-
Die
Erfindung betrifft ein Verfahren der gesicherten Kommunikation und
insbesondere ein Verfahren der gesicherten Kommunikation, ein System der
gesicherten Kommunikation und Vorrichtungen dafür, wodurch es ermöglicht wird,
notwendigenfalls einen Sicherheitstyp zu ändern.
-
Ein
Personal Computer und die Internet-Technologie verbreiten sich plötzlich weltweit,
so dass es leicht sein könnte,
durch im Internet veröffentlichte
Homepages billig Informationen bereitzustellen und zu sammeln. Die
Popularisierung dieser Technologien ist nicht dort geblieben, sondern
es ist allgemein, dass der Austausch von Email über das Internet oder Intranet
zwischen Firmen zusammen mit e-commerce (elektronischem Handel)
und dem elektronischen Geldtransfersystem (EFTS) mit Hilfe solcher
Dienste weithin in Gebrauch kommt. Im Fall der Verwendung solcher
Dienste ist das wichtigste, dass die Sicherheit für die Kommunikation
einschließlich
bestimmter wichtiger Informationen wie die der fest zugeordneten
Leitung sichergestellt werden muss.
-
Verschiedene
Formen von Internet-Sicherheitsarchitektur werden in Molva R: „Internet
security architecture" Computer
Networks, Elsevier Science Publishers B.V., Amsterdam, NL, Band
31, Nr. 8, 23.4.1999, Seiten 787–804, besprochen. Dies bespricht
die derzeitigen für
die Internet-Infrastruktur als
Alternative zur physischen Trennung verfügbaren kryptographischen Sicherheitsmaßnahmen.
-
Andere
Dokumente in Bezug auf Internet-Sicherheit sind Shoblick R: „Security
Association & Key Management" Funkschau, Franzis-Verlag
K.G. München,
DE, Band 73, Nr. 6, 3.3.2000, Seiten 53–54, und Maughan et al.: „Network
Working roup RFC 2408 Standards Track" IETF Request for comments, XX, XX,
November 1998, Seiten 1–86.
-
Da
die Technologie zur Sicherstellung der obigen Sicherheit wie zum
Beispiel die Sicherheitskommunikationstechnologie wie etwa das virtuelle private
Netzwerk (VPN) Aufmerksamkeit auf sich gezogen hat, ist das VPN
eine Technologie, die das großflächige Netzwerk
als ein virtuelles privates Netzwerk betrachtet. Es gibt ein Tunnelungsprotokoll,
das eine Verbindungsprozedur der Sicherheitskommunikation zur Ausführung des
VPN ist, nämlich L2F
(Schicht-2-Weiterleitung), PPTP (Punkt-zu-Punkt-Tunnelungsprotokoll), L2TP (Schicht-2-Tunnelungsprotokoll),
ATMP (Ascend-Tunnel-Verwaltungsprotokoll), BayDVS (Bay-Stream-Wähl-VPN-Dienst) und IPSEC
(Internet-Protokoll-Sicherheitsprotokoll) können vorgeschlagen werden.
Durch Verwendung dieser Protokolle für die gesicherte Kommunikation
ist es möglich,
die Sicherheit der Kommunikation und so weiter im großflächigen Netzwerk,
in dem Dritte die Kommunikation anzapfen können, sicherzustellen.
-
Von
diesen Technologien ist IPSEC ein Sicherheitsprotokoll, das die
Authentifikation und die Verschlüsselung
auf der Netzwerkschicht (der dritten Schicht des OSI-Referenzmodells)
durchführt,
und es wird von der Internet Engineering Task Force (IETF) standardisiert
(RFC 2401 bis 2412 und 2451). Eine Verbindung mit dem Internet über einen
Computer oder einen Router einer Netzwerkschnittstellenvorrichtung
mit der IPSEC-Funktion
kann das VPN konfigurieren. Anders ausgedrückt kann ein Benutzer das Internet
sicher benutzen, ohne einen Typ von Netzwerk zu betrachten. Wenn
ein Benutzer damit beginnt, die Kommunikation unter Verwendung des IPSEC
durchzuführen,
ist es zusätzlich
notwendig, im voraus die Anpassung in Bezug auf den Typ des Authentifikationsalgorithmus
oder Verschlüsselungsalgorithmus,
den Typ des Verschlüsselungsschlüssels und
so weiter zwischen Computern oder Netzwerkschnittstellenvorrichtungen
mit der IPSEC-Funktion sowohl am sendenden Ende als auch am empfangenden
Ende zu bestätigen.
Die Interkommunikation zum Anpassen des Authentifikationsalgorithmus oder
des Verschlüsselungsalgorithmus
wird als die Verbindung für
die gesicherte Kommunikation bezeichnet. Beim IPSEC kann die Sicherheitsassoziation
(SA) die Verbindung ausführen.
Die SA, die ein Grundrahmen zur Bereitstellung sowohl einer Funktion
der Authentifikation als auch des Austauschs gesicherter Nachrichten
bereitstellt, stellt den Kontext der Kommunikation her und definiert
bestimmte Aspekte der Sicherheit für die Kommunikation.
-
Das
Verfahren, das herkömmliches
IPSEC als gesicherte Kommunikation verwendet, wird folgendermaßen gemäß 14, 15, 17 und 18 erläutert. Ein
Kommunikationsendgerät
kann in der Erläuterung
eine Netzwerkschnittstellenvorrichtung und einen Computer umfassen.
-
14 zeigt
ein Blockschaltbild eines herkömmlichen
Netzwerksystems, das das VPN-Netzwerk durch Verwendung von Routern
mit der IPSEC-Funktion
als die gesicherte Kommunikation bildet. 15 ist
ein Diagramm der. Verbindungsprozeduren für die gesicherte Kommunikation
zwischen Netzwerkschnittstellenvorrichtungen mit der IPSEC-Funktion. 17 zeigt
ein Beispiel für
die Sicherheitsrichtliniendatenbank (SPD) im Stand der Technik,
wodurch die Verarbeitungsrichtlinie des IPSEC bestimmt wird. 18 zeigt
ein Beispiel für
die Sicherheitsassoziierungsdatenbank (SAD) im Stand der Technik.
Die SPD ist eine Datenbank, die die Sicherheitsrichtlinie erstellt.
Sicherheitsrichtlinie bedeutet die Zugangsregulierungen zu einem
System, in dem die Sicherheit sichergestellt wird, wozu im Allgemeinen
Sicherheitsanforderungen, Sicherheitsrisiken und Sicherheitsmessmittel
gehören.
Im Fall eines Systems, das die Sicherheit zwischen Kommunikationsendgeräten sicherstellt,
wird die SPD mit Informationen zum Unterscheiden des Kommunikationsendgeräts des Ziels,
das die Sicherheit verwendet, und zum Bestimmen, ob die Sicherheit
auf die Kommunikation angewandt werden soll oder nicht, ausgestattet.
Beim IPSEC wird die Sicherheitsrichtlinie auf der SPD beschrieben,
während
die Inhalte der SPD, wie zum Beispiel IP-Adresse des Kommunikationsendgeräts an einem
Ziel, ob die IPSEC-Verarbeitung durchgeführt wurde oder nicht und die
eine Speicherposition der SA, an der der Inhalt des Authentifikationsalgorithmus
oder Verschlüsselungsalgorithmus
beschrieben wird, bereitgestellt werden.
-
Ein
Computer 1401 ist über
ein lokales Netzwerk (LAN) 1407 mit einem anderen Computer 1405 und
einer Netzwerkschnittstellenvorrichtung 1402 verbunden
und gleichzeitig mit einem externen Internet 1409 oder
WAN, wie zum Beispiel einem die Netzwerkschnittstellenvorrichtung 1402 durchlaufenden
Intranet, verbunden. Das Internet 1409 ist über andere
Netzwerkschnittstellenvorrichtungen 1403 mit dem LAN 1408 verbunden,
das mit den Computern 1404 und 1406 verbunden
ist. Die Netzwerkschnittstellenvorrichtungen 1402 und 1403 sind
eine Firewall oder eine für
VPN zugewiesene Vorrichtung, wie zum Beispiel ein Router, eine Gateway
oder ein Proxy-Server. In diesem System kann der Computer 1401 ein
Endgerät
sein, das Kommunikationsfunktionen enthält, wie etwa ein Personal Computer,
eine Workstation, ein Server, ein Personal Computer mit Notebook-Größe, ein
IP-Telefon, ein IP-TV-Telefon oder ein IP-Mobiltelefon.
-
Es
wird angenommen, dass die Netzwerkschnittstellenvorrichtungen 1402 und 1403 die
IPSEC-Funktion enthalten und die Kommunikation auf der Basis von
IPSEC zwischen ihnen durchgeführt wird.
Wenn die Computer 1401 und 1404 die IPSEC-Funktion
enthalten, ist es zusätzlich
auch möglich,
die Kommunikation auf der Basis von IPSEC zwischen ihnen auszuführen. Darüber hinaus
ist es auch möglich,
die Kommunikation auf der Basis von IPSEC zwischen dem Computer 1401 mit
der IPSEC-Funktion
und der Netzwerkschnittstellenvorrichtung 1403 mit der
IPSEC-Funktion auszuführen.
-
Wenn
der Computer 1401 über
das Internet 1409 Daten zu dem Computer 1404 sendet,
ist es notwendig, im Voraus die Verbindung zwischen den Netzwerkschnittstellenvorrichtungen 1402 und 1403 für die gesicherte
Kommunikation durchzuführen. Das
Verbinden für
die gesicherte Kommunikation wird folgendermaßen erläutert.
-
Vor
dem Beginnen der IPSEC-Kommunikation wird Internet-Schlüsselaustausch
(IKE) als Protokoll zum Austausch des Verschlüsselungsschlüssels des
IPSEC verwendet. Die Kommunikation unter Verwendung von IKE kann
unter Austeilung einer IKE-Phase 1 und einer IKE-Phase 2, die zwischen den
Netzwerkschnittstellenvorrichtungen 1402 und 1403 durchgeführt wird,
erläutert
werden. Es kann eingerichtet werden, dass der Geheimschlüssel manuell
ausgetauscht wird, ohne das automatische Schlüsselaustauschen von IKE zu
benutzen.
-
IKE-Phase
1 (1501) kann die Informationen zur Herstellung der verfügbaren SA
für die
sichere Kommunikation von IKE selbst austauschen. SA bedeutet hier
eine Reihe von Gruppen von Definitionsinformationen, einschließlich des
Authentifikationsalgorithmus, des Authentifikationsparameters, des
Verschlüsselungsalgorithmus,
des Verschlüsselungsparameters
und so weiter.
-
Als
nächstes
tauscht IKE-Phase 2 die Informationen über SA für IPSEC-Kommunikation gemäß der durch IKE-Phase 1 hergestellten
SA aus. Ein Beispiel für
die SA für
die IPSEC-Kommunikation ist in 18 gezeigt.
In 18 zeigt die SAD 1801 mehrere SA und
enthält
SA-1 (1802) bis SA-M (1803). Jede SA enthält Adresseninformationen
(1804), SPI (1805) als Indexinformationen (Sicherheitsparameterindex)
und den SAP (1806) als einen Sicherheitsparameter. Die
Adresseninformationen (1804) umfassen die IP-Adresse des
Ziels, die Portnummer des Ziels, die IP-Adresse des sendenden Endes,
die Portnummer des sendenden Endes, die Protokollnummer und so weiter.
Die SPI verwendet die Pseudozufallszahlen. Der SAP 1806 speichert
die direkten Informationen, die mit dem Grad der gesicherten Kommunikation,
wie etwa dem Authentifikationsalgorithmus, dem Verschlüsselungsalgorithmus
und dem Verschlüsselungsschlüssel, assoziiert
sind. Zum Beispiel enthält
SAP-1 HMAC-MD5 als Authentifikationsalgorithmus andererseits DES-CBC
als den Verschlüsselungsalgorithmus.
-
Der
Austausch von Informationen über
die SA für
die IPSEC-Kommunikation
wird durch IKE-Phase 2 (1502) durchgeführt, die hier konkret erläutert wird.
Die Netzwerkschnittstellenvorrichtung 1402 sendet die Vorschlagskomponente
der SA, die auf die IPSEC-Kommunikation angewandt wird, zu der Netzwerkschnittstellenvorrichtung 1403,
die Netzwerkschnittstellenvorrichtung 1403 sendet als Reaktion
darauf eine akzeptable SA unter den Vorschlägen zurück. Zu diesem Zeitpunkt wird
die Vorschlagskomponente der SA durch Verwendung des Authentifikationsalgorithmus
oder des Verschlüsselungsalgorithmus,
der zuvor in der Datenspeicherung 2103 der Netzwerkschnittstellenvorrichtung 1402 gespeichert
wurde, gebildet. Die Datenspeicherung 2103 wird später erläutert. Der
Typ des Authentifikationsalgorithmus oder des Verschlüsselungsalgorithmus,
der in der Netzwerkschnittstellenvorrichtung 1402 enthalten
ist, hängt
von der Art von Netzwerkschnittstellenvorrichtung ab. Daneben ist
es möglich, die
SA vorzubestimmen, die die Netzwerkschnittstellenvorrichtung 1402 vorschlagen
soll.
-
Gemäß der oben
beschriebenen Antwortverarbeitung der SA wird die auf die IPSEC-Kommunikation
anzuwendende SA eingerichtet. Die Informationen der eingerichteten
SA, die auf die IPSEC-Kommunikation angewandt wird, werden in der
SAD 1801 in 18 und in der SPD 1701 in 17 gespeichert.
Die Konfiguration der SPD 1701 lautet wie folgt: IP-Adresse des Ziels 1702;
ob die IPSEC-Verarbeitung durchgeführt wurde oder nicht 1703; Adressenzeiger 1704,
der die Position jeder SA in der SAD 1801 angibt; und IP-Adresse 1705 des
Kommunikationsendgeräts
oder Ziels, zu dem das IPSEC-Paket gesendet wird, im Fall des Sendens
von Daten zu der IP-Adresse des Ziels 1702. Zu diesem Zeitpunkt
ist die IP-Adresse 1705 konkret die IP-Adresse der Netzwerkschnittstellenvorrichtung 1403.
Wenn das Kommunikationsendgerät
an der Quelle die IPSEC-Funktion enthält, ist die IP-Adresse 1702 dieselbe
wie die obige IP-Adresse 1705. Zusätzlich ist es möglich, den
Bereich bezüglich
der IP-Adressen des Ziels 1702 und 1705 zu designieren.
Das Designieren des Bereichs bedeutet die Designierung von „192.168.1.1." bis „192.168.1.100" durch Verwendung
der IP-Adressen,
und dadurch kann einerseits die Bereichsdesignierung zum Senden
von Daten zu 100 Einheiten von Kommunikationsendgeräten instruieren.
Da die unidirektionale Kommunikation eine SA erfordert, werden im
Fall der bidirektionalen Kommunikation unabhängige SAs auf den Netzwerkschnittstellenvorrichtungen 1402 bzw. 1403 registriert.
-
Nach
der Einrichtung der auf die IPSEC-Kommunikation angewandten SA fügt der Computer 1401 einen
IP-Kopfteil zu den von dem Computer an dem sendenden Ende 1401 zu
dem Computer 1404 zu sendenden Daten hinzu und sendet sie
dann als IP-Paket über
das LAN 1407 in Richtung der Netzwerkschnittstellenvorrichtung 1402.
Die Netzwerkschnittstellenvorrichtung 1402 führt später beschriebene
IPSEC-Verarbeitung
durch und sendet dann das IP-Paket als IPSEC-Paket 1503 in
Richtung der Netzwerkschnittstellenvorrichtung 1403. Die Netzwerkschnittstellenvorrichtung 1403,
die das IPSEC-Paket 1503 empfangen hat, setzt durch die
IPSEC-Verarbeitung in IP-Paket um, das über das LAN 1408 zu
dem Computer 1404 gesendet wird. Anders ausgedrückt kann
auf der Kommunikation zwischen den Netzwerkschnittstellenvorrichtungen 1402 und 1403,
die über
das Internet 1409 miteinander verbunden sind, das IPSEC
die Sicherheit der von dem Computer 1401 am sendenden Ende
zu dem Computer 1404 gesendeten Daten sicherstellen.
-
Mit
Bezug auf 14, 16, 19 und 20 wird
die durch die Netzwerkschnittstellenvorrichtungen 1402 und 1403 durchgeführte IPSEC-Verarbeitung ausführlich beschrieben. 16 ist
eine Detailansicht des Formats des Authentifikationskopfteils (AH)
und des Kopfteilformats des Verkapselungssicherheitsnutzsignals
(ESP). 19 ist ein Flussdiagramm der
durch die Netzwerkschnittstellenvorrichtung am sendenden Ende durchgeführten IPSEC-Verarbeitung,
während 20 ein
Flussdiagramm der durch die Netzwerkschnittstellenvorrichtung am
empfangenden Ende durchgeführten
IPSEC-Verarbeitung ist.
-
Die
SPD und die SAD, die später
erläutert werden,
werden in jeweiliger Datenspeicherung 2103 der Netzwerkschnittstellenvorrichtung
gespeichert. Das in 19 und 20 gezeigte „S" bedeutet einen Schritt
der Verarbeitung.
-
Beim
Empfangen des von dem Computer 1401 am sendenden Ende gesendeten
IP-Pakets liest die Netzwerkschnittstellenvorrichtung 1402 die IP-Adresse
des Ziels des IP-Pakets (19, S1901). Zusätzlich findet
gemäß der IP-Adresse
des Ziels des IP-Pakets die Netzwerkschnittstellenvorrichtung 1402 die
dem empfangenen IP-Paket entsprechenden Informationen aus dem Feld
der IP-Adresse des Ziels der in der Netzwerkschnittstellenvorrichtung 1402 gespeicherten
SPD 1701 heraus. Die Informationen umfassen die IP-Adresse
des Ziels 1705, ob die IPSEC-Verarbeitung durchgeführt wurde
oder nicht 1703 und den Adressenzeiger 1704, der
die Position der SA angibt, derjenigen in Bezug auf das Ziel, zu
dem das entsprechende IPSEC-Paket gesendet wird (19,
S1902).
-
Im
Fall der Konfiguration, dass die IPSEC-Verarbeitung nicht durchgeführt wird,
das heißt, wenn „ob die
IPSEC-Verarbeitung durchgeführt
wird oder nicht" 1703 NEIN
ist, wird das empfangene IP-Paket ohne die Verarbeitung zu der Netzwerkschnittstellenvorrichtung 1403 gesendet
(19, S1903-NEIN).
-
Im
Fall der Konfiguration, dass die IPSEC-Verarbeitung durchgeführt wird,
das heißt, wenn „ob die
IPSEC-Verarbeitung durchgeführt
wird oder nicht" 1703
JA ist, liest nach dem Durchsuchen der SAD 1801 gemäß dem Adressenzeiger 1704,
der die Position der SA angibt, die Netzwerkschnittstellenvorrichtung 1402 den
Inhalt der entsprechenden SA (19, S1903-JA
bis S1905). Die SA wurde durch IKE-Phase 2 eingerichtet (1502).
Als nächstes präpariert
die Netzwerkschnittstellenvorrichtung 1402 gemäß dem Inhalt
der SA zum Beispiel die authentifizierten/verschlüsselten
Daten auf der Basis des IP-Pakets durch Verwendung von HMAC-MD5 als
Authentifikationsalgorithmus und DES-CBC als Verschlüsselungsalgorithmus (19,
S1905). Zusätzlich
fügt die
Netzwerkschnittstellenvorrichtung 1402 einen Authentifikationskopfteil
AH oder einen Authentifikations-/Verschlüsselungskopfteil ESP zu den
authentifizierten/verschlüsselten
Daten hinzu, wobei die Daten zu einem IP-Paket (IPSEC-Paket 1503)
werden, das durch die IPSEC-Verarbeitung verarbeitet wird (19,
S1906). AH und ESP enthalten die SPI 1805, die die SA zusammenstellt,
die durch IKE-Phase 2 eingerichtet wird. Danach wird das IPSEC-Paket 1503 über das
Internet 1409 zu der Netzwerkschnittstellenvorrichtung 1403 gesendet, die
durch die IP-Adresse 1705 der SPD 1701 angegeben
wird. Übrigens
gibt es zwei Arten der IPSEC-Verarbeitung: einen „Tunnelmodus" und einen „Transportmodus". Die vorgeschriebene
Beschreibung bezieht sich auf den Tunnelmodus, bei Verwendung des
Transportmodus wird die Verschlüsselungsverarbeitung
jedoch nicht an der IP-Adresse des IP-Pakets ausgeführt. Darüber hinaus
ist es möglich,
Transportmodus oder Tunnelmodus willkürlich zu wählen. Die detaillierte Ansicht
des AH-Formats und des ESP-Kopfteilformats sind in 16(a) und 16(b) bezeigt.
-
Beim
nächsten
Schritt bestimmt die Netzwerkschnittstellenvorrichtung 1403,
ob das empfangende IP-Paket ein IPSEC-Paket ist oder nicht (20,
S2001).
-
Wenn
das empfangende IP-Paket jedoch kein IPSEC-Paket ist, wird das Paket
ohne Verarbeitung über
das LAN 1408 zu dem Computer 1404 gesendet (20,
S2001-NEIN).
-
Wenn
dagegen das empfangene IP-Paket ein IPSEC-Paket ist, wird die folgende
Verarbeitung durchgeführt
(20, S2001-JA). Das heißt, die Netzwerkschnittstellenvorrichtung 1403 durchsucht zuerst
den AH oder den ESP-Kopfteil in dem IPSEC-Paket und liest die in
dem AH oder ESP-Kopfteil enthaltene
SPI (20, S2002). Als nächstes durchsucht die Netzwerkschnittstellenvorrichtung 1403 die in
der Netzwerkschnittstellenvorrichtung 1403 gespeicherte
SAD gemäß der SPI
und liest dann den Inhalt der SA entsprechend der SPI – die SA
ist die durch die IKE-Phase 2 eingerichtete (20, S2003).
Dadurch kann die durch die IKE-Phase 2 eingerichtete SA ausgelesen
werden. Wenn dagegen im Schritt S2002 keine entsprechende SPI vorliegt,
wird die Nachricht mit dieser Bedeutung für einen Benutzer angezeigt,
und die Verarbeitung endet dann (was in der Zeichnung nicht gezeigt
ist).
-
Zusätzlich authentifiziert/entschlüsselt die Netzwerkschnittstellenvorrichtung 1403 die
authentifizierten/verschlüsselten
Daten des IPSEC-Pakets gemäß dem durch
die ausgelesene SA spezifizierten Authentifikations-/Verschlüsselungsalgorithmus (20,
S2004). Notwendigenfalls durchsucht die Netzwerkschnittstellenvorrichtung 1403 die
SPD 1701 gemäß den Adresseninformationen 1804 der SA
und bestätigt
die IP-Adresse am
sendenden Ende und ob die IPSEC-Verarbeitung durchgeführt ist
oder nicht, wodurch es möglich
ist, das entschlüsselte IP-Paket
zu präparieren
(20, S2005-2006). Danach sendet die Netzwerkschnittstellenvorrichtung 1403 das
präparierte
IP-Paket zu dem Computer 1404.
-
Wie
oben erläutert,
werden die authentifizierten/verschlüsselten Daten des authentifizierten/verschlüsselten
IPSEC-Pakets über
das LAN 1408 als ein IP-Paket zu dem Computer 1404 gesendet.
Bei der Kommunikation zwischen den Netzwerkschnittstellenvorrichtungen 1402 und 1403 ist
es deshalb möglich,
die Sicherheit durch IPSEC in Bezug auf die von dem Computer 1401 am
sendenden Ende zu dem Computer 1404 gesendeten Daten sicherzustellen.
-
Gemäß 21 wird
hier eine Skizze der Konfiguration der Netzwerkschnittstellenvorrichtung 1402 erläutert. Die
Netzwerkschnittstellenvorrichtung 1403 hat dieselbe Konfiguration
wie die Netzwerkschnittstellenvorrichtung 1402.
-
Die
Netzwerkschnittstellenvorrichtungen 1402 und 1403 sind
im Allgemeinen wie die in 21 gezeigte
konfiguriert. Das heißt,
ein Prozessor 2101, eine vorübergehende Datenspeicherung 2102,
eine Datenspeicherung 2103, eine Systemsteuerung 2104,
eine Netzwerksteuerung 2106 und eine Schaltungssteuerung 2107 sind
durch einen internen Bus bzw. einen Switch 2105 miteinander
verbunden. Die Netzwerksteuerung 2106 ist mit dem LAN 1407 verbunden,
und die Schaltungssteuerung 2107 ist mit dem Internet 1409 verbunden.
-
Die
oben erwähnte
SPD und SAD werden in der Datenspeicherung 2103 gespeichert,
die durch einen nichtflüchtigen
Speicher wie etwa Flash-Speicher,
eine Festplatte und ROM, konfiguriert wird. Der Prozessor 2101 liest
die SPD und die SAD aus der Datenspeicherung 2103 unter
Durchgang durch die Systemsteuerung 2104 zum Zeitpunkt
des Einschaltens und speichert diese in der vorübergehenden Datenspeicherung 2102,
die durch den flüchtigen
Speicher wie etwa DRAM und SRAM konfiguriert wird, andernfalls liest
der Prozessor 2101 die SPD und SAD bei Bedarf und speichert
diese dann in der vorübergehenden
Datenspeicherung 2102. Die Aktualisierung der SPD und der
SAD wird nur für
die in der Datenspeicherung 2103 gespeicherten durchgeführt.
-
In
Bezug auf jedes IP-Paket (IPSEC-Paket), das aus dem LAN 1407 und
dem Internet 1409 unter Durchgang durch die Netzwerksteuerung 2106 und die
Schaltungssteuerung 2107 empfangen wird, führt der
Prozessor 2101 die IPSEC-Verarbeitung durch. Das heißt, der
Prozessor 2101 liest die AH- oder ESP-Informationen aus
jedem IPSEC-Paket und durchsucht die in der vorübergehenden Datenspeicherung 2101 gespeicherte
erforderliche SPD und SAD gemäß dem oben
erwähnten
Verarbeitungsfluss. Und nach der Durchführung der Authentifikation/Verschlüsselung
und der Authentifikation/Entschlüsselung
für das
IPSEC sendet der Prozessor 2101 sie zu der Zieladresse.
Zusätzlich
kann der Prozessor 2101 die anderen Funktionen bereitstellen (die
Routing-Funktion und so weiter).
-
Der
Grund dafür,
dass die in der vorübergehenden
Speicherung 2102 gespeicherte SPD und SAD bei der Verarbeitung
jedes IP-Pakets durchsucht werden, besteht darin, dass es möglich ist, schneller
auf die vorübergehende
Speicherung als auf die Datenspeicherung 2103 zuzugreifen,
wodurch es möglich
ist, die Beschleunigung der IPSEC-Verarbeitung vorzurücken.
-
Wie
oben beschrieben, schreitet die IP-Paketverarbeitung unter Bezugnahme
auf die in der vorübergehenden
Speicherung 2102 gespeicherte SPD und SAD voran. Wenn der
Parameter der SA verändert
wird, wird deshalb zum Beispiel der geänderte SA-Parameter in der
Kommunikation unter Verwendung nur des IPSEC zum Zeitpunkt des Herauffahrens
oder des Rücksetzens
der Netzwerkschnittstellenvorrichtungen 1402 widergespiegelt.
Dies erfolgt aus den folgenden Gründen: es wird angenommen, dass
die Netzwerkschnittstellenvorrichtungen 1402, wie zum Beispiel
ein Router, immer heraufgefahren ist und zu jeder Zeit betrieben
wird, auch wenn es notwendig ist, die Anpassung des geänderten
Parameters und des in der vorübergehenden
Speicherung 2102 gespeicherten SA-Parameters durchzuführen; und
außerdem
wird angenommen, dass es nicht notwendig ist, die SPD, die SAD und
den in der Datenspeicherung 2103 gespeicherten anderen
Konfigurationsparameter zu ändern,
weil die Netzwerkkommunikation auf einer spezifischen Leitung hergestellt
wird, wie zum Beispiel zwischen einer Zentrale und einer Zweitstelle.
-
Da
das oben erwähnte
gesicherte Protokoll auf der Netzwerkschicht die Sicherheit aller
Kommunikationspakete sicherstellen kann, ist es nicht notwendig,
die Sicherheit per Anwendung sicherzustellen. Deshalb weist dieses
gesicherte Protokoll hohe Vorrichtungen als Sicherheitsschutz für die LAN-Verbindung
auf. Obwohl das Lecken der Kommunikation um so weniger auftritt,
je höher
der Grad der Sicherheit (die Sicherheitsleistungsfähigkeit)
wird, nimmt jedoch die Belastung jedes Computers und jeder Netzwerkschnittstellenvorrichtung
zu, weil die Verarbeitung der Authentifikation/Verschlüsselung
für die
Sicherheit eine große
Menge der rechnerischen Komplexität erfordert. Dies verursacht
die Verzögerung der
Verarbeitung. Wenn dagegen der Grad der Sicherheit niedrig wird,
nimmt die Möglichkeit
eines Leckens der Kommunikation zu.
-
Da
wie oben im Stand der Technik der Grad der gesicherten Kommunikation
entsprechend einem Endgerät
am empfangenden Ende bestimmt wurde, bestand eine Notwendigkeit,
den spezifischen Grad der Sicherheit sogar zu den Daten hinzufügen, ohne die
von einem Endgerät
auf dem sendenden Ende, das von mehreren Benutzern benutzt wird,
gesendete Verschlüsselung
anzufordern. Eine solche Kommunikation vergrößerte die unnötigen Belastungen jedes
Computers oder jeder Netzwerkschnittstellenvorrichtung, wodurch
die Verzögerung
der Verarbeitung auftrat. Sogar die Daten, die den hohen Grad der
Sicherheit anforderten, wurden nur auf der niedrigeren Ebene der
Sicherheit als der erforderlichen gesendet, dies ist dagegen ein
Problem.
-
Der
Router mit der herkömmlichen
IPSEC-Funktion musste entsprechend der IP-Adresse des Ziels der
Kommunikation wie oben beschrieben eine verfügbare SA vorbestimmen, und
die Assoziierungsprozedur war sehr schwierig. Deshalb ist es schwer,
den Grad der gesicherten Kommunikation flexibel zu ändern. Und
es ist auch schwierig für
einen Benutzer, ohne spezielle Kenntnisse den Grad der gesicherten
Kommunikation selbst beliebig zu ändern. Da der Austausch von
Emails über
das Internet oder das Intranet von Firmen und der diese Dienste
verwendende e-Commerce jedoch mehr als je zuvor große Verbreitung
fand, wird ein einfaches Konfigurationsverfahren angefordert, um
so nicht nur für
eine große
Firma zur Verfügung
zu stehen, bei der es Administratoren mit Spezialkenntnissen über das Netzwerk
gibt, sondern auch für
SOHO (Small Office Home Office) und Privatwohnungen, wo es keine
solche Person gibt. Zusätzlich
konnte im Stand der Technik im Fall des Wechselns des Sicherheitsgrads zu
einem gemäß der Kommunikation
wie etwa dem Senden einer Kreditnummer für e-Commerce oder gemäß dem Ziel
geeigneten, ein Benutzer nicht verstehen, ob der Sicherheitsgrad
auf der Verbindung geeignet war oder nicht. Dies ist das andere
Problem.
-
Um
das oben erwähnte
Problem zu lösen, liefert
die Erfindung eine Vorrichtung, ein System und ein Verfahren gemäß den angefügten Ansprüchen 1, 15
und 17. Bevorzugte Ausführungsformen
werden in den abhängigen
Ansprüchen
definiert.
-
1 ist
ein Blockschaltbild eines Systems, das die gesicherte Kommunikation
der Erfindung benutzt.
-
2 ist
ein Beispiel für
SPD und SAD für
jeden Benutzer jeweils in der ersten Ausführungsform.
-
3 ist
ein Flussdiagramm der IPSEC-Verarbeitung des Netzwerkprozessors
bei der ersten Ausführungsform.
-
4 ist
ein Blockschaltbild der Konfiguration der Netzwerkschnittstellenvorrichtung
in der ersten Ausführungsform.
-
5 ist
ein Beispiel für
die SPD unter Verwendung der Internet-Adresse bei der zweiten Ausführungsform.
-
6 ist
ein Blockschaltbild eines Kommunikationsendgeräts, wie etwa eines als die
Netzwerkschnittstellenvorrichtung konfigurierten Computers mit der
IPSEC-Funktion bei der zweiten Ausführungsform.
-
7 ist
ein Flussdiagramm der Verarbeitung des Bestätigens der Konfiguration der
Netzwerkschnittstellenvorrichtung bei der zweiten Ausführungsform.
-
8 ist
ein Beispiel für
die SPD unter Verwendung der Internet-Adresse für jeden Benutzer bei der zweiten
Ausführungsform.
-
9 ist
ein Blockschaltbild eines Systems, das die gesicherte Informationsvorrichtung
verwendet, bei der dritten Ausführungsform.
-
10 ist
ein vereinfachtes Diagramm der Verarbeitung des Systems, das die
gesicherte Informationsvorrichtung benutzt.
-
11 ist
ein Beispiel für
eine erste Datenbank der gesicherten Informationsvorrichtung.
-
12 ist
ein Beispiel für
eine zweite Datenbank der gesicherten Informationsvorrichtung.
-
13 ist
ein Blockschaltbild der Skizze jeder Vorrichtung bei der dritten
Ausführungsform.
-
14 ist
ein Blockschaltbild eines ein VPN bildenden Netzwerksystems mit
einem Router mit der IPSEC-Funktion.
-
15 ist
ein Diagramm der Verbindungsprozedur der gesicherten Kommunikation
zwischen den Netzwerkschnittstellen vorrichtungen mit der IPSEC-Funktion.
-
16 ist
ein detailliertes Diagramm des AH-Formats und des ESP-Kopfteilformats.
-
17 ist
ein Beispiel für
die SPD (Sicherheitsrichtliniendatenbank) als Datenbank, die die Verarbeitungsrichtlinie
des IPSEC im Stand der Technik bestimmt.
-
18 ist
ein Beispiel für
die SAD (Sicherheitsassoziierungsdatenbank) als eine SA-Datenbank
im Stand der Technik.
-
19 ist
ein Flussdiagramm der IPSEC-Verarbeitung der Netzwerkschnittstellenvorrichtung
am sendenden Ende im Stand der Technik.
-
20 ist
ein Flussdiagramm der IPSEC-Verarbeitung der Netzwerkschnittstellenvorrichtung
am empfangenden Ende im Stand der Technik.
-
21 ist
ein Blockschaltbild der Konfiguration der Netzwerkschnitt stellenvorrichtung
im Stand der Technik.
-
Diese
Ausführungsform
wird hier mit Bezug auf Unterschiede gegenüber dem Stand der Technik mit
Bezug auf die Zeichnungen erläutert,
um die Erfindung zu verstehen. Die folgenden Ausführungsformen
schränken
den technologischen Schutzumfang jedoch nicht ein, sondern sind
lediglich Beispiele für das
Konkrete.
-
[AUSFÜHRUNGSFORM 1]
-
Zu
allererst erfolgt die Erläuterung
in Bezug auf die Skizze des Verfahrens der gesicherten Kommunikation,
des Systems der gesicherten Kommunikation und der Vorrichtung dafür bei der
ersten Ausführungsform
mit Bezug auf 1, 2(a), 2(b) und 4.
-
1 ist
ein Diagramm der Skizze eines das Verfahren der gesicherten Kommunikation
der Erfindung benutzenden Systems. In 1 ist ein
Computer 101 über
LAN 107 mit dem anderen Computer 105 und einer
Netzwerkschnittstellenvorrichtung 102 verbunden, und ist
durch die Netzwerkschnittstellenvorrichtung 102 ferner
mit einem externen Internet 109 oder einen WAN-artigen
Intranet verbunden. Das Internet 109 ist mit der anderen
Netzwerkschnittstellenvorrichtung 103 und dem LAN 108 verbunden, und
das LAN 108 ist mit den Computern 104 und 106 verbunden.
Jede Netzwerkschnittstellenvorrichtung 102 und 103 ist
eine Firewall oder eine VPN-spezielle Vorrichtung wie etwa ein Router,
ein Gateway und ein Proxy-Server. Die Computer 101 und 105 sind
mit einer Benutzerauthentifikationsvorrichtung 110 bzw. 111 verbunden.
Der Computer 101 und andere können Endgeräte sein, die die Kommunikationsfunktion enthalten,
wie zum Beispiel ein Personal Computer, eine Workstation, ein Server,
ein Personal Computer mit Notebook-Größe, ein IP-Telefon, ein IP-TV-Telefon
und ein IP-Mobiltelefon.
-
Unter
der Annahme, dass die IPSEC-Verarbeitung auf der Kommunikation zwischen
den Netzwerkschnittstellenvorrichtungen 102 und 103 wie
im Stand der Technik durchgeführt
wird, wird diese Ausführungsform
hier erläutert.
Das Ziel der IPSEC-Verarbeitung ist jedoch nicht auf die Kommunikation
zwischen den Netzwerkschnittstellenvorrichtungen 102 und 103 beschränkt, sondern
es kann sich um die Kommunikation zwischen dem Computer 101 am sendenden
Ende und dem Computer 104 des Ziels oder um die Kommunikation
zwischen dem Computer 101 und der Netzwerkschnittstellenvorrichtung 103 handeln,
dies ist dasselbe wie im Stand der Technik. 2a ist
eine SPD pro Benutzer, die auf diese Ausführungsform angewandt wird. 2b ist ein Beispiel für die SAD pro Benutzer. Der
Inhalt der SPD pro Benutzer und der SAD pro Benutzer wird später ausführlicher
erläutert.
-
Gemäß dem Blockschaltbild
der Konfiguration der Netzwerkschnittstellenvorrichtung 102 (103) in 4 (die
Netzwerkschnittstellenvorrichtung 103 hat dieselbe Konfiguration),
wird im Folgenden die interne Verarbeitung der Netzwerkschnittstellenvorrichtungen 102 und 103 erläutert.
-
In
der Netzwerkschnittstellenvorrichtung dieser Ausführungsform
werden, um die Bestimmung des Sicherheitsgrads pro Benutzer auszuführen, zuerst
der Benutzer und die IP-Adresse des Ziels angegeben, wobei diese
Prozedur später
erläutert
werden wird. Folglich kann in Aussicht genommen werden, dass die Änderung,
wie zum Beispiel das Hinzufügen des
Benutzers und die Aktualisierung der Konfiguration, mehr als zuvor
erforderlich ist (auch bei der herkömmlichen Netzwerkschnittstellenvorrichtung,
die als die eigene Leitung zwischen einer Zentrale und einer Zweigstelle
mit LAN verbunden ist). Immer dann, wenn die Konfiguration aktualisiert
wird, muss eine solche herkömmliche
Vorrichtung heraufgefahren oder zurückgesetzt werden, und dadurch
sollte die Kommunikation hängen
bleiben, auch wenn es eine kurze Zeit ist. Es ist sehr unbequem
für einen Benutzer.
Durch Ausführen
der internen Verarbeitung der Netzwerkschnittstellenvorrichtung
wie folgt kann deshalb der immer eingeschaltete Betrieb ohne Herauffahren
oder Zurücksetzen
der Vorrichtungen ausgeführt
werden.
-
In 4 sind
die jeweiligen Netzwerkschnittstellenvorrichtungen 102 und 103 dann
mit einem Prozessor 401, einer vorübergehenden Datenspeicherung 402,
einer Datenspeicherung 403, einer Systemsteuerung 404,
einer Netzwerksteuerung 406 und mit einer Schaltungssteuerung 407 ausgestattet, wobei
diese über
einen internen Bus oder einen Switch 405 miteinander verbunden
sind. Der Prozessor 401, die vorübergehende Datenspeicherung 402 und
die Systemsteuerung 404 könnten als Sicherheitstypauswahlmittel 408 für die nachfolgend beschriebene
Verarbeitung fungieren.
-
Zusätzlich werden
die SPD pro Benutzer 201 und die SAD pro Benutzer 207 jeweils
in der Datenspeicherung 403 gespeichert, die durch den
nichtflüchtigen
Speicher, wie etwa Flash-Speicher, eine Festplatte und ROM konfiguriert
wird. Wenn die Netzwerkschnittstellenvorrichtung 102 eingeschaltet
wird, liest der Prozessor 401 die SPD pro Benutzer 201 und
die SAD pro Benutzer 207 aus der Datenspeicherung 403 unter
Durchgang durch die Systemsteuerung 404 und speichert diese
in der vorübergehenden
Datenspeicherung 402, die durch den flüchtigen Speicher wie etwa DRAM
und SDRAM konfiguriert wird. Danach führt der Prozessor 401 die
IPSEC-Verarbeitung gemäß der SPD
pro Benutzer 201 und der SAD pro Benutzer 207,
die in der vorübergehenden Datenspeicherung 402 gespeichert
sind, durch. Immer dann, wenn die Konfiguration geändert wird,
ist das Ziel der Aktualisierung nur die SPD pro Benutzer 201 und
die SAD pro Benutzer 207, die in der Datenspeicherung 403 gespeichert
sind. Bisher ist die Verarbeitung dieselbe wie die im Stand der
Technik, mit der Ausnahme der Konfigurationen der SPD pro Benutzer 201 und
der SAD pro Benutzer 207.
-
Da
die IPSEC-Verarbeitung im Stand der Technik unter Bezugnahme auf
die in der vorübergehenden
Datenspeicherung 402 gespeicherte SPD und SAD abläuft, wird
das Lesen der SPD und der SAD aus der Datenspeicherung 403 jedoch
wieder nur dann ausgeführt,
wenn die Vorrichtung neu gestartet wird oder nachdem die Vorrichtung
heraufgefahren oder zurückgesetzt
wurde. Wenn die SPD und die SAD geändert wurden, ist dies deshalb
nachdem die Vorrichtung heraufgefahren oder zurückgesetzt wurde, dass die aktualisierte
SA bei der IPSEC-Verarbeitung
widergespiegelt wird.
-
Wenn
bei dieser Ausführungsform
jedoch die SPD und SAD in der Datenspeicherung 403 gemäß der Konfigurationsänderung
aktualisiert werden, wird die folgende Verarbeitung ausgeführt. Wenn
die Kommunikationsverarbeitung gemäß der in der vorübergehenden
Datenspeicherung 402 gespeicherten SPD und SAD durchgeführt wird,
suspendiert der Prozessor 401 die Kommunikation, sobald
die Kommunikation endet, und liest dann die aktualisierte SPD und
SAD aus der Datenspeicherung 403 und schreibt diese über die
entsprechende SPD und die entsprechende SAD, die in der vorübergehenden Datenspeicherung 402 gespeichert
sind. Hierbei werden die aktualisierte SPD und die aktualisierte
SAD durch den Prozessor 401 überschrieben, aber die andere
SPD (nicht aktualisiert) werden nicht überschrieben. Deshalb wirkt
sich die Verarbeitung nicht auf die IPSEC-Kommunikation von Benutzern
aus, die die SPD und die SAD ohne Rücksichtnahme bei der Aktualisierung
benutzen.
-
Nachdem
die SA durch IKE-Phase 2 gemäß der gespeicherten
SPD und SAD wieder eingerichtet wurde, startet die IPSEC-Verarbeitung
gemäß der eingerichteten
neuen SA neu.
-
Da
die Aktualisierungsverarbeitung von SPD und SAD wie oben beschrieben
ausgeführt
wird, ist es auch wenn der Grad der gesicherten Kommunikation geändert wird,
nicht notwendig, die Vorrichtung neu zu starten und es ist möglich, sofort
zu bestätigen,
dass die Aktualisierung verfügbar
ist. Anders ausgedrückt,
ermöglicht
IKE-Phase 2 eine Wiedereinrichtung der SA und das Widerspiegeln
der Aktualisierung auf der Kommunikation.
-
Das
Verfahren zur Wiedereinrichtung der SA während der Kommunikation des
IPSEC kann folgendermaßen
vorbestimmt werden. Sobald die Kommunikation suspendiert ist, wird
die Wiedereinrichtung durchgeführt;
oder die Wiedereinrichtung wird nach dem Ende der Kommunikation
durchgeführt. Zusätzlich kann
das Verfahren gemäß dem Typ
des zu verarbeitenden Pakets vorbestimmt werden.
-
Als
nächstes
werden die Einzelheiten der Prozedur des Registrierens in der Netzwerkschnittstellenvorrichtung
der Definitionsinformationsgruppe für die SPD pro Benutzer und
der SAD pro Benutzer (siehe 2), bevor
die gesicherte Kommunikation startet, erläutert.
-
Als
erstes gibt ein Administrator der Netzwerkschnittstellenvorrichtung 102 die
IP-Adresse jedes Ziels und ob die IPSEC-Verarbeitung bei der Kommunikation
durchgeführt
wird oder nicht, in den Prozessor 401 der Netzwerkschnittstellenvorrichtung 102 ein,
und diese Eingabe erfolgt für
jeden Benutzer, der den Computer 101 und 104 benutzt,
wodurch die SPD pro Benutzer (SPD-1 bis SPD-N) registriert wird.
Das Benutzerauthentifikationsverfahren wird später beschrieben. In diesem
Fall, dass die IP-Adresse
jedes Ziels dieses Computers 104 und 106 angibt,
ist zum Beispiel dieselbe wie im Stand der Technik. Und die Registration
kann von dem WEB-Browser des Computers 101 und 105 aus
beispielsweise durchgeführt
werden, und andernfalls direkt von der Netzwerkschnittstellenvorrichtung 102 aus.
Darüber
hinaus kann der Bereich der IP-Adresse
jedes Ziels wie im Stand der Technik spezifiziert werden.
-
Im
Fall des Setzens, dass die IPSEC-Verarbeitung durchgeführt wird,
ist es notwendig, eine Reihe der Definitionsinformationsgruppen
SAD (SAD-1 bis SAD-2) pro Benutzer einzugeben, einschließlich des
Authentifikationsalgorithmus, des Authentifikationsparameters des
Verschlüsselungsalgorithmus und
des Verschlüsselungsparameters,
dabei handelt es sich um den Inhalt der SA, die auf die IPSEC-Verarbeitung
angewandt wird. Gemäß den obigen
Eingaben werden mehrere der SPD pro Benutzer 201 von 2(a) in der Datenspeicherung 403 der
Netzwerkschnittstellenvorrichtung 102 registriert. Zusätzlich wird
eine Reihe der Definitionsinformationsgruppe, einschließlich des
Authentifikationsalgorithmus, des Authentifikationsparameters, des
Verschlüsselungsalgorithmus
und des Verschlüsselungsparametes,
wobei es sich um den Inhalt der SA handelt, als die SAD 207 pro
Benutzer registriert. Die in der registrierten SAD 207 enthaltene
SA wird der Netzwerkschnittstellenvorrichtung 103 durch
IKE-Phase 2 vorgeschlagen, was später beschrieben werden wird.
-
Die
in 2(a) gezeigte SPD 201 enthält wie die
SPD 1701 im Stand der Technik die Adresse des Ziels 202,
ob die IPSEC-Verarbeitung durchgeführt wird oder nicht 203 und
den Adressenzeiger 204, der die Position der SA angibt.
Wenn die Daten zu der IP-Adresse des Ziels 202 gesendet
werden, enthält die
SPD 201 zusätzlich
die IP-Adresse des Kommunkationsendgeräts 206, zu dem das
IPSEC-Paket gesendet wird. Die SPD kann bei dieser Ausführungsform
von der im Stand der Technik um den Namen des Benutzers 205 verschieden
sein. 2(a) zeigt ein Beispiel für das Setzen
der SPD pro Benutzer, es kann jedoch arrangiert werden, die SA pro
Benutzer unter Erstellung eines Postens zum Identifizieren jedes
Benutzers in einer SPD zu spezizieren.
-
Ähnlich besitzt
die SAD pro Benutzer 207 (siehe 2(b))
dieselbe Konfiguration wie die SAD 1801 des Stands der
Technik in 18, und eine der SAD enthält mehrere
SA. Zum Beispiel enthält SAD-1
von SA-11 bis SA-1M (211), während SAD-N von SA-N1 bis SA-NM
enthält.
Jede SA enthält Adresseninformationen 209,
SPI 210 der Indexinformation und SAP 212 des Sicherheitsparameters.
Die Adresseninformationen 209 enthalten die IP-Adresse des
Ziels, die Portnummer des Ziels, die IP-Adresse des sendenden Endes,
die Portnummer des sendenden Endes, die Protokollnummer und so weiter,
und diese Konfiguration ist dieselbe wie im Stand der Technik. Aber
die SAD 207 kann durch den Namen des Benutzers 208 unterschieden
werden, was vom Stand der Technik verschieden ist. 2(b) zeigt
ein Beispiel für
die Registration der SAD pro Benutzer, aber die SA pro Benutzer
kann unter Erstellung eines Postens in einer SAD zum Identifizieren
jedes Benutzers verwaltet werden.
-
Nachdem
die obige Registration endet, tritt die Netzwerkschnittstellenvorrichtung 102 durch IKE-Phase
1 und Phase 2 mit der Netzwerkschnittstellenvorrichtung 103 in
Kommunikation, um zu bestätigen,
dass der Inhalt der Registration verfügbar ist (gemäß den Informationen
des Benutzers, die später beschrieben
werden). Während
der Bestätigung,
ob es möglich
ist, die IPSEC-Kommunikation durchzuführen (gemäß dem Inhalt der Registration)
richtet die Netzwerkschnittstellenvorrichtung 102 wenn möglich die
SA ein. Es ist nicht immer notwendig, immer dann, wenn die Registration
endet, die SA einzurichten, und das Einrichten der SA kann erfolgen, wenn
die Computer 101 und 104 die Kommunikation über die
Netzwerkschnittstellenvorrichtungen 102 und 103 beginnen.
-
Wie
die Netzwerkschnittstellenvorrichtung 102 ist die Benutzerauthentifikationsvorrichtung
mit den Computern 104 und 106 verbunden, und dann kann
jede Konfiguration in der Netzwerkschnittstellenvorrichtung 103 über die
IP-Adresse des Ziels pro Benutzer, der die Computer 104 und 106 benutzt,
registriert werden.
-
Das
Verfahren zum Identifizieren von Benutzern, die den Computer 101 benutzen,
wird später
erläutert.
-
Ein
Benutzer, der den Computer 101 benutzen möchte, führt eine
Chipkarte, die eine innere Nummer speichert, die den Benutzer bei
seiner Benutzung spezifizieren kann, in die Benutzerauthentifikationsvorrichtung 110 ein,
und dadurch wird die innere Nummer eingegeben. Als nächstes gibt
der Benutzer ein der inneren Nummer aus der Benutzerauthentifikationsvorrichtung 110 entsprechendes Passwort
ein. Wenn die aus der Benutzerauthentifikationsvorrichtung 110 eingegebene innere
Nummer der Chipkarte und das Passwort mit dem vorbestimmten übereinstimmen,
wird der Benutzer authentifiziert, wodurch der Computer 101 dem
Benutzer zur Verfügung
steht. Zusätzlich
wird der durch die obige Benutzeridentifikation erhaltene Name des
Benutzers in dem Computer 101 gespeichert.
-
Die
Benutzer Authentifikation wird nicht immer durch die Chipkarte durchgeführt, sondern
kann durch eine Vorrichtung erfolgen, die eine Person durch Verwendung
einer Magnetkarte, eines einmaligen Passworts, eines Fingerabdrucks,
einer Handform, eines Handabdrucks, einer Handschrift, einer Iris,
einer Gesichtsform, eines Stimmdrucks oder DNA identifizieren kann.
Anstatt die Benutzerauthentifikationsvorrichtung zu installieren,
kann andernfalls die Authentifikation durch Eingeben des Namens
des Benutzers und des Passworts in den Computer 101 erfolgen.
Die Speicherung der vorbestimmten inneren Nummer und des Passworts
befindet sich nicht immer in dem Computer 101, aber der
Computer 101 kann so ausgelegt werden, dass er die innere
Nummer und das Passwort bei einem Computer anfragt, der separat
zum Speichern der inneren Nummer und des Passworts vorgesehen ist,
um diese zentralisiert zu verwalten.
-
Die
nächste
Beschreibung bezieht sich auf die Verarbeitung im Fall, dass der
Computer 101 mit dem über
das Internet 109 verbundenen Computer 104 in Kommunikation
tritt, und gemäß 1, 2 und 3 wird
es ausführlich
erläutert.
Das in 4 gezeigte Sicherheitstypauswahlmittel 408 führt die folgende
Verarbeitung aus.
-
Nach
der Einrichtung der durch die IPSEC-Kommunikation zu verwendenden
SA fügt
der Computer 101 einen IP-Kopfteil zu den von dem Computer 101 zu
dem Computer 104 zu sendenden Daten hinzu und sendet sie
als ein IP-Paket über
das LAN 107 zu der Netzwerkschnittstellenvorrichtung 102 (diese
Prozedur ist dieselbe wie im Stand der Technik). Bei dieser Ausführungsform
führt der
Computer 101 zusätzlich
weitere Verarbeitung des Einfügens
des durch die Benutzerauthentifikation erhaltenen Namens des Benutzers
in einen optionalen Teil des IP-Kopfteils durch. Der optionale Teil
ist ein Datenbereich, den ein Benutzer (ein Entwickler) willkürlich in
dem IP-Kopfteil benutzen kann.
-
Nach
dem Empfang des von dem Computer 101 am sendenden Ende gesendeten
IP-Pakets liest die Netzwerkschnittstellenvorrichtung 102 zuerst
den Namen des Benutzers und die IP-Adresse des Ziels, die in dem
IP-Paket enthalten ist (3, S301) und wählt dann
die SPD entsprechend dem Namen des Benutzers aus mehreren SPD pro
Benutzer 201 aus und durchsucht ferner die IP-Adresse des
Ziels 202 aus der SPD entsprechend dem Namen des Benutzers
gemäß der IP-Adresse
des Ziels (3, S302). Zusätzlich bestätigt die
Netzwerkschnittstellenvorrichtung 102, ob die entsprechende
IPSEC-Verarbeitung durchgeführt
wird oder nicht 203.
-
Wenn „ob die
IPSEC-Verarbeitung durchgeführt
wird oder nicht" 203 „NEIN" ist, das heißt, wenn die
Konfiguration ist, dass die IPSEC nicht durchgeführt wird, sendet die Netzwerkschnittstellenvorrichtung 102 das
empfangene IP-Paket zu der Netzwerkschnittstellenvorrichtung 103,
ohne die IPSEC-Verarbeitung durchzuführen (3, S303:
NEIN).
-
Wenn „ob die
IPSEC-Verarbeitung durchgeführt
wird oder nicht" 203 „JA" ist, das heißt, wenn
die Konfiguration ist, dass die IPSEC durchgeführt wird, liest die Netzwerkschnittstellenvorrichtung 102 die IP-Adresse 206 des
Kommunikationsendgeräts,
zu dem das IPSEC-Paket gesendet wird, und den Adressenzeiger 204,
der die Position der SA angibt, zusammen mit dem Lesen der entsprechenden
SA entsprechend dem Adressenzeiger 204 (3, S304).
Die SA im obigen wird durch IKE-Phase 2 eingerichtet, wie im Stand
der Technik.
-
Als
nächstes
präpariert
die Netzwerkschnittstellenvorrichtung 102 gemäß dem Inhalt
der SA die authentifizierten/verschlüsselten Daten aus dem IP-Paket durch Verwenden
des spezifischen Authentifikationsalgorithmus oder des spezifischen
Verschlüsselungsalgorithmus
(3, S305). Zusätzlich fügt die Netzwerkschnittstellenvorrichtung 102 die authentifizierten/verschlüsselten
Daten mit dem AH des Authentifikationskopfteils oder dem ESP des
Authentifikations-Verschlüsselungskopfteils
hinzu und ändert
dann die Adresse des Ziels in eine IP-Adresse des Kommunikationsendgeräts 206 um,
zu dem das IPSEC-Paket gesendet wird, und sendet diese dann über das
Internet 109 zu der Netzwerkschnittstellenvorrichtung 103 (3,
S306).
-
Die
nachfolgende Verarbeitung: nachdem die Netzwerkschnittstellenvorrichtung 103 bestimmt, ob
das empfangene IP-Paket ein IPSEC-Paket ist oder nicht, wird das
ursprüngliche
IP-Paket präpariert;
es ist dasselbe wie im Stand der Technik.
-
Wie
oben beschrieben ist es, da die SPD im voraus pro Benutzer konfiguriert
wird und die SA, die den Inhalt der gesicherten Kommunikation angibt, auf
der Basis der Informationen der Benutzerauthentifikation bestimmt
wird, möglich,
den Grad der gesicherten Kommunikation zu bestimmen, der für den des
Benutzers geeignet ist, ohne die herkömmlichen Vorrichtungen zu verderben.
-
In
dieser Ausführungsform
ist die Netzwerkschnittstellenvorrichtung so ausgelegt, dass sie
die IPSEC-Funktion aufweist, aber auch wenn der Computer 101 oder 104 die
IPSEC-Funktion enthält
und die gesicherte Kommunikation durchführt, besteht kein Problem.
-
Unter
den Bedingungen, dass die SA eingerichtet ist, wenn die dem Namen
des Benutzers entsprechende SPD durchsucht wird, die entsprechende
SPD nicht gefunden werden kann oder die der SPD entsprechende IP-Adresse
nicht gefunden werden kann (was in der Zeichnung nicht dargestellt
ist), kann zu diesem Zeitpunkt die folgende Konfiguration akzeptabel
sein, das heißt,
es kann die Nachricht angezeigt werden, die diese Bedeutung enthält, und das
IP-Paket kann dann ohne die Sicherheitsverarbeitung ausgesendet
werden, andernfalls kann die Netzwerkschnittstellenvorrichtung möglicherweise die
gesicherte Kommunikation nicht durchführen. Zusätzlich kann arrangiert werden,
dass die Netzwerkschnittstellenvorrichtung einen Benutzer fragt,
ob die Datenübertragung
erfolgt oder nicht. Wenn die Konfiguration auf der SPD vorbestimmt
ist, dass die IPSEC-Verarbeitung nicht durchgeführt wird, wird das IP-Paket
ohne Durchführung
der IPSEC-Verarbeitung weiter zu der IP-Adresse des Ziels gesendet.
-
Darüber hinaus
wird das Protokoll der gesicherten Kommunikation bei dieser Ausführungsform auf
IPSEC beschränkt.
Wenn die Netzwerkschnittstellenvorrichtung jedoch ein Mehrfachprotokoll
der gesicherten Kommunikation installiert, ermöglicht ein assoziierender Benutzer
Informationen mit dem Protokoll der gesicherten Kommunikation eine
ordnungsgemäße Benutzung
des Protokolls der gesicherten Kommunikation pro Benutzer. Deshalb
ist es möglich,
verschiedene Typen der gesicherten Kommunikation durchzuführen.
-
Zwischenzeitlich
wird bei dieser Ausführungsform
arrangiert, dass die jedem Benutzer entsprechende SPD durch das
IPSEC spezifiziert wird. Ähnlich
können
im Fall des von IPSEC verschiedenen Protokolls die SA oder die der
SA äquivalenten Informationen
spezifiziert werden, indem auf die den Benutzerauthentifikationsinformationen
entsprechende SPD oder auf die der SPD entsprechende Datenbank Bezug
genommen wird, und dadurch kann eine Reihe der Definitionsinformationsgruppe, wie
zum Beispiel der Authentifikationsalgorithmus und der Verschlüsselungsalgorithmus,
spezifiziert werden. Es ist allgemein, dass die SA abhängig von einem
Typ des Protokolls direkt spezifiziert werden kann, ohne auf die
SPD Bezug zu nehmen.
-
Es
kann im Fall von mehreren Benutzern arrangiert werden, dass, anstatt
die SPD pro Benutzer zu präparieren,
jede Gruppe, zu der ein Benutzer gehört, präpariert wird und der Grad der
gesicherten Kommunikation pro Gruppe geändert wird. In diesem Fall
sollen die Gruppeninformationen auch bei der Benutzeridentifikation
verwaltet werden, und mit Bezug auf die Gruppeninformationen können sie
die SPD spezifizieren.
-
Da
die Ausführungsform
konfiguriert, dass der durch Benutzerauthentifikation erhaltene
Name des Benutzers in dem Optionsteil des IP-Kopfteils eingefügt wird,
kann jedes IP-Paket dem Namen des Benutzers entsprechen. Zusätzlich kann
die folgende Konfiguration das IP-Paket mit dem Namen des Benutzers assoziieren:
wenn die Benutzerauthentifikation durchgeführt wird, informiert jeder
Computer eine Netzwerkschnittstellenvorrichtung über den Inhalt der Benutzerauthentifikation,
die Netzwerkschnittstellenvorrichtung speichert die Datenbank, die
den Namen des Benutzers jeweils mit dem Computer assoziiert.
-
[AUSFÜHRUNGSFORM 2]
-
Mit
Bezug auf 5 und 6 drückt die zweite
Ausführungsform
das Verfahren aus, das die Adresseninformationen der Anwendungsschicht
mit der SA assoziiert. Die Anwendungsschicht gibt die 7. Schicht
des OSI-Referenzmodells
an und bedeutet eine Anwendung, die die Kommunikation betrifft.
Es wird angenommen, dass die Internetadresseninformationen der Anwendungsschicht
einen Hostnamen oder eine Repräsentation
der URL (Uniform Resource Locator) enthalten, wodurch ein Hostname
und das Verbindungsprotokoll kombiniert werden. In Bezug auf die
Netzwerkschnittstellenvorrichtung wird, wie später erläutert werden wird, angenommen, dass,
auch wenn der Grad der gesicherten Kommunikation geändert wird,
die Änderung
widergespiegelt werden kann, ohne die Vorrichtung neu zu starten, wie
bei der ersten Ausführungsform.
-
Die
SPD 501, die eine Internetadresse benutzt (in 5)
enthält
mit einer Internetadresse 502, eine IP-Adresse des Ziels 503,
ob die IPSEC-Verarbeitung
durchgeführt
wird oder nicht 504, einen Adressenzeiger 505,
der die Position der SA angibt. Im Fall des Sendens von Daten zu
der IP-Adresse des
Ziels 503 enthält
die SPD 501 zusätzlich
eine IP-Adresse des Kommunikationsendgeräts, zu dem das IPSEC-Paket
gesendet wird. Die SPD 501 ist dieselbe wie die SPD 1701 im
Stand der Technik, mit der Ausnahme der Internetadresse 502.
Die Konfiguration der SAD, einschließlich der SA, die durch den Adressenzeiger 505 angegeben
wird, ist auch dieselbe wie die SAD 1801 im Stand der Technik.
Zusätzlich
speichert die Internetadresse 502 die folgenden Adressen,
konkret eine URL wie „http://abc.def.com", eine Emailadresse
wie „abc@def.com" und eine andere
Adresse des POP-Servers (Post Office Server) oder SMTP-Servers (Simple Mail
Transfer Protocol Server), die beim Senden und Empfangen von Emails
benutzt werden.
-
Gemäß 6 wird
ein Beispiel für
die materielle Operation bei der zweiten Ausführungsform in Bezug auf das
Assoziieren der Adresseninformationen der Anwendungsschicht mit
der SA erläutert. 6 ist
ein Blockschaltbild eines Kommunikationsendgeräts, wie zum Beispiel eines
Computers, zur Bestimmung der Konfiguration einer Netzwerkschnittstellenvorrichtung
mit der IPSEC-Funktion.
-
In 6 ist
ein Kommunikationsendgerät 608 mit
Steuermitteln 609, einem Display 601, einem Netzwerkschnittstellenvorrichtungs-Verwaltungsmittel 610 und
Eingabemitteln 611, Zeigemitteln 612 ausgestattet.
Die jeweilige Software, die später
beschrieben werden wird, wird durch das Steuermittel 609 oder
das Netzwerkschnittstellenvorrichtungs-Verwaltungsmittel 610,
wodurch das Steuermittel 609 zusammengestellt wird, ausgeführt. Die Repräsentation
der Informationen für
einen Benutzer, der das Kommunikationsendgerät 608 benutzt, wird durch
die Anzeigefunktion jeweiliger Software auf dem Display 601 ausgeführt.
-
Als
erstes führt
ein Benutzer die WEB-Browser-Software 602 aus, die eine
Anwendungssoftware ist, die die URL 603 der Adresseninformationen
der Anwendungsschicht durch Verwendung des Steuermittels 609 in
dem Kommunikationsendgerät 608 anzeigt.
-
Dann
führt der
Benutzer die Netzwerkschnittstellenvorrichtungs-Verwaltungsoftware 605 durch Verwendung
des Netzwerkschnittstellenvorrichtungs-Verwaltungsmittels 610 aus.
Die Netzwerkschnittstellenvorrichtungs-Verwaltungssoftware 605 ist
mit einer Funktion des Anzeigens eines Parametereingabefensters 606 und
einer Registrationsschaltfläche 607 ausgestattet
und das Parametereingabefenster 606 zeigt mehrere von der
Netzwerkschnittstellenvorrichtung unterstützte SA an. Die mehreren SA
unterscheiden sich durch den Authentifikationsalgorithmus und dem
Verschlüsselungsalgorithmus
voneinander, wobei dieser Unterschied den Grad der gesicherten Kommunikation
bestimmt. Die Netzwerkschnittstellenvorrichtung, die direkt mit dem
Display 601 verbunden ist, kann eine Funktion des Steuermittels 609 und
des Netzwerkschnittstellenvorrichtungs-Verwaltungsmittels 610 enthalten, andernfalls
kann ein Computer (zum Beispiel der Computer 101), der über Netzwerk
mit der Netzwerkschnittstellenvorrichtung verbunden ist, eine Funktion
des Steuermittels 609 und des Netzwerkschnittstellenvorrichtungs-Verwaltungsmittels 610 bereitstellen.
In diesem Fall wird die Operation durch den Computer ausgeführt, und
die Änderung
der Operation wird auf der Netzwerkschnittstellenvorrichtung durch
die Kommunikation widergespiegelt.
-
Ein
Benutzer, der die Konfiguration der Netzwerkschnittstellenvorrichtung
durchführen
wird, zieht die URL 603 als die auf dem Display 601 des
Kommunikationsendgeräts 608 angezeigten
Informationen durch Verwenden des Zeigemittels 612 und
lässt sie
auf einer gewünschten
Position der mehreren in dem Parametereingabefenster 606 angezeigten
SA los. Das Zeigemittel ist eine Einrichtung wie etwa eine Maus,
ein Trackball, ein Joystick, ein Touchpen und ein Finger; diese
werden auf einem Computer im Allgemeinen angewandt. Die Position
auf dem Display 601, die durch das Zeigemittel 612 angegeben wird,
wird als ein Zeiger der 604 repräsentiert. Diese Operation kann
deshalb die Adresseninformationen der Anwendungsschicht mit der
SA assoziieren. Danach klickt ein Benutzer auf die Registrationsschaltfläche 607,
und dadurch wird die Registrationsverarbeitung der Netzwerkschnittstellenvorrichtung
ausgeführt;
die Registrationsverarbeitung wird später beschrieben. Beim Klicken
auf die Registrationsschaltfläche 607 können die
Ausführung
der Konfiguration und die Aktualisierungsverarbeitung jedoch als
eine der folgenden ausgewählt
werden: die Verarbeitung wird durch Suspendieren der Kommunikation,
obwohl die Kommunikation abläuft,
durchgeführt;
die Verarbeitung wird sofort nach dem Ende der Kommunikation durchgeführt. Zusätzlich kann
in Bezug auf die Bestätigung
der Verbindung für
die gesicherte Kommunikation sie die Verbindung mit dem Ziel, das die
aktualisierte Konfiguration aufweist, am Start der Kommunikation
bestätigen,
oder die Bestätigung
der Verbindung kann sofort durchgeführt werden, was ausgewählt werden
kann.
-
Als
nächstes
wird gemäß 4, 5 und 7 die
Registrationsverarbeitung der Netzwerkschnittstellenvorrichtung
nach dem Ende der Operation des Benutzers wie später erläutert durchgeführt. Nachdem
der Benutzer, der die Netzwerkschnittstellenvorrichtung konfigurieren
wird, die SA mit den Adresseninformationen der Anwendungsschicht
assoziiert hat, speichert der Prozessor 401 der Netzwerkschnittstellenvorrichtung
zuerst die Adresseninformationen der Anwendungsschicht in der Internetadresse 502 der
SPD 501 in der Datenspeicherung 403 (7,
S701 bis S702).
-
Als
nächstes
setzt der Prozessor 401 die Adresseninformation durch DNS-Server (Domain Name
System Server) in die IP-Adresse um (7, S703).
Der DNS-Server ist unter der mit dem Internet verbundenen Konfiguration
im allgemeinen weithin im Gebrauch und als Reaktion auf die Anfrage
bezüglich
der Adresseninformationen, zum Beispiel als Reaktion auf die Zeichenkette „abc.def.com" antwortet der Server
mit der „abc.def.com" entsprechenden IP-Adresse.
Danach speichert der Prozessor 401 die umgesetzte IP-Adresse
in der IP-Adresse des Ziels 503 auf der SPD 501 und
speichert ferner in der SAD die IP-Adresse des Ziels, die Portnummer
des Ziels, die IP-Adresse des sendenden Endes, die Portnummer des
sendenden Endes und bzw. die Protokollnummer; diese sind für die Adresseninformationen 1804 notwendig,
die die in der Datenspeicherung 403 gespeicherte SAD 1801 bilden
(7, S704). Die Portnummer sowohl des sendenden
Endes als auch des Ziels und die Protokollnummer können per „http" bestimmt werden,
das zum Beispiel Teil der Adresseninformationen ist.
-
Nach
dem Präparieren
der notwendigen Informationen für
die SPD 501 und die SAD 1801 fordert das Sicherheitsauswahlmittel 408 der
Netzwerkschnittstellenvorrichtung den Benutzer auf, die Verbindungsbestätigung oder
nicht unter der Konfiguration durchzuführen (7, S705). Übrigens,
anstelle des Anfragens bei einem Benutzer, ob die Verbindungsbestätigung durchgeführt wird
oder nicht, kann es arrangiert werden, getrennt zu bestimmen, ob
die Bestätigung
der Verbindung automatisch durchgeführt wird oder nicht. Andernfalls
kann es arrangiert werden, dass die Bestätigung der Verbindung ausgeführt werden
soll, wenn das OK-Symbol bzw. die OK-Schaltfläche gedrückt wird, wobei diese zur Bestätigung der
Verbindung vorgesehen sind.
-
Die
Prozedur des Bestätigens
der Verbindung mit der IP-Adresse des Ziels wird gemäß IKE-Phase
1, IKE-Phase 2, und den Informationen der SPD 501 und der
SAD 1801, die neu registriert sind, wie im Stand der Technik
durchgeführt,
und das Ergebnis wird dem Benutzer mitgeteilt (7,
S705: JA bis S707). Die Prozeduren beenden die Verarbeitung des
Assoziierens der Adresseninformationen der Anwendungsschicht mit
der SA. Nach der Registration wird die gesicherte Kommunikation
gemäß der registrierten
SPD 501 und SAD 1801 durchgeführt.
-
Es
ist jedoch nicht immer notwendig, von einem Benutzer zu erfragen,
ob die Bestätigung
der Verbindung durchgeführt
wird oder nicht (konkret), sie kann aber automatisch ausgeführt werden.
Und wenn eine (später
beschriebene) Sicherheitsinformationsvorrichtung zwischen den Kommunikationsendgeräten vorgesehen
ist, ist es möglich,
die IP-Adresse des Kommunikationsendgeräts mit der IPSEC-Funktion automatisch
einzugeben.
-
Da
die SA gemäß den Adresseninformationen
registriert werden kann, die durch die Anwendung spezifiziert werden,
die im allgemeinen benutzt wird, kann sogar ein Benutzer ohne spezielle
Kenntnisse leicht die SA spezifizieren.
-
Das
Parametereingabefenster 606 kann, anstatt mehrere SA anzuzeigen,
zum Beispiel „hohe
Sicherheit", „mittlere
Sicherheit", „niedrige
Sicherheit" und „keine
Sicherheit" anzeigen,
und dadurch wird es für
einen Benutzer leicht, das Assoziieren der Adresseninformationen
mit der SA zu verstehen.
-
Die
zweite Ausführungsform
zeigt die Verarbeitung zum Assoziieren der Adresseninformationen mit
der SA im Fall von IPSEC; es muss jedoch nicht erwähnt werden,
dass im Fall des von IPSEC verschiedenen Protokolls dieselbe Verarbeitung
durchgeführt
wird.
-
Falls
die Assoziierungsverarbeitung zur selben Zeit der gesicherten Kommunikation
pro Benutzer, die in der ersten Ausführungsform beschrieben wird,
durchgeführt
wird, besteht kein Problem. Das Beispiel der SPD in diesem Fall
ist als die SPD 801 in 8 gezeigt.
-
[AUSFÜHRUNGSFORM 3]
-
Mit
Bezug auf 9, 10, 11, 12 und 13 wird
hier die Funktion der Sicherheitsinformationsvorrichtung bei der
dritten Ausführungsform
erläutert.
Die in 9 gezeigten jeweiligen Einrichtungen 101 und 111 sind
dieselben wie die in 1 gezeigten, und zusätzlich zu
dieser Konfiguration ist über
die Netzwerkschnittstellenvorrichtung 102 eine Sicherheitsinformationsvorrichtung 901 mit
dem Internet 109 verbunden. Die Netzwerkschnittstellenvorrichtung 902 muss
jedoch nicht immer die IPSEC-Funktion konkret enthalten, sondern kann
lediglich eine Vorrichtung sein, die einen illegalen Zugriff auf
die Sicherheitsinformationsvorrichtung 901 von außerhalb
verhindern kann.
-
Die
Sicherheitsinformationsvorrichtung 901 besitzt eine in 13(a) gezeigte Konfiguration. Das heißt, sie
ist mit einem Verwaltungsmittel 1301 für empfehlenswerte SA und mit
einem Speichermittel 1302 ausgestattet. Das Verwaltungsmittel 1301 für die empfehlenswerte
SA ist über
ein Sende- und Empfangsmittel 1304 mit der Netzwerkschnittstellenvorrichtung 902 verbunden.
Das Speichermittel 1302 speichert eine erste Datenbank 1101 zum
Durchsuchen einer empfehlenswerten SA (siehe 11) und eine
zweite Datenbank 1201 zum Durchsuchen einer empfehlenswerten
SA (siehe 12), und gegebenenfalls kann
das Verwaltungsmittel für
die empfehlenswerte SA diese lesen.
-
Wie
in 13(b) gezeigt, sind die Netzwerkschnittstellenvorrichtungen 102 und 103 mit
einem Sende- und Empfangsmittel 1308, mit einem Speichermittel 1309 und
einem Steuermittel 1305 ausgestattet. Das Steuermittel 1305 ist
ferner mit einem Anfragemittel 1306 und einem Antwortmittel 1307 ausgestattet.
-
Der
Computer 104 ist wie in 13(c) gezeigt
mit einem Sende- und Empfangsmittel 1312 und einem Antwortmittel 1311 ausgestattet.
Die Funktion jedes Mittels wird zu einem geeigneten Zeitpunkt beschrieben.
-
Die
erste Datenbank besteht aus der IP-Adresse des Ziels 1102,
der IP-Adresse des
Kommunikationsendgeräts 1103,
zu dem das IPSEC-Paket gesendet wird, ob die IPSEC-Verarbeitung
durchgeführt
wird oder nicht 1104 und dem Adressenzeiger 1105,
der die Position der SA anzeigt. In Bezug auf die IP-Adresse des
Ziels 1102 und die IP-Adresse des Kommunikationsendgeräte 1103,
zu dem das IPSEC-Paket gesendet wird, kann die Region der IP-Adresse
registriert werden. Die IP-Adresse des Kommunikationsendgeräts 1103,
zu dem das IPSEC-Paket gesendet wird, ist die des Kommunikationsendgeräts mit der
IPSEC-Funktion, das die IPSEC-Verarbeitung an der IP-Adresse 1102 durchführt.
-
12 zeigt
die zweite Datenbank 1201, die mehrere empfehlenswerte
SA speichert. Die empfehlenswerte SA ist eine, die von dem Kommunikationsendgerät des Ziels
mit der IPSEC-Funktion empfohlen wird oder die von dem dritten bestimmt
wird, wobei der Grad der gesicherten Kommunikation abhängig von
den vom Ziel bereitgestellten Diensten unterschiedlich ist. 10 ist
ein vereinfachtes Diagramm des Kommunikationssystems, wobei unnötige Einrichtungen
aus Einrichtungen in 9 weggelassen sind, um die dritte
Ausführungsform
zu erläutern.
Um die SA mit der Netzwerkschnittstellenvorrichtung 103 einzurichten,
die die IPSEC-Kommunikation starten wird, fragt gemäß 9 die
Netzwerkschnittstellenvorrichtung 102 bei der dritten Ausführungsform
die Sicherheitsinformationsvorrichtung 901 nach der empfehlenswerten
SA für
die IPSEC-Kommunikation ab. Die Einrichtung der SA zwischen den
Netzwerkschnittstellenvorrichtungen 102 und 103 wird
zum Beispiel durchgeführt,
wenn ein Benutzer die Netzwerkschnittstellenvorrichtungen 102 und 103 initialisiert,
wenn die Computer 101 und 104 die Kommunikation über die
Netzwerkschnittstellenvorrichtungen 102 und 103 starten
und so weiter. Falls die wünschenswerte
empfehlenswerte SA die SA jedoch trotz des Versuchs, die SA einzurichten,
nicht einrichten kann, gibt es die folgenden in Betracht zu ziehenden
Möglichkeiten:
Suspendieren des Sendens; Befragen eines Benutzers über den
Grund; Durchführen der
IPSEC-Kommunikation, nachdem die SA durch die von der empfehlenswerten
verschiedene SA eingerichtet wurde.
-
Wenn
die Computer 101 und 104 die Kommunikation über die
Netzwerkschnittstellenvorrichtungen 102 und 103 starten,
wird die Anfrage über die
empfehlenswerte SA folgendermaßen
durchgeführt.
-
Die
Netzwerkschnittstellenvorrichtung 102 empfängt das
zu dem Computer 104 zu sendende IP-Paket von dem Computer 101 über das
Sende- und Empfangsmittel 1308, und das Steuermittel 1305 liest
dann die in dem Speichermittel 1309 der Netzwerkschnittstellenvorrichtung 102 gespeicherte
SPD.
-
Wenn
zu diesem Zeitpunkt die SPD nicht die Informationen des Computers 104 enthält, fragt
die Netzwerkschnittstellenvorrichtung 102 die Sicherheitsinformationsvorrichtung 901 über die
empfehlenswerte SA für
die IPSEC-Kommunikation
durch Verwenden des Anfragemittels 1306 ab (10, S1001).
Es wird angenommen, dass die Adresse der Sicherheitsinformationsvorrichtung 901 im
Voraus in dem Speichermitel 1309 der Netzwerkschnittstellenvorrichtung 102 gespeichert
wird.
-
Bei
der Verarbeitung des Anfragens über
die empfehlenswerte SA sendet die Netzwerkschnittstellenvorrichtung 102 die
IP-Adresse des Computers 104 des Ziels zu der Sicherheitsinformationsvorrichtung 901.
Nach dem Empfang der IP-Adresse des Computers 104 durch
das Sende- und Empfangsmittel 1304 liest das Verwaltungsmittel 1301 für die empfehlenswerte
SA der Sicherheitsinformationsvorrichtung 901 die IP-Adresse des Ziels 1102 in
der ersten Datenbank 1101, die in dem Speichermittel 1302 gespeichert
ist, gemäß der IP-Adresse
des Computers 104 und erhält dann die IP-Adresse des
Kommunikationsendgeräts 1103,
zu dem das entsprechende IPSEC-Paket gesendet wird, ob die IPSEC-Verarbeitung durchgeführt wird
oder nicht 1104 und den Adressenzeiger 1105, der
auf die Position der SA zeigt.
-
Das
Verwaltungsmittel 1301 für die empfehlenswerte SA erhält ferner
die empfehlenswerte SA aus der zweiten Datenbank 1201,
die in dem Speichermittel 1302 gespeichert ist, gemäß dem Adressenzeiger 1105,
und sendet die empfehlenswerte SA dann zusammen mit der IP-Adresse
des Kommunikationsendgeräts 1103,
zu dem das IPSEC-Paket gesendet wurde, und ob die IPSEC-Verarbeitung durchgeführt wird
oder nicht 1104 zu der Netzwerkschnittstellenvorrichtung 102 (10,
S1002).
-
Die
IP-Adresse des Kommunikationsendgeräts 1103, zu dem das
IPSEC-Paket gesendet
wird, speichert die IP-Adresse der Netzwerkschnittstellenvorrichtung 103,
die im Voraus gespeichert wurde. Es muss nicht erwähnt werden,
dass die Anzahl der zurückzusendenden
empfehlenswerten SA mehrfach sein kann.
-
Nach
dem Empfang der empfehlenswerten SA, der IP-Adresse des Kommunikationsendgeräts 1103,
zu dem das empfangene IPSEC-Paket gesendet wird, und ob die IPSEC-Verarbeitung
durchgeführt
wird oder nicht 1104, richtet das Steuermittel 1305 der
Netzwerkschnittstellenvorrichtung 102 als nächstes die
SA wie im Stand der Technik beschrieben mit der Netzwerkschnittstellenvorrichtung 103 gemäß der IP-Adresse
des Kommunikationsendgeräts, 1103,
zu dem das empfangene IPSEC-Paket gesendet wird, ein und schlägt die empfehlenswerte SA
dann als eine Kandidaten-SA durch die IKE-Phase 2 vor (10,
S1003).
-
Wenn
die empfangene empfehlenswerte SA die IPSEC-Kommunikation herstellen
kann, gibt die Netzwerkschnittstellenvorrichtung 103 die
empfehlenswerte SA an die Netzwerkschnittstellenvorrichtung 102 zurück. Danach
ist die Herstellung der Kommunikation abgeschlossen (10,
S1004).
-
Da
die Netzwerkschnittstellenvorrichtung 102 bei der Sicherheitsinformationsvorrichtung 902 über die
empfehlenswerte SA anfragt, ist es deshalb dadurch möglich, die
SA zu erhalten, die mit einem Gegner der Sicherheit kommunizieren
kann, und die IPSEC-Kommunikation
durch die empfehlenswerte SA durchzuführen.
-
Übrigens
muss beachtet werden, dass, obwohl die Netzwerkschnittstellenvorrichtung 102 über die
empfehlenswerte SA für
die IPSEC anfragt, die erste Datenbank der Sicherheitsinformationsvorrichtung
die entsprechende IP-Adresse nicht registriert hat (10,
S1001).
-
In
diesem Fall fragt das Verwaltungsmittel 1301 für die empfehlenswerte
SA der Sicherheitsinformationsvorrichtung 901 bei dem entsprechenden Computer 104 über die
Kandidaten-SA an, die für
die gesicherte Kommunikation notwendig ist (10, S1005).
-
Der
Computer 104, der die Anfrage empfängt, gibt der Sicherheitsinformationsvorrichtung 901 durch
Verwenden des Antwortmittels 1311 die IP-Adresse der Netzwerkschnittstellenvorrichtung 103 mit
der IPSEC-Funktion zurück,
die im voraus in dem Computer 104 registriert wurde (10, S1006).
-
Das
Verwaltungsmittel für
die empfehlenswerte SA des Sicherheitsinformationsmittels 901, das
die IP-Adresse der Netzwerkschnittstellenvorrichtung 103 mit
der IPSEC-Funktion empfangen hat, fragt dann bei der Netzwerkschnittstellenvorrichtung 103 über die
Kandidaten-SA an
(10, S1007). Das Steuermittel 1305 der
Netzwerkschnittstellenvorrichtung 103, die die Anfrage
empfängt,
sendet die in dem Speichermittel 1309 der Netzwerkschnittstellenvorrichtung 103 gespeicherte
Kandidaten-SA durch Verwenden des Antwortmittels 1307 zu
der Sicherheitsinformationsvorrichtung 901 (10, S1008).
-
Das
Verwaltungsmittel 1301 für die empfehlenswerte SA der
Sicherheitsinformationsvorrichtung 901, das die Kandidaten-SA
empfängt,
registriert die Kandidaten-SA in der zweiten Datenbank und registriert
gleichzeitig in der ersten Datenbank 1101 die für die Anfrage
an die Netzwerkschnittstellenvorrichtung 102 verwendete
IP-Adresse, den Adressenzeiger 1105, der die Position der
Kandidaten-SA angibt, die IP-Adresse
des Kommunikationsendgeräts 1103,
zu dem das IPSEC-Paket gesendet wird, und ob die IPSEC-Verarbeitung
durchgeführt
wird oder nicht 1104. Und die empfehlenswerte SA wird durch
das Sende- und Empfangsmittel 1304 zusammen mit der IP-Adresse
des Kommunikationsendgeräts 1103,
zu dem das IPSEC-Paket gesendet wird, und ob die IPSEC-Verarbeitung
durchgeführt
wird oder nicht 1104 zurück der Netzwerkschnittstellenvorrichtung 102 (10,
S1002).
-
Wenn
der Computer 104, der die Anfrage empfängt, jedoch die IP-Adresse
der Netzwerkschnittstellenvorrichtung 103 nicht registriert
hat oder wenn das System nicht mit einem Kommunikationsendgerät mit der
IPSEC-Funktion ausgestattet
ist, oder wenn das System nicht mit dem Antwortmittel 1311 ausgestattet
ist, sendet der Computer 104 die Bedeutung zurück oder
antwortet nichts an die Sicherheitsinformationsvorrichtung 901.
Die Sicherheitsinformationsvorrichtung 901, die die Antwort oder
nichts empfängt,
benachrichtigt die Netzwerkschnittstellenvorrichtung 102 über die
Bedeutung und registriert zwischenzeitlich die IP-Adresse des Computers 104 in
der IP-Adresse des Ziels 1102, der ersten Datenbank 1101 und ändert dann „ob die
IPSEC-Verarbeitung durchgeführt
wird oder nicht" 1104 in „NEIN" um. In diesem Fall
kann das Steuermittel 1305 der Netzwerkschnittstellenvorrichtung 102 einen
den Computer 101 benutzenden Computer darüber benachrichtigen,
dass die gesicherte Kommunikation nicht starten kann oder die Kommunikation nicht
durchgeführt
wird.
-
Im
Fall der bidirektionalen Kommunikation werden durch IKE-Phase 2
wie im Stand der Technik zwei der unabhängigen SA registriert. Wenn IKE-Phase 2 die SA auf
der Basis der Anforderung der Netzwerkschnittstellenvorrichtung 102 einrichtet, kann
das Steuermittel 1305 der Netzwerkschnittstellenvorrichtung 103 deshalb
bei der Sicherheitsinformationsvorrichtung 901 über die
empfehlenswerte SA für
die Netzwerkschnittstellenvorrichtung 102 anfragen (10,
S1009).
-
Wenn
die erste Datenbank 1101 der Sicherheitsinformationsvorrichtung 901 die
empfehlenswerte SA für
die Netzwerkschnittstellenvorrichtung 102 nicht registriert
hat, fragt das Verwaltungsmittel 1301 für die empfehlenswerte SA der
Sicherheitsinformationsvorrichtung 901 bei der Netzwerkschnittstellenvorrichtung 102 über die
Kandidaten-SA an (10, S1010 bis S1011). Danach
wird die Antwort auf die Anfrage zu der Netzwerkschnittstellenvorrichtung 103 gesendet
(10, S1012). Da diese Sequenz dieselbe wie die
obigen Schritte von S1001 bis S1002 und von S1007 bis S1008 ist,
wird die Erläuterung
hier weggelassen.
-
Da
das System mit einer Sicherheitsinformationsvorrichtung ausgestattet
ist, kann ein Benutzer wie oben beschrieben die richtige SA bestimmen, ohne
den Grad der gesicherten Kommunikation des Ziels zu berücksichtigen.
Wenn zum Beispiel der Dritte die Sicherheitsinformationsvorrichtung
verwaltet, ist es zusätzlich
möglich,
den Grad der gesicherten Kommunikation je nach durch das Ziel bereitgestellten
Dienstinhalten oder je nach Adresse des Ziels zu optimieren. Darüber hinaus
kann die Sicherheitsinformationsvorrichtung die empfehlenswerte
SA durch automatisches Abfragen des entsprechenden Kommunikationsendgeräts über die
Kandidaten-SA und anschließendes
Sammeln der Inhalte zentral verwalten, wodurch jedes Kommunikationsendgerät mit der IPSEC-Funktion
Kandidaten für
die empfehlenswerte SA erhalten kann, indem lediglich bei der Sicherheitsinformationsvorrichtung
angefragt wird. Insbesondere im Fall eines Netzwerks mit großem Maßstab, das die
IPSEC-Kommunikation auf diese Weise benutzt, sind mehrere Firmen über Router
mit IPSEC-Funktion verbunden und dieses System ist für einen
Benutzer leicht, um das Kommunikationsendgerät für die gesicherte Kommunikation
zu konfigurieren, und dadurch ist es effektiv, die Verantwortung
des Administrators oder des Benutzers zu reduzieren.
-
Die
durch die Sicherheitsinformationsvorrichtung bei der vorliegenden
Erfindung gespeicherte Datenbank ist in zwei Teile aufgeteilt, es
ist aber nicht immer notwendig, die Datenbank konkret zu unterteilen.
Die Sicherheitsinformationsvorrichtung kann so ausgelegt werden,
dass sie wenn möglich
eine Datenbank zur Ausführung
der Funktion aufweist. Zusätzlich
kann die Datenbank nicht nur die oben erwähnten Posten speichern, sondern
auch die notwendigen Informationen für die anderen SA.
-
Der
Sicherheitsinformationsvorrichtung kann die Funktion des Radius-Servers hinzugefügt werden (Remote
Authentication Dial-IN User Server), wodurch die Sicherheitsinformationsvorrichtung
die durch IKE ausgetauschten Schlüsselinformationen und die der
SA entsprechenden SPI-Informationen alle zusammen verwalten und
diese Informationen dann bereitstellen kann.
-
Falls
jeder Computer die IPSEC-Funktion enthält, kann der Computer bei der
Sicherheitsinformationsvorrichtung wie bei der Netzwerkschnittstellenvorrichtung
anfragen.
-
Als
die IP-Adresse des Ziels und die IP-Adresse des Kommunikationsendgeräts, zu dem das
IPSEC-Paket gesendet wird, wird die IP-Adresse benutzt, es besteht
jedoch keine Beschränkung
darauf. Bei der Adresse kann es sich um Informationen handeln, die
das Kommunikationsendgerät
des Ziels spezifizieren können,
wie zum Beispiel ein Computername, eine MAC-Adresse (Media Access
Control Address), eine Telefonnummer und so weiter.
-
Die
dritte Ausführungsform
kann als Kombination mit der ersten Ausführungsform benutzt werden.
In diesem Fall können
das Steuermittel 1305 und das Speichermittel 1309 zu
dem Sicherheitstypauswahlmittel 408 werden, und das Sende-
und Empfangsmittel 1308 kann zu der Netzwerksteuerung 406 und
der Schaltungssteuerung 407 werden.