed (step S116), and the process is terminated (step S118).

一方、IDが存在しない場合(ステップS113のNO)もしくはアクセス条件に当てはまらない場合(ステップS115のNO)は、アクセス破棄のコマンドを送信側に送信し(ステップS117)、処理を終了する(ステップS118)。   On the other hand, if the ID does not exist (NO in step S113) or does not meet the access condition (NO in step S115), an access discard command is transmitted to the transmitting side (step S117), and the process ends (step S118). ).

図6〜図9は1次IPsecおよび2次IPsecの適用される通信データの構造を示す図であり、図6は2次がAH(Authentication Header)、1次がESP(Encapsulating Security Payload)による場合、図7は2次がESP、1次がESPによる場合、図8は2次がAH、1次がAHによる場合、図9は2次がESP、1次がAHによる場合である。1次IPsecおよび2次IPsecのそれぞれにつき、トランスポートモードの場合とトンネルモードの場合とを併記してある。1次IPsecの適用されるペイロードにはユーザを識別するセレクタとしての識別子データが付加されている。   6 to 9 are diagrams showing the structure of communication data to which primary IPsec and secondary IPsec are applied. FIG. 6 shows a case where the secondary is based on AH (Authentication Header) and the primary is based on ESP (Encapsulating Security Payload). 7 shows the case where the secondary is based on ESP and the primary is based on ESP, FIG. 8 shows the case where the secondary is based on AH, the primary is based on AH, and FIG. 9 shows the case where the secondary is based on ESP and the primary is based on AH. The case of the transport mode and the case of the tunnel mode are shown for each of the primary IPsec and the secondary IPsec. Identifier data as a selector for identifying a user is added to a payload to which primary IPsec is applied.

図10は2重IPsecのデータ復号の処理例を示すフローチャートである。   FIG. 10 is a flowchart showing a processing example of double IPsec data decoding.

図10において、処理を開始すると(ステップS121)、1次IPsecの暗号を解除し(ステップS122)、IPsec SAデータベース14を参照してデバイスのアクセス許可があるか否か判断する(ステップS123)。   In FIG. 10, when the process is started (step S121), the encryption of the primary IPsec is released (step S122), and it is determined whether there is a device access permission with reference to the IPsec SA database 14 (step S123).

デバイスのアクセス許可がある場合(ステップS123のYES)、2次IPsecの暗号を解除し(ステップS124)、IPsec SAデータベース14を参照してユーザを示す識別子のアクセス許可があるか否か判断し(ステップS125)、識別子のアクセス許可がある場合(ステップS125のYES)、パケットを上位の処理に送り(ステップS126)、処理を終了する(ステップS128)。   If the device has access permission (YES in step S123), the secondary IPsec encryption is canceled (step S124), and it is determined whether or not there is access permission for the identifier indicating the user by referring to the IPsec SA database 14 (step S124). In step S125), if there is permission to access the identifier (YES in step S125), the packet is sent to the higher-level process (step S126), and the process ends (step S128).

一方、デバイスのアクセス許可がない場合(ステップS123のNO)もしくは識別子のアクセス許可がない場合(ステップS125のNO)は、パケットを破棄し(ステップS127)、処理を終了する(ステップS128)。   On the other hand, if there is no device access permission (NO in step S123) or no identifier access permission (NO in step S125), the packet is discarded (step S127), and the process is terminated (step S128).

なお、上述した方式では、ユーザの認証データを予め共通のデータとしてIPsec SAデータベース14に入れておく必要がある。しかし、これではアクセス制御のために機器ごとに認証データを入れ込む必要があり、認証データを予め入れておくことは漏洩の可能性があるため運用上危険である。この点を改善するため、認証データにデジタル署名を利用することが望ましい。   In the above-described method, user authentication data needs to be previously stored in the IPsec SA database 14 as common data. However, in this case, it is necessary to insert authentication data for each device for access control, and putting authentication data in advance is dangerous in operation because there is a possibility of leakage. In order to improve this point, it is desirable to use a digital signature for the authentication data.

この場合、共通の識別ID、共通の認証キーを使うのではなく、この部分について外部サーバを利用したデジタル署名認証を実施する。このときの識別IDは、X.500のツリー構造をとり、この識別子をIDとして埋め込んで2次IPsec SAを作成する。この場合の2次IPsec SAの例を図11に示す。1次IPsec SAは図3(a)に示したものと同様である。   In this case, instead of using a common identification ID and a common authentication key, digital signature authentication using an external server is performed for this part. The identification ID at this time is X. A 500 IPsec tree structure is created, and this identifier is embedded as an ID to create a secondary IPsec SA. An example of the secondary IPsec SA in this case is shown in FIG. The primary IPsec SA is the same as that shown in FIG.

<XAUTHによる認証を用いた2重IPsec>
上述した実施例では、ユーザの制御情報を予め共通データとしてIPsec SAデータベース14に入れておく必要がある。このため、機器が多くなると設定が煩雑になる。そこで、XAUTHによるユーザ、パスワード認証と連動させて2次IPsec SAを生成することにより、アクセス制御をサーバで管理することが可能となる。
<Dual IPsec with XAUTH authentication>
In the embodiment described above, it is necessary to store user control information in the IPsec SA database 14 as common data in advance. For this reason, the setting becomes complicated as the number of devices increases. Therefore, by generating a secondary IPsec SA in conjunction with user / password authentication by XAUTH, access control can be managed by the server.

図12はXAUTHによる認証を用いた2重IPsecのネゴシエーションの例を示す図である。   FIG. 12 is a diagram illustrating an example of double IPsec negotiation using authentication by XAUTH.

図12において、ネットワーク機器1Aが送信側、ネットワーク機器1Bが宛先側であるものとすると、ネットワーク機器1Aからの要求に応じて、1次IPsec Phase1によるデバイス認証および鍵交換を行い(ステップS201)、続いて認証サーバ(XAUTH)2によるユーザ、パスワードの認証を行う(ステップS202)。そして、そのユーザ名をFQDN名として2次IPsec SAのセレクタに設定する。これにより、ユーザ認証されたSAを作成する。   In FIG. 12, assuming that the network device 1A is the transmission side and the network device 1B is the destination side, device authentication and key exchange are performed by the primary IPsec Phase 1 in response to a request from the network device 1A (step S201). Subsequently, the user and password are authenticated by the authentication server (XAUTH) 2 (step S202). Then, the user name is set as the FQDN name in the selector of the secondary IPsec SA. This creates a user-authenticated SA.

次いで、1次IPsec Phase2による1次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS203)。これ以降は1次IPsecによる暗号化通信となる。   Next, the primary IPsec encryption method, encryption key, and SA are determined by the primary IPsec Phase 2 (step S203). After this, encrypted communication by primary IPsec is performed.

次いで、2次IPsec Phase1によるデバイス認証および鍵交換を行い(ステップS204)、続いて2次IPsec Phase2による2次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS205)。これ以降は1次IPsecおよび2次IPsecが適用された暗号化通信を行う(ステップS206)。   Next, device authentication and key exchange are performed using the secondary IPsec Phase 1 (step S204), and then the secondary IPsec encryption method, encryption key, and SA are determined using the secondary IPsec Phase 2 (step S205). Thereafter, encrypted communication to which the primary IPsec and the secondary IPsec are applied is performed (step S206).

なお、XAUTHによるユーザ、パスワードの認証(ステップS202)は、認証データの通信を伴い、最低限の暗号化がされている必要があることから、1次IPsec Phase1(ステップS201)の後である必要があるが、2次IPsec Phase2(ステップS205)の前までであれば、位置を変更することができる。すなわち、上述した1次IPsec Phase1(ステップS201)の直後の他に、1次IPsec Phase2(ステップS203)の直後、もしくは、2次IPsec Phase1(ステップS204)の直後に置くことができる。ただし、Phase1の処理は比較的に重いものであるとともに、認証に失敗してそれまでの処理が無駄になることもあることから、1次IPsec Phase1(ステップS201)の直後が最も好ましい。   Note that authentication of the user and password by XAUTH (step S202) involves authentication data communication and needs to be encrypted at the minimum, so it must be after the first IPsec Phase1 (step S201). However, the position can be changed before the second IPsec Phase 2 (step S205). That is, it can be placed immediately after the primary IPsec Phase 1 (step S204), immediately after the primary IPsec Phase 2 (step S203), or immediately after the secondary IPsec Phase 1 (step S204). However, since the processing of Phase 1 is relatively heavy and authentication may fail and processing up to that time may be wasted, it is most preferable immediately after the primary IPsec Phase 1 (step S201).

<Private USEによる能力交換を用いた2重IPsec>
上述した各実施例では、1次IPsec、2次IPsec両方が生成されないと通信ができない状態である。このため、機器として状態確認するために用いるUDPなどのネットワーク環境を確認するデータや、機器同士が状態を確認するデータ等については、特にユーザ認証を必要としない状況が存在する。そこで、1次IPsecのみで処理するセレクタを設定し、2次IPsecが利用できるかどうかを指定することができる仕組みを提供することにより、ユーザ認証が必要なものと必要でないものの制御を可能としている。これにより、1次IPsecのみのものは重要性の低い情報のみを提供し、2次IPsecを提供するものは重要性の高い情報を提供することができる。
<Double IPsec using capability exchange by Private USE>
In each of the embodiments described above, communication is not possible unless both the primary IPsec and the secondary IPsec are generated. For this reason, there is a situation in which user authentication is not particularly required for data for confirming a network environment such as UDP used for confirming a state as a device, data for confirming a state between devices, and the like. Therefore, by setting a selector that processes only in the primary IPsec and providing a mechanism that can specify whether or not the secondary IPsec can be used, it is possible to control what requires and does not require user authentication. . As a result, only the primary IPsec provides only low-importance information, and the secondary IPsec provides high-importance information.

図13はIPsec SAデータベース14の例を示す図であり、2次IPsec SAは、送信元識別ID、宛先、送信元ポート、宛先ポート、暗号化方式、認証方式等の情報を保持している。1次IPsec SAは図3(a)に示したものと同様である。   FIG. 13 is a diagram showing an example of the IPsec SA database 14, and the secondary IPsec SA holds information such as a transmission source identification ID, a destination, a transmission source port, a destination port, an encryption method, and an authentication method. The primary IPsec SA is the same as that shown in FIG.

図14はPrivate USEによる能力交換を用いた2重IPsecのネゴシエーションの例を示す図である。   FIG. 14 is a diagram illustrating an example of double IPsec negotiation using capability exchange by Private USE.

図14において、ネットワーク機器1Aが送信側、ネットワーク機器1Bが宛先側であるものとすると、ネットワーク機器1Aからの要求に応じて、1次IPsec Phase1によるデバイス認証および鍵交換を行い(ステップS301)、続いてPrivate USEにより2次IPsecをサポートしているか否かの確認を行う(ステップS302)。図15はPrivate USEによるパケット交換の様子を示す図であり、ISAKMP(Internet Security Association Key Management Protocol)ヘッダにPrivate USEデータを付加してデータ通信することで能力交換を行う。   In FIG. 14, assuming that the network device 1A is the transmission side and the network device 1B is the destination side, device authentication and key exchange are performed by the primary IPsec Phase 1 in response to a request from the network device 1A (step S301). Subsequently, it is confirmed whether or not the secondary IPsec is supported by Private USE (step S302). FIG. 15 is a diagram showing a state of packet exchange by Private USE. Capability exchange is performed by adding Private USE data to an ISAKMP (Internet Security Association Key Management Protocol) header and performing data communication.

図14に戻り、続いて、1次IPsec Phase2による1次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS303)。これ以降は1次IPsecによる暗号化通信となる。   Returning to FIG. 14, the primary IPsec encryption method, encryption key, and SA are determined by the primary IPsec Phase 2 (step S303). After this, encrypted communication by primary IPsec is performed.

その後、Private USEによる能力交換(ステップS302)で2次IPsecをサポートしていない場合は、2次IPsecの処理ができないときの動作を別途規定しておき、その規定に従って処理する。2次IPsecをサポートしていない状況もセレクタとして設定する(図13)。   After that, when secondary IPsec is not supported by capability exchange by Private USE (step S302), an operation when secondary IPsec processing cannot be performed is separately defined, and processing is performed in accordance with the rules. A situation that does not support secondary IPsec is also set as a selector (FIG. 13).

次いで、2次IPsecをサポートしている場合は、続いて、2次IPsec Phase1によるデバイス認証および鍵交換を行い(ステップS304)、続いて2次IPsec Phase2による2次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS305)。これ以降は1次IPsecおよび2次IPsecが適用された暗号化通信を行う(ステップS306)。   Next, when the secondary IPsec is supported, the device authentication and key exchange are performed by the secondary IPsec Phase 1 (step S304), and then the secondary IPsec encryption method and the encryption key by the secondary IPsec Phase 2 are performed. , SA is determined (step S305). Thereafter, encrypted communication to which the primary IPsec and the secondary IPsec are applied is performed (step S306).

なお、Private USEによる2次IPsecをサポートしているか否かの確認(ステップS302)を1次IPsec Phase1(ステップS301)の直後に行う例につき図示したが、Private USEによる能力交換は平文の状態でも問題ないことから1次IPsec Phase1(ステップS301)の直前でもよく、あるいは、1次IPsec Phase2(ステップS303)の直後でもよい。   It should be noted that although an example in which confirmation of whether or not the secondary IPsec is supported by the private USE (step S302) is performed immediately after the primary IPsec Phase1 (step S301), the capability exchange by the private USE is performed even in a plain text state. Since there is no problem, it may be immediately before the primary IPsec Phase 1 (step S301) or immediately after the primary IPsec Phase 2 (step S303).

図16は2重IPsecのデータ復号の処理例を示すフローチャートである。   FIG. 16 is a flowchart showing a processing example of double IPsec data decoding.

図16において、処理を開始すると(ステップS311)、1次IPsecの暗号を解除し(ステップS312)、IPsec SAデータベース14を参照してデバイスのアクセス許可があるか否か判断する(ステップS313)。   In FIG. 16, when the process is started (step S311), the encryption of the primary IPsec is released (step S312), and it is determined whether or not the device has access permission with reference to the IPsec SA database 14 (step S313).

デバイスのアクセス許可がある場合(ステップS313のYES)、2次IPsecが適用されているか否か判断する(ステップS314)。   When there is a device access permission (YES in step S313), it is determined whether secondary IPsec is applied (step S314).

2次IPsecが適用されている場合(ステップS314のYES)、2次IPsecの暗号を解除し(ステップS315)、IPsec SAデータベース14を参照してユーザを示す識別子のアクセス許可があるか否か判断し(ステップS316)、識別子のアクセス許可がある場合(ステップS316のYES)、パケットを上位の処理に送り(ステップS317)、処理を終了する(ステップS320)。   When secondary IPsec is applied (YES in step S314), the encryption of the secondary IPsec is released (step S315), and it is determined whether or not there is access permission for the identifier indicating the user by referring to the IPsec SA database 14. If the identifier is permitted to access (YES in step S316), the packet is sent to the higher-level process (step S317), and the process ends (step S320).

一方、2次IPsecが適用されていない場合(ステップS314のNO)もしくは識別子のアクセス許可がない場合(ステップS316のNO)、アクセス許可されたプロトコルおよびポートであるか否か判断し(ステップS318)、アクセス許可されたプロトコルおよびポートである場合(ステップS318のYES)、パケットを上位の処理に送り(ステップS317)、処理を終了する(ステップS320)。   On the other hand, if secondary IPsec is not applied (NO in step S314) or if there is no identifier access permission (NO in step S316), it is determined whether the protocol and port are permitted to be accessed (step S318). If it is an access-permitted protocol and port (YES in step S318), the packet is sent to the upper process (step S317), and the process is terminated (step S320).

また、デバイスのアクセス許可がない場合(ステップS313のNO)もしくはアクセス許可されたプロトコルおよびポートでない場合(ステップS318のNO)は、パケットを破棄し(ステップS319)、処理を終了する(ステップS320)。   If there is no device access permission (NO in step S313), or if the access is not permitted for the protocol and port (NO in step S318), the packet is discarded (step S319), and the process is terminated (step S320). .

<総括>
以上のように、本発明にあっては、機器で認証したIPsec SAとさらにユーザで認証したIPsec SAを利用できるようにし、機器を共通で使用する場合に異なるIPsec SAを作成することができるようしているため、機器を複数のユーザが共有で使用していても認証データを変えることによりアクセス制御することが可能となる。
<Summary>
As described above, according to the present invention, the IPsec SA authenticated by the device and the IPsec SA authenticated by the user can be used, and different IPsec SAs can be created when the devices are used in common. Therefore, even if a plurality of users share the device, access control can be performed by changing authentication data.

例えば、一つのMFP等の機器を複数のユーザが共有する環境において、port9100からのROWデータ印刷、LPR等の、プロトコル自体に認証機構を持っていないものを使う場面にあっても、IPsecを2重にしてユーザ認証することができるため、印刷を許可された人と許可されない人を分けて利用させることができる。   For example, in an environment where a plurality of users share a single device such as an MFP, IPsec 2 is used even when using a protocol that does not have an authentication mechanism in the protocol itself, such as ROW data printing from port 9100, LPR, etc. Since user authentication can be performed in a duplicated manner, a person who is permitted to print and a person who is not permitted to print can be used separately.

同様に、rshコマンドの実行やUDPによるDNSの名前解決等においても、許可されたユーザについてのみ処理させることができる。   Similarly, in the execution of the rsh command, DNS name resolution by UDP, etc., it is possible to process only authorized users.

この場合、SSL等のプロトコル依存の暗号化と比べ、プロトコルによらずにTCP/IPのレイヤで機器の認証、個人の認証を実施できるため、アプリケーションを変更することなく適用することができる。   In this case, compared to protocol-dependent encryption such as SSL, device authentication and personal authentication can be performed at the TCP / IP layer regardless of the protocol, and therefore can be applied without changing the application.

以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。   The present invention has been described above by the preferred embodiments of the present invention. While the invention has been described with reference to specific embodiments, various modifications and changes may be made to the embodiments without departing from the broad spirit and scope of the invention as defined in the claims. Obviously you can. In other words, the present invention should not be construed as being limited by the details of the specific examples and the accompanying drawings.

本発明のネットワーク機器を用いたネットワークシステムの一実施形態を示す全体構成図である。1 is an overall configuration diagram showing an embodiment of a network system using a network device of the present invention. ネットワーク機器の内部構成例を示す図である。It is a figure which shows the internal structural example of a network apparatus. IPsec SAデータベースの例を示す図である。It is a figure which shows the example of an IPsec SA database. 2重IPsecのためのネゴシエーションの例を示す図である。It is a figure which shows the example of the negotiation for double IPsec. 2次IPsec Phase1によるユーザ認証の宛先側での処理例を示すフローチャートである。It is a flowchart which shows the example of a process in the destination side of the user authentication by secondary IPsec Phase1. 2次がAH、1次がESPによる場合の通信データの構造を示す図である。It is a figure which shows the structure of communication data in case secondary is based on AH and primary is based on ESP. 2次がESP、1次がESPによる場合の通信データの構造を示す図である。It is a figure which shows the structure of communication data in case secondary is based on ESP and primary is based on ESP. 2次がAH、1次がAHによる場合の通信データの構造を示す図である。It is a figure which shows the structure of communication data in case secondary is AH and primary is AH. 2次がESP、1次がAHによる場合の通信データの構造を示す図である。It is a figure which shows the structure of communication data in case secondary is based on ESP and primary is based on AH. 2重IPsecのデータ復号の処理例を示すフローチャートである。It is a flowchart which shows the process example of the data decoding of double IPsec. IPsec SAデータベースの例を示す図である。It is a figure which shows the example of an IPsec SA database. XAUTHによる認証を用いた2重IPsecのネゴシエーションの例を示す図である。It is a figure which shows the example of the negotiation of double IPsec using the authentication by XAUTH. IPsec SAデータベースの例を示す図である。It is a figure which shows the example of an IPsec SA database. Private USEによる能力交換を用いた2重IPsecのネゴシエーションの例を示す図である。It is a figure which shows the example of the negotiation of the double IPsec using the capability exchange by Private USE. Private USEによるパケット交換の様子を示す図である。It is a figure which shows the mode of the packet exchange by Private USE. 2重IPsecのデータ復号の処理例を示すフローチャートである。It is a flowchart which shows the process example of the data decoding of double IPsec.

符号の説明Explanation of symbols

1、1A、1B ネットワーク機器
11 アプリケーション
12 ネットワーク処理部
13 IKE処理部
14 IPsec SAデータベース
15 IP処理部
16 IPsec処理部
17 I/F処理部
2 認証サーバ
3 ネットワーク
DESCRIPTION OF SYMBOLS 1, 1A, 1B Network equipment 11 Application 12 Network processing part 13 IKE processing part 14 IPsec SA database 15 IP processing part 16 IPsec processing part 17 I / F processing part 2 Authentication server 3 Network

Claims (8)

機器で認証したIPsec SAに基づいて通信データに1次のIPsecを適用する1次IPsec手段と、
1次のIPsecが適用されたペイロードにつき、ユーザで認証したIPsec SAに基づいて2次のIPsecを適用する2次IPsec手段とを備え
認証サーバによりユーザIDおよびパスワードによる認証を行い、当該認証サーバから取得した識別子および共通鍵を用いて上記2次のIPsecを適用することを特徴とするネットワーク機器。
Primary IPsec means for applying primary IPsec to communication data based on IPsec SA authenticated by the device;
A secondary IPsec means for applying the secondary IPsec based on the IPsec SA authenticated by the user for the payload to which the primary IPsec is applied ,
A network device characterized in that authentication by a user ID and password is performed by an authentication server, and the second-order IPsec is applied using an identifier and a common key acquired from the authentication server .
請求項1に記載のネットワーク機器において、
送信側と宛先側で互いに決めた識別子とその識別子に対する共通鍵とを利用して認証を行い、認証した識別子をペイロードに適用する2次IPsecのセレクタに利用することを特徴とするネットワーク機器。
The network device according to claim 1,
A network device characterized in that authentication is performed by using an identifier determined on a transmission side and a destination side and a common key for the identifier, and the authenticated identifier is used for a secondary IPsec selector that applies to a payload.
請求項1に記載のネットワーク機器において、
ユーザ認証のための識別子および共通鍵をサーバで管理することを特徴とするネットワーク機器。
The network device according to claim 1,
A network device characterized in that an identifier and a common key for user authentication are managed by a server.
請求項1に記載のネットワーク機器において、
1次のIPsecを作成する段階で、2次のIPsecをサポートしている相手かどうかを識別する能力交換手段を備え
上記能力交換手段は、Private USEによるパケット交換により問い合わせを行うことを特徴とするネットワーク機器。
The network device according to claim 1,
A capability exchanging means for identifying whether the other party supports the secondary IPsec in the stage of creating the primary IPsec ;
The network device according to claim 1, wherein the capability exchange means makes an inquiry by packet exchange by Private USE .
請求項1に記載のネットワーク機器において、
上記ユーザによる認証は、データベースにIDが存在し、かつ、アクセス条件に当てはまる場合に適正であると判断することを特徴とするネットワーク機器。
The network device according to claim 1,
A network device characterized in that authentication by the user is judged to be appropriate when an ID exists in a database and an access condition is met.
請求項1に記載のネットワーク機器において、
宛先側の機器では、1次のIPsecの暗号解除後に機器のアクセス許可があり、かつ、2次のIPsecの暗号解除後にユーザのアクセス許可がある場合に受信パケットを上位の処理に送ることを特徴とするネットワーク機器。
The network device according to claim 1,
The destination device sends the received packet to a higher-level process when there is device access permission after the primary IPsec decryption and when there is a user access permission after the secondary IPsec decryption Network equipment.
機器で認証したIPsec SAに基づいて通信データに1次のIPsecを適用する1次IPsec工程と、
1次のIPsecが適用されたペイロードにつき、ユーザで認証したIPsec SAに基づいて2次のIPsecを適用する2次IPsec工程とを備え
認証サーバによりユーザIDおよびパスワードによる認証を行い、当該認証サーバから取得した識別子および共通鍵を用いて上記2次のIPsecを適用することを特徴とするアクセス制御方法。
A primary IPsec process for applying primary IPsec to communication data based on IPsec SA authenticated by the device;
A secondary IPsec process for applying a secondary IPsec based on a user-authenticated IPsec SA for a payload to which the primary IPsec is applied ,
An access control method comprising: authenticating with a user ID and password by an authentication server, and applying the second-order IPsec using an identifier and a common key acquired from the authentication server .
請求項に記載のアクセス制御方法において、
送信側と宛先側で互いに決めた識別子とその識別子に対する共通鍵とを利用して認証を行い、認証した識別子をペイロードに適用する2次IPsecのセレクタに利用することを特徴とするアクセス制御方法。
The access control method according to claim 7 ,
An access control method, wherein authentication is performed by using an identifier determined on the transmission side and the destination side and a common key for the identifier, and the authenticated identifier is used for a secondary IPsec selector that applies the payload.
JP2006247241A 2006-09-12 2006-09-12 Network equipment Expired - Fee Related JP4874037B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006247241A JP4874037B2 (en) 2006-09-12 2006-09-12 Network equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006247241A JP4874037B2 (en) 2006-09-12 2006-09-12 Network equipment

Publications (3)

Publication Number Publication Date
JP2008072242A JP2008072242A (en) 2008-03-27
JP2008072242A5 JP2008072242A5 (en) 2009-07-23
JP4874037B2 true JP4874037B2 (en) 2012-02-08

Family

ID=39293469

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006247241A Expired - Fee Related JP4874037B2 (en) 2006-09-12 2006-09-12 Network equipment

Country Status (1)

Country Link
JP (1) JP4874037B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4994683B2 (en) * 2006-03-17 2012-08-08 株式会社リコー Network equipment
JP2011199340A (en) * 2010-03-17 2011-10-06 Fujitsu Ltd Communication apparatus and method, and communication system

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001298449A (en) * 2000-04-12 2001-10-26 Matsushita Electric Ind Co Ltd Security communication method, communication system and its device
US7978655B2 (en) * 2003-07-22 2011-07-12 Toshiba America Research Inc. Secure and seamless WAN-LAN roaming
JP4407452B2 (en) * 2004-09-29 2010-02-03 株式会社日立製作所 Server, VPN client, VPN system, and software

Also Published As

Publication number Publication date
JP2008072242A (en) 2008-03-27

Similar Documents

Publication Publication Date Title
US7853783B2 (en) Method and apparatus for secure communication between user equipment and private network
Frankel et al. Ip security (ipsec) and internet key exchange (ike) document roadmap
CN103975552B (en) Via the data exchange of certified router
JP4707992B2 (en) Encrypted communication system
US7386881B2 (en) Method for mapping security associations to clients operating behind a network address translation device
US7346770B2 (en) Method and apparatus for traversing a translation device with a security protocol
US20090113203A1 (en) Network System
JP3831364B2 (en) Communication system and security policy distribution method in the communication system
JP4766574B2 (en) Preventing duplicate sources from clients handled by network address port translators
CN1592193A (en) System and method for secure remote access
JP2005503047A (en) Apparatus and method for providing a secure network
CN104662848B (en) Method and system for dynamic domain name system (DDNS)
KR100479261B1 (en) Data transmitting method on network address translation and apparatus therefor
US20020178356A1 (en) Method for setting up secure connections
JP2008536418A (en) Preventing duplicate sources from clients handled by network address port translators
JP4933286B2 (en) Encrypted packet communication system
CN1949705B (en) A method for constructing a dynamic tunnel for secure access to a private local area network and a device for the method
JP5201982B2 (en) Information processing system, method and program
JP4874037B2 (en) Network equipment
JP2011054182A (en) System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message
JP4775154B2 (en) COMMUNICATION SYSTEM, TERMINAL DEVICE, PROGRAM, AND COMMUNICATION METHOD
KR100450774B1 (en) Method for end-to-end private information transmition using IPSec in NAT-based private network and security service using its method
JP2008199420A (en) Gateway device and authentication processing method
JP4994683B2 (en) Network equipment
JP5293070B2 (en) Network-compatible image forming apparatus and program

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090610

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090610

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111005

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111025

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111122

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141202

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4874037

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees