CN109428884A - 通信保护装置、控制方法以及程序 - Google Patents
通信保护装置、控制方法以及程序 Download PDFInfo
- Publication number
- CN109428884A CN109428884A CN201810913159.0A CN201810913159A CN109428884A CN 109428884 A CN109428884 A CN 109428884A CN 201810913159 A CN201810913159 A CN 201810913159A CN 109428884 A CN109428884 A CN 109428884A
- Authority
- CN
- China
- Prior art keywords
- address
- equipment
- packet
- verification information
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及通信保护装置、控制方法以及程序。作为通信保护装置的安全集线器(104)具备:端口(P1~P4),其从第1设备接收包,将接收到的包向第2设备进行发送;存储区域(201),其保持包含至少一个设备的物理地址和逻辑地址的组的地址认证信息;以及转发处理部(204),其在上述包所包含的第1设备及第2设备的物理地址或者逻辑地址包含于地址认证信息的情况下,判定第1设备及第2设备的物理地址和逻辑地址的组是否与地址认证信息所包含的物理地址和逻辑地址的组一致,在判定为不一致的情况下,将上述包丢弃。由此,能够维持现存的构成通信网络的一部分设备并且使安全性提高。
Description
技术领域
本发明涉及通信保护装置、控制方法以及程序。
背景技术
大型工场所铺设的通信网络通常为将大量的集线器(Hub)多级连接从而遍布于建筑物内的设置形态。另外,工场内的生产设备常时工作(运行),并进行尽可能避免停止系统整体的工作等的操作。
近来,正在尝试将工场所设置的制造设备连接于互联网并进行在云(cloud)上的生产管理、故障预兆分析或者按需(on demand)生产计划的拟定等。
当工场中的通信网络是不与外部连接的封闭网络的情况下,不会从外部经由通信网络进行有恶意的通信,因此对于这种通信的防御的必要性不高。然而,工场中的通信网络一旦与外部连接则难以保持安全性。
专利文献1公开了防止通信数据的窃听或者篡改等攻击的技术。在专利文献1中,针对设备所连接的集线器,管理者预先设定能够信赖(可靠)的物理端口(也简单称为“端口(port)”)。由此,集线器管理着由该端口接收的通信包(也简单称为“包(packet)”)的通信地址(也简单称为地址)。在此,地址中包括IP地址和MAC(Media Access Control)地址。而且,集线器在从无法信赖的端口接收到虚报了IP地址或者MAC地址的通信数据的情况下,将接收到的通信数据丢弃(使其无效),由此防止通信数据的窃听或者篡改等攻击。
现有技术文献
专利文献1:日本特开2015-165614号公报
发明内容
发明所要解决的问题
本发明提供一种维持现存(原有)的构成通信网络的一部分设备并且使安全性提高的通信保护装置。
用于解决问题的技术方案
本发明的一个技术方案涉及的通信保护装置,具备:通信部,其从第1设备接收包,将接收到的所述包向第2设备进行发送;存储器,其保持地址认证信息,所述地址认证信息包含至少一个设备的物理地址和逻辑地址的组;以及控制部,其在所述包所包含的所述第1设备及所述第2设备的物理地址或者逻辑地址包含于所述地址认证信息的情况下,判定所述第1设备及所述第2设备的物理地址和逻辑地址的组是否与所述地址认证信息所包含的物理地址和逻辑地址的组一致,在判定为不一致的情况下,将所述包丢弃。
此外,这些总括性的或者具体的技术方案可以通过系统、方法、集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序以及记录介质的任意组合来实现。
发明效果
本发明的通信保护装置能够维持现存的构成通信网络的一部分设备并且使安全性提高。
附图说明
图1是表示实施方式中的通信系统的构成和包的地址的图。
图2是表示实施方式中的通信系统的构成的图。
图3是表示实施方式中的安全集线器(secure hub)的构成的图。
图4是表示实施方式中的转发目的地表(table)的构成的图。
图5是表示实施方式中的地址认证信息的构成的图。
图6是表示实施方式中的以太网(Ethernet)(注册商标)帧的构成的图。
图7是表示实施方式中的ARP请求包的一例的图。
图8是表示实施方式中的ARP应答包的一例的图。
图9是表示实施方式中的用于通知地址认证信息的更新通知消息(message,报文)的构成的图。
图10是表示实施方式中的IP头的构成的一例的图。
图11是表示实施方式中的由安全集线器进行的登记地址认证信息的处理的流程图。
图12是表示实施方式中的由安全集线器将地址认证信息通知给其他安全集线器的处理的流程图。
图13是表示实施方式中的地址认证信息的以手动方式设定的情况下的处理的流程图。
图14是表示实施方式中的接收包的转发处理的流程图。
图15是表示实施方式中的地址认证信息的更新处理的流程图。
图16是表示实施方式中的包的转发判定处理的流程图。
图17是表示实施方式中的包的妥当性(有效性)检查的处理的流程图。
图18是表示实施方式中的决定接收包的发送目的地端口的处理的流程图。
标号说明
10通信系统;100互联网线路;101路由器;102、104安全集线器;103、105、106、H1、H2、H3集线器;110、115PLC;111、113、114、116PC;112SCADA;201存储区域;202包转发控制部;204转发处理部;209设定输入部;210地址认证信息;211转发目的地表;213群组(group)密钥信息;401、502端口ID;402、505MAC地址;403、506IP地址;501设备ID;503方式;504序列ID;600、600A、600B、600C以太网(注册商标)帧;601Preamble(前导码);602SFD;603D-MAC;604S-MAC;605EtherType;606Payload;607FCS;610ARP包;610A ARP请求包;610B ARP应答包;611HardwareType;612ProtocolType;613HardwareLength;614ProtocolLength;615Operation;616ARP-S-MAC;617ARP-S-IP;618ARP-D-MAC;619ARP-D-IP;700更新通知消息;701CommandID;702SequenceID;703SwitchID;704NumOfEntry;705Entry;706MessageAuthenticationCode;707Port;708Mode;709MACAddress;710IPAddress;1700IP头;1702SourceIPAddress;1703DestinationIPAddress;P1、P2、P3、P4端口;PA、PB、PC包;TA、TB、TC通信装置。
具体实施方式
(成为本发明的基础的见解)
以往,工场设施等所设置的设备以独自的通信方式用独自的通信线在装置间连接并通信,由此进行工作。然而,随着互联网的普及,在工场设施中,也逐渐设置了利用作为速度快以及价格低的通用协议的Ethernet(以太网(注册商标))和/或IP(InternetProtocol)协议的设备。
然而,Ethernet以及IP并没能充分考虑安全性。
例如在图1所示的通信网络中,设通信装置TA与通信装置TB的通信经由集线器H1、H2以及H3来进行。包PA是从通信装置TA向通信装置TB发送的包,包PB是从通信装置TB向通信装置TA发送的包。通过包PA以及PB所进行的通信是正当的通信。
在此,通信装置TC能够进行通过给通信装置TA发送将发送源IP地址伪装成通信装置TB的地址(也就是说IPB)的包PC而实现的不正当的通信。存在如下问题:通信装置TC通过将包PC大量发送给通信装置TA,能够进行使通信装置TA的处理负荷增加、引起误操作的攻击。
再者,存在如下问题:通信装置TC通过滥用ARP协议从而逻辑性地变更通信路径,能够较容易地进行如并非正规的通信者的第三者进行数据的窃听或者篡改等的MITM攻击(Man-In-The-Middle Attack,中间人攻击)等。
根据专利文献1中公开的技术,能够将对于与防御功能搭载集线器的信赖端口连接的设备的伪装通信废弃。而且,在想要保护与没有直接连接于防御功能搭载集线器的信赖端口而位于远离的地方的设备的通信的情况下,需要将多个防御功能搭载集线器以多级方式连接,并将多个防御功能搭载集线器的端口中的、想要保护的通信所通过的端口全部设定成信赖端口。
然而,由于工场设施宽阔,因此进行需要保护的通信的设备彼此通常设置在相互远离的地方。另外,工场设施内所设置的设备的数量也不少。由此,将进行需要保护的通信的设备之间存在的所有集线器都置换成防御功能搭载集线器并不现实。
于是,本发明提供一种维持现存的构成通信网络的一部分设备并且使安全性提高的通信保护装置。
本发明的一个技术方案涉及的通信保护装置,具备:通信部,其从第1设备接收包,将接收到的所述包向第2设备进行发送;存储器,其保持地址认证信息,所述地址认证信息包含至少一个设备的物理地址和逻辑地址的组;以及控制部,其在所述包所包含的所述第1设备及所述第2设备的物理地址或者逻辑地址包含于所述地址认证信息的情况下,判定所述第1设备及所述第2设备的物理地址和逻辑地址的组是否与所述地址认证信息所包含的物理地址和逻辑地址的组一致,在判定为不一致的情况下,将所述包丢弃。
根据该构成,通过将通信保护装置直接连接于想要保护的设备,能够防止第三者取得设备间的通信并将其篡改/泄漏/切断等。另外,由于能够将通常的集线器利用于通信保护装置间的连接,因此能够继续使用现存设备。如此,通信保护装置维持现存的构成通信网络的一部分设备并且使安全性提高。
例如也可以,所述存储器还保持与不同于该通信保护装置的其他通信保护装置所共享的群组密钥,所述控制部进一步,经由所述通信部从所述其他通信保护装置接收包含第3设备的地址与消息认证信息的更新通知消息,在通过预定算法使用所述群组密钥所生成的认证信息与所述消息认证信息一致的情况下,将所述更新通知消息所包含的所述第3设备的地址追加到所述地址认证信息中来进行更新。
根据该构成,只有在相同群组中设定有相同密钥的通信保护装置中,才能够成功验证更新通知消息的妥当性,能够仅对属于同一群组的通信保护装置发送更新通知消息。由此,通信保护装置例如能够回避接收由有恶意的人发送的不正当的更新通知消息而进行工作。由此,通信保护装置能够一边回避基于不正当的更新通知消息的工作,一边维持现存的构成通信网络的一部分设备并且使安全性提高。
例如也可以,所述控制部进一步,经由所述通信部将所述地址认证信息向不同于该通信保护装置的其他通信保护装置进行发送。
根据该构成,通信保护装置能够与其他通信保护装置共享地址认证信息。由此,通信保护装置与其他通信保护装置协同工作,维持现存的构成通信网络的一部分设备并且使安全性提高。
例如也可以,所述地址认证信息包含所述至少一个设备的地址和序列ID的组,所述控制部使所述地址认证信息包含每次经由所述通信部将所述地址认证信息向所述其他通信保护装置发送时递增的序列ID。
根据该构成,通信保护装置能够基于序列ID与其他通信保护装置共享地址认证信息。更具体而言是,对于防御通过在通信路径上捕获地址认证信息并稍后重新发送来覆盖过去的信息的保存重放(save&replay)攻击是有效的。
例如也可以,所述控制部收集能够与所述通信部通信的设备的地址,基于收集到的所述地址来更新所述地址认证信息。
根据该构成,通信保护装置能够通过收集可通信的设备的地址来更新地址认证信息。由此,具有无需通信保护装置的管理者调查可通信的设备的地址并对通信保护装置进行设定的优点。另外,由于能够根据流入通信保护装置的通信包来更新地址认证信息,因此具有无需通信保护装置的管理者反复调查并更新地址认证信息的优点。
例如也可以,所述地址认证信息包含MAC(Media Access Control)地址和IP(Internet Protocol)地址的组,所述控制部在所述地址认证信息的更新时,在收集到的所述地址中的、与一个所述IP地址相关联的所述MAC地址的组仅为一个的情况下,将该组追加到所述地址认证信息中来进行更新。
根据该构成,通信保护装置能够在收集到的地址中的、与任意IP地址相关联的MAC地址的组为一个的情况下,将该组作为能够信赖的IP地址/MAC地址的组追加到地址认证信息中。
另外,本发明的一个技术方案涉及的控制方法是通信保护装置的控制方法,所述通信保护装置具备保持地址认证信息的存储器,所述地址认证信息包含至少一个设备的地址,所述控制方法包括:通信步骤,从第1设备接收包,将接收到的所述包向第2设备进行发送;以及控制步骤,判定所述包所包含的所述第2设备的地址是否包含于所述地址认证信息,在判定为所述第2设备的地址不包含于所述地址认证信息的情况下,将所述包丢弃。
由此,实现与上述通信保护装置同样的效果。
另外,本发明的一个技术方案涉及的程序是用于使计算机执行上述的控制方法的程序。
由此,实现与上述通信保护装置同样的效果。
此外,这些总括性的或者具体的技术方案可以通过系统、方法、集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序或者记录介质的任意组合来实现。
以下说明的实施方式均表示本发明的一个具体例。在以下的实施方式中表示的数值、形状、构成要素、步骤、步骤的顺序等为一例,并非旨在限定本发明。另外,对于以下的实施方式中的构成要素中的、没有记载在表示最上位概念的独立权利要求中的构成要素,作为任意的构成要素进行说明。另外,在所有实施方式中,也能够组合各自的内容。
(实施方式)
参照附图,对一实施方式进行说明。此外,在各附图中对于相同的构成要素使用相同的标号。
1.通信系统的整体构成
图2是表示本实施方式中的通信系统10的构成的图。通信系统10例如包括工场设施所配备的通信网络以及与该通信网络连接的设备。但是通信系统10不限于是工场设施所配备的系统。
在本实施方式中,工场设施中的设备在由IEEE802.3规定的Ethernet上根据应用程序的特性以TCP(Transmission Control Protocol,传输控制协议)/IP、UDP(UserDatagram Protocol,用户数据报协议)/IP等适当的协议进行通信。
在图2中,通信系统10经由路由器101与互联网线路100连接。由此,能够进行如从远程经由互联网线路100对设备进行远程监视等高级控制。
各设备通过以LAN电缆与集线器103、105或106、或者作为通信保护装置的一形态的安全集线器102或104连接,从而与其他设备进行通信。
集线器103、105或106、或者安全集线器102或104具有将从各设备发出的包基于该包内的地址信息向适当的设备进行传输的功能。
在图2中,通信系统10具备PLC(Programmable Logic Controller,可编程逻辑控制器)110和115、SCADA(Supervisory Control And Data Acquisition,监控与数据采集)112以及PC111、113、114和116作为连接于通信网络的设备。
PLC110以及115进行生产线的传送带等的马达控制、或者用于制动设备定位控制的传感器的控制等。SCADA112进行系统监视或者PLC等的控制监视、更具体而言是进程(process)监视。PC111、113、114以及116是收集制造顺序的导航以及跟踪数据的制造PC。
在图2中,构成要素间连接的线表示LAN电缆。另外,在集线器103、105和106以及安全集线器102和104各自与LAN电缆的连接点记载的数值表示LAN电缆所连接的物理端口(也简单称为“端口”)的标识符。
图2所示的通信系统10通过安全集线器102和104,例如能够抑制PC114通过冒充SCADA112对PLC115发送包从而导致PLC115的负载上升或者误动作的攻击。下面,对上述用于抑制攻击的构成以及处理进行说明。
2.安全集线器的构成
图3是表示安全集线器104的构成的图。在此,以安全集线器104为例进行说明,而对于安全集线器102,同样的说明也一样成立。在图3中,安全集线器104具备存储区域201、包转发控制部202、转发处理部204、端口P1、P2、P3和P4以及设定输入部209。此外,也将端口P1、P2、P3和P4简单称为端口。
包转发控制部202判定包的能否转发。
另外,包转发控制部202经由端口将地址认证信息210向其他安全集线器进行发送。另外,包转发控制部202从其他安全集线器接收包含地址和消息认证信息的更新通知消息。而且,包转发控制部202在通过预定算法使用群组密钥所生成的认证信息与消息认证信息一致的情况下,将更新通知消息所包含的地址追加到地址认证信息210中来进行更新。
另外,包转发控制部202收集能够与端口通信的设备的地址,基于收集到的地址来更新地址认证信息210。
转发处理部204进行由端口对包的接收或者发送的输入输出(IO:Input Output)处理。转发处理部204在端口接收到的包所包含的地址(具体而言是发送源的设备以及目的地的设备的物理地址或者逻辑地址)包含于地址认证信息210的情况下,判定发送源的设备以及目的地的设备的物理地址和逻辑地址的组是否与地址认证信息所包含的物理地址和逻辑地址的组一致。而且,转发处理部204在上述判定中判定为不一致的情况下,将上述包丢弃。
包转发控制部202和转发处理部204相当于控制部。
端口P1、P2、P3和P4是与各设备连接的物理端口。端口P1、P2、P3和P4分别从所连接的设备接收包,并将接收到的包基于该包所包含的地址信息向另外的端口所连接的设备进行发送。对于端口P1、P2、P3和P4的各端口分配有作为标识符的端口ID。端口ID相当于一般的集线器等通信装置中的物理端口号。设端口P1的端口ID为与其标号相同的“P1”。在图2中将端口P1的端口ID简单记作了“1”。关于其他端口,也是同样的。
例如对端口P1连接有集线器103,对端口P2连接有PLC115,对端口P3连接有PC116。端口P1、P2、P3和P4相当于通信部。
设定输入部209提供由用户输入设定信息的I/F(接口)。
设定输入部209例如提供用于用户进行设定的图形的Web界面等(未图示)。设定输入部209例如提供用于用户对设置于通信系统10的安全集线器102和104的IP地址、安全集线器102与安全集线器104之间的认证所利用的群组密钥进行设定的Web界面等。此外,设定输入部209也可以根据需要而提供用于以手动方式设定能够信赖的IP地址以及MAC地址的组作为地址认证信息210的Web界面等。
存储区域201是保持各种信息的存储装置。存储区域201相当于存储器。
存储区域201存储的信息包含地址认证信息210、转发目的地表211以及群组密钥信息213。
地址认证信息210是存储有能够信赖的IP地址以及MAC地址的对应关系的信息。地址认证信息210包含至少一个设备的地址。
转发目的地表211是管理与端口P1、P2、P3和P4连接的设备的MAC地址的信息。
群组密钥信息213是在安全集线器102与安全集线器104之间作为认证信息来利用的密钥信息。
此外,将安全集线器102的端口设为端口Q1、Q2、Q3和Q4。另外,设端口Q1的端口ID为与其标号相同的“Q1”。在图2中将端口Q1的端口ID简单记作了“1”。关于其他端口,也是同样的。例如对安全集线器102的端口Q2连接有SCADA112。
3.存储区域的构成
接着,具体对存储区域201中所保持的信息进行说明。
图4是表示转发目的地表211的构成的图。转发目的地表211是管理与安全集线器的端口连接的设备的MAC地址的信息,在决定包的发送目的地端口时使用。
转发目的地表211包含作为对安全集线器的端口进行识别的号码的端口ID401、与该端口连接的设备的网络接口卡的MAC地址402、和该设备的IP地址403。
MAC地址402以及IP地址403分别是与该端口直接连接的、或者经由集线器间接地连接的设备的MAC地址以及IP地址。在设备经由集线器连接的情况下,能够对一个端口登记多台设备的MAC地址和IP地址的组。
在图4中,例如对端口P1登记了两个MAC地址和IP地址的组。具体而言,针对端口P1,登记了MAC地址“02-02-02-0a-0a-6e”和IP地址“192.168.0.110”的组以及MAC地址“02-02-02-0a-0a-6f”和IP地址“192.168.0.111”的组这共计两个组。
另外,在对设备的网络接口卡分配有多个IP地址的情况下,有时也会相对于一个MAC地址登记多个IP地址。
MAC地址402能够根据从与端口连接的设备发送来的以太网(注册商标)帧的发送源MAC地址取得。另外,IP地址403能够根据与端口连接的设备发送的ARP(AddressResolution Protocol,地址解析协议)包所保存的发送源IP地址取得。将会在后面对ARP包进行说明。
图5是表示地址认证信息210的构成的图。地址认证信息210包含设备ID501、端口ID502、方式503、序列ID504、MAC地址505和IP地址506。
设备ID501是能够识别安全集线器的标识符。在此,将安全集线器104的设备ID设为SH4,将安全集线器102的设备ID设为SH2。
端口ID502是能够识别安全集线器的端口的标识符。
通过上述的设备ID501以及端口ID502,确定与通信系统10所包含的安全集线器连接的设备中的能够信赖的设备所连接的安全集线器、以及能够信赖的设备与该安全集线器所连接的端口。
方式503是作为取得能够信赖的MAC地址以及IP地址的方式的学习方式。学习方式从“auto(自动)”或者“manual(手动)”来选择。“auto”意味着通过由安全集线器进行的动态学习来取得。“manual”意味着通过由管理者手动地对安全集线器进行的设定来取得。
序列ID504是在安全集线器之间共享地址认证信息210时的序列ID。
MAC地址505和IP地址506分别是作为与安全集线器连接的设备的、被判断为能够信赖的设备的MAC地址和IP地址。
地址认证信息210对具有该地址认证信息210的安全集线器104所生成的上述各信息、以及从作为其他安全集线器的安全集线器102通知的上述各信息双方进行管理。将会在后面对地址认证信息210的生成处理以及在安全集线器之间的地址认证信息210的共享处理进行说明。
4.ARP包的构成
接着,对ARP包的构成进行说明。ARP是在通信对方的IP地址已知时为了向该通信对方发送以太网(注册商标)帧而检索该通信对方的物理地址即MAC地址的协议。ARP包具有如下构成,即ARP包保存于以太网(注册商标)帧的有效载荷(Payload)。
图6是表示以太网(注册商标)帧600的构成的图。图6所示的以太网(注册商标)帧600具有由IEEE802.3规定的格式。具体而言,以太网(注册商标)帧600构成为包含:Preamble601,其表示数据的开始;SFD(Start Frame Delimiter,帧起始定界符)602;D-MAC603,其为目的地的物理地址;S-MAC604,其为发送源的物理地址;EtherType605,其为发送数据的类别;Payload606,其为发送数据;以及FCS(Frame Check Sequence,帧校验序列)607,其用于发送数据的纠错(error check)。
在Payload606中包含ARP包610。
ARP包610具有由RFC826规定的格式。ARP包610构成为包含:HardwareType611,其表示在OSI参考模型的数据链路层所利用的协议的类别;ProtocolType612,其表示在OSI参考模型的网络层所利用的协议的类别;HardwareLength613,其表示数据链路层的地址的长度、即MAC地址的长度;ProtocolLength614,其表示网络层的地址的长度、即IP地址的长度;Operation615,其保存表示对请求或者响应进行区分的动作类别的动作码;ARP-S-MAC616,其为ARP包的发送源的数据链路层的地址;ARP-S-IP617,其为发送源的网络层的地址;ARP-D-MAC618,其为取得地址的对象设备的数据链路层的地址;以及ARP-D-IP619,其为取得地址的对象设备的网络层的地址。
接着,对表示MAC地址的请求的ARP请求包的构成和表示对于请求的响应的ARP应答包的构成进行说明。
图7是表示ARP请求包的一例的图。图8是表示ARP应答包的一例的图。这些ARP请求包以及ARP应答包是对图6所示的ARP包的域(field)设定了具体的信息的数据包。
在此,设ARP请求包的发送源的设备的MAC地址为“02-02-02-0c-0c-0c”、发送源的设备的IP地址为“192.168.0.100”。而且,发送源的设备发送用于取得IP地址为“192.168.0.101”的设备的MAC地址的ARP请求包。说明IP地址为“192.168.0.101”的设备针对发送来的ARP请求包而通知MAC地址“02-02-02-0a-0a-0a”的情况下的以太网(注册商标)帧的构成。
此外,在图7中,仅记载了图6中说明的以太网(注册商标)帧600之中的与ARP包610有关联的域,而省略了Preamble601、SFD602以及FCS607。
图7所示的ARP请求包610A利用于调查特定IP地址的设备的MAC地址时,以广播的方式发送以使得送达通信系统10所连接的所有设备。
ARP请求包610A包含于以太网(注册商标)帧600A。
以太网(注册商标)帧600A的D-MAC603中保存有表示广播的“FF-FF-FF-FF-FF-FF”,S-MAC604中保存有作为发送源的网络接口卡的MAC地址的“02-02-02-0c-0c-0c”。另外,EtherType605中保存有作为表示Payload606的数据的类别是ARP包的值的“0x0806”。
ARP请求包610A中保存有如下所示的值。HardwareType611中保存有表示协议的类别为以太网(注册商标)的“0x0001”。ProtocolType612中保存有表示协议的类别为IP协议的“0x0800”。HardwareLength613中保存有表示MAC地址的长度为6个字节(byte)的“0x06”。ProtocolLength614中保存有表示IPv4的IP地址的长度为4个字节的“0x04”。Operation615中保存有表示ARP的动作为请求的“0x0001”。ARP-S-MAC616中保存有作为发送源的MAC地址的“02-02-02-0c-0c-0c”。ARP-S-IP617中保存有作为发送源的IP地址的“192.168.0.100”。ARP-D-MAC618中保存有作为虚拟(dummy)值的“FF-FF-FF-FF-FF-FF”。ARP-D-IP619中保存有表示调查对象的IP地址的“192.168.0.101”。
接收到ARP请求包610A的设备确认包中的ARP-D-IP619,判定是否与设备自身的IP地址一致。而且,设备在判定为一致的情况下回复后述的ARP应答包610B,在判定为不一致的情况下将ARP请求包丢弃。
图8是表示ARP应答包610B的图。在图8中,仅记载了图6中说明的以太网(注册商标)帧600之中的与ARP包610有关联的区域,而省略了Preamble601、SFD602以及FCS607。
ARP应答包610B是具有调查对象的IP地址的设备在接收到ARP请求包610A的情况下根据接收到ARP请求包610A这一情况所回复的包。此外,ARP应答包610B也被利用为以将设备自身的IP地址的变化通知给其他设备为目的的、被称作免费ARP(Gratuitous ARP)的包。
对于ARP应答包610B中的、保存有与图7中说明的ARP请求包610A相同的值的域,省略其说明。接收到ARP请求包610A的设备针对ARP请求包610A的发送源的设备,生成并回复包含自身设备的IP地址和MAC地址的ARP应答包610B。
以太网(注册商标)帧600B的D-MAC603中保存有作为发送了请求包的设备的MAC地址的“02-02-02-0c-0c-0c”。S-MAC604中保存有作为发送源的MAC地址的“02-02-02-0a-0a-0a”。
ARP应答包610B中保存有如下所示的值。Operation615中保存有表示ARP的动作为应答的“0x0002”。ARP-S-MAC616中保存有作为发送源的MAC地址的“02-02-02-0a-0a-0a”。ARP-S-IP617中保存有作为发送源的IP地址的“192.168.0.101”。ARP-D-MAC618中保存有目的地的MAC地址“02-02-02-0c-0c-0c”。ARP-D-IP619中保存有目的地的IP地址“192.168.0.100”。
如此,发送了ARP请求包610A的设备从调查对象的设备接收ARP应答包610B,由此取得调查对象的设备的与IP地址相对的MAC地址。
5.通知地址认证信息的消息的构成
接着,对在多个安全集线器之间通知地址认证信息210的情况下所利用的消息进行说明。该通信消息以广播方式从安全集线器同时广播发布(群发)到存在于通信系统10的设备。而且,只有与进行了发送的安全集线器属于同一群组的安全集线器能够接收所发送的通信消息。
图9是对用于安全集线器通知地址认证信息210的更新通知消息700的构成进行说明的图。图9所示的消息是用于一个安全集线器对其他安全集线器所具有的地址认证信息210进行更新的更新通知消息700。更新通知消息700包含于以太网(注册商标)帧600的Payload606或者IP包的有效载荷。
如图9所示,更新通知消息700包含头(head)部和正文(body)部。
头部构成为包含CommandID701、SequenceID702、SwitchID703和NumOfEntry704。
CommandID701是保存有指令的类别的域。指令的类别例如为“0x0101:地址认证信息的更新通知”。
SequenceID702是为了检测更新通知消息的重复而保存按每个更新通知消息所不同的数值的域。在SequenceID702中设定发送该更新通知消息的安全集线器所保有的单调增加的计数器值。该计数器值在安全集线器每次发送通信消息时递增、换言之是逐次加1。SequenceID702对于防御通过捕获更新通知消息并稍后重新发送来覆盖过去的信息的保存重放攻击是有效的。
SwitchID703是保存发送更新通知消息的安全集线器的设备ID的域。
NumOfEntry704是保存表示更新通知消息的正文部所包含的地址认证信息的个数的数值的域。
正文部包含保存地址认证信息的n个Entry705以及MessageAuthenticationCode706。在此,n是NumOfEntry704所保存的数值。MessageAuthenticationCode706中保存有相对于包含头部和正文部所包含的n个Entry705的数据的认证信息。
MessageAuthenticationCode706保存该更新通知消息的认证信息。MessageAuthenticationCode706例如是利用由RFC2104规定的HMAC(Hash-based MessageAuthentication Code,基于哈希算法的消息认证码)算法所生成的认证信息。安全集线器利用群组密钥信息213所保存的密钥信息作为HMAC算法中的私钥。安全集线器仅在具有同一私钥、也就是说属于同一群组的安全集线器之间成功验证通信消息的妥当性。由此,安全集线器能够仅对属于同一群组的安全集线器发送通信消息。
在Entry705中,保存安全集线器生成的地址认证信息210。安全集线器生成的地址认证信息210指的是,图5所示的地址认证信息210中设备ID501与自身的设备ID一致的认证信息。地址认证信息210的端口ID502保存于Port707,地址认证信息210的方式503保存于Mode708,地址认证信息210的MAC地址505保存于MACAddress709,地址认证信息210的IP地址506保存于IPAddress710,由此生成Entry705。
6.IP头的构成
接着,对IP头的详情进行说明。图10是表示包含网络上的设备进行由RFC791规定的IP通信的情况下利用的IP包的以太网(注册商标)帧600C的图。
在图10中,IP头1700保存于以太网(注册商标)帧600C的Payload606,为了识别目的地地址而被利用。IP头1700包含SourceIPAddress1702和DestinationIPAddress1703,利用于识别目的地IP地址以及发送源IP地址时。
7.安全集线器的工作
接着,对安全集线器的工作进行说明。在本实施方式中,作为安全集线器的工作,分成在学习了包的转发状况后登记地址认证信息210的处理、和将使用所登记的地址认证信息210的包转发的处理来进行说明。但是作为安全集线器的工作,并非必须分离成两个处理来进行。即,作为安全集线器的工作,也可以一边实施转发包的处理,一边进行登记地址认证信息210的处理。
7-1.地址认证信息的登记处理
图11是表示本实施方式中的由安全集线器102进行的登记地址认证信息的处理的流程图。此外,对安全集线器102的处理进行说明,而对于安全集线器104,同样的说明也一样成立。下面也是同样的。
在步骤S801中,安全集线器102进行等待直到从端口P1、P2、P3和P4中的某一个接收到包。如果由端口P1、P2、P3和P4中的某一个接收到包,则转发处理部204将接收到的包向包转发控制部202进行转发。
在步骤S802中,包转发控制部202判定在步骤S801中接收到的包是否为ARP包。是ARP包的情况下(步骤S802:是),包转发控制部202进行步骤S803的处理。不是ARP包的情况下(步骤S802:否),包转发控制部202进行步骤S804的处理。
在步骤S803中,包转发控制部202提取作为ARP包的发送源的IP地址的ARP-S-IP617和作为发送源的MAC地址的ARP-S-MAC616,并与进行了接收的端口的号码一起向转发目的地表211登记。
此外,关于发送源的MAC地址,也可以取代从ARP包610的ARP-S-MAC616提取而从以太网(注册商标)帧600的S-MAC604来提取。
在步骤S804中,包转发控制部202为了向通信对方递送包,决定发送目的地端口,并将所决定的发送目的地端口的端口ID通知给转发处理部204。将会在后面说明步骤S804的详细处理。
在步骤S805中,转发处理部204基于在步骤S804中被通知的端口ID,由发送目的地端口将包发出。
在步骤S806中,包转发控制部202判定用于学习包的转发状况的学习期间是否结束。在判定为学习期间尚未结束的情况下(步骤S806:否),返回至步骤S801。在判定为学习期间结束了的情况下(步骤S806:是),包转发控制部202进行步骤S807的处理。
在步骤S807中,包转发控制部202使用转发目的地表211来进行地址认证信息210的登记。包转发控制部202从转发目的地表211中提取能够信赖的MAC地址以及IP地址的组。具体而言,包转发控制部202提取转发目的地表211中所登记的端口ID401、MAC地址402和IP地址403的组(参照图4)中的、一个端口仅关联有一个MAC地址的组。然后,包转发控制部202将一个端口关联有一个MAC地址的MAC地址和IP地址的组作为能够信赖的MAC地址以及IP地址的组,对该组关联安全集线器102的设备ID和提取到的端口ID而登记到地址认证信息210中。
此外,包转发控制部202在与一个MAC地址相关联的组有多个的情况下,也可以提取它们多个组。而且,也可以将提取到的多个组作为能够信赖的MAC地址以及IP地址的组,并对该组关联安全集线器102的设备ID和提取到的端口ID而登记到地址认证信息210中。
如此,包转发控制部202将一个端口关联有一个MAC地址的组作为能够信赖的MAC地址以及IP地址的组。因为在一个端口关联有一个MAC地址的情况下,可假设为在该一个端口上连接着正当的终端、换言之是没有连接不正当的终端。这是因为,如果连接了不正当的终端,那么正当的终端会变为经由集线器等与所连接的LAN电缆连接,在该情况下将会变为一个端口关联有多个MAC地址。
另外,虽然在对安全集线器的端口中的什么都没有连接的端口(也称为“空端口”)新连接一个不正当的终端时,会变为一个端口关联有一个MAC地址的状态,但能够防止该状态。因为空端口能够在网络构建等时预先被物理地堵塞,被保护成无法插入新的LAN电缆。
另外,包转发控制部202登记“auto”作为地址认证信息210的方式503,登记“n/a(不可用)”作为序列ID504。
在步骤S808中,安全集线器102将在步骤S807中登记的地址认证信息210通知给其他安全集线器。将会在下面对步骤S808的详细处理进行说明。
此外,设为将一个端口关联有一个MAC地址的组登记到地址认证信息210中,但不限于此,也可以将与由管理者设定为能够信赖的端口的端口相关联的组也登记到地址认证信息210中。管理者的设定通过设定输入部209来进行。
接着,对步骤S808的详细处理进行说明。图12是表示本实施方式中的由安全集线器将地址认证信息210通知给其他安全集线器的处理的流程图。
在步骤S901中,包转发控制部202从地址认证信息210中提取自身设备也就是说安全集线器102登记的组。具体而言,包转发控制部202从地址认证信息210中提取设备ID501与安全集线器102的设备ID一致的组。
在步骤S902中,包转发控制部202生成包含了在步骤S901中提取到的组的地址认证信息210的更新通知消息700。而且,包转发控制部202将生成的更新通知消息700保存于以太网(注册商标)帧600的Payload606。
在步骤S903中,包转发控制部202将在步骤S902中生成的以太网(注册商标)帧600经由转发处理部204而通过所有端口以广播方式进行发送。
图13是表示本实施方式中的管理者以手动方式设定地址认证信息210的情况下的处理的流程图。图13所示的一系列处理即步骤S808A是包含在图11的步骤S808中的处理。
在步骤S1001中,安全集线器102的设定输入部209从管理者受理对能够信赖的IP地址、MAC地址以及端口ID的组的输入。
在步骤S1002中,设定输入部209将在步骤S1001中所输入的组向地址认证信息210进行登记。设定输入部209登记“manual”作为地址认证信息210的方式503,登记“n/a”作为序列ID504。
在步骤S808中,安全集线器102将在步骤S1002中登记的地址认证信息210通知给其他安全集线器。步骤S808与图11中的步骤S808相同。
7-2.包的转发处理
接着,详细地对安全集线器中的、接收到的包的转发处理进行说明。
图14是表示本实施方式中的接收包的转发处理的流程图。
在步骤S1101中,安全集线器102进行等待直到由端口P1、P2、P3和P4中的某一个接收到包。如果由端口P1、P2、P3和P4中的某一个接收到包,则转发处理部204将接收到的包转发给包转发控制部202。
在步骤S1102中,包转发控制部202判定在步骤S1101中接收到的包是否包含地址认证信息210的更新通知消息700。在包含地址认证信息210的更新通知消息700的情况下(步骤S1102:是),包转发控制部202进行步骤S1103的处理。在不包含地址认证信息210的更新通知消息700的情况下(步骤S1102:否),包转发控制部202进行步骤S1104的处理。
在步骤S1103中,包转发控制部202执行在步骤S1101中接收到的包所包含的、地址认证信息210的更新通知消息700的接收处理。将会在下面说明步骤S1103的处理的详情。
在步骤S1104中,包转发控制部202对在步骤S1101中接收到的包进行能否转发的判定。将会在下面进行步骤S1104的详细说明。
在步骤S1105中,包转发控制部202当在步骤S1104的能否转发的判定中判定为能转发的情况下(步骤S1105:能转发),进行步骤S804的处理。另外,包转发控制部202当在能否转发的判定中判定为不能转发的情况下(步骤S1105:不能转发),进行步骤S1107的处理。
在步骤S804中,包转发控制部202为了向通信对方递送包,决定发送目的地端口,将所决定的端口的端口ID通知给转发处理部204。
在步骤S1106中,转发处理部204基于在步骤S804中所通知的端口ID,由发送目的地的端口将包发出。
在步骤S1107中,包转发控制部202将不能转发在步骤S1101中接收到的包这一情况进行显示或者通知给其他设备。
在步骤S1108中,转发处理部204将在步骤S1101中接收到的包丢弃。
此外,关于通知不能转发在步骤S1101中接收到的包这一情况的方法,在本实施方式中不特别限定。例如如果安全集线器102具备监视器(monitor),那么也可以显示于该监视器。另外,也可以对旋转灯等其他设备例如通过由RFC3411等规定的SNMP(SimpleNetwork Management Protocol,简单网络管理协议)通信来通知不能转发包这一情况,并通过由旋转灯旋转发光从而使其可视。
7-3.地址认证信息的更新处理
接着,对步骤S1103的详细处理进行说明。图15是表示地址认证信息210的更新处理的流程图。
在步骤S1201中,包转发控制部202从群组密钥信息213中取得安全集线器102所属群组的群组密钥,判定在步骤S1101中接收到的更新通知消息700是否是从同一群组的安全集线器通知的。具体而言,包转发控制部202在通过HMAC算法使用安全集线器102的群组密钥所生成的认证信息与更新通知消息700所保存的MessageAuthenticationCode706的值一致的情况下,判定为在步骤S1101中接收到的更新通知消息700是从同一群组的安全集线器通知的,在不一致的情况下,判定为在步骤S1101中接收到的更新通知消息700不是从同一群组的安全集线器通知的。
当判定为在步骤S1101中接收到的更新通知消息700不是从同一群组的安全集线器通知的消息的情况下(步骤S1201:否),包转发控制部202进行步骤S1202的处理。另一方面,当判定为在步骤S1101中接收到的更新通知消息700是从同一群组的安全集线器通知的消息的情况下(步骤S1201:是),包转发控制部202进行步骤S1203的处理。
在步骤S1202中,包转发控制部202将在步骤S1101中接收到的包丢弃。
在步骤S1203中,包转发控制部202取得在步骤S1101中接收到的更新通知消息700所保存的SwitchID703。接着,从地址认证信息210中提取包含与SwitchID703一致的设备ID501的组,判定更新通知消息700所保存的SequenceID702是否比提取到的组的序列ID504的值大。在判定为上述SequenceID702较大的情况下(步骤S1203:是),包转发控制部202进行步骤S1204的处理,否则(步骤S1203:否),包转发控制部202进行步骤S1202的处理。
在步骤S1204中,包转发控制部202将在步骤S1203中从地址认证信息210提取到的组从地址认证信息210中删除,并将更新通知消息700所保存的Entry705新登记到地址认证信息210中。在设备ID501以及序列ID504中,分别保存SwitchID703、SequenceID702的值。
7-4.包的转发判定处理
接着,对步骤S1104的详细处理进行说明。图16是接收到的包的转发判定处理的流程图。
在步骤S1301中,包转发控制部202判定在步骤S1101中接收到的包的ARP的动作类别(Operation615)是否为响应。在判定为ARP的动作类别为响应的情况下(步骤S1301:是),包转发控制部202执行步骤S1302的处理。在判定为ARP的动作类别不是响应的情况下(步骤S1301:否),包转发控制部202执行步骤S1311的处理。
此外,当在步骤S1101中接收到的包并非ARP包的情况下,进行“在判定为ARP的动作类别不是响应的情况下”的处理。
在步骤S1302中,包转发控制部202为了实施以太网(注册商标)帧所包含的ARP包的妥当性检查,将ARP包所保存的ARP-S-MAC616以及ARP-S-IP617、和ARP-D-MAC618以及ARP-D-IP619指定为妥当性的检查对象。
在步骤S1303中,包转发控制部202对在步骤S1302中指定的检查对象实施ARP包的妥当性检查。将会在下面说明妥当性检查的详情。
在步骤S1304中,包转发控制部202取得对于指定为检查对象的ARP-S-MAC616以及ARP-S-IP617的妥当性检查的结果、和对于指定为检查对象的ARP-D-MAC618以及ARP-D-IP619的妥当性检查的结果。而且,包转发控制部202在判定为两个妥当性检查的结果全部为妥当的情况下(步骤S1304:是),执行步骤S1327的处理。包转发控制部202在判定为两个妥当性检查的结果中至少一方妥当性检查的结果为不妥当的情况下(步骤S1304:否),执行步骤S1328的处理。
在步骤S1311中,包转发控制部202检查在步骤S1101中接收到的包的ARP的动作类别是否为请求。在ARP的动作类别为请求的情况下(步骤S1311:是),包转发控制部202执行步骤S1312的处理。在ARP包的动作类别不是请求的情况下(步骤S1311:否),包转发控制部202执行步骤S1321的处理。
此外,当在步骤S1101中接收到的包并非ARP包的情况下,进行“在判定为ARP的动作类别不是请求的情况下”的处理。
在步骤S1312中,包转发控制部202为了实施以太网(注册商标)帧所包含的ARP包的妥当性检查,将ARP包所保存的ARP-S-MAC616以及ARP-S-IP617指定为妥当性的检查对象。
在步骤S1313中,包转发控制部202对在步骤S1312中指定的检查对象实施ARP包的妥当性检查。步骤S1313的处理的内容与步骤S1303相同。
在步骤S1314中,包转发控制部202取得对于在步骤S1312中指定的检查对象即ARP-S-MAC616以及ARP-S-IP617的妥当性检查的结果。包转发控制部202在判定为妥当性检查的结果是妥当的情况下(步骤S1314:是),执行步骤S1327的处理。包转发控制部202在判定为妥当性检查的结果并非妥当的情况下(步骤S1314:否),执行步骤S1328的处理。
在步骤S1321中,包转发控制部202为了实施以太网(注册商标)帧的妥当性检查,将S-MAC604以及SourceIPAddress1702指定为妥当性的检查对象。
在步骤S1322中,包转发控制部202对在步骤S1321中指定的检查对象实施妥当性检查。步骤S1322的处理的内容与步骤S1303相同。
在步骤S1323中,包转发控制部202取得对于在步骤S1321中指定的检查对象即S-MAC604以及SourceIPAddress1702的妥当性检查的结果。包转发控制部202在判定为妥当性检查的结果是妥当的情况下(步骤S1323:是),执行步骤S1324的处理。包转发控制部202在判定为妥当性检查的结果并非妥当的情况下(步骤S1323:否),执行步骤S1328的处理。
在步骤S1324中,包转发控制部202为了实施以太网(注册商标)帧的妥当性检查,将D-MAC603以及DestinationIPAddress1703指定为妥当性的检查对象。
在步骤S1325中,包转发控制部202对在步骤S1324中指定的检查对象实施妥当性检查。步骤S1325的处理的内容与步骤S1303相同。
在步骤S1326中,包转发控制部202取得对于在步骤S1324中指定的检查对象即D-MAC603以及DestinationIPAddress1703的妥当性检查的结果。包转发控制部202在判定为妥当性检查的结果是妥当的情况下(步骤S1326:是),执行步骤S1327的处理。包转发控制部202在判定为妥当性检查的结果并非妥当的情况下(步骤S1326:否),执行步骤S1328的处理。
在步骤S1327中,包转发控制部202判定为能够对在步骤S1101中接收到的包进行转发。
在步骤S1328中,包转发控制部202判定为不能对在步骤S1101中接收到的包进行转发。
7-5.妥当性检查的处理
接着,对接收到的包的妥当性检查的处理进行说明。图17是表示本实施方式中的接收到的包的妥当性检查的处理的流程图。图17所示的处理详细地表示了图16的步骤S1303所包含的处理。
在步骤S1401中,包转发控制部202判定具有与被指定为检查对象的IP地址相同的IP地址的组是否已登记于地址认证信息210。在判定为上述组已登记于地址认证信息210的情况下(步骤S1401:是),包转发控制部202执行步骤S1402。在判定为上述组没有登记于地址认证信息210的情况下(步骤S1401:否),包转发控制部202执行步骤S1403。
在步骤S1402中,包转发控制部202判定具有与被指定为检查对象的IP地址相同的IP地址的组所包含的MAC地址是否和被指定为检查对象的MAC地址一致。在判定为两个MAC地址一致的情况下(步骤S1402:是),包转发控制部202执行步骤S1405的处理。在判定为两个MAC地址不一致的情况下(步骤S140:否),包转发控制部202执行步骤S1406的处理。
在步骤S1403中,包转发控制部202判定具有与被指定为检查对象的MAC地址相同的MAC地址的组是否已登记于地址认证信息210。在判定为上述组已登记于地址认证信息210的情况下(步骤S1403:是),包转发控制部202执行步骤S1404的处理。在判定为上述组没有登记于地址认证信息210的情况下(步骤S1403:否),包转发控制部202执行步骤S1405的处理。
在步骤S1404中,包转发控制部202判定具有与被指定为检查对象的MAC地址相同的MAC地址的组所包含的IP地址是否和被指定为检查对象的IP地址一致。在判定为两个IP地址一致的情况下(步骤S1404:是),包转发控制部202执行步骤S1405的处理。在判定为两个IP地址不一致的情况下(步骤S1404:否),包转发控制部202执行步骤S1406的处理。
在步骤S1405中,包转发控制部202判定为检查对象是妥当的。
在步骤S1406中,包转发控制部202判定为检查对象不妥当。
此外,在对设备的网络接口卡分配了新的IP地址的情况下,会变为相对于一个MAC地址登记多个IP地址。因此,导致将接收到的原本会被判定为妥当的以太网(注册商标)帧判定为不妥当。
为了避免该状况,只要在妥当性检查的处理之前将地址认证信息210更新即可。
具体而言,在步骤S1301中,ARP的动作类别为响应的情况下(“是”的情况下),包转发控制部202在地址认证信息210中不存在与接收到ARP包的端口的端口ID502相关联的方式503为“auto”的组的情况下,新将ARP-S-MAC616以及ARP-S-IP617作为能够信赖的IP地址以及MAC地址向地址认证信息210进行登记。
另外,在与接收到ARP包的端口的端口ID502相关联的方式503为“auto”的组已经存在于地址认证信息210的情况下,如果接收到的ARP包的ARP-S-MAC616与MAC地址505是同一地址,则将ARP-S-MAC616以及ARP-S-IP617作为能够信赖的IP地址以及MAC地址向地址认证信息210进行登记。这是因为被判断为需要追加新的IP地址。
另外,如果接收到的ARP包的ARP-S-MAC616与MAC地址505不是同一地址,则判断为新的设备经由集线器而被连接,并将与该端口的端口ID502相关联的方式503为“auto”的组从地址认证信息210中删除。
7-6.决定发送目的地端口的处理
接着,详细地说明针对接收到的包决定发送目的地端口的处理。图18是表示本实施方式中的决定接收包的发送目的地端口的处理的流程图。
在步骤S1501中,转发处理部204取得在步骤S1101中接收到的包的目的地MAC地址即D-MAC603。
在步骤S1502中,转发处理部204判定转发目的地表211中是否存在包含与D-MAC603相同的MAC地址402的组。在判定为存在上述组的情况下(步骤S1502:是),转发处理部204执行步骤S1503的处理。在判定为不存在一致的组的情况下(步骤S1502:否),转发处理部204执行步骤S1504的处理。
在步骤S1503中,转发处理部204选择转发目的地表211所包含的、包含与D-MAC603相同的MAC地址402的组所包含的端口ID401的端口,作为发送目的地的端口。
在步骤S1504中,转发处理部204选择除在步骤S1101中接收到包的端口以外的端口作为发送目的地的端口。
8.实施方式的效果
在本实施方式中,安全集线器102生成存储能够信赖的IP地址与MAC地址的对应关系的地址认证信息210,并与另一安全集线器104共享。而且,安全集线器102以及104基于地址认证信息210,判定接收包能否转发,仅将能够转发的包进行转发。安全集线器102例如通过连接于如SCADA112这种想要保护的设备,收集SCADA112的能够信赖的IP地址和MAC地址。而且,与远隔的安全集线器104共享所收集的IP地址和MAC地址,能够防止对与安全集线器104连接的设备(例如PLC115)转发来自冒充SCADA112的PC114的包。
这相当于防止图1中的通信装置TC给通信装置TA发送将发送源IP地址伪装成通信装置TB的地址的包PC这一不正当的通信。
因此,仅通过对想要保护的设备连接本实施方式的安全集线器就能够保护设备间的通信,能够维持现存的通信网络中的设备的一部分,抑制投资成本并且提高安全性。
9.其他变形例
此外,基于上述实施方式说明了本发明,但本发明不限定于上述实施方式。如下情况也包含于本发明。
(1)在上述的实施方式中,以使用Ethernet上的IP通信的情况为例进行了说明,但不限于此。例如如OSI参考模型中的数据链路层与网络层的关系那样,只要是存在如解决两层间的地址信息的ARP那样的协议的网络模型,就能够适用。
(2)在上述的实施方式中,以保护设置于工场的设备间的数据通信的情况为例进行了说明,但不限于此。例如也能够适用于保护搭载于车上的ECU(Electronic ControlUnit)间的通信的情况。
(3)在上述的实施方式中,设为预先对设备分配有固定的IP地址来进行了说明,但不限于此。也可以利用当设备与通信网络连接时自动分配IP地址的DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)。在该情况下,安全集线器也预先监视DHCP的通信,可以基于对各设备赋予的IP地址和MAC地址的信息来生成地址认证信息。
(4)在上述的实施方式中,地址认证信息的更新通知消息700的发出以广播方式来进行,但不限于此。也可以预先保持共享地址认证信息的所有安全集线器的IP地址并通过单播进行发送。
(5)构成上述实施方式中的各设备的构成要素的一部分或全部可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是在一个芯片上集成多个构成部而制造出的超多功能LSI,具体而言是构成为包括微处理器、ROM、RAM等的计算机系统。在RAM中记录有计算机程序。微处理器按照计算机程序进行工作,由此系统LSI实现其功能。
另外,构成上述各装置的构成要素的各部分可以独立地单片化,或者包括一部分或全部地单片化。
另外,在此采用了系统LSI,但根据集成度的不同,也会被称作IC、LSI、超大LSI,特大LSI。另外,集成电路化的方法不限于LSI,也可以通过专用电路或者通用处理器实现。可以利用能够在LSI制造后编程的FPGA(Field Programmable Gate Array:现场可编程门阵列)、或者能够重构LSI内部的电路单元的连接和/或设定的可重构处理器。
再者,如果出现通过半导体技术的进步或派生的其他技术来置换LSI的集成电路化的技术,当然,也可以使用该技术进行功能模块的集成化。也存在应用生物技术等的可能性。
(6)构成上述各装置的构成要素的一部分或全部也可以由能够相对于各装置装卸的IC卡或者单体模块构成。所述IC卡或者所述模块是由微处理器、ROM、RAM等构成的计算机系统。IC卡或者模块也可以包括上述的超多功能LSI。微处理器按照计算机程序进行工作,由此IC卡或者模块实现其功能。该IC卡或者该模块可以具有防篡改性能。
(7)本发明可以是上述所示的方法。另外,也可以是通过计算机实现这些方法的计算机程序,还可以是由计算机程序构成的数字信号。
另外,本发明也可以将计算机程序或者数字信号记录于计算机能够读取的记录介质例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外,也可以是这些记录介质所记录的数字信号。
另外,本发明也可以将计算机程序或者数字信号经由电通信线路、无线或者有线通信线路、以互联网为代表的网络、数据广播等来传送。
另外,本发明也可以是具备微处理器和存储器的计算机系统,存储器记录有计算机程序,微处理器按照计算机程序进行工作。
另外,通过将程序或者数字信号记录于记录介质而移送,或者将程序或者数字信号经由网络等移送,可以通过独立的其他计算机系统实施。
此外,在上述各实施方式中,各构成要素既可以用专用的硬件构成,也可以通过执行适于各构成要素的软件程序来实现。各构成要素也可以通过CPU或者处理器等程序执行部将记录于硬盘或者半导体存储器等记录介质中的软件程序读出并执行来实现。在此,实现上述各实施方式的通信保护装置等的软件是如下的程序。
即,该程序使计算机执行通信保护装置的控制方法,所述通信保护装置具备保持地址认证信息的存储器,所述地址认证信息包含至少一个设备的地址,所述控制方法包括:通信步骤,从第1设备接收包,将接收到的所述包向第2设备进行发送;以及控制步骤,判定所述包所包含的所述第2设备的地址是否包含于所述地址认证信息,在判定为所述第2设备的地址不包含于所述地址认证信息的情况下,将所述包丢弃。
以上,基于实施方式说明了一个或者多个技术方案涉及的通信保护装置等,但本发明不限定于该实施方式。只要不偏离本发明的宗旨,将本领域技术人员想到的各种变形应用于本实施方式而得到的方式、和将不同的实施方式中的构成要素组合而构建的方式也可以包含在一个或者多个技术方案的范围内。
产业上的可利用性
本发明在对于经由网络尝试数据的不正当取得的攻击等的通信保护装置以及控制通信保护装置的方法中是有用的。
Claims (8)
1.一种通信保护装置,具备:
通信部,其从第1设备接收包,将接收到的所述包向第2设备进行发送;
存储器,其保持地址认证信息,所述地址认证信息包含至少一个设备的物理地址和逻辑地址的组;以及
控制部,其在所述包所包含的所述第1设备及所述第2设备的物理地址或者逻辑地址包含于所述地址认证信息的情况下,判定所述第1设备及所述第2设备的物理地址和逻辑地址的组是否与所述地址认证信息所包含的物理地址和逻辑地址的组一致,在判定为不一致的情况下,将所述包丢弃。
2.根据权利要求1所述的通信保护装置,
所述存储器还保持与不同于该通信保护装置的其他通信保护装置所共享的群组密钥,
所述控制部进一步,
经由所述通信部从所述其他通信保护装置接收包含第3设备的地址与消息认证信息的更新通知消息,
在通过预定算法使用所述群组密钥所生成的认证信息与所述消息认证信息一致的情况下,将所述更新通知消息所包含的所述第3设备的地址追加到所述地址认证信息中来进行更新。
3.根据权利要求1所述的通信保护装置,
所述控制部进一步,
经由所述通信部将所述地址认证信息向不同于该通信保护装置的其他通信保护装置进行发送。
4.根据权利要求3所述的通信保护装置,
所述地址认证信息包含所述至少一个设备的地址和序列ID的组,
所述控制部使所述地址认证信息包含每次经由所述通信部将所述地址认证信息向所述其他通信保护装置发送时递增的序列ID。
5.根据权利要求1所述的通信保护装置,
所述控制部收集能够与所述通信部通信的设备的地址,基于收集到的所述地址来更新所述地址认证信息。
6.根据权利要求5所述的通信保护装置,
所述地址认证信息包含MAC地址和IP地址的组,
所述控制部在所述地址认证信息的更新时,在收集到的所述地址中的、与一个所述IP地址相关联的所述MAC地址的组仅为一个的情况下,将该组追加到所述地址认证信息中来进行更新。
7.一种控制方法,是通信保护装置的控制方法,
所述通信保护装置具备保持地址认证信息的存储器,所述地址认证信息包含至少一个设备的地址,
所述控制方法包括:
通信步骤,从第1设备接收包,将接收到的所述包向第2设备进行发送;以及
控制步骤,判定所述包所包含的所述第2设备的地址是否包含于所述地址认证信息,在判定为所述第2设备的地址不包含于所述地址认证信息的情况下,将所述包丢弃。
8.一种用于使计算机执行权利要求7所述的控制方法的程序。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017162782 | 2017-08-25 | ||
| JP2017-162782 | 2017-08-25 | ||
| JP2018-079370 | 2018-04-17 | ||
| JP2018079370A JP7045247B2 (ja) | 2017-08-25 | 2018-04-17 | 通信保護装置、制御方法、および、プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109428884A true CN109428884A (zh) | 2019-03-05 |
| CN109428884B CN109428884B (zh) | 2022-07-29 |
Family
ID=63442384
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810913159.0A Active CN109428884B (zh) | 2017-08-25 | 2018-08-13 | 通信保护装置、控制方法以及记录介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US10979390B2 (zh) |
| EP (2) | EP3448001B1 (zh) |
| CN (1) | CN109428884B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113630445A (zh) * | 2021-07-19 | 2021-11-09 | 山东区块链研究院 | 一种基于区块链网络的数据存储方法及装置 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7015498B2 (ja) * | 2019-04-01 | 2022-02-03 | e-Janネットワークス株式会社 | 通信システム、情報提供装置、プログラム及び情報提供方法 |
| US11876790B2 (en) * | 2020-01-21 | 2024-01-16 | The Boeing Company | Authenticating computing devices based on a dynamic port punching sequence |
| JP2022185428A (ja) * | 2021-06-02 | 2022-12-14 | シャープ株式会社 | 情報処理装置、情報処理システム、情報処理方法、情報処理プログラム、及び画像形成装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150067764A1 (en) * | 2013-09-03 | 2015-03-05 | Electronics And Telecommunications Research Institute | Whitelist-based network switch |
| US20170230377A1 (en) * | 2015-06-30 | 2017-08-10 | Mist Systems, Inc. | Access enforcement at a wireless access point |
| US20170237769A1 (en) * | 2016-02-12 | 2017-08-17 | Fujitsu Limited | Packet transfer method and packet transfer apparatus |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100437169B1 (ko) * | 2001-05-04 | 2004-06-25 | 이재형 | 네트워크 트래픽 흐름 제어 시스템 |
| JP3874628B2 (ja) * | 2001-05-17 | 2007-01-31 | 富士通株式会社 | パケット転送装置、半導体装置 |
| US7523301B2 (en) * | 2003-10-28 | 2009-04-21 | Rsa Security | Inferring content sensitivity from partial content matching |
| US8032555B2 (en) * | 2003-11-26 | 2011-10-04 | Buy.Com, Inc. | Method and apparatus for constructing a networking database and system proactively |
| WO2005107134A2 (en) * | 2004-04-15 | 2005-11-10 | Clearpath Networks, Inc. | Systems and methods for managing a network |
| JP2008508805A (ja) * | 2004-07-29 | 2008-03-21 | インテリ7・インコーポレーテッド | 電子トラフィックを特徴づけ、管理するシステムおよび方法 |
| US20060167871A1 (en) * | 2004-12-17 | 2006-07-27 | James Lee Sorenson | Method and system for blocking specific network resources |
| JP2006324723A (ja) | 2005-05-17 | 2006-11-30 | Fujitsu Ltd | Lanへの不正アクセス防止方式 |
| WO2007108083A1 (ja) | 2006-03-20 | 2007-09-27 | Fujitsu Limited | 中継装置、通信システム、通信方法及びコンピュータプログラム |
| US8881276B2 (en) * | 2007-01-09 | 2014-11-04 | Cisco Technology, Inc. | Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality |
| JP5377009B2 (ja) | 2009-03-13 | 2013-12-25 | キヤノン株式会社 | 情報処理装置、通信システム、情報処理装置の制御方法、プログラム |
| US9098459B2 (en) * | 2010-01-29 | 2015-08-04 | Microsoft Technology Licensing, Llc | Activity filtering based on trust ratings of network |
| JP2014183395A (ja) | 2013-03-18 | 2014-09-29 | Hitachi Automotive Systems Ltd | 車載ネットワークシステム |
| JP6163880B2 (ja) | 2013-05-29 | 2017-07-19 | 沖電気工業株式会社 | 通信装置、通信システム及び通信方法 |
| JP6138714B2 (ja) | 2014-03-03 | 2017-05-31 | アラクサラネットワークス株式会社 | 通信装置および通信装置における通信制御方法 |
| WO2015182103A1 (ja) | 2014-05-29 | 2015-12-03 | パナソニックIpマネジメント株式会社 | 送信装置、受信装置、送信方法および受信方法 |
| US10572495B2 (en) * | 2018-02-06 | 2020-02-25 | Cisco Technology Inc. | Network assurance database version compatibility |
-
2018
- 2018-07-27 US US16/047,020 patent/US10979390B2/en active Active
- 2018-08-13 CN CN201810913159.0A patent/CN109428884B/zh active Active
- 2018-08-13 EP EP18188650.8A patent/EP3448001B1/en active Active
- 2018-08-13 EP EP21183143.3A patent/EP3910906B1/en active Active
-
2021
- 2021-03-10 US US17/197,413 patent/US11606334B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150067764A1 (en) * | 2013-09-03 | 2015-03-05 | Electronics And Telecommunications Research Institute | Whitelist-based network switch |
| US20170230377A1 (en) * | 2015-06-30 | 2017-08-10 | Mist Systems, Inc. | Access enforcement at a wireless access point |
| US20170237769A1 (en) * | 2016-02-12 | 2017-08-17 | Fujitsu Limited | Packet transfer method and packet transfer apparatus |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113630445A (zh) * | 2021-07-19 | 2021-11-09 | 山东区块链研究院 | 一种基于区块链网络的数据存储方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109428884B (zh) | 2022-07-29 |
| EP3448001B1 (en) | 2021-09-29 |
| EP3910906B1 (en) | 2024-03-06 |
| EP3448001A1 (en) | 2019-02-27 |
| US20190068553A1 (en) | 2019-02-28 |
| US20210203638A1 (en) | 2021-07-01 |
| EP3910906A1 (en) | 2021-11-17 |
| US11606334B2 (en) | 2023-03-14 |
| US10979390B2 (en) | 2021-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109428884A (zh) | 通信保护装置、控制方法以及程序 | |
| CN105591926B (zh) | 一种流量保护方法及装置 | |
| US9819511B2 (en) | Bidirectional forwarding detection over a virtual extensible local area network | |
| JP6634009B2 (ja) | ハニーポートが有効なネットワークセキュリティ | |
| US9219667B2 (en) | Methods, systems, and computer readable media for selectively processing packets using time to live (TTL) information | |
| CN105721457B (zh) | 基于动态变换的网络安全防御系统和网络安全防御方法 | |
| US10334445B2 (en) | Accurate detection of rogue wireless access points | |
| US10440054B2 (en) | Customized information networks for deception and attack mitigation | |
| US9769011B2 (en) | Bidirectional forwarding detection over network virtualization using generic routing encapsulation | |
| CN107404470A (zh) | 接入控制方法及装置 | |
| CN106713057A (zh) | 用于进行隧道检测的方法、装置及系统 | |
| CN113225311B (zh) | 一种基于身份标识的跨网隧道传输方法 | |
| CN104734986B (zh) | 一种报文转发方法和装置 | |
| CN108989342B (zh) | 一种数据传输的方法及装置 | |
| JP7045247B2 (ja) | 通信保護装置、制御方法、および、プログラム | |
| Groat et al. | IPv6: nowhere to run, nowhere to hide | |
| CN113067911B (zh) | 一种nat穿越方法、装置、电子设备和存储介质 | |
| US20130133060A1 (en) | Communication system, control device and control program | |
| US20190028436A1 (en) | Apparatus and method for forwarding of data packets | |
| CN105592000B (zh) | 位置和标识分离协议注册方法及装置 | |
| CN113067908B (zh) | 一种nat穿越方法、装置、电子设备和存储介质 | |
| Paxton et al. | Identifying network packets across translational boundaries | |
| CN105099941B (zh) | 一种报文处理方法及装置 | |
| EP2940944B1 (en) | Method and device for processing packet in trill network | |
| CN117640181A (zh) | 一种报文处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |