5.3 機能ブロックの概要説明
5.3.1 認証フレームワーク
本フ レームワ ークは、 秘 匿通信フレーム ワークで 利 用する パラメー タ情報で あ る SA(Security Association)の確立を目的としている。SA は、認証機能、暗号化機能、確立 した鍵、IV(Initial Vector)、SPI(Security Parameter Index)など秘匿通信に必要な各パラ メータを示す情報である。本フレームワークは、SA 確立のための認証手段と鍵交換手段 を提供するものである。本フレームワークにより SA が確立されることにより、機器間で の相互認証と秘匿通信フレームワークのための各パラメータ情報を共有することができ る。SA を合意するための方法は、制御 LANと制御系情報 LAN により異なる。これは、
制御LANと制御系情報LANとでは取り扱う情報の違いから、ネットワークとセキュリテ ィ機能に関する要件がそれぞれのLANで異なるからである。
制御LANでは、速い通信速度が要求されるため、SA を合意する手段もパフォーマンス の高い方法が望ましい。制御系情報 LAN では、情報セキュリティに重点が置かれるため、
第三者によるより安全な認証手段が求められる。そこで、本フレームワークにおいては、
おのおののLANの特性に適した機能構成を提供するものである。
以下、各LANにおける認証フレームワークの機能ブロックについて説明する。
ネットワーク間の アクセス制御 アクセス制御・暗号化
セキュリティ・
ポリシー
ログ情報
ログ情報 セキュリティ・
ポリシー
セキュリティ運用管理 フレームワーク
セキュリティ監視 フレームワーク 認証
フレームワーク
秘匿通信 フレームワーク
制御系保護専用 ファイアウォール 制御機器
制御機器専用 マイクロプロキシ
情報系LAN
65 65 65 65
(1) 制御 制御 制御 制御 LAN 専用認証フレームワーク 専用認証フレームワーク 専用認証フレームワーク 専用認証フレームワーク
制御LAN専用認証フレームワークは、制御LAN上の機器間での相互認証と秘匿通信フ レームワークで利用するSAを交換する機能を提供する。
以下に、制御LAN専用認証フレームワークの機能関連図を示す。
メッセージ制御機能 機器識別機能
機器識別情報
ペイロード制御機能
秘匿通信連携機能
ペイロード SA情報
機器識別情報
秘匿通信フレームワーク
機器秘密情報
SA情報 メッセージ
SA メッセージ
秘密鍵 証明書 など
セキュリティ監視エージェント ログ出力機能
ログ 機器
メッセージ メッセージ
認証フレームワーク
鍵交換処理機能 管理情報取得機能
鍵交換情報 鍵 問い合わせ情報 ポリシー
ポリシー
ペイロード
ログ出力機能への入力は、各機能からログ情報が入力される ログ出力機能への入力は、各機能からログ情報が入力される ログ出力機能への入力は、各機能からログ情報が入力される ログ出力機能への入力は、各機能からログ情報が入力される ポリシー
運用管理サーバ ポリシー
図24 制御LAN専用認証フレームワーク機能関連図
本機能は、以下の機能から構成される。
管理情報取得機能
秘匿通信連携機能
メッセージ制御機能
ペイロード制御機能
鍵交換処理機能
機器識別機能
ログ出力機能
66 66 66 66
(i) 管理情報取得機能 管理情報取得機能 管理情報取得機能 管理情報取得機能
機器で使用する各種管理情報を取得する機能を提供する。
(ii) 秘匿通信連携機能 秘匿通信連携機能 秘匿通信連携機能 秘匿通信連携機能
秘匿通信フレームワークと認証フレームワークの間でのメッセージ連携を行う機能を提 供する。また、秘匿通信フレームワークの SA(Security Association:パラメータ情報)
を生成する機能を提供する。
(iii) メッセージ制御機能 メッセージ制御機能 メッセージ制御機能 メッセージ制御機能
SA確立処理におけるメッセージの処理を制御する機能を提供する。
(iv) ペイロード制御機能 ペイロード制御機能 ペイロード制御機能 ペイロード制御機能
SA確立処理におけるペイロード処理を制御する機能を提供する。
(v) 鍵交換処理機能 鍵交換処理機能 鍵交換処理機能 鍵交換処理機能
SA確立処理時の鍵交換処理を行う機能を提供する。
(vi) 機器識別機能 機器識別機能 機器識別機能 機器識別機能
機器の識別を行う機能を提供する。
(vii) ログ出力機能 ログ出力機能 ログ出力機能 ログ出力機能
機器において発生した監視対象イベントのログ情報をセキュリティ監視エージェントに 出力する機能を提供する。
67 67 67 67
(2) 制御系情報 制御系情報 制御系情報 制御系情報 LAN 専用認証フレームワーク 専用認証フレームワーク 専用認証フレームワーク 専用認証フレームワーク(認証 (認証 (認証 (認証・秘匿通 ・秘匿通 ・秘匿通 ・秘匿通 信サーバ部)
信サーバ部) 信サーバ部)
信サーバ部)
認証・秘匿通信サーバにおける制御系情報 LAN 専用認証フレームワークは、利用者お よび機器の認証を行い、宛先機器に対するアクセス許可情報を送信元機器に発行する機能 を提供する。
以下に、認証・秘匿通信サーバにおける制御系情報 LAN 専用認証フレームワークの機 能関連図を示す。
認証制御機能 管理情報取得機能
アクセス許可情報 発行制御機能
アクセス許可情報 発行機能 発行情報 発行命令
利用者情報 機器情報 利用者情報
機器情報 アクセス権限情報
認証結果
セキュリティ・ポリシーエージェント セキュリティ監視エージェント
ログ出力機能 利用者情報 ログ
機器情報 アクセス権限情報
機器 メッセージ アクセス許可情報
認証サーバ
認証フレームワーク
ログ出力機能への入力は、各機能からログ情報が入力される ログ出力機能への入力は、各機能からログ情報が入力される ログ出力機能への入力は、各機能からログ情報が入力される ログ出力機能への入力は、各機能からログ情報が入力される
図25 制御系情報LAN専用認証フレームワーク(認証・秘匿通信サーバ部)機能関連図
本機能は、以下の機能から構成される。
管理情報取得機能
認証制御機能
アクセス許可情報発行制御機能
アクセス許可情報発行機能
ログ出力機能
68 68 68 68
(i) 管理情報取得機能 管理情報取得機能 管理情報取得機能 管理情報取得機能
認証・秘匿通信サーバで使用する各種管理情報をセキュリティ・ポリシーエージェント から取得する機能を提供する。
(ii) 認証制御機能 認証制御機能 認証制御機能 認証制御機能
認証・秘匿通信サーバでの認証処理を制御する機能を提供する。
(iii) アクセス許可情報発行制御機能 アクセス許可情報発行制御機能 アクセス許可情報発行制御機能 アクセス許可情報発行制御機能
機器アクセス時に使用するアクセス許可情報発行を制御する機能を提供する。
(iv) アクセス許可情報発行機能 アクセス許可情報発行機能 アクセス許可情報発行機能 アクセス許可情報発行機能
アクセス許可情報を発行する機能を提供する。
(v) ログ出力機能 ログ出力機能 ログ出力機能 ログ出力機能
認証・秘匿通信サーバにおいて発生した監視対象イベントのログ情報をセキュリティ監 視エージェントに出力する機能を提供する。
69 69 69 69
(3) 制御系情報 制御系情報 制御系情報 制御系情報 LAN 専用認証フレームワーク 専用認証フレームワーク 専用認証フレームワーク 専用認証フレームワーク(機器部) (機器部) (機器部) (機器部)
機器における制御系情報 LAN 専用認証フレームワークは、認証・秘匿通信サーバに対 する利用者および機器の認証処理を行う機能を提供する。また、認証・秘匿通信サーバか ら発行されたアクセス許可情報に基づく機器相互認証と秘匿通信フレームワークで利用す るSAを交換する機能を提供する。
以下に、機器における制御系情報LAN専用認証フレームワークの機能関連図を示す。
利用者認証制御機能
利用者識別機能
利用者識別情報 利用者秘密情報
認証子生成機能
機器識別 機能 機器識別情報
機器認証 制御機能 アクセス許可情報
制御機能
秘匿通信連携機能
アクセス許可情報 検証機能
機器認証 ペイロード
機器識別 情報 利用者識別結果
利用者認証 ペイロード アクセス許可情報
認証子生成鍵
秘匿通信フレームワーク
機器秘密情報 アクセス許可情報
認証子
SA情報 メッセージ
SA メッセージ 認証子
セキュリティ監視エージェント ログ出力機能
ログ 生体識別装置
個人情報格納機能
検証結果
アプリケーション ログイン情報 機器
メッセージ メッセージ アクセス許可情報
認証子 認証子生成鍵
アクセス許可情報 認証子 検証結果 認証フレームワーク
認証子生成鍵
ログ出力機能への入力は、各機能からログ情報が入力される ログ出力機能への入力は、各機能からログ情報が入力されるログ出力機能への入力は、各機能からログ情報が入力される ログ出力機能への入力は、各機能からログ情報が入力される メッセージ制御機能
認証・秘匿通信サーバ メッセージ
図26 制御系情報LAN専用認証フレームワーク(機器部)機能関連図