DE60121101T2

DE60121101T2 - Gesichtertes Kommunikationsverfahren, gesichtertes Kommunikationssystem und Gerät

Info

Publication number: DE60121101T2
Application number: DE60121101T
Authority: DE
Inventors: Masashi Osaka-Shi Yamaguchi; Yutaka Osaka-shi TANAKA; Hiroki Kusatsu-shi Yamauchi; Yusaku Neyagawa-shi Ota
Original assignee: Matsushita Electric Industrial Co Ltd
Current assignee: Panasonic Corp
Priority date: 2000-04-12
Filing date: 2001-04-11
Publication date: 2006-12-07
Anticipated expiration: 2021-04-12
Also published as: EP1170927A2; EP1170927A3; KR20010098513A; US20010042201A1; EP1170927B1; EP1418728A1; JP2001298449A; EP1418728B1; DE60121101D1; DE60121483T2; CN1317899A; DE60121483D1

Description

Die Erfindung betrifft ein Verfahren der gesicherten Kommunikation und insbesondere ein Verfahren der gesicherten Kommunikation, ein System der gesicherten Kommunikation und Vorrichtungen dafür, wodurch es ermöglicht wird, notwendigenfalls einen Sicherheitstyp zu ändern.
Ein Personal Computer und die Internet-Technologie verbreiten sich plötzlich weltweit, so dass es leicht sein könnte, durch im Internet veröffentlichte Homepages billig Informationen bereitzustellen und zu sammeln. Die Popularisierung dieser Technologien ist nicht dort geblieben, sondern es ist allgemein, dass der Austausch von Email über das Internet oder Intranet zwischen Firmen zusammen mit e-commerce (elektronischem Handel) und dem elektronischen Geldtransfersystem (EFTS) mit Hilfe solcher Dienste weithin in Gebrauch kommt. Im Fall der Verwendung solcher Dienste ist das wichtigste, dass die Sicherheit für die Kommunikation einschließlich bestimmter wichtiger Informationen wie die der fest zugeordneten Leitung sichergestellt werden muss.
Verschiedene Formen von Internet-Sicherheitsarchitektur werden in Molva R: „Internet security architecture" Computer Networks, Elsevier Science Publishers B.V., Amsterdam, NL, Band 31, Nr. 8, 23.4.1999, Seiten 787–804, besprochen. Dies bespricht die derzeitigen für die Internet-Infrastruktur als Alternative zur physischen Trennung verfügbaren kryptographischen Sicherheitsmaßnahmen.
Andere Dokumente in Bezug auf Internet-Sicherheit sind Shoblick R: „Security Association & Key Management" Funkschau, Franzis-Verlag K.G. München, DE, Band 73, Nr. 6, 3.3.2000, Seiten 53–54, und Maughan et al.: „Network Working roup RFC 2408 Standards Track" IETF Request for comments, XX, XX, November 1998, Seiten 1–86.
Da die Technologie zur Sicherstellung der obigen Sicherheit wie zum Beispiel die Sicherheitskommunikationstechnologie wie etwa das virtuelle private Netzwerk (VPN) Aufmerksamkeit auf sich gezogen hat, ist das VPN eine Technologie, die das großflächige Netzwerk als ein virtuelles privates Netzwerk betrachtet. Es gibt ein Tunnelungsprotokoll, das eine Verbindungsprozedur der Sicherheitskommunikation zur Ausführung des VPN ist, nämlich L2F (Schicht-2-Weiterleitung), PPTP (Punkt-zu-Punkt-Tunnelungsprotokoll), L2TP (Schicht-2-Tunnelungsprotokoll), ATMP (Ascend-Tunnel-Verwaltungsprotokoll), BayDVS (Bay-Stream-Wähl-VPN-Dienst) und IPSEC (Internet-Protokoll-Sicherheitsprotokoll) können vorgeschlagen werden. Durch Verwendung dieser Protokolle für die gesicherte Kommunikation ist es möglich, die Sicherheit der Kommunikation und so weiter im großflächigen Netzwerk, in dem Dritte die Kommunikation anzapfen können, sicherzustellen.
Von diesen Technologien ist IPSEC ein Sicherheitsprotokoll, das die Authentifikation und die Verschlüsselung auf der Netzwerkschicht (der dritten Schicht des OSI-Referenzmodells) durchführt, und es wird von der Internet Engineering Task Force (IETF) standardisiert (RFC 2401 bis 2412 und 2451). Eine Verbindung mit dem Internet über einen Computer oder einen Router einer Netzwerkschnittstellenvorrichtung mit der IPSEC-Funktion kann das VPN konfigurieren. Anders ausgedrückt kann ein Benutzer das Internet sicher benutzen, ohne einen Typ von Netzwerk zu betrachten. Wenn ein Benutzer damit beginnt, die Kommunikation unter Verwendung des IPSEC durchzuführen, ist es zusätzlich notwendig, im voraus die Anpassung in Bezug auf den Typ des Authentifikationsalgorithmus oder Verschlüsselungsalgorithmus, den Typ des Verschlüsselungsschlüssels und so weiter zwischen Computern oder Netzwerkschnittstellenvorrichtungen mit der IPSEC-Funktion sowohl am sendenden Ende als auch am empfangenden Ende zu bestätigen. Die Interkommunikation zum Anpassen des Authentifikationsalgorithmus oder des Verschlüsselungsalgorithmus wird als die Verbindung für die gesicherte Kommunikation bezeichnet. Beim IPSEC kann die Sicherheitsassoziation (SA) die Verbindung ausführen. Die SA, die ein Grundrahmen zur Bereitstellung sowohl einer Funktion der Authentifikation als auch des Austauschs gesicherter Nachrichten bereitstellt, stellt den Kontext der Kommunikation her und definiert bestimmte Aspekte der Sicherheit für die Kommunikation.
Das Verfahren, das herkömmliches IPSEC als gesicherte Kommunikation verwendet, wird folgendermaßen gemäß 14, 15, 17 und 18 erläutert. Ein Kommunikationsendgerät kann in der Erläuterung eine Netzwerkschnittstellenvorrichtung und einen Computer umfassen.
14 zeigt ein Blockschaltbild eines herkömmlichen Netzwerksystems, das das VPN-Netzwerk durch Verwendung von Routern mit der IPSEC-Funktion als die gesicherte Kommunikation bildet. 15 ist ein Diagramm der. Verbindungsprozeduren für die gesicherte Kommunikation zwischen Netzwerkschnittstellenvorrichtungen mit der IPSEC-Funktion. 17 zeigt ein Beispiel für die Sicherheitsrichtliniendatenbank (SPD) im Stand der Technik, wodurch die Verarbeitungsrichtlinie des IPSEC bestimmt wird. 18 zeigt ein Beispiel für die Sicherheitsassoziierungsdatenbank (SAD) im Stand der Technik. Die SPD ist eine Datenbank, die die Sicherheitsrichtlinie erstellt. Sicherheitsrichtlinie bedeutet die Zugangsregulierungen zu einem System, in dem die Sicherheit sichergestellt wird, wozu im Allgemeinen Sicherheitsanforderungen, Sicherheitsrisiken und Sicherheitsmessmittel gehören. Im Fall eines Systems, das die Sicherheit zwischen Kommunikationsendgeräten sicherstellt, wird die SPD mit Informationen zum Unterscheiden des Kommunikationsendgeräts des Ziels, das die Sicherheit verwendet, und zum Bestimmen, ob die Sicherheit auf die Kommunikation angewandt werden soll oder nicht, ausgestattet. Beim IPSEC wird die Sicherheitsrichtlinie auf der SPD beschrieben, während die Inhalte der SPD, wie zum Beispiel IP-Adresse des Kommunikationsendgeräts an einem Ziel, ob die IPSEC-Verarbeitung durchgeführt wurde oder nicht und die eine Speicherposition der SA, an der der Inhalt des Authentifikationsalgorithmus oder Verschlüsselungsalgorithmus beschrieben wird, bereitgestellt werden.
Ein Computer 1401 ist über ein lokales Netzwerk (LAN) 1407 mit einem anderen Computer 1405 und einer Netzwerkschnittstellenvorrichtung 1402 verbunden und gleichzeitig mit einem externen Internet 1409 oder WAN, wie zum Beispiel einem die Netzwerkschnittstellenvorrichtung 1402 durchlaufenden Intranet, verbunden. Das Internet 1409 ist über andere Netzwerkschnittstellenvorrichtungen 1403 mit dem LAN 1408 verbunden, das mit den Computern 1404 und 1406 verbunden ist. Die Netzwerkschnittstellenvorrichtungen 1402 und 1403 sind eine Firewall oder eine für VPN zugewiesene Vorrichtung, wie zum Beispiel ein Router, eine Gateway oder ein Proxy-Server. In diesem System kann der Computer 1401 ein Endgerät sein, das Kommunikationsfunktionen enthält, wie etwa ein Personal Computer, eine Workstation, ein Server, ein Personal Computer mit Notebook-Größe, ein IP-Telefon, ein IP-TV-Telefon oder ein IP-Mobiltelefon.
Es wird angenommen, dass die Netzwerkschnittstellenvorrichtungen 1402 und 1403 die IPSEC-Funktion enthalten und die Kommunikation auf der Basis von IPSEC zwischen ihnen durchgeführt wird. Wenn die Computer 1401 und 1404 die IPSEC-Funktion enthalten, ist es zusätzlich auch möglich, die Kommunikation auf der Basis von IPSEC zwischen ihnen auszuführen. Darüber hinaus ist es auch möglich, die Kommunikation auf der Basis von IPSEC zwischen dem Computer 1401 mit der IPSEC-Funktion und der Netzwerkschnittstellenvorrichtung 1403 mit der IPSEC-Funktion auszuführen.
Wenn der Computer 1401 über das Internet 1409 Daten zu dem Computer 1404 sendet, ist es notwendig, im Voraus die Verbindung zwischen den Netzwerkschnittstellenvorrichtungen 1402 und 1403 für die gesicherte Kommunikation durchzuführen. Das Verbinden für die gesicherte Kommunikation wird folgendermaßen erläutert.
Vor dem Beginnen der IPSEC-Kommunikation wird Internet-Schlüsselaustausch (IKE) als Protokoll zum Austausch des Verschlüsselungsschlüssels des IPSEC verwendet. Die Kommunikation unter Verwendung von IKE kann unter Austeilung einer IKE-Phase 1 und einer IKE-Phase 2, die zwischen den Netzwerkschnittstellenvorrichtungen 1402 und 1403 durchgeführt wird, erläutert werden. Es kann eingerichtet werden, dass der Geheimschlüssel manuell ausgetauscht wird, ohne das automatische Schlüsselaustauschen von IKE zu benutzen.
IKE-Phase 1 (1501) kann die Informationen zur Herstellung der verfügbaren SA für die sichere Kommunikation von IKE selbst austauschen. SA bedeutet hier eine Reihe von Gruppen von Definitionsinformationen, einschließlich des Authentifikationsalgorithmus, des Authentifikationsparameters, des Verschlüsselungsalgorithmus, des Verschlüsselungsparameters und so weiter.
Als nächstes tauscht IKE-Phase 2 die Informationen über SA für IPSEC-Kommunikation gemäß der durch IKE-Phase 1 hergestellten SA aus. Ein Beispiel für die SA für die IPSEC-Kommunikation ist in 18 gezeigt. In 18 zeigt die SAD 1801 mehrere SA und enthält SA-1 (1802) bis SA-M (1803). Jede SA enthält Adresseninformationen (1804), SPI (1805) als Indexinformationen (Sicherheitsparameterindex) und den SAP (1806) als einen Sicherheitsparameter. Die Adresseninformationen (1804) umfassen die IP-Adresse des Ziels, die Portnummer des Ziels, die IP-Adresse des sendenden Endes, die Portnummer des sendenden Endes, die Protokollnummer und so weiter. Die SPI verwendet die Pseudozufallszahlen. Der SAP 1806 speichert die direkten Informationen, die mit dem Grad der gesicherten Kommunikation, wie etwa dem Authentifikationsalgorithmus, dem Verschlüsselungsalgorithmus und dem Verschlüsselungsschlüssel, assoziiert sind. Zum Beispiel enthält SAP-1 HMAC-MD5 als Authentifikationsalgorithmus andererseits DES-CBC als den Verschlüsselungsalgorithmus.
Der Austausch von Informationen über die SA für die IPSEC-Kommunikation wird durch IKE-Phase 2 (1502) durchgeführt, die hier konkret erläutert wird. Die Netzwerkschnittstellenvorrichtung 1402 sendet die Vorschlagskomponente der SA, die auf die IPSEC-Kommunikation angewandt wird, zu der Netzwerkschnittstellenvorrichtung 1403, die Netzwerkschnittstellenvorrichtung 1403 sendet als Reaktion darauf eine akzeptable SA unter den Vorschlägen zurück. Zu diesem Zeitpunkt wird die Vorschlagskomponente der SA durch Verwendung des Authentifikationsalgorithmus oder des Verschlüsselungsalgorithmus, der zuvor in der Datenspeicherung 2103 der Netzwerkschnittstellenvorrichtung 1402 gespeichert wurde, gebildet. Die Datenspeicherung 2103 wird später erläutert. Der Typ des Authentifikationsalgorithmus oder des Verschlüsselungsalgorithmus, der in der Netzwerkschnittstellenvorrichtung 1402 enthalten ist, hängt von der Art von Netzwerkschnittstellenvorrichtung ab. Daneben ist es möglich, die SA vorzubestimmen, die die Netzwerkschnittstellenvorrichtung 1402 vorschlagen soll.
Gemäß der oben beschriebenen Antwortverarbeitung der SA wird die auf die IPSEC-Kommunikation anzuwendende SA eingerichtet. Die Informationen der eingerichteten SA, die auf die IPSEC-Kommunikation angewandt wird, werden in der SAD 1801 in 18 und in der SPD 1701 in 17 gespeichert. Die Konfiguration der SPD 1701 lautet wie folgt: IP-Adresse des Ziels 1702; ob die IPSEC-Verarbeitung durchgeführt wurde oder nicht 1703; Adressenzeiger 1704, der die Position jeder SA in der SAD 1801 angibt; und IP-Adresse 1705 des Kommunikationsendgeräts oder Ziels, zu dem das IPSEC-Paket gesendet wird, im Fall des Sendens von Daten zu der IP-Adresse des Ziels 1702. Zu diesem Zeitpunkt ist die IP-Adresse 1705 konkret die IP-Adresse der Netzwerkschnittstellenvorrichtung 1403. Wenn das Kommunikationsendgerät an der Quelle die IPSEC-Funktion enthält, ist die IP-Adresse 1702 dieselbe wie die obige IP-Adresse 1705. Zusätzlich ist es möglich, den Bereich bezüglich der IP-Adressen des Ziels 1702 und 1705 zu designieren. Das Designieren des Bereichs bedeutet die Designierung von „192.168.1.1." bis „192.168.1.100" durch Verwendung der IP-Adressen, und dadurch kann einerseits die Bereichsdesignierung zum Senden von Daten zu 100 Einheiten von Kommunikationsendgeräten instruieren. Da die unidirektionale Kommunikation eine SA erfordert, werden im Fall der bidirektionalen Kommunikation unabhängige SAs auf den Netzwerkschnittstellenvorrichtungen 1402 bzw. 1403 registriert.
Nach der Einrichtung der auf die IPSEC-Kommunikation angewandten SA fügt der Computer 1401 einen IP-Kopfteil zu den von dem Computer an dem sendenden Ende 1401 zu dem Computer 1404 zu sendenden Daten hinzu und sendet sie dann als IP-Paket über das LAN 1407 in Richtung der Netzwerkschnittstellenvorrichtung 1402. Die Netzwerkschnittstellenvorrichtung 1402 führt später beschriebene IPSEC-Verarbeitung durch und sendet dann das IP-Paket als IPSEC-Paket 1503 in Richtung der Netzwerkschnittstellenvorrichtung 1403. Die Netzwerkschnittstellenvorrichtung 1403, die das IPSEC-Paket 1503 empfangen hat, setzt durch die IPSEC-Verarbeitung in IP-Paket um, das über das LAN 1408 zu dem Computer 1404 gesendet wird. Anders ausgedrückt kann auf der Kommunikation zwischen den Netzwerkschnittstellenvorrichtungen 1402 und 1403, die über das Internet 1409 miteinander verbunden sind, das IPSEC die Sicherheit der von dem Computer 1401 am sendenden Ende zu dem Computer 1404 gesendeten Daten sicherstellen.
Mit Bezug auf 14, 16, 19 und 20 wird die durch die Netzwerkschnittstellenvorrichtungen 1402 und 1403 durchgeführte IPSEC-Verarbeitung ausführlich beschrieben. 16 ist eine Detailansicht des Formats des Authentifikationskopfteils (AH) und des Kopfteilformats des Verkapselungssicherheitsnutzsignals (ESP). 19 ist ein Flussdiagramm der durch die Netzwerkschnittstellenvorrichtung am sendenden Ende durchgeführten IPSEC-Verarbeitung, während 20 ein Flussdiagramm der durch die Netzwerkschnittstellenvorrichtung am empfangenden Ende durchgeführten IPSEC-Verarbeitung ist.
Die SPD und die SAD, die später erläutert werden, werden in jeweiliger Datenspeicherung 2103 der Netzwerkschnittstellenvorrichtung gespeichert. Das in 19 und 20 gezeigte „S" bedeutet einen Schritt der Verarbeitung.
Beim Empfangen des von dem Computer 1401 am sendenden Ende gesendeten IP-Pakets liest die Netzwerkschnittstellenvorrichtung 1402 die IP-Adresse des Ziels des IP-Pakets (19, S1901). Zusätzlich findet gemäß der IP-Adresse des Ziels des IP-Pakets die Netzwerkschnittstellenvorrichtung 1402 die dem empfangenen IP-Paket entsprechenden Informationen aus dem Feld der IP-Adresse des Ziels der in der Netzwerkschnittstellenvorrichtung 1402 gespeicherten SPD 1701 heraus. Die Informationen umfassen die IP-Adresse des Ziels 1705, ob die IPSEC-Verarbeitung durchgeführt wurde oder nicht 1703 und den Adressenzeiger 1704, der die Position der SA angibt, derjenigen in Bezug auf das Ziel, zu dem das entsprechende IPSEC-Paket gesendet wird (19, S1902).
Im Fall der Konfiguration, dass die IPSEC-Verarbeitung nicht durchgeführt wird, das heißt, wenn „ob die IPSEC-Verarbeitung durchgeführt wird oder nicht" 1703 NEIN ist, wird das empfangene IP-Paket ohne die Verarbeitung zu der Netzwerkschnittstellenvorrichtung 1403 gesendet (19, S1903-NEIN).
Im Fall der Konfiguration, dass die IPSEC-Verarbeitung durchgeführt wird, das heißt, wenn „ob die IPSEC-Verarbeitung durchgeführt wird oder nicht" 1703 JA ist, liest nach dem Durchsuchen der SAD 1801 gemäß dem Adressenzeiger 1704, der die Position der SA angibt, die Netzwerkschnittstellenvorrichtung 1402 den Inhalt der entsprechenden SA (19, S1903-JA bis S1905). Die SA wurde durch IKE-Phase 2 eingerichtet (1502). Als nächstes präpariert die Netzwerkschnittstellenvorrichtung 1402 gemäß dem Inhalt der SA zum Beispiel die authentifizierten/verschlüsselten Daten auf der Basis des IP-Pakets durch Verwendung von HMAC-MD5 als Authentifikationsalgorithmus und DES-CBC als Verschlüsselungsalgorithmus (19, S1905). Zusätzlich fügt die Netzwerkschnittstellenvorrichtung 1402 einen Authentifikationskopfteil AH oder einen Authentifikations-/Verschlüsselungskopfteil ESP zu den authentifizierten/verschlüsselten Daten hinzu, wobei die Daten zu einem IP-Paket (IPSEC-Paket 1503) werden, das durch die IPSEC-Verarbeitung verarbeitet wird (19, S1906). AH und ESP enthalten die SPI 1805, die die SA zusammenstellt, die durch IKE-Phase 2 eingerichtet wird. Danach wird das IPSEC-Paket 1503 über das Internet 1409 zu der Netzwerkschnittstellenvorrichtung 1403 gesendet, die durch die IP-Adresse 1705 der SPD 1701 angegeben wird. Übrigens gibt es zwei Arten der IPSEC-Verarbeitung: einen „Tunnelmodus" und einen „Transportmodus". Die vorgeschriebene Beschreibung bezieht sich auf den Tunnelmodus, bei Verwendung des Transportmodus wird die Verschlüsselungsverarbeitung jedoch nicht an der IP-Adresse des IP-Pakets ausgeführt. Darüber hinaus ist es möglich, Transportmodus oder Tunnelmodus willkürlich zu wählen. Die detaillierte Ansicht des AH-Formats und des ESP-Kopfteilformats sind in 16(a) und 16(b) bezeigt.
Beim nächsten Schritt bestimmt die Netzwerkschnittstellenvorrichtung 1403, ob das empfangende IP-Paket ein IPSEC-Paket ist oder nicht (20, S2001).
Wenn das empfangende IP-Paket jedoch kein IPSEC-Paket ist, wird das Paket ohne Verarbeitung über das LAN 1408 zu dem Computer 1404 gesendet (20, S2001-NEIN).
Wenn dagegen das empfangene IP-Paket ein IPSEC-Paket ist, wird die folgende Verarbeitung durchgeführt (20, S2001-JA). Das heißt, die Netzwerkschnittstellenvorrichtung 1403 durchsucht zuerst den AH oder den ESP-Kopfteil in dem IPSEC-Paket und liest die in dem AH oder ESP-Kopfteil enthaltene SPI (20, S2002). Als nächstes durchsucht die Netzwerkschnittstellenvorrichtung 1403 die in der Netzwerkschnittstellenvorrichtung 1403 gespeicherte SAD gemäß der SPI und liest dann den Inhalt der SA entsprechend der SPI – die SA ist die durch die IKE-Phase 2 eingerichtete (20, S2003). Dadurch kann die durch die IKE-Phase 2 eingerichtete SA ausgelesen werden. Wenn dagegen im Schritt S2002 keine entsprechende SPI vorliegt, wird die Nachricht mit dieser Bedeutung für einen Benutzer angezeigt, und die Verarbeitung endet dann (was in der Zeichnung nicht gezeigt ist).
Zusätzlich authentifiziert/entschlüsselt die Netzwerkschnittstellenvorrichtung 1403 die authentifizierten/verschlüsselten Daten des IPSEC-Pakets gemäß dem durch die ausgelesene SA spezifizierten Authentifikations-/Verschlüsselungsalgorithmus (20, S2004). Notwendigenfalls durchsucht die Netzwerkschnittstellenvorrichtung 1403 die SPD 1701 gemäß den Adresseninformationen 1804 der SA und bestätigt die IP-Adresse am sendenden Ende und ob die IPSEC-Verarbeitung durchgeführt ist oder nicht, wodurch es möglich ist, das entschlüsselte IP-Paket zu präparieren (20, S2005-2006). Danach sendet die Netzwerkschnittstellenvorrichtung 1403 das präparierte IP-Paket zu dem Computer 1404.
Wie oben erläutert, werden die authentifizierten/verschlüsselten Daten des authentifizierten/verschlüsselten IPSEC-Pakets über das LAN 1408 als ein IP-Paket zu dem Computer 1404 gesendet. Bei der Kommunikation zwischen den Netzwerkschnittstellenvorrichtungen 1402 und 1403 ist es deshalb möglich, die Sicherheit durch IPSEC in Bezug auf die von dem Computer 1401 am sendenden Ende zu dem Computer 1404 gesendeten Daten sicherzustellen.
Gemäß 21 wird hier eine Skizze der Konfiguration der Netzwerkschnittstellenvorrichtung 1402 erläutert. Die Netzwerkschnittstellenvorrichtung 1403 hat dieselbe Konfiguration wie die Netzwerkschnittstellenvorrichtung 1402.
Die Netzwerkschnittstellenvorrichtungen 1402 und 1403 sind im Allgemeinen wie die in 21 gezeigte konfiguriert. Das heißt, ein Prozessor 2101, eine vorübergehende Datenspeicherung 2102, eine Datenspeicherung 2103, eine Systemsteuerung 2104, eine Netzwerksteuerung 2106 und eine Schaltungssteuerung 2107 sind durch einen internen Bus bzw. einen Switch 2105 miteinander verbunden. Die Netzwerksteuerung 2106 ist mit dem LAN 1407 verbunden, und die Schaltungssteuerung 2107 ist mit dem Internet 1409 verbunden.
Die oben erwähnte SPD und SAD werden in der Datenspeicherung 2103 gespeichert, die durch einen nichtflüchtigen Speicher wie etwa Flash-Speicher, eine Festplatte und ROM, konfiguriert wird. Der Prozessor 2101 liest die SPD und die SAD aus der Datenspeicherung 2103 unter Durchgang durch die Systemsteuerung 2104 zum Zeitpunkt des Einschaltens und speichert diese in der vorübergehenden Datenspeicherung 2102, die durch den flüchtigen Speicher wie etwa DRAM und SRAM konfiguriert wird, andernfalls liest der Prozessor 2101 die SPD und SAD bei Bedarf und speichert diese dann in der vorübergehenden Datenspeicherung 2102. Die Aktualisierung der SPD und der SAD wird nur für die in der Datenspeicherung 2103 gespeicherten durchgeführt.
In Bezug auf jedes IP-Paket (IPSEC-Paket), das aus dem LAN 1407 und dem Internet 1409 unter Durchgang durch die Netzwerksteuerung 2106 und die Schaltungssteuerung 2107 empfangen wird, führt der Prozessor 2101 die IPSEC-Verarbeitung durch. Das heißt, der Prozessor 2101 liest die AH- oder ESP-Informationen aus jedem IPSEC-Paket und durchsucht die in der vorübergehenden Datenspeicherung 2101 gespeicherte erforderliche SPD und SAD gemäß dem oben erwähnten Verarbeitungsfluss. Und nach der Durchführung der Authentifikation/Verschlüsselung und der Authentifikation/Entschlüsselung für das IPSEC sendet der Prozessor 2101 sie zu der Zieladresse. Zusätzlich kann der Prozessor 2101 die anderen Funktionen bereitstellen (die Routing-Funktion und so weiter).
Der Grund dafür, dass die in der vorübergehenden Speicherung 2102 gespeicherte SPD und SAD bei der Verarbeitung jedes IP-Pakets durchsucht werden, besteht darin, dass es möglich ist, schneller auf die vorübergehende Speicherung als auf die Datenspeicherung 2103 zuzugreifen, wodurch es möglich ist, die Beschleunigung der IPSEC-Verarbeitung vorzurücken.
Wie oben beschrieben, schreitet die IP-Paketverarbeitung unter Bezugnahme auf die in der vorübergehenden Speicherung 2102 gespeicherte SPD und SAD voran. Wenn der Parameter der SA verändert wird, wird deshalb zum Beispiel der geänderte SA-Parameter in der Kommunikation unter Verwendung nur des IPSEC zum Zeitpunkt des Herauffahrens oder des Rücksetzens der Netzwerkschnittstellenvorrichtungen 1402 widergespiegelt. Dies erfolgt aus den folgenden Gründen: es wird angenommen, dass die Netzwerkschnittstellenvorrichtungen 1402, wie zum Beispiel ein Router, immer heraufgefahren ist und zu jeder Zeit betrieben wird, auch wenn es notwendig ist, die Anpassung des geänderten Parameters und des in der vorübergehenden Speicherung 2102 gespeicherten SA-Parameters durchzuführen; und außerdem wird angenommen, dass es nicht notwendig ist, die SPD, die SAD und den in der Datenspeicherung 2103 gespeicherten anderen Konfigurationsparameter zu ändern, weil die Netzwerkkommunikation auf einer spezifischen Leitung hergestellt wird, wie zum Beispiel zwischen einer Zentrale und einer Zweitstelle.
Da das oben erwähnte gesicherte Protokoll auf der Netzwerkschicht die Sicherheit aller Kommunikationspakete sicherstellen kann, ist es nicht notwendig, die Sicherheit per Anwendung sicherzustellen. Deshalb weist dieses gesicherte Protokoll hohe Vorrichtungen als Sicherheitsschutz für die LAN-Verbindung auf. Obwohl das Lecken der Kommunikation um so weniger auftritt, je höher der Grad der Sicherheit (die Sicherheitsleistungsfähigkeit) wird, nimmt jedoch die Belastung jedes Computers und jeder Netzwerkschnittstellenvorrichtung zu, weil die Verarbeitung der Authentifikation/Verschlüsselung für die Sicherheit eine große Menge der rechnerischen Komplexität erfordert. Dies verursacht die Verzögerung der Verarbeitung. Wenn dagegen der Grad der Sicherheit niedrig wird, nimmt die Möglichkeit eines Leckens der Kommunikation zu.
Da wie oben im Stand der Technik der Grad der gesicherten Kommunikation entsprechend einem Endgerät am empfangenden Ende bestimmt wurde, bestand eine Notwendigkeit, den spezifischen Grad der Sicherheit sogar zu den Daten hinzufügen, ohne die von einem Endgerät auf dem sendenden Ende, das von mehreren Benutzern benutzt wird, gesendete Verschlüsselung anzufordern. Eine solche Kommunikation vergrößerte die unnötigen Belastungen jedes Computers oder jeder Netzwerkschnittstellenvorrichtung, wodurch die Verzögerung der Verarbeitung auftrat. Sogar die Daten, die den hohen Grad der Sicherheit anforderten, wurden nur auf der niedrigeren Ebene der Sicherheit als der erforderlichen gesendet, dies ist dagegen ein Problem.
Der Router mit der herkömmlichen IPSEC-Funktion musste entsprechend der IP-Adresse des Ziels der Kommunikation wie oben beschrieben eine verfügbare SA vorbestimmen, und die Assoziierungsprozedur war sehr schwierig. Deshalb ist es schwer, den Grad der gesicherten Kommunikation flexibel zu ändern. Und es ist auch schwierig für einen Benutzer, ohne spezielle Kenntnisse den Grad der gesicherten Kommunikation selbst beliebig zu ändern. Da der Austausch von Emails über das Internet oder das Intranet von Firmen und der diese Dienste verwendende e-Commerce jedoch mehr als je zuvor große Verbreitung fand, wird ein einfaches Konfigurationsverfahren angefordert, um so nicht nur für eine große Firma zur Verfügung zu stehen, bei der es Administratoren mit Spezialkenntnissen über das Netzwerk gibt, sondern auch für SOHO (Small Office Home Office) und Privatwohnungen, wo es keine solche Person gibt. Zusätzlich konnte im Stand der Technik im Fall des Wechselns des Sicherheitsgrads zu einem gemäß der Kommunikation wie etwa dem Senden einer Kreditnummer für e-Commerce oder gemäß dem Ziel geeigneten, ein Benutzer nicht verstehen, ob der Sicherheitsgrad auf der Verbindung geeignet war oder nicht. Dies ist das andere Problem.
Um das oben erwähnte Problem zu lösen, liefert die Erfindung eine Vorrichtung, ein System und ein Verfahren gemäß den angefügten Ansprüchen 1, 15 und 17. Bevorzugte Ausführungsformen werden in den abhängigen Ansprüchen definiert.
1 ist ein Blockschaltbild eines Systems, das die gesicherte Kommunikation der Erfindung benutzt.
2 ist ein Beispiel für SPD und SAD für jeden Benutzer jeweils in der ersten Ausführungsform.
3 ist ein Flussdiagramm der IPSEC-Verarbeitung des Netzwerkprozessors bei der ersten Ausführungsform.
4 ist ein Blockschaltbild der Konfiguration der Netzwerkschnittstellenvorrichtung in der ersten Ausführungsform.
5 ist ein Beispiel für die SPD unter Verwendung der Internet-Adresse bei der zweiten Ausführungsform.
6 ist ein Blockschaltbild eines Kommunikationsendgeräts, wie etwa eines als die Netzwerkschnittstellenvorrichtung konfigurierten Computers mit der IPSEC-Funktion bei der zweiten Ausführungsform.
7 ist ein Flussdiagramm der Verarbeitung des Bestätigens der Konfiguration der Netzwerkschnittstellenvorrichtung bei der zweiten Ausführungsform.
8 ist ein Beispiel für die SPD unter Verwendung der Internet-Adresse für jeden Benutzer bei der zweiten Ausführungsform.
9 ist ein Blockschaltbild eines Systems, das die gesicherte Informationsvorrichtung verwendet, bei der dritten Ausführungsform.
10 ist ein vereinfachtes Diagramm der Verarbeitung des Systems, das die gesicherte Informationsvorrichtung benutzt.
11 ist ein Beispiel für eine erste Datenbank der gesicherten Informationsvorrichtung.
12 ist ein Beispiel für eine zweite Datenbank der gesicherten Informationsvorrichtung.
13 ist ein Blockschaltbild der Skizze jeder Vorrichtung bei der dritten Ausführungsform.
14 ist ein Blockschaltbild eines ein VPN bildenden Netzwerksystems mit einem Router mit der IPSEC-Funktion.
15 ist ein Diagramm der Verbindungsprozedur der gesicherten Kommunikation zwischen den Netzwerkschnittstellen vorrichtungen mit der IPSEC-Funktion.
16 ist ein detailliertes Diagramm des AH-Formats und des ESP-Kopfteilformats.
17 ist ein Beispiel für die SPD (Sicherheitsrichtliniendatenbank) als Datenbank, die die Verarbeitungsrichtlinie des IPSEC im Stand der Technik bestimmt.
18 ist ein Beispiel für die SAD (Sicherheitsassoziierungsdatenbank) als eine SA-Datenbank im Stand der Technik.
19 ist ein Flussdiagramm der IPSEC-Verarbeitung der Netzwerkschnittstellenvorrichtung am sendenden Ende im Stand der Technik.
20 ist ein Flussdiagramm der IPSEC-Verarbeitung der Netzwerkschnittstellenvorrichtung am empfangenden Ende im Stand der Technik.
21 ist ein Blockschaltbild der Konfiguration der Netzwerkschnitt stellenvorrichtung im Stand der Technik.
Diese Ausführungsform wird hier mit Bezug auf Unterschiede gegenüber dem Stand der Technik mit Bezug auf die Zeichnungen erläutert, um die Erfindung zu verstehen. Die folgenden Ausführungsformen schränken den technologischen Schutzumfang jedoch nicht ein, sondern sind lediglich Beispiele für das Konkrete.
[AUSFÜHRUNGSFORM 1]
Zu allererst erfolgt die Erläuterung in Bezug auf die Skizze des Verfahrens der gesicherten Kommunikation, des Systems der gesicherten Kommunikation und der Vorrichtung dafür bei der ersten Ausführungsform mit Bezug auf 1, 2(a), 2(b) und 4.
1 ist ein Diagramm der Skizze eines das Verfahren der gesicherten Kommunikation der Erfindung benutzenden Systems. In 1 ist ein Computer 101 über LAN 107 mit dem anderen Computer 105 und einer Netzwerkschnittstellenvorrichtung 102 verbunden, und ist durch die Netzwerkschnittstellenvorrichtung 102 ferner mit einem externen Internet 109 oder einen WAN-artigen Intranet verbunden. Das Internet 109 ist mit der anderen Netzwerkschnittstellenvorrichtung 103 und dem LAN 108 verbunden, und das LAN 108 ist mit den Computern 104 und 106 verbunden. Jede Netzwerkschnittstellenvorrichtung 102 und 103 ist eine Firewall oder eine VPN-spezielle Vorrichtung wie etwa ein Router, ein Gateway und ein Proxy-Server. Die Computer 101 und 105 sind mit einer Benutzerauthentifikationsvorrichtung 110 bzw. 111 verbunden. Der Computer 101 und andere können Endgeräte sein, die die Kommunikationsfunktion enthalten, wie zum Beispiel ein Personal Computer, eine Workstation, ein Server, ein Personal Computer mit Notebook-Größe, ein IP-Telefon, ein IP-TV-Telefon und ein IP-Mobiltelefon.
Unter der Annahme, dass die IPSEC-Verarbeitung auf der Kommunikation zwischen den Netzwerkschnittstellenvorrichtungen 102 und 103 wie im Stand der Technik durchgeführt wird, wird diese Ausführungsform hier erläutert. Das Ziel der IPSEC-Verarbeitung ist jedoch nicht auf die Kommunikation zwischen den Netzwerkschnittstellenvorrichtungen 102 und 103 beschränkt, sondern es kann sich um die Kommunikation zwischen dem Computer 101 am sendenden Ende und dem Computer 104 des Ziels oder um die Kommunikation zwischen dem Computer 101 und der Netzwerkschnittstellenvorrichtung 103 handeln, dies ist dasselbe wie im Stand der Technik. 2a ist eine SPD pro Benutzer, die auf diese Ausführungsform angewandt wird. 2b ist ein Beispiel für die SAD pro Benutzer. Der Inhalt der SPD pro Benutzer und der SAD pro Benutzer wird später ausführlicher erläutert.
Gemäß dem Blockschaltbild der Konfiguration der Netzwerkschnittstellenvorrichtung 102 (103) in 4 (die Netzwerkschnittstellenvorrichtung 103 hat dieselbe Konfiguration), wird im Folgenden die interne Verarbeitung der Netzwerkschnittstellenvorrichtungen 102 und 103 erläutert.
In der Netzwerkschnittstellenvorrichtung dieser Ausführungsform werden, um die Bestimmung des Sicherheitsgrads pro Benutzer auszuführen, zuerst der Benutzer und die IP-Adresse des Ziels angegeben, wobei diese Prozedur später erläutert werden wird. Folglich kann in Aussicht genommen werden, dass die Änderung, wie zum Beispiel das Hinzufügen des Benutzers und die Aktualisierung der Konfiguration, mehr als zuvor erforderlich ist (auch bei der herkömmlichen Netzwerkschnittstellenvorrichtung, die als die eigene Leitung zwischen einer Zentrale und einer Zweigstelle mit LAN verbunden ist). Immer dann, wenn die Konfiguration aktualisiert wird, muss eine solche herkömmliche Vorrichtung heraufgefahren oder zurückgesetzt werden, und dadurch sollte die Kommunikation hängen bleiben, auch wenn es eine kurze Zeit ist. Es ist sehr unbequem für einen Benutzer. Durch Ausführen der internen Verarbeitung der Netzwerkschnittstellenvorrichtung wie folgt kann deshalb der immer eingeschaltete Betrieb ohne Herauffahren oder Zurücksetzen der Vorrichtungen ausgeführt werden.
In 4 sind die jeweiligen Netzwerkschnittstellenvorrichtungen 102 und 103 dann mit einem Prozessor 401, einer vorübergehenden Datenspeicherung 402, einer Datenspeicherung 403, einer Systemsteuerung 404, einer Netzwerksteuerung 406 und mit einer Schaltungssteuerung 407 ausgestattet, wobei diese über einen internen Bus oder einen Switch 405 miteinander verbunden sind. Der Prozessor 401, die vorübergehende Datenspeicherung 402 und die Systemsteuerung 404 könnten als Sicherheitstypauswahlmittel 408 für die nachfolgend beschriebene Verarbeitung fungieren.
Zusätzlich werden die SPD pro Benutzer 201 und die SAD pro Benutzer 207 jeweils in der Datenspeicherung 403 gespeichert, die durch den nichtflüchtigen Speicher, wie etwa Flash-Speicher, eine Festplatte und ROM konfiguriert wird. Wenn die Netzwerkschnittstellenvorrichtung 102 eingeschaltet wird, liest der Prozessor 401 die SPD pro Benutzer 201 und die SAD pro Benutzer 207 aus der Datenspeicherung 403 unter Durchgang durch die Systemsteuerung 404 und speichert diese in der vorübergehenden Datenspeicherung 402, die durch den flüchtigen Speicher wie etwa DRAM und SDRAM konfiguriert wird. Danach führt der Prozessor 401 die IPSEC-Verarbeitung gemäß der SPD pro Benutzer 201 und der SAD pro Benutzer 207, die in der vorübergehenden Datenspeicherung 402 gespeichert sind, durch. Immer dann, wenn die Konfiguration geändert wird, ist das Ziel der Aktualisierung nur die SPD pro Benutzer 201 und die SAD pro Benutzer 207, die in der Datenspeicherung 403 gespeichert sind. Bisher ist die Verarbeitung dieselbe wie die im Stand der Technik, mit der Ausnahme der Konfigurationen der SPD pro Benutzer 201 und der SAD pro Benutzer 207.
Da die IPSEC-Verarbeitung im Stand der Technik unter Bezugnahme auf die in der vorübergehenden Datenspeicherung 402 gespeicherte SPD und SAD abläuft, wird das Lesen der SPD und der SAD aus der Datenspeicherung 403 jedoch wieder nur dann ausgeführt, wenn die Vorrichtung neu gestartet wird oder nachdem die Vorrichtung heraufgefahren oder zurückgesetzt wurde. Wenn die SPD und die SAD geändert wurden, ist dies deshalb nachdem die Vorrichtung heraufgefahren oder zurückgesetzt wurde, dass die aktualisierte SA bei der IPSEC-Verarbeitung widergespiegelt wird.
Wenn bei dieser Ausführungsform jedoch die SPD und SAD in der Datenspeicherung 403 gemäß der Konfigurationsänderung aktualisiert werden, wird die folgende Verarbeitung ausgeführt. Wenn die Kommunikationsverarbeitung gemäß der in der vorübergehenden Datenspeicherung 402 gespeicherten SPD und SAD durchgeführt wird, suspendiert der Prozessor 401 die Kommunikation, sobald die Kommunikation endet, und liest dann die aktualisierte SPD und SAD aus der Datenspeicherung 403 und schreibt diese über die entsprechende SPD und die entsprechende SAD, die in der vorübergehenden Datenspeicherung 402 gespeichert sind. Hierbei werden die aktualisierte SPD und die aktualisierte SAD durch den Prozessor 401 überschrieben, aber die andere SPD (nicht aktualisiert) werden nicht überschrieben. Deshalb wirkt sich die Verarbeitung nicht auf die IPSEC-Kommunikation von Benutzern aus, die die SPD und die SAD ohne Rücksichtnahme bei der Aktualisierung benutzen.
Nachdem die SA durch IKE-Phase 2 gemäß der gespeicherten SPD und SAD wieder eingerichtet wurde, startet die IPSEC-Verarbeitung gemäß der eingerichteten neuen SA neu.
Da die Aktualisierungsverarbeitung von SPD und SAD wie oben beschrieben ausgeführt wird, ist es auch wenn der Grad der gesicherten Kommunikation geändert wird, nicht notwendig, die Vorrichtung neu zu starten und es ist möglich, sofort zu bestätigen, dass die Aktualisierung verfügbar ist. Anders ausgedrückt, ermöglicht IKE-Phase 2 eine Wiedereinrichtung der SA und das Widerspiegeln der Aktualisierung auf der Kommunikation.
Das Verfahren zur Wiedereinrichtung der SA während der Kommunikation des IPSEC kann folgendermaßen vorbestimmt werden. Sobald die Kommunikation suspendiert ist, wird die Wiedereinrichtung durchgeführt; oder die Wiedereinrichtung wird nach dem Ende der Kommunikation durchgeführt. Zusätzlich kann das Verfahren gemäß dem Typ des zu verarbeitenden Pakets vorbestimmt werden.
Als nächstes werden die Einzelheiten der Prozedur des Registrierens in der Netzwerkschnittstellenvorrichtung der Definitionsinformationsgruppe für die SPD pro Benutzer und der SAD pro Benutzer (siehe 2), bevor die gesicherte Kommunikation startet, erläutert.
Als erstes gibt ein Administrator der Netzwerkschnittstellenvorrichtung 102 die IP-Adresse jedes Ziels und ob die IPSEC-Verarbeitung bei der Kommunikation durchgeführt wird oder nicht, in den Prozessor 401 der Netzwerkschnittstellenvorrichtung 102 ein, und diese Eingabe erfolgt für jeden Benutzer, der den Computer 101 und 104 benutzt, wodurch die SPD pro Benutzer (SPD-1 bis SPD-N) registriert wird. Das Benutzerauthentifikationsverfahren wird später beschrieben. In diesem Fall, dass die IP-Adresse jedes Ziels dieses Computers 104 und 106 angibt, ist zum Beispiel dieselbe wie im Stand der Technik. Und die Registration kann von dem WEB-Browser des Computers 101 und 105 aus beispielsweise durchgeführt werden, und andernfalls direkt von der Netzwerkschnittstellenvorrichtung 102 aus. Darüber hinaus kann der Bereich der IP-Adresse jedes Ziels wie im Stand der Technik spezifiziert werden.
Im Fall des Setzens, dass die IPSEC-Verarbeitung durchgeführt wird, ist es notwendig, eine Reihe der Definitionsinformationsgruppen SAD (SAD-1 bis SAD-2) pro Benutzer einzugeben, einschließlich des Authentifikationsalgorithmus, des Authentifikationsparameters des Verschlüsselungsalgorithmus und des Verschlüsselungsparameters, dabei handelt es sich um den Inhalt der SA, die auf die IPSEC-Verarbeitung angewandt wird. Gemäß den obigen Eingaben werden mehrere der SPD pro Benutzer 201 von 2(a) in der Datenspeicherung 403 der Netzwerkschnittstellenvorrichtung 102 registriert. Zusätzlich wird eine Reihe der Definitionsinformationsgruppe, einschließlich des Authentifikationsalgorithmus, des Authentifikationsparameters, des Verschlüsselungsalgorithmus und des Verschlüsselungsparametes, wobei es sich um den Inhalt der SA handelt, als die SAD 207 pro Benutzer registriert. Die in der registrierten SAD 207 enthaltene SA wird der Netzwerkschnittstellenvorrichtung 103 durch IKE-Phase 2 vorgeschlagen, was später beschrieben werden wird.
Die in 2(a) gezeigte SPD 201 enthält wie die SPD 1701 im Stand der Technik die Adresse des Ziels 202, ob die IPSEC-Verarbeitung durchgeführt wird oder nicht 203 und den Adressenzeiger 204, der die Position der SA angibt. Wenn die Daten zu der IP-Adresse des Ziels 202 gesendet werden, enthält die SPD 201 zusätzlich die IP-Adresse des Kommunkationsendgeräts 206, zu dem das IPSEC-Paket gesendet wird. Die SPD kann bei dieser Ausführungsform von der im Stand der Technik um den Namen des Benutzers 205 verschieden sein. 2(a) zeigt ein Beispiel für das Setzen der SPD pro Benutzer, es kann jedoch arrangiert werden, die SA pro Benutzer unter Erstellung eines Postens zum Identifizieren jedes Benutzers in einer SPD zu spezizieren.
Ähnlich besitzt die SAD pro Benutzer 207 (siehe 2(b)) dieselbe Konfiguration wie die SAD 1801 des Stands der Technik in 18, und eine der SAD enthält mehrere SA. Zum Beispiel enthält SAD-1 von SA-11 bis SA-1M (211), während SAD-N von SA-N1 bis SA-NM enthält. Jede SA enthält Adresseninformationen 209, SPI 210 der Indexinformation und SAP 212 des Sicherheitsparameters. Die Adresseninformationen 209 enthalten die IP-Adresse des Ziels, die Portnummer des Ziels, die IP-Adresse des sendenden Endes, die Portnummer des sendenden Endes, die Protokollnummer und so weiter, und diese Konfiguration ist dieselbe wie im Stand der Technik. Aber die SAD 207 kann durch den Namen des Benutzers 208 unterschieden werden, was vom Stand der Technik verschieden ist. 2(b) zeigt ein Beispiel für die Registration der SAD pro Benutzer, aber die SA pro Benutzer kann unter Erstellung eines Postens in einer SAD zum Identifizieren jedes Benutzers verwaltet werden.
Nachdem die obige Registration endet, tritt die Netzwerkschnittstellenvorrichtung 102 durch IKE-Phase 1 und Phase 2 mit der Netzwerkschnittstellenvorrichtung 103 in Kommunikation, um zu bestätigen, dass der Inhalt der Registration verfügbar ist (gemäß den Informationen des Benutzers, die später beschrieben werden). Während der Bestätigung, ob es möglich ist, die IPSEC-Kommunikation durchzuführen (gemäß dem Inhalt der Registration) richtet die Netzwerkschnittstellenvorrichtung 102 wenn möglich die SA ein. Es ist nicht immer notwendig, immer dann, wenn die Registration endet, die SA einzurichten, und das Einrichten der SA kann erfolgen, wenn die Computer 101 und 104 die Kommunikation über die Netzwerkschnittstellenvorrichtungen 102 und 103 beginnen.
Wie die Netzwerkschnittstellenvorrichtung 102 ist die Benutzerauthentifikationsvorrichtung mit den Computern 104 und 106 verbunden, und dann kann jede Konfiguration in der Netzwerkschnittstellenvorrichtung 103 über die IP-Adresse des Ziels pro Benutzer, der die Computer 104 und 106 benutzt, registriert werden.
Das Verfahren zum Identifizieren von Benutzern, die den Computer 101 benutzen, wird später erläutert.
Ein Benutzer, der den Computer 101 benutzen möchte, führt eine Chipkarte, die eine innere Nummer speichert, die den Benutzer bei seiner Benutzung spezifizieren kann, in die Benutzerauthentifikationsvorrichtung 110 ein, und dadurch wird die innere Nummer eingegeben. Als nächstes gibt der Benutzer ein der inneren Nummer aus der Benutzerauthentifikationsvorrichtung 110 entsprechendes Passwort ein. Wenn die aus der Benutzerauthentifikationsvorrichtung 110 eingegebene innere Nummer der Chipkarte und das Passwort mit dem vorbestimmten übereinstimmen, wird der Benutzer authentifiziert, wodurch der Computer 101 dem Benutzer zur Verfügung steht. Zusätzlich wird der durch die obige Benutzeridentifikation erhaltene Name des Benutzers in dem Computer 101 gespeichert.
Die Benutzer Authentifikation wird nicht immer durch die Chipkarte durchgeführt, sondern kann durch eine Vorrichtung erfolgen, die eine Person durch Verwendung einer Magnetkarte, eines einmaligen Passworts, eines Fingerabdrucks, einer Handform, eines Handabdrucks, einer Handschrift, einer Iris, einer Gesichtsform, eines Stimmdrucks oder DNA identifizieren kann. Anstatt die Benutzerauthentifikationsvorrichtung zu installieren, kann andernfalls die Authentifikation durch Eingeben des Namens des Benutzers und des Passworts in den Computer 101 erfolgen. Die Speicherung der vorbestimmten inneren Nummer und des Passworts befindet sich nicht immer in dem Computer 101, aber der Computer 101 kann so ausgelegt werden, dass er die innere Nummer und das Passwort bei einem Computer anfragt, der separat zum Speichern der inneren Nummer und des Passworts vorgesehen ist, um diese zentralisiert zu verwalten.
Die nächste Beschreibung bezieht sich auf die Verarbeitung im Fall, dass der Computer 101 mit dem über das Internet 109 verbundenen Computer 104 in Kommunikation tritt, und gemäß 1, 2 und 3 wird es ausführlich erläutert. Das in 4 gezeigte Sicherheitstypauswahlmittel 408 führt die folgende Verarbeitung aus.
Nach der Einrichtung der durch die IPSEC-Kommunikation zu verwendenden SA fügt der Computer 101 einen IP-Kopfteil zu den von dem Computer 101 zu dem Computer 104 zu sendenden Daten hinzu und sendet sie als ein IP-Paket über das LAN 107 zu der Netzwerkschnittstellenvorrichtung 102 (diese Prozedur ist dieselbe wie im Stand der Technik). Bei dieser Ausführungsform führt der Computer 101 zusätzlich weitere Verarbeitung des Einfügens des durch die Benutzerauthentifikation erhaltenen Namens des Benutzers in einen optionalen Teil des IP-Kopfteils durch. Der optionale Teil ist ein Datenbereich, den ein Benutzer (ein Entwickler) willkürlich in dem IP-Kopfteil benutzen kann.
Nach dem Empfang des von dem Computer 101 am sendenden Ende gesendeten IP-Pakets liest die Netzwerkschnittstellenvorrichtung 102 zuerst den Namen des Benutzers und die IP-Adresse des Ziels, die in dem IP-Paket enthalten ist (3, S301) und wählt dann die SPD entsprechend dem Namen des Benutzers aus mehreren SPD pro Benutzer 201 aus und durchsucht ferner die IP-Adresse des Ziels 202 aus der SPD entsprechend dem Namen des Benutzers gemäß der IP-Adresse des Ziels (3, S302). Zusätzlich bestätigt die Netzwerkschnittstellenvorrichtung 102, ob die entsprechende IPSEC-Verarbeitung durchgeführt wird oder nicht 203.
Wenn „ob die IPSEC-Verarbeitung durchgeführt wird oder nicht" 203 „NEIN" ist, das heißt, wenn die Konfiguration ist, dass die IPSEC nicht durchgeführt wird, sendet die Netzwerkschnittstellenvorrichtung 102 das empfangene IP-Paket zu der Netzwerkschnittstellenvorrichtung 103, ohne die IPSEC-Verarbeitung durchzuführen (3, S303: NEIN).
Wenn „ob die IPSEC-Verarbeitung durchgeführt wird oder nicht" 203 „JA" ist, das heißt, wenn die Konfiguration ist, dass die IPSEC durchgeführt wird, liest die Netzwerkschnittstellenvorrichtung 102 die IP-Adresse 206 des Kommunikationsendgeräts, zu dem das IPSEC-Paket gesendet wird, und den Adressenzeiger 204, der die Position der SA angibt, zusammen mit dem Lesen der entsprechenden SA entsprechend dem Adressenzeiger 204 (3, S304). Die SA im obigen wird durch IKE-Phase 2 eingerichtet, wie im Stand der Technik.
Als nächstes präpariert die Netzwerkschnittstellenvorrichtung 102 gemäß dem Inhalt der SA die authentifizierten/verschlüsselten Daten aus dem IP-Paket durch Verwenden des spezifischen Authentifikationsalgorithmus oder des spezifischen Verschlüsselungsalgorithmus (3, S305). Zusätzlich fügt die Netzwerkschnittstellenvorrichtung 102 die authentifizierten/verschlüsselten Daten mit dem AH des Authentifikationskopfteils oder dem ESP des Authentifikations-Verschlüsselungskopfteils hinzu und ändert dann die Adresse des Ziels in eine IP-Adresse des Kommunikationsendgeräts 206 um, zu dem das IPSEC-Paket gesendet wird, und sendet diese dann über das Internet 109 zu der Netzwerkschnittstellenvorrichtung 103 (3, S306).
Die nachfolgende Verarbeitung: nachdem die Netzwerkschnittstellenvorrichtung 103 bestimmt, ob das empfangene IP-Paket ein IPSEC-Paket ist oder nicht, wird das ursprüngliche IP-Paket präpariert; es ist dasselbe wie im Stand der Technik.
Wie oben beschrieben ist es, da die SPD im voraus pro Benutzer konfiguriert wird und die SA, die den Inhalt der gesicherten Kommunikation angibt, auf der Basis der Informationen der Benutzerauthentifikation bestimmt wird, möglich, den Grad der gesicherten Kommunikation zu bestimmen, der für den des Benutzers geeignet ist, ohne die herkömmlichen Vorrichtungen zu verderben.
In dieser Ausführungsform ist die Netzwerkschnittstellenvorrichtung so ausgelegt, dass sie die IPSEC-Funktion aufweist, aber auch wenn der Computer 101 oder 104 die IPSEC-Funktion enthält und die gesicherte Kommunikation durchführt, besteht kein Problem.
Unter den Bedingungen, dass die SA eingerichtet ist, wenn die dem Namen des Benutzers entsprechende SPD durchsucht wird, die entsprechende SPD nicht gefunden werden kann oder die der SPD entsprechende IP-Adresse nicht gefunden werden kann (was in der Zeichnung nicht dargestellt ist), kann zu diesem Zeitpunkt die folgende Konfiguration akzeptabel sein, das heißt, es kann die Nachricht angezeigt werden, die diese Bedeutung enthält, und das IP-Paket kann dann ohne die Sicherheitsverarbeitung ausgesendet werden, andernfalls kann die Netzwerkschnittstellenvorrichtung möglicherweise die gesicherte Kommunikation nicht durchführen. Zusätzlich kann arrangiert werden, dass die Netzwerkschnittstellenvorrichtung einen Benutzer fragt, ob die Datenübertragung erfolgt oder nicht. Wenn die Konfiguration auf der SPD vorbestimmt ist, dass die IPSEC-Verarbeitung nicht durchgeführt wird, wird das IP-Paket ohne Durchführung der IPSEC-Verarbeitung weiter zu der IP-Adresse des Ziels gesendet.
Darüber hinaus wird das Protokoll der gesicherten Kommunikation bei dieser Ausführungsform auf IPSEC beschränkt. Wenn die Netzwerkschnittstellenvorrichtung jedoch ein Mehrfachprotokoll der gesicherten Kommunikation installiert, ermöglicht ein assoziierender Benutzer Informationen mit dem Protokoll der gesicherten Kommunikation eine ordnungsgemäße Benutzung des Protokolls der gesicherten Kommunikation pro Benutzer. Deshalb ist es möglich, verschiedene Typen der gesicherten Kommunikation durchzuführen.
Zwischenzeitlich wird bei dieser Ausführungsform arrangiert, dass die jedem Benutzer entsprechende SPD durch das IPSEC spezifiziert wird. Ähnlich können im Fall des von IPSEC verschiedenen Protokolls die SA oder die der SA äquivalenten Informationen spezifiziert werden, indem auf die den Benutzerauthentifikationsinformationen entsprechende SPD oder auf die der SPD entsprechende Datenbank Bezug genommen wird, und dadurch kann eine Reihe der Definitionsinformationsgruppe, wie zum Beispiel der Authentifikationsalgorithmus und der Verschlüsselungsalgorithmus, spezifiziert werden. Es ist allgemein, dass die SA abhängig von einem Typ des Protokolls direkt spezifiziert werden kann, ohne auf die SPD Bezug zu nehmen.
Es kann im Fall von mehreren Benutzern arrangiert werden, dass, anstatt die SPD pro Benutzer zu präparieren, jede Gruppe, zu der ein Benutzer gehört, präpariert wird und der Grad der gesicherten Kommunikation pro Gruppe geändert wird. In diesem Fall sollen die Gruppeninformationen auch bei der Benutzeridentifikation verwaltet werden, und mit Bezug auf die Gruppeninformationen können sie die SPD spezifizieren.
Da die Ausführungsform konfiguriert, dass der durch Benutzerauthentifikation erhaltene Name des Benutzers in dem Optionsteil des IP-Kopfteils eingefügt wird, kann jedes IP-Paket dem Namen des Benutzers entsprechen. Zusätzlich kann die folgende Konfiguration das IP-Paket mit dem Namen des Benutzers assoziieren: wenn die Benutzerauthentifikation durchgeführt wird, informiert jeder Computer eine Netzwerkschnittstellenvorrichtung über den Inhalt der Benutzerauthentifikation, die Netzwerkschnittstellenvorrichtung speichert die Datenbank, die den Namen des Benutzers jeweils mit dem Computer assoziiert.
[AUSFÜHRUNGSFORM 2]
Mit Bezug auf 5 und 6 drückt die zweite Ausführungsform das Verfahren aus, das die Adresseninformationen der Anwendungsschicht mit der SA assoziiert. Die Anwendungsschicht gibt die 7. Schicht des OSI-Referenzmodells an und bedeutet eine Anwendung, die die Kommunikation betrifft. Es wird angenommen, dass die Internetadresseninformationen der Anwendungsschicht einen Hostnamen oder eine Repräsentation der URL (Uniform Resource Locator) enthalten, wodurch ein Hostname und das Verbindungsprotokoll kombiniert werden. In Bezug auf die Netzwerkschnittstellenvorrichtung wird, wie später erläutert werden wird, angenommen, dass, auch wenn der Grad der gesicherten Kommunikation geändert wird, die Änderung widergespiegelt werden kann, ohne die Vorrichtung neu zu starten, wie bei der ersten Ausführungsform.
Die SPD 501, die eine Internetadresse benutzt (in 5) enthält mit einer Internetadresse 502, eine IP-Adresse des Ziels 503, ob die IPSEC-Verarbeitung durchgeführt wird oder nicht 504, einen Adressenzeiger 505, der die Position der SA angibt. Im Fall des Sendens von Daten zu der IP-Adresse des Ziels 503 enthält die SPD 501 zusätzlich eine IP-Adresse des Kommunikationsendgeräts, zu dem das IPSEC-Paket gesendet wird. Die SPD 501 ist dieselbe wie die SPD 1701 im Stand der Technik, mit der Ausnahme der Internetadresse 502. Die Konfiguration der SAD, einschließlich der SA, die durch den Adressenzeiger 505 angegeben wird, ist auch dieselbe wie die SAD 1801 im Stand der Technik. Zusätzlich speichert die Internetadresse 502 die folgenden Adressen, konkret eine URL wie „http://abc.def.com", eine Emailadresse wie „abc@def.com" und eine andere Adresse des POP-Servers (Post Office Server) oder SMTP-Servers (Simple Mail Transfer Protocol Server), die beim Senden und Empfangen von Emails benutzt werden.
Gemäß 6 wird ein Beispiel für die materielle Operation bei der zweiten Ausführungsform in Bezug auf das Assoziieren der Adresseninformationen der Anwendungsschicht mit der SA erläutert. 6 ist ein Blockschaltbild eines Kommunikationsendgeräts, wie zum Beispiel eines Computers, zur Bestimmung der Konfiguration einer Netzwerkschnittstellenvorrichtung mit der IPSEC-Funktion.
In 6 ist ein Kommunikationsendgerät 608 mit Steuermitteln 609, einem Display 601, einem Netzwerkschnittstellenvorrichtungs-Verwaltungsmittel 610 und Eingabemitteln 611, Zeigemitteln 612 ausgestattet. Die jeweilige Software, die später beschrieben werden wird, wird durch das Steuermittel 609 oder das Netzwerkschnittstellenvorrichtungs-Verwaltungsmittel 610, wodurch das Steuermittel 609 zusammengestellt wird, ausgeführt. Die Repräsentation der Informationen für einen Benutzer, der das Kommunikationsendgerät 608 benutzt, wird durch die Anzeigefunktion jeweiliger Software auf dem Display 601 ausgeführt.
Als erstes führt ein Benutzer die WEB-Browser-Software 602 aus, die eine Anwendungssoftware ist, die die URL 603 der Adresseninformationen der Anwendungsschicht durch Verwendung des Steuermittels 609 in dem Kommunikationsendgerät 608 anzeigt.
Dann führt der Benutzer die Netzwerkschnittstellenvorrichtungs-Verwaltungsoftware 605 durch Verwendung des Netzwerkschnittstellenvorrichtungs-Verwaltungsmittels 610 aus. Die Netzwerkschnittstellenvorrichtungs-Verwaltungssoftware 605 ist mit einer Funktion des Anzeigens eines Parametereingabefensters 606 und einer Registrationsschaltfläche 607 ausgestattet und das Parametereingabefenster 606 zeigt mehrere von der Netzwerkschnittstellenvorrichtung unterstützte SA an. Die mehreren SA unterscheiden sich durch den Authentifikationsalgorithmus und dem Verschlüsselungsalgorithmus voneinander, wobei dieser Unterschied den Grad der gesicherten Kommunikation bestimmt. Die Netzwerkschnittstellenvorrichtung, die direkt mit dem Display 601 verbunden ist, kann eine Funktion des Steuermittels 609 und des Netzwerkschnittstellenvorrichtungs-Verwaltungsmittels 610 enthalten, andernfalls kann ein Computer (zum Beispiel der Computer 101), der über Netzwerk mit der Netzwerkschnittstellenvorrichtung verbunden ist, eine Funktion des Steuermittels 609 und des Netzwerkschnittstellenvorrichtungs-Verwaltungsmittels 610 bereitstellen. In diesem Fall wird die Operation durch den Computer ausgeführt, und die Änderung der Operation wird auf der Netzwerkschnittstellenvorrichtung durch die Kommunikation widergespiegelt.
Ein Benutzer, der die Konfiguration der Netzwerkschnittstellenvorrichtung durchführen wird, zieht die URL 603 als die auf dem Display 601 des Kommunikationsendgeräts 608 angezeigten Informationen durch Verwenden des Zeigemittels 612 und lässt sie auf einer gewünschten Position der mehreren in dem Parametereingabefenster 606 angezeigten SA los. Das Zeigemittel ist eine Einrichtung wie etwa eine Maus, ein Trackball, ein Joystick, ein Touchpen und ein Finger; diese werden auf einem Computer im Allgemeinen angewandt. Die Position auf dem Display 601, die durch das Zeigemittel 612 angegeben wird, wird als ein Zeiger der 604 repräsentiert. Diese Operation kann deshalb die Adresseninformationen der Anwendungsschicht mit der SA assoziieren. Danach klickt ein Benutzer auf die Registrationsschaltfläche 607, und dadurch wird die Registrationsverarbeitung der Netzwerkschnittstellenvorrichtung ausgeführt; die Registrationsverarbeitung wird später beschrieben. Beim Klicken auf die Registrationsschaltfläche 607 können die Ausführung der Konfiguration und die Aktualisierungsverarbeitung jedoch als eine der folgenden ausgewählt werden: die Verarbeitung wird durch Suspendieren der Kommunikation, obwohl die Kommunikation abläuft, durchgeführt; die Verarbeitung wird sofort nach dem Ende der Kommunikation durchgeführt. Zusätzlich kann in Bezug auf die Bestätigung der Verbindung für die gesicherte Kommunikation sie die Verbindung mit dem Ziel, das die aktualisierte Konfiguration aufweist, am Start der Kommunikation bestätigen, oder die Bestätigung der Verbindung kann sofort durchgeführt werden, was ausgewählt werden kann.
Als nächstes wird gemäß 4, 5 und 7 die Registrationsverarbeitung der Netzwerkschnittstellenvorrichtung nach dem Ende der Operation des Benutzers wie später erläutert durchgeführt. Nachdem der Benutzer, der die Netzwerkschnittstellenvorrichtung konfigurieren wird, die SA mit den Adresseninformationen der Anwendungsschicht assoziiert hat, speichert der Prozessor 401 der Netzwerkschnittstellenvorrichtung zuerst die Adresseninformationen der Anwendungsschicht in der Internetadresse 502 der SPD 501 in der Datenspeicherung 403 (7, S701 bis S702).
Als nächstes setzt der Prozessor 401 die Adresseninformation durch DNS-Server (Domain Name System Server) in die IP-Adresse um (7, S703). Der DNS-Server ist unter der mit dem Internet verbundenen Konfiguration im allgemeinen weithin im Gebrauch und als Reaktion auf die Anfrage bezüglich der Adresseninformationen, zum Beispiel als Reaktion auf die Zeichenkette „abc.def.com" antwortet der Server mit der „abc.def.com" entsprechenden IP-Adresse. Danach speichert der Prozessor 401 die umgesetzte IP-Adresse in der IP-Adresse des Ziels 503 auf der SPD 501 und speichert ferner in der SAD die IP-Adresse des Ziels, die Portnummer des Ziels, die IP-Adresse des sendenden Endes, die Portnummer des sendenden Endes und bzw. die Protokollnummer; diese sind für die Adresseninformationen 1804 notwendig, die die in der Datenspeicherung 403 gespeicherte SAD 1801 bilden (7, S704). Die Portnummer sowohl des sendenden Endes als auch des Ziels und die Protokollnummer können per „http" bestimmt werden, das zum Beispiel Teil der Adresseninformationen ist.
Nach dem Präparieren der notwendigen Informationen für die SPD 501 und die SAD 1801 fordert das Sicherheitsauswahlmittel 408 der Netzwerkschnittstellenvorrichtung den Benutzer auf, die Verbindungsbestätigung oder nicht unter der Konfiguration durchzuführen (7, S705). Übrigens, anstelle des Anfragens bei einem Benutzer, ob die Verbindungsbestätigung durchgeführt wird oder nicht, kann es arrangiert werden, getrennt zu bestimmen, ob die Bestätigung der Verbindung automatisch durchgeführt wird oder nicht. Andernfalls kann es arrangiert werden, dass die Bestätigung der Verbindung ausgeführt werden soll, wenn das OK-Symbol bzw. die OK-Schaltfläche gedrückt wird, wobei diese zur Bestätigung der Verbindung vorgesehen sind.
Die Prozedur des Bestätigens der Verbindung mit der IP-Adresse des Ziels wird gemäß IKE-Phase 1, IKE-Phase 2, und den Informationen der SPD 501 und der SAD 1801, die neu registriert sind, wie im Stand der Technik durchgeführt, und das Ergebnis wird dem Benutzer mitgeteilt (7, S705: JA bis S707). Die Prozeduren beenden die Verarbeitung des Assoziierens der Adresseninformationen der Anwendungsschicht mit der SA. Nach der Registration wird die gesicherte Kommunikation gemäß der registrierten SPD 501 und SAD 1801 durchgeführt.
Es ist jedoch nicht immer notwendig, von einem Benutzer zu erfragen, ob die Bestätigung der Verbindung durchgeführt wird oder nicht (konkret), sie kann aber automatisch ausgeführt werden. Und wenn eine (später beschriebene) Sicherheitsinformationsvorrichtung zwischen den Kommunikationsendgeräten vorgesehen ist, ist es möglich, die IP-Adresse des Kommunikationsendgeräts mit der IPSEC-Funktion automatisch einzugeben.
Da die SA gemäß den Adresseninformationen registriert werden kann, die durch die Anwendung spezifiziert werden, die im allgemeinen benutzt wird, kann sogar ein Benutzer ohne spezielle Kenntnisse leicht die SA spezifizieren.
Das Parametereingabefenster 606 kann, anstatt mehrere SA anzuzeigen, zum Beispiel „hohe Sicherheit", „mittlere Sicherheit", „niedrige Sicherheit" und „keine Sicherheit" anzeigen, und dadurch wird es für einen Benutzer leicht, das Assoziieren der Adresseninformationen mit der SA zu verstehen.
Die zweite Ausführungsform zeigt die Verarbeitung zum Assoziieren der Adresseninformationen mit der SA im Fall von IPSEC; es muss jedoch nicht erwähnt werden, dass im Fall des von IPSEC verschiedenen Protokolls dieselbe Verarbeitung durchgeführt wird.
Falls die Assoziierungsverarbeitung zur selben Zeit der gesicherten Kommunikation pro Benutzer, die in der ersten Ausführungsform beschrieben wird, durchgeführt wird, besteht kein Problem. Das Beispiel der SPD in diesem Fall ist als die SPD 801 in 8 gezeigt.
[AUSFÜHRUNGSFORM 3]
Mit Bezug auf 9, 10, 11, 12 und 13 wird hier die Funktion der Sicherheitsinformationsvorrichtung bei der dritten Ausführungsform erläutert. Die in 9 gezeigten jeweiligen Einrichtungen 101 und 111 sind dieselben wie die in 1 gezeigten, und zusätzlich zu dieser Konfiguration ist über die Netzwerkschnittstellenvorrichtung 102 eine Sicherheitsinformationsvorrichtung 901 mit dem Internet 109 verbunden. Die Netzwerkschnittstellenvorrichtung 902 muss jedoch nicht immer die IPSEC-Funktion konkret enthalten, sondern kann lediglich eine Vorrichtung sein, die einen illegalen Zugriff auf die Sicherheitsinformationsvorrichtung 901 von außerhalb verhindern kann.
Die Sicherheitsinformationsvorrichtung 901 besitzt eine in 13(a) gezeigte Konfiguration. Das heißt, sie ist mit einem Verwaltungsmittel 1301 für empfehlenswerte SA und mit einem Speichermittel 1302 ausgestattet. Das Verwaltungsmittel 1301 für die empfehlenswerte SA ist über ein Sende- und Empfangsmittel 1304 mit der Netzwerkschnittstellenvorrichtung 902 verbunden. Das Speichermittel 1302 speichert eine erste Datenbank 1101 zum Durchsuchen einer empfehlenswerten SA (siehe 11) und eine zweite Datenbank 1201 zum Durchsuchen einer empfehlenswerten SA (siehe 12), und gegebenenfalls kann das Verwaltungsmittel für die empfehlenswerte SA diese lesen.
Wie in 13(b) gezeigt, sind die Netzwerkschnittstellenvorrichtungen 102 und 103 mit einem Sende- und Empfangsmittel 1308, mit einem Speichermittel 1309 und einem Steuermittel 1305 ausgestattet. Das Steuermittel 1305 ist ferner mit einem Anfragemittel 1306 und einem Antwortmittel 1307 ausgestattet.
Der Computer 104 ist wie in 13(c) gezeigt mit einem Sende- und Empfangsmittel 1312 und einem Antwortmittel 1311 ausgestattet. Die Funktion jedes Mittels wird zu einem geeigneten Zeitpunkt beschrieben.
Die erste Datenbank besteht aus der IP-Adresse des Ziels 1102, der IP-Adresse des Kommunikationsendgeräts 1103, zu dem das IPSEC-Paket gesendet wird, ob die IPSEC-Verarbeitung durchgeführt wird oder nicht 1104 und dem Adressenzeiger 1105, der die Position der SA anzeigt. In Bezug auf die IP-Adresse des Ziels 1102 und die IP-Adresse des Kommunikationsendgeräte 1103, zu dem das IPSEC-Paket gesendet wird, kann die Region der IP-Adresse registriert werden. Die IP-Adresse des Kommunikationsendgeräts 1103, zu dem das IPSEC-Paket gesendet wird, ist die des Kommunikationsendgeräts mit der IPSEC-Funktion, das die IPSEC-Verarbeitung an der IP-Adresse 1102 durchführt.
12 zeigt die zweite Datenbank 1201, die mehrere empfehlenswerte SA speichert. Die empfehlenswerte SA ist eine, die von dem Kommunikationsendgerät des Ziels mit der IPSEC-Funktion empfohlen wird oder die von dem dritten bestimmt wird, wobei der Grad der gesicherten Kommunikation abhängig von den vom Ziel bereitgestellten Diensten unterschiedlich ist. 10 ist ein vereinfachtes Diagramm des Kommunikationssystems, wobei unnötige Einrichtungen aus Einrichtungen in 9 weggelassen sind, um die dritte Ausführungsform zu erläutern. Um die SA mit der Netzwerkschnittstellenvorrichtung 103 einzurichten, die die IPSEC-Kommunikation starten wird, fragt gemäß 9 die Netzwerkschnittstellenvorrichtung 102 bei der dritten Ausführungsform die Sicherheitsinformationsvorrichtung 901 nach der empfehlenswerten SA für die IPSEC-Kommunikation ab. Die Einrichtung der SA zwischen den Netzwerkschnittstellenvorrichtungen 102 und 103 wird zum Beispiel durchgeführt, wenn ein Benutzer die Netzwerkschnittstellenvorrichtungen 102 und 103 initialisiert, wenn die Computer 101 und 104 die Kommunikation über die Netzwerkschnittstellenvorrichtungen 102 und 103 starten und so weiter. Falls die wünschenswerte empfehlenswerte SA die SA jedoch trotz des Versuchs, die SA einzurichten, nicht einrichten kann, gibt es die folgenden in Betracht zu ziehenden Möglichkeiten: Suspendieren des Sendens; Befragen eines Benutzers über den Grund; Durchführen der IPSEC-Kommunikation, nachdem die SA durch die von der empfehlenswerten verschiedene SA eingerichtet wurde.
Wenn die Computer 101 und 104 die Kommunikation über die Netzwerkschnittstellenvorrichtungen 102 und 103 starten, wird die Anfrage über die empfehlenswerte SA folgendermaßen durchgeführt.
Die Netzwerkschnittstellenvorrichtung 102 empfängt das zu dem Computer 104 zu sendende IP-Paket von dem Computer 101 über das Sende- und Empfangsmittel 1308, und das Steuermittel 1305 liest dann die in dem Speichermittel 1309 der Netzwerkschnittstellenvorrichtung 102 gespeicherte SPD.
Wenn zu diesem Zeitpunkt die SPD nicht die Informationen des Computers 104 enthält, fragt die Netzwerkschnittstellenvorrichtung 102 die Sicherheitsinformationsvorrichtung 901 über die empfehlenswerte SA für die IPSEC-Kommunikation durch Verwenden des Anfragemittels 1306 ab (10, S1001). Es wird angenommen, dass die Adresse der Sicherheitsinformationsvorrichtung 901 im Voraus in dem Speichermitel 1309 der Netzwerkschnittstellenvorrichtung 102 gespeichert wird.
Bei der Verarbeitung des Anfragens über die empfehlenswerte SA sendet die Netzwerkschnittstellenvorrichtung 102 die IP-Adresse des Computers 104 des Ziels zu der Sicherheitsinformationsvorrichtung 901. Nach dem Empfang der IP-Adresse des Computers 104 durch das Sende- und Empfangsmittel 1304 liest das Verwaltungsmittel 1301 für die empfehlenswerte SA der Sicherheitsinformationsvorrichtung 901 die IP-Adresse des Ziels 1102 in der ersten Datenbank 1101, die in dem Speichermittel 1302 gespeichert ist, gemäß der IP-Adresse des Computers 104 und erhält dann die IP-Adresse des Kommunikationsendgeräts 1103, zu dem das entsprechende IPSEC-Paket gesendet wird, ob die IPSEC-Verarbeitung durchgeführt wird oder nicht 1104 und den Adressenzeiger 1105, der auf die Position der SA zeigt.
Das Verwaltungsmittel 1301 für die empfehlenswerte SA erhält ferner die empfehlenswerte SA aus der zweiten Datenbank 1201, die in dem Speichermittel 1302 gespeichert ist, gemäß dem Adressenzeiger 1105, und sendet die empfehlenswerte SA dann zusammen mit der IP-Adresse des Kommunikationsendgeräts 1103, zu dem das IPSEC-Paket gesendet wurde, und ob die IPSEC-Verarbeitung durchgeführt wird oder nicht 1104 zu der Netzwerkschnittstellenvorrichtung 102 (10, S1002).
Die IP-Adresse des Kommunikationsendgeräts 1103, zu dem das IPSEC-Paket gesendet wird, speichert die IP-Adresse der Netzwerkschnittstellenvorrichtung 103, die im Voraus gespeichert wurde. Es muss nicht erwähnt werden, dass die Anzahl der zurückzusendenden empfehlenswerten SA mehrfach sein kann.
Nach dem Empfang der empfehlenswerten SA, der IP-Adresse des Kommunikationsendgeräts 1103, zu dem das empfangene IPSEC-Paket gesendet wird, und ob die IPSEC-Verarbeitung durchgeführt wird oder nicht 1104, richtet das Steuermittel 1305 der Netzwerkschnittstellenvorrichtung 102 als nächstes die SA wie im Stand der Technik beschrieben mit der Netzwerkschnittstellenvorrichtung 103 gemäß der IP-Adresse des Kommunikationsendgeräts, 1103, zu dem das empfangene IPSEC-Paket gesendet wird, ein und schlägt die empfehlenswerte SA dann als eine Kandidaten-SA durch die IKE-Phase 2 vor (10, S1003).
Wenn die empfangene empfehlenswerte SA die IPSEC-Kommunikation herstellen kann, gibt die Netzwerkschnittstellenvorrichtung 103 die empfehlenswerte SA an die Netzwerkschnittstellenvorrichtung 102 zurück. Danach ist die Herstellung der Kommunikation abgeschlossen (10, S1004).
Da die Netzwerkschnittstellenvorrichtung 102 bei der Sicherheitsinformationsvorrichtung 902 über die empfehlenswerte SA anfragt, ist es deshalb dadurch möglich, die SA zu erhalten, die mit einem Gegner der Sicherheit kommunizieren kann, und die IPSEC-Kommunikation durch die empfehlenswerte SA durchzuführen.
Übrigens muss beachtet werden, dass, obwohl die Netzwerkschnittstellenvorrichtung 102 über die empfehlenswerte SA für die IPSEC anfragt, die erste Datenbank der Sicherheitsinformationsvorrichtung die entsprechende IP-Adresse nicht registriert hat (10, S1001).
In diesem Fall fragt das Verwaltungsmittel 1301 für die empfehlenswerte SA der Sicherheitsinformationsvorrichtung 901 bei dem entsprechenden Computer 104 über die Kandidaten-SA an, die für die gesicherte Kommunikation notwendig ist (10, S1005).
Der Computer 104, der die Anfrage empfängt, gibt der Sicherheitsinformationsvorrichtung 901 durch Verwenden des Antwortmittels 1311 die IP-Adresse der Netzwerkschnittstellenvorrichtung 103 mit der IPSEC-Funktion zurück, die im voraus in dem Computer 104 registriert wurde (10, S1006).
Das Verwaltungsmittel für die empfehlenswerte SA des Sicherheitsinformationsmittels 901, das die IP-Adresse der Netzwerkschnittstellenvorrichtung 103 mit der IPSEC-Funktion empfangen hat, fragt dann bei der Netzwerkschnittstellenvorrichtung 103 über die Kandidaten-SA an (10, S1007). Das Steuermittel 1305 der Netzwerkschnittstellenvorrichtung 103, die die Anfrage empfängt, sendet die in dem Speichermittel 1309 der Netzwerkschnittstellenvorrichtung 103 gespeicherte Kandidaten-SA durch Verwenden des Antwortmittels 1307 zu der Sicherheitsinformationsvorrichtung 901 (10, S1008).
Das Verwaltungsmittel 1301 für die empfehlenswerte SA der Sicherheitsinformationsvorrichtung 901, das die Kandidaten-SA empfängt, registriert die Kandidaten-SA in der zweiten Datenbank und registriert gleichzeitig in der ersten Datenbank 1101 die für die Anfrage an die Netzwerkschnittstellenvorrichtung 102 verwendete IP-Adresse, den Adressenzeiger 1105, der die Position der Kandidaten-SA angibt, die IP-Adresse des Kommunikationsendgeräts 1103, zu dem das IPSEC-Paket gesendet wird, und ob die IPSEC-Verarbeitung durchgeführt wird oder nicht 1104. Und die empfehlenswerte SA wird durch das Sende- und Empfangsmittel 1304 zusammen mit der IP-Adresse des Kommunikationsendgeräts 1103, zu dem das IPSEC-Paket gesendet wird, und ob die IPSEC-Verarbeitung durchgeführt wird oder nicht 1104 zurück der Netzwerkschnittstellenvorrichtung 102 (10, S1002).
Wenn der Computer 104, der die Anfrage empfängt, jedoch die IP-Adresse der Netzwerkschnittstellenvorrichtung 103 nicht registriert hat oder wenn das System nicht mit einem Kommunikationsendgerät mit der IPSEC-Funktion ausgestattet ist, oder wenn das System nicht mit dem Antwortmittel 1311 ausgestattet ist, sendet der Computer 104 die Bedeutung zurück oder antwortet nichts an die Sicherheitsinformationsvorrichtung 901. Die Sicherheitsinformationsvorrichtung 901, die die Antwort oder nichts empfängt, benachrichtigt die Netzwerkschnittstellenvorrichtung 102 über die Bedeutung und registriert zwischenzeitlich die IP-Adresse des Computers 104 in der IP-Adresse des Ziels 1102, der ersten Datenbank 1101 und ändert dann „ob die IPSEC-Verarbeitung durchgeführt wird oder nicht" 1104 in „NEIN" um. In diesem Fall kann das Steuermittel 1305 der Netzwerkschnittstellenvorrichtung 102 einen den Computer 101 benutzenden Computer darüber benachrichtigen, dass die gesicherte Kommunikation nicht starten kann oder die Kommunikation nicht durchgeführt wird.
Im Fall der bidirektionalen Kommunikation werden durch IKE-Phase 2 wie im Stand der Technik zwei der unabhängigen SA registriert. Wenn IKE-Phase 2 die SA auf der Basis der Anforderung der Netzwerkschnittstellenvorrichtung 102 einrichtet, kann das Steuermittel 1305 der Netzwerkschnittstellenvorrichtung 103 deshalb bei der Sicherheitsinformationsvorrichtung 901 über die empfehlenswerte SA für die Netzwerkschnittstellenvorrichtung 102 anfragen (10, S1009).
Wenn die erste Datenbank 1101 der Sicherheitsinformationsvorrichtung 901 die empfehlenswerte SA für die Netzwerkschnittstellenvorrichtung 102 nicht registriert hat, fragt das Verwaltungsmittel 1301 für die empfehlenswerte SA der Sicherheitsinformationsvorrichtung 901 bei der Netzwerkschnittstellenvorrichtung 102 über die Kandidaten-SA an (10, S1010 bis S1011). Danach wird die Antwort auf die Anfrage zu der Netzwerkschnittstellenvorrichtung 103 gesendet (10, S1012). Da diese Sequenz dieselbe wie die obigen Schritte von S1001 bis S1002 und von S1007 bis S1008 ist, wird die Erläuterung hier weggelassen.
Da das System mit einer Sicherheitsinformationsvorrichtung ausgestattet ist, kann ein Benutzer wie oben beschrieben die richtige SA bestimmen, ohne den Grad der gesicherten Kommunikation des Ziels zu berücksichtigen. Wenn zum Beispiel der Dritte die Sicherheitsinformationsvorrichtung verwaltet, ist es zusätzlich möglich, den Grad der gesicherten Kommunikation je nach durch das Ziel bereitgestellten Dienstinhalten oder je nach Adresse des Ziels zu optimieren. Darüber hinaus kann die Sicherheitsinformationsvorrichtung die empfehlenswerte SA durch automatisches Abfragen des entsprechenden Kommunikationsendgeräts über die Kandidaten-SA und anschließendes Sammeln der Inhalte zentral verwalten, wodurch jedes Kommunikationsendgerät mit der IPSEC-Funktion Kandidaten für die empfehlenswerte SA erhalten kann, indem lediglich bei der Sicherheitsinformationsvorrichtung angefragt wird. Insbesondere im Fall eines Netzwerks mit großem Maßstab, das die IPSEC-Kommunikation auf diese Weise benutzt, sind mehrere Firmen über Router mit IPSEC-Funktion verbunden und dieses System ist für einen Benutzer leicht, um das Kommunikationsendgerät für die gesicherte Kommunikation zu konfigurieren, und dadurch ist es effektiv, die Verantwortung des Administrators oder des Benutzers zu reduzieren.
Die durch die Sicherheitsinformationsvorrichtung bei der vorliegenden Erfindung gespeicherte Datenbank ist in zwei Teile aufgeteilt, es ist aber nicht immer notwendig, die Datenbank konkret zu unterteilen. Die Sicherheitsinformationsvorrichtung kann so ausgelegt werden, dass sie wenn möglich eine Datenbank zur Ausführung der Funktion aufweist. Zusätzlich kann die Datenbank nicht nur die oben erwähnten Posten speichern, sondern auch die notwendigen Informationen für die anderen SA.
Der Sicherheitsinformationsvorrichtung kann die Funktion des Radius-Servers hinzugefügt werden (Remote Authentication Dial-IN User Server), wodurch die Sicherheitsinformationsvorrichtung die durch IKE ausgetauschten Schlüsselinformationen und die der SA entsprechenden SPI-Informationen alle zusammen verwalten und diese Informationen dann bereitstellen kann.
Falls jeder Computer die IPSEC-Funktion enthält, kann der Computer bei der Sicherheitsinformationsvorrichtung wie bei der Netzwerkschnittstellenvorrichtung anfragen.
Als die IP-Adresse des Ziels und die IP-Adresse des Kommunikationsendgeräts, zu dem das IPSEC-Paket gesendet wird, wird die IP-Adresse benutzt, es besteht jedoch keine Beschränkung darauf. Bei der Adresse kann es sich um Informationen handeln, die das Kommunikationsendgerät des Ziels spezifizieren können, wie zum Beispiel ein Computername, eine MAC-Adresse (Media Access Control Address), eine Telefonnummer und so weiter.
Die dritte Ausführungsform kann als Kombination mit der ersten Ausführungsform benutzt werden. In diesem Fall können das Steuermittel 1305 und das Speichermittel 1309 zu dem Sicherheitstypauswahlmittel 408 werden, und das Sende- und Empfangsmittel 1308 kann zu der Netzwerksteuerung 406 und der Schaltungssteuerung 407 werden.

Claims

Vorrichtung der gesicherten Kommunikation (102, 103) zur Gewährleistung der Sicherheit einer von einem Kommunikationsendgerät (101) an einem sendenden Ende zu einem Kommunikationsendgerät (104) an einem empfangenden Ende über ein Netzwerk (109) gesendeten Kommunikation, dadurch gekennzeichnet, dass die Vorrichtung folgendes umfasst: ein Speichermittel (403), das so ausgelegt ist, dass es Assoziierungsinformationen (205) speichert, und ein Sicherheitstypauswahlmittel (408), das so ausgelegt ist, dass es aus den Assoziierungsinformationen (205) gemäß den Informationen den Typ des gesicherten Kommunikationsprotokolls (204) auswählt; wobei die in dem Speichermittel (403) gespeicherten Assoziierungsinformationen (205) Informationen, die einen das Kommunikationsendgerät (101) am sendenden Ende benutzenden Benutzer spezifizieren, mit einem Typ des auf die Kommunikation des Benutzers anzuwendenden gesicherten Kommunikationsprotokolls (204) assoziieren; und das Auswahlmittel (408) so ausgelegt ist, dass es den Typ des gesicherten Kommunikationsprotokolls (204) aus den Informationen auswählt, die den Benutzer spezifizieren, die von dem Kommunikationsendgerät (101) am sendenden Ende gesendet wurden, und wobei die Vorrichtung (102, 103) ferner folgendes umfasst: ein Abfragemittel (1306) zum Abfragen des Typs des anzuwendenden gesicherten Kommunikationsprotokolls (1105) bei einer Sicherheits-Informationsvorrichtung (901), wobei das Sicherheitstypauswahlmittel (408) so ausgelegt ist, dass es den Typ des gesicherten Kommunikationsprotokolls gemäß der Antwort auf die Abfrage auswählt; und Sende- und Empfangsmittel.
Vorrichtung der gesicherten Kommunikation (102, 103) nach Anspruch 1, wobei das Sicherheitstypauswahlmittel (408) so ausgelegt ist, dass es, wenn die Assoziierungsinformationen geändert werden, sofort bestätigt, dass die Kommunikation auf der Basis der geänderten Informationen hergestellt ist.
Vorrichtung der gesicherten Kommunikation (102, 103) nach Anspruch 1, wobei das gesicherte Protokoll IPSEC ist.
Vorrichtung der gesicherten Kommunikation (102, 103) nach Anspruch 1 oder 2, wobei der von dem Sicherheitstypauswahlmittel (408) ausgewählte Typ eine Gruppe von für die gesicherte Kommunikation verwendeten Definitionsinformationen ist.
Vorrichtung der gesicherten Kommunikation (102, 103) nach Anspruch 4, wobei die Gruppe von Definitionsinformationen eine Sicherheitsrichtlinie ist.
Vorrichtung der gesicherten Kommunikation (102, 103) nach Anspruch 4, wobei die Gruppe von Definitionsinformationen einen Authentifikationsalgorithmus und/oder einen Verschlüsselungsalgorithmus enthält.
Vorrichtung der gesicherten Kommunikation (102, 103) nach Anspruch 1, wobei das Speichermittel (403) so ausgelegt ist, dass es Assoziierungsinformationen (205) speichert, die statt der Informationen, die den Benutzer spezifizieren, in eine in dem Kommunikationsendgerät (101) am sendenden Ende arbeitende Anwendung (605) eingegebene Internetadresseninformationen (202) mit dem Typ des gesicherten Kommunikationsprotokolls (204) assoziieren; und wobei das Sicherheitstypauswahlmittel (408) so ausgelegt ist, dass es den Typ des gesicherten Kommunikationsprotokolls (204) gemäß den Internetadresseninformationen (202) auswählt.
Vorrichtung der gesicherten Kommunikation (102, 103) nach Anspruch 7, wobei das Sicherheitstypauswahlmittel (408) so ausgelegt ist, dass es den Typ des gesicherten Kommunikationsprotokolls (204) durch visuelles Assoziieren der visualisierten Internetadresseninformationen (603) mit der visualisierten Liste des Sicherheitstyps (606) auswählt.
Vorrichtung der gesicherten Kommunikation (102, 103) nach Anspruch 7, wobei das Sicherheitstypauswahlmittel (408) so ausgelegt ist, dass es die Internetadresseninformationen (202) durch Verwendung des Domänennamensystem-Servers in eine IP-Adresse umsetzt.
Vorrichtung der gesicherten Kommunikation (102, 103) nach einem der Ansprüche 7 bis 9, wobei der Typ des gesicherten Kommunikationsprotokolls (204) ein Sicherheitsprotokoll ist.
Vorrichtung der gesicherten Kommunikation (102, 103) nach Anspruch 10, wobei das gesicherte Protokoll IPSEC ist.
Vorrichtung der gesicherten Kommunikation (102, 103) nach einem der Ansprüche 7 bis 9, wobei der Typ des gesicherten Kommunikationsprotokolls eine Gruppe von für die gesicherte Kommunikation verwendeten Definitionsinformationen ist.
Vorrichtung der gesicherten Kommunikation (102, 103) nach Anspruch 12, wobei die Gruppe von Definitionsinformationen eine Sicherheitsrichtlinie ist.
Vorrichtung der gesicherten Kommunikation (102, 103) nach Anspruch 12, wobei die Gruppe von Definitionsinformationen einen Authentifikationsalgorithmus und/oder einen Verschlüsselungsalgorithmus enthält.
System der gesicherten Kommunikation zur Gewährleistung der Sicherheit der von einem Kommunikationsendgerät (101) an einem sendenden Ende zu einem Kommunikationsendgerät (104) an einem empfangenden Ende über ein Netzwerk (109) gesendeten Kommunikation, wobei das System folgendes umfasst: ein Benutzerauthentifikationsmittel (110) zum Authentifizieren eines das Kommunikationsendgerät an dem sendenden Ende benutzenden Benutzers, dadurch gekennzeichnet, dass das System ferner folgendes umfasst: eine Vorrichtung der gesicherten Kommunikation (102, 103), die folgendes aufweist: ein Speichermittel (403), das so ausgelegt ist, dass es erste Assoziierungsinformationen (205) speichert, die Informationen, die einen das Kommunikationsendgerät (101) am sendenden Ende benutzenden Benutzer spezifizieren, mit einem Typ des gesicherten Kommunikationsprotokolls (204) assoziieren; ein Sicherheitstypauswahlmittel (408), das so ausgelegt ist, dass es den Typ des gesicherten Kommunikationsprotokolls (204) aus den Assoziierungsinformationen gemäß den Informationen, die den durch das Benutzerauthentifikationsmittel authentifizierten Benutzer spezifizieren, auswählt; eine Sicherheits-Informationsvorrichtung (901), die folgendes aufweist: ein Speichermittel (1302), das so ausgelegt ist, dass es zweite Assoziierungsinformationen (110) speichert, die Endgerätespezifizierungsinformationen (1102), die ein Zielkommunikationsendgerät (104) spezifizieren, mit einem auf eine Kommunikation mit dem Zielkommunikationsendgerät (104) anzuwendenden empfehlenswerten Typ von gesichertem Kommunikationsprotokoll (1105) assoziieren; und ein Verwaltungsmittel für den empfehlenswerten Sicherheitstyp (1301), das so ausgelegt ist, dass es den empfehlenswerten Typ von gesichertem Kommunikationsprotokoll (1105) aus den Assoziierungsinformationen (1101) gemäß den Endgerätespezifizierungsinformationen (1102) als Reaktion auf eine Abfrage nach dem empfehlenswerten Typ von gesichertem Kommunikationsprotokoll (1105) von einer Vorrichtung der gesicherten Kommunikation (102) auswählt; und ein Sendemittel zum Senden des gewählten empfehlenswerten Sicherheitstyps.
System der gesicherten Kommunikation nach Anspruch 15, wobei das Sicherheitstypauswahlmittel (408) so ausgelegt ist, dass es, wenn die ersten Assoziierungsinformationen (205) geändert werden, sofort bestätigt, dass die Kommunikation auf der Basis der geänderten Informationen hergestellt ist.
Verfahren der gesicherten Kommunikation unter Verwendung einer Vorrichtung der gesicherten Kommunikation (102) zur Gewährleistung der Sicherheit einer Kommunikation zwischen Kommunikationsendgeräten (101, 104), wobei diese Endgeräte über ein Netzwerk (109) miteinander verbunden sind, wobei das Verfahren die folgenden Schritte umfasst: Auswählen des Typs des gesicherten Kommunikationsprotokolls (204), der auf die Kommunikation eines Benutzers angewandt werden soll, gemäß Informationen, die einen das Kommunikationsendgerät (101) am sendenden Ende benutzenden Benutzer spezifizieren; und wobei die Vorrichtung der gesicherten Kommunikation (102) aus einer spezifischen Sicherheits-Informationsvorrichtung (901) nach dem empfehlenswerten Typ von gesichertem Kommunikationsprotokoll (1105) für ein anderes spezifizisches Kommunikationsendgerät (104) abfragt; die spezifische Sicherheits-Informationsvorrichtung (901) den empfehlenswerten Typ von gesichertem Kommunikationsprotokoll (1105) als Reaktion auf die Abfrage aus der Kommunikationsvorrichtung (102) auswählt und ihn dann zu der Kommunikationsvorrichtung (102) sendet; wobei die Vorrichtung der gesicherten Kommunikation (102) den Sicherheitstyp gemäß dem aus der Sicherheits-Informationsvorrichtung (901) gesendeten empfehlenswerten Sicherheitstyp bestimmt.