本フレームワークは平文データの入力を暗号化し、暗号文データの入力を復号化するこ とを目的とする。図において左側が出力機器、右側が入力機器になっているが、実機では 一つの機器内に入力・出力が混在する。
OS からの入力はパケット制御機能に入り、そのパケットに対してどのような秘匿通信 機能を与えるのかを秘匿通信管理機能に問合せる。秘匿通信管理機能は認証フレームワー クに問合せて、そのパケットにどのような秘匿通信機能を与えるかの管理情報を得る。そ の結果、パケットに秘匿通信機能を付与しない場合は平文のままデータ送信機能にパケッ トを渡す。暗号化または認証をする場合、SA(Security Association)管理機能にどのような 方法で暗号化、認証したらよいかを問合せる。SA 管理機能は認証フレームワークからそ のパケットに該当するSAを貰う。SAが返却されなかった場合は、パケットを破棄し、SA が得られない旨をログ出力機能に出力する。
パケット制御機能は、処理対象のパケットにセキュリティ機能を付加しない場合は、そ のままデータ送信機能に当該パケットを渡す。セキュリティ機能を付加する場合は平文と SA をデータ暗号化機能に送る。データ暗号化機能は、処理対象のパケットを暗号化する 場合は SA にしたがって暗号化する。データ暗号化機能は、暗号化処理の適用如何に関わ らず、パケットと SA をデータ認証機能に渡す。データ認証機能は、処理対象のパケット を認証する場合は、SA にしたがって認証情報を付加する。データ認証機能は、認証処理 の適用如何に関わらず、パケットをデータ送信機能に渡す。データ送信機能は宛先機器の データ受信機能に対して通信データを渡す。
データの受信側は、受け取ったデータに対応するSAをSA管理機能に問合せる。SAが 受信側にないことはありえないが、万が一 SA がなかったらパケットを破棄する。パケッ トにセキュリティ機能が付加されているならデータ検証機能へパケットを渡し、付加され ていないなら、パケット制御機能へ渡す。データ検証機能はパケットに認証情報が付加さ れていたら SA にしたがってデータを検証し、検証に失敗したらパケットを破棄しエラー をログ出力機能に出力する。検証処理を適用する如何に関わらず、パケットと SA をデー タ復号化機能へ渡す。
データ復号化機能はパケットが暗号化されていたら、SA にしたがって暗号文を復号化 する。復号化に失敗したらパケットを破棄し、エラーログをログ出力機能に出力する。復 号化処理をする如何に関わらず、処理対象のパケットをパケット制御機能に渡す。
パケット制御機能はそのパケットをどう扱ったらよいか秘匿通信管理機能に問合せる。
秘匿通信管理機能は認証フレームワークに問合せて、管理情報を返却する。
パケット制御機能は渡された管理情報に基づいてパケットをどうするのか決定し、その まま上位の階層に渡すか、破棄してログ出力機能にログを出力する。
130 130130 130
OS OS
アプリケーション アプリケーション
パケット制御機能
SA管理機能 データ暗号化機能
データ認証機能
パケット制御機能
データ復号化機能
データ検証機能 SA管理機能
データ
データ
平文、SA
秘匿通信管理機能
暗号化後データ、SA
データ送信機能 データ受信機能
認証後データ 入力データ、SA
検証後データ、SA 復号化後データ
データ データ
秘匿通信管理機能
平文 平文
SA 問合せ
SA問合せ、
SA返却 管理情報
問合せ 管理情報問合せ、
管理情報返却
認証フレームワーク
SA問合せ、
SA返却
SA問合せ、
SA返却
ログ出力機能 ログ出力機能
セキュリティ 監視エージェント
ログ ログ
ログ出力機能には細破線中の全ての機能から入線がある。しかし、簡単のため省略。
秘匿通信ポリシー 問合せ
秘匿通信ポリシー 問合せ
通信路
図58 秘匿通信フレームワーク機能関連図
131 131131 131
(1) パケット制御機能 パケット制御機能 パケット制御機能 パケット制御機能
(i) 機能説明 機能説明 機能説明 機能説明
送信側(out-boundデータ)
機器の上位層からの入力パケットを受け取り、それに対して適切な暗号化・認証情報 を付加すべく秘匿通信ポリシーを秘匿通信管理機能に問合せる。問合せた結果がdiscard ならパケットを捨てる。bypass なら秘匿通信機能を付加せず、データ送信機能に渡す。
applyならば、秘匿通信機能を有効にする。
applyのときには、SA(Security Association)管理機能に問合せてSAを取得する。
SA が取得できなかったらエラーログをログ出力機能に出力して、パケットを破棄する。
SAの取得に成功したら、入力パケットとSAをデータ暗号化機能に渡す。
受信側(in-boundデータ)
データ復号化機能からの入力パケットを受け取り、それを適切に処理すべく秘匿通信 ポリシーを秘匿通信管理機能に問合せる。問合せた結果が discard ならパケットを捨て る。それ以外なら、上位層にそのままパケットを渡す。
OS OS
パケット制御機能
SA管理機能 データ暗号化機能
パケット制御機能
データ復号化機能
データ
平文、SA
秘匿通信管理機能
データ送信機能 データ受信機能
復号化後データ データ
秘匿通信管理機能
平文 平文
SA問合せ、
SA返却 管理情報問合せ、
管理情報返却
管理情報問合せ、
管理情報返却
ログ出力機能
エラーログ
ログ出力機能 エラーログ
図59 パケット制御機能 機能ブロック関連図
132 132132 132
(ii) 入力データ 入力データ 入力データ 入力データ
送信側 送信側 送信側 送信側
データ
上位層からの通信データの内容
管理情報
ペイロードに対応する秘匿通信機能の管理情報
SA
ペイロードに対応したSecurity Association
受信側受信側 受信側受信側
暗号化後データ
暗号化された通信データ
平文
平文の通信データ
管理情報
ペイロードに対応する秘匿通信機能の管理情報
(iii) 出力データ 出力データ 出力データ 出力データ
送信側 送信側 送信側 送信側
平文
上位層からの通信データの内容
SA
SA管理機能から受け取ったSecurity Association
管理情報問合せ
入力データに付加されるべき秘匿通信機能の問合せ情報
SA問合せ
ペイロードのヘッダ情報。秘匿通信管理機能、SA管理機能に渡される
エラーログ
パケット制御機能内で発生したエラーログ。ログ出力機能に渡される 受信側
受信側 受信側 受信側
データ
通信データの内容。上位層(OS)に渡される
管理情報問合せ
入力データの暗号文を復号化するために必要な情報の問合せ
エラーログ
パケット制御機能内で発生したエラーログ。ログ出力機能に渡される
133 133133 133
(2) 秘匿通信管理機能 秘匿通信管理機能 秘匿通信管理機能 秘匿通信管理機能
(i) 機能説明 機能説明 機能説明 機能説明
通信データに対して付加する秘匿機能の情報を取得する。適用する秘匿機能を取得する ためのパラメータは、上位層の通信の内容、宛先機器アドレス、送信元機器アドレスであ る。これらのパラメータによって認証フレームワークに問合せ、返却される秘匿通信機能
(discard, bypass, apply)をパケット制御機能に返却する。認証フレームワークに問合せ て適切な結果が得られなかったら、エラーログをログ出力機能に渡す。
パケット制御機能 管理情報問合せ、管理情報返却 秘匿通信管理機能
認証フレームワーク
秘匿通信ポリシー問合せ
ログ出力機能
エラーログ
図60 秘匿通信管理機能 機能ブロック関連図
(ii) 入力データ 入力データ 入力データ 入力データ
管理情報問合せ
パケットのヘッダ情報を問合せとして用いる
秘匿通信ポリシー
秘匿通信ポリシーを問合せた結果
(iii) 出力データ 出力データ 出力データ 出力データ
秘匿通信ポリシー問合せ
通信データのヘッダ情報。認証フレームワークに渡される
管理情報
秘匿通信のパラメータ情報。利用する秘匿通信機能、鍵などを含む
エラーログ
秘匿通信管理機能内で採取されたエラーログ
134 134134 134
(3) SA 管理機能 管理機能 管理機能 管理機能
(i) 機能説明 機能説明 機能説明 機能説明
宛先機器と秘匿通信をするためのパラメータ情報を管理する。パラメータ情報は SA
(Security Association)と呼ぶ。SAは通信データに付加される秘匿通信機能によって認証 機能または暗号化機能のものがある。通信データの情報によって認証フレームワークに問 合せて、対応するSAを得る。
パケット制御機能 SA問合せ、SA返却 SA管理機能 SA管理機能 SA問合せ、SA返却 データ受信機能
認証フレームワーク
SA問合せ、
SA返却
SA問合せ、
SA返却
ログ出力機能
エラーログ
ログ出力機能
エラーログ
図61 SA管理機能 機能ブロック関連図
(ii) 入力データ 入力データ 入力データ 入力データ
SA問合せ
SA を問合せるメッセージ。送信側と受信側はそれぞれパケット制御機能とデータ受 信機能から渡される
SA
SA問合せに対して返却されるべきSA
(iii) 出力データ 出力データ 出力データ 出力データ
SA
認証機能・暗号化機能の選択肢、鍵、IV、SAを一意に特定するSPIの値など
SA問合せ
入力データのSA問合せを受けて認証フレームワークに問合せるための情報
エラーログ
SA管理機能内で発生したエラーログ