JP2005260520A - Method and device for detecting reply attack error - Google Patents

Method and device for detecting reply attack error Download PDF

Info

Publication number
JP2005260520A
JP2005260520A JP2004068414A JP2004068414A JP2005260520A JP 2005260520 A JP2005260520 A JP 2005260520A JP 2004068414 A JP2004068414 A JP 2004068414A JP 2004068414 A JP2004068414 A JP 2004068414A JP 2005260520 A JP2005260520 A JP 2005260520A
Authority
JP
Japan
Prior art keywords
sequence number
reply
attack error
reception history
qos
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004068414A
Other languages
Japanese (ja)
Other versions
JP4306498B2 (en
Inventor
Masatoshi Fukukawa
政利 福川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004068414A priority Critical patent/JP4306498B2/en
Publication of JP2005260520A publication Critical patent/JP2005260520A/en
Application granted granted Critical
Publication of JP4306498B2 publication Critical patent/JP4306498B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent occurrence of a reply attack error by sequence number inversion at the time of QoS setting in IPSec communication. <P>SOLUTION: A memory device 51 has window sets 51-1 to 51-n recording reception history of sequence numbers of received packets on SA by individual QoS classes for the respective SAs (security associations). When receiving the packet on the SA, a reply attack error detecting part 52 detects presence or absence of the reply attack error on the basis of an SPI number 54 included in the header of the received packet, the reception history stored in accordance with the QoS class in the window set which is decided by QoS class information 56 and a received sequence number 55 included in the header of the received packet. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、QoS機能を使用したIPSec処理においてQoSクラスの異なるパケットの出力順序逆転によって発生するリプライ・アタックエラーを防ぐ方法と装置に関する。   The present invention relates to a method and apparatus for preventing a reply / attack error caused by reversing the output order of packets having different QoS classes in IPSec processing using the QoS function.

ネットワークセキュリティとは、インターネットを介して重要なデータをやりとりする際にデータを暗号化する事により、悪意を持った第三者の「盗聴」、「改ざん」、「なりすまし」といった驚異から重要なデータを守る概念である。また、QoS機能とは、ネットワーク内で提供される各サービスに対して品質を保証する為の技術である。これらの機能は、今日のinternet-VPNネットワーク環境において、データ系や音声系等の様々なアプリケーションが使用される中、「セキュリティ」と「きめこまやかな品質保証」という面で重要な機能である。   Network security is data that is important from the wonders of malicious eavesdropping, tampering, and impersonation by encrypting data when important data is exchanged over the Internet. It is a concept that protects. The QoS function is a technique for guaranteeing quality for each service provided in the network. These functions are important in terms of "security" and "smooth quality assurance" while various applications such as data systems and voice systems are used in today's internet-VPN network environment.

多様なトラフィックが要求するQoSを実現するネットワークアーキテクチャの代表的なものに、ディフサーブ(Diffserv:Differentiated Services)がある(例えば非特許文献1参照)。図9にディフサーブのネットワーク構成例を示す。ディフサーブネットワークのルータは、ユーザ端末とネットワークとの境界部分に設置されるエッジルータと、ネットワーク内部の内部ルータとに大別される。ユーザ端末からのトラフィックを受信したエッジルータは、ユーザ−ネットワーク間の事前の契約(SLA:Service Level Agreement)に基づいてトラフィックを識別してパケットを幾つかのQoSクラスに分類し、QoSクラスに応じた優先度情報(DSCP:DiffServ Code Point)を各パケットのIPヘッダ内に記述して内部ルータへ転送する。QoSクラスとしては、EF(Expedited Forwarding)、AF(Assured Forwarding)、BF(Best effort)があり、EF、AFは更に幾つかのクラスに細分されている。内部ルータでは、受信パケットのDSCPに応じた優先制御、廃棄処理を行うことで、クラス間のQoSを差別化する。   A typical network architecture that realizes QoS required by various types of traffic is Diffserv (Differentiated Services) (see, for example, Non-Patent Document 1). Fig. 9 shows an example of the network structure of Diffserve. Diffserve network routers are broadly classified into edge routers installed at the boundary between the user terminal and the network, and internal routers inside the network. The edge router that receives the traffic from the user terminal identifies the traffic based on a prior service level agreement (SLA) between the user and the network, classifies the packet into several QoS classes, and responds to the QoS class. The priority information (DSCP: DiffServ Code Point) is described in the IP header of each packet and transferred to the internal router. QoS classes include EF (Expedited Forwarding), AF (Assured Forwarding), and BF (Best effort), and EF and AF are further subdivided into several classes. The internal router differentiates QoS between classes by performing priority control and discard processing according to the DSCP of received packets.

他方、ネットワークセキュリティ技術の代表的なものに、IPSec通信がある。IPSecは、インターネットの標準化組織であるIETF(Internet Engineering Task Force)により標準化されたものであり、VPN(Virtual Private Network)で最も一般的に用いられる暗号通信技術である。IPSecを使って互いに通信するホストは、相手ホストと事前にIPSecで使う暗号の種類や暗号鍵を取り決める。この取り決めをSA(Security Association)と呼び、SA確立後に暗号化されたパケットによる通信が開始される。IPSecによって暗号化されたパケットでは、ESP(Encapsulating Sesurity Payload)に暗号化された通信内容がパックされて送信される。ESPには、暗号化された通信内容に加えて、SPI(Security Parameters Index)、シーケンス番号、認証データなどが含まれる。SPIは、SAを一意に識別するための識別子である。シーケンス番号は、DoS(Denial of Service)アタックなどのリプライ・アタック(リプライ攻撃)への対処として設けられている。シーケンス番号を用いてリプライ・アタックから防御する原理は次の通りである。   On the other hand, IPSec communication is a typical network security technology. IPSec is standardized by the Internet Engineering Task Force (IETF), which is an Internet standardization organization, and is the most commonly used encryption communication technology for VPN (Virtual Private Network). Hosts that communicate with each other using IPSec negotiate with the other host in advance the encryption type and encryption key used in IPSec. This agreement is called SA (Security Association), and communication using encrypted packets is started after SA establishment. In the packet encrypted by IPSec, the encrypted communication content is packed in ESP (Encapsulating Sesurity Payload) and transmitted. ESP includes SPI (Security Parameters Index), sequence number, authentication data, etc. in addition to encrypted communication contents. The SPI is an identifier for uniquely identifying the SA. The sequence number is provided as a response to a reply attack (reply attack) such as a DoS (Denial of Service) attack. The principle of protecting against a reply attack using a sequence number is as follows.

送信側はSAを作ったときにシーケンス番号カウンタを0に設定し、パケットを送信する毎に1だけ増やしたシーケンス番号をパケットのヘッダに設定して送信する。受信側では、SA毎にシーケンス番号の受信履歴をとり、同じシーケンス番号のパケットを重複して受信した場合や、過去に受信した最大のシーケンス番号から予め定められた数(この数をウィンドウサイズ(window size)と言う)以上小さいシーケンス番号を持つパケットを受信した場合、エラーとして検出し、当該パケットを廃棄する。リプライ・アタックは、悪意を持った第三者が通信内容を傍受して得たパケットを、当事者のふりをして送りつけるものであるため、前述したように送信側でパケットを送信する毎にシーケンス番号をカウントアップしていき、受信側でもこのシーケンス番号の順序を確認することで、不正なパケットを排除することができる。但し、厳密にはシーケンス番号順にパケットが受信側に到着しない場合があるので、ウィンドウサイズだけの余裕を持たせてある。
"Differentiated Services(Diffserv)Architecture"、[online]、[平成16年2月5日検索]、インターネット<URL:http://www.mos.ics.keio.ac.jp/lecture/acn/3.1Diffserv.ppt> The sending side sets the sequence number counter to 0 when creating the SA, and sets the sequence number incremented by 1 each time a packet is sent and sends it in the packet header. The receiving side takes a reception history of the sequence number for each SA, and when a packet with the same sequence number is received repeatedly, or a predetermined number from the maximum sequence number received in the past (this number is the window size ( window size))) If a packet with a smaller sequence number is received, it is detected as an error and the packet is discarded. A reply attack is a packet sent by a third party with malicious intent to intercept communication contents, pretending to be a party, and as described above, every time a packet is sent on the sending side. By counting up the sequence number and confirming the sequence number sequence on the receiving side, it is possible to eliminate illegal packets. However, strictly speaking, there is a case where packets do not arrive at the receiving side in the order of the sequence numbers, so that only a window size is allowed.
"Differentiated Services (Diffserv) Architecture", [online], [Search February 5, 2004], Internet <URL: http://www.mos.ics.keio.ac.jp/lecture/acn/3.1Diffserv .ppt>

上述したように、今日のinternet-VPNネットワーク環境において、データ系や音声系等の様々なアプリケーションが使用される中、「セキュリティ」と「きめこまやかな品質保証」という面でQoS機能とIPSec通信とは重要な機能であるが、従来のシステムでIPSec通信にQoS設定を行うと、QoSクラシフィケーション機能によりパケットの出力優先順位が決定されてしまい、IPSec処理でパケット毎に付与されたシーケンス番号の順番が逆転し、受信側でリプライ・アタックエラーが発生するという問題がある。このリプライ・アタックエラーを防ぐ為には、データ系と音声系とで別々のSAを作成するか、リプライ・アタック防止機能の設定をオフにする必要があり、前者の場合、セキュリティ性能が低下し、後者の場合、必要以上にSAを消費するという問題がある。   As mentioned above, in today's internet-VPN network environment, while various applications such as data and voice are used, QoS function and IPSec communication are required in terms of "security" and "fine quality assurance". Is an important function, but when QoS settings are configured for IPSec communication in a conventional system, the packet output priority is determined by the QoS classification function, and the sequence number assigned to each packet by IPSec processing is determined. There is a problem that the order is reversed and a reply / attack error occurs on the receiving side. In order to prevent this reply / attack error, it is necessary to create separate SAs for the data system and the voice system, or to turn off the reply / attack prevention function. In the former case, the security performance will be reduced. In the latter case, there is a problem that SA is consumed more than necessary.

そこで、本発明は、IPSec通信にQoS設定を行った際のシーケンス番号逆転によって発生するリプライ・アタックエラーを回避するために、セキュリティの強度を弱める(リプライ・アタック機能オフ)必要も無く、また、SAの資源を余分に消費(QoSクラス別にSAを使用)すること無く、IPSec通信でQoSの機能を使用することができるようにすることにある。   Therefore, the present invention eliminates the need for weakening the security (reply-attack function off) in order to avoid a reply-attack error caused by sequence number reversal when performing QoS setting for IPSec communication. The purpose is to make it possible to use the QoS function in IPSec communication without consuming extra SA resources (using SA for each QoS class).

本発明の第1のリプライ・アタックエラー検出方法は、セキュリティアソシエーションに対応して、前記セキュリティアソシエーションにかかる受信パケットのシーケンス番号の受信履歴をQoSクラス別に記録しておき、前記セキュリティアソシエーションにかかる受信パケットのヘッダに含まれるQoSクラス情報によって決定されるQoSクラスに対応して記憶されている受信履歴と前記受信パケットのヘッダに含まれるシーケンス番号とに基づいてリプライ・アタックエラーを検出することを特徴とする。   According to the first reply / attack error detection method of the present invention, the reception history of the sequence number of the received packet related to the security association is recorded for each QoS class corresponding to the security association, and the received packet related to the security association is recorded. A reply attack error is detected based on a reception history stored corresponding to the QoS class determined by the QoS class information included in the header of the received packet and a sequence number included in the header of the received packet. To do.

本発明の第2のリプライ・アタックエラー検出方法は、第1のリプライ・アタックエラー検出方法において、少なくともEF、AF、BFの3種類のQoSクラス別に受信パケットのシーケンス番号の受信履歴を記録することを特徴とする。   According to the second reply / attack error detection method of the present invention, in the first reply / attack error detection method, the reception history of the sequence number of the received packet is recorded for at least three types of QoS classes of EF, AF, and BF. It is characterized by.

本発明の第3のリプライ・アタックエラー検出方法は、第1のリプライ・アタックエラー検出方法において、各QoSクラス別に、最後に受信した最も大きなシーケンス番号を保持する最大シーケンス番号保持部と、過去のシーケンス番号の受信履歴を記録するためのnビットのビットマップであって、最下位ビットから最上位ビットまで順に、前記最大シーケンス番号保持部に保持されているシーケンス番号からn-1だけ小さなシーケンス番号までのn個のシーケンス番号の受信履歴に1対1に対応するビットマップとを使用して、シーケンス番号の受信履歴を管理することを特徴とする。   The third reply / attack error detection method of the present invention is the first reply / attack error detection method according to the first reply / attack error detection method, for each QoS class, a maximum sequence number holding unit that holds the last received largest sequence number, and a past An n-bit bitmap for recording the reception history of the sequence number, and the sequence number that is smaller by n-1 from the sequence number held in the maximum sequence number holding unit in order from the least significant bit to the most significant bit The reception history of the sequence number is managed using the bitmap corresponding to one-to-one with the reception history of the n sequence numbers up to.

本発明の第4のリプライ・アタックエラー検出方法は、第3のリプライ・アタックエラー検出方法において、受信したパケットのシーケンス番号が前記最大シーケンス番号保持部に保持されたシーケンス番号より小さく、両者の差dが前記nを超える場合、リプライ・アタックエラーとすることを特徴とする。   The fourth reply / attack error detection method of the present invention is the third reply / attack error detection method, wherein the sequence number of the received packet is smaller than the sequence number held in the maximum sequence number holding unit, and the difference between the two If d exceeds n, a reply attack error is set.

本発明の第5のリプライ・アタックエラー検出方法は、第4のリプライ・アタックエラー検出方法において、前記両者の差dが前記nを超えない場合、前記ビットマップのビットdが受信済を示す値の場合に、リプライ・アタックエラーとすることを特徴とする。   The fifth reply / attack error detection method of the present invention is the fourth reply / attack error detection method, wherein when the difference d between the two does not exceed the value n, the bit d of the bitmap indicates that it has been received. In this case, a reply / attack error is set.

本発明の第1のリプライ・アタックエラー検出装置は、セキュリティアソシエーションに対応して、前記セキュリティアソシエーションにかかる受信パケットのシーケンス番号の受信履歴をQoSクラス別に記録する記憶手段と、前記セキュリティアソシエーションにかかる受信パケットのヘッダに含まれるQoSクラス情報によって決定されるQoSクラスに対応して前記記憶手段に記憶されている受信履歴と前記受信パケットのヘッダに含まれるシーケンス番号とに基づいてリプライ・アタックエラーを検出する検出手段とを備えることを特徴とする。   The first reply / attack error detection device according to the present invention includes a storage unit that records a reception history of a sequence number of a received packet related to the security association for each QoS class in correspondence with the security association, and a reception related to the security association. A reply / attack error is detected based on the reception history stored in the storage means corresponding to the QoS class determined by the QoS class information included in the packet header and the sequence number included in the header of the received packet. And detecting means.

本発明の第2のリプライ・アタックエラー検出装置は、第1のリプライ・アタックエラー検出装置において、前記記憶手段は、少なくともEF、AF、BFの3種類のQoSクラス別に受信パケットのシーケンス番号の受信履歴を記録することを特徴とする。   The second reply / attack error detection device of the present invention is the first reply / attack error detection device, wherein the storage means receives the sequence number of the received packet for at least three types of QoS classes of EF, AF, and BF. A history is recorded.

本発明の第3のリプライ・アタックエラー検出装置は、第1のリプライ・アタックエラー検出装置において、前記記憶手段は、各QoSクラス別に、最後に受信した最も大きなシーケンス番号を保持する最大シーケンス番号保持部と、過去のシーケンス番号の受信履歴を記録するためのnビットのビットマップであって、最下位ビットから最上位ビットまで順に、前記最大シーケンス番号保持部に保持されているシーケンス番号からn-1だけ小さなシーケンス番号までのn個のシーケンス番号の受信履歴に1対1に対応するビットマップとを備えることを特徴とする。   According to a third reply / attack error detection device of the present invention, in the first reply / attack error detection device, the storage means holds a maximum sequence number that holds the largest sequence number received last for each QoS class. And an n-bit bitmap for recording the reception history of the past sequence number, in order from the least significant bit to the most significant bit, the sequence number held in the maximum sequence number holding unit A reception history of n sequence numbers up to one smaller sequence number is provided with a bit map corresponding to one to one.

本発明の第4のリプライ・アタックエラー検出装置は、第3のリプライ・アタックエラー検出装置において、前記検出手段は、受信したパケットのシーケンス番号が前記最大シーケンス番号保持部に保持されたシーケンス番号より小さく、両者の差dが前記nを超える場合、リプライ・アタックエラーとすることを特徴とする。   According to a fourth reply / attack error detection device of the present invention, in the third reply / attack error detection device, the detection means uses the sequence number of the received packet from the sequence number held in the maximum sequence number holding unit. If the difference d between the two exceeds n, a reply / attack error is assumed.

本発明の第5のリプライ・アタックエラー検出装置は、第4のリプライ・アタックエラー検出装置において、前記検出手段は、前記両者の差dが前記nを超えない場合、前記ビットマップのビットdが受信済を示す値の場合に、リプライ・アタックエラーとすることを特徴とする。   According to a fifth reply / attack error detection device of the present invention, in the fourth reply / attack error detection device, when the difference d between the two does not exceed the n, the detection unit determines that the bit d of the bitmap is In the case of a value indicating reception completion, a reply / attack error is set.

本発明のリプライ・アタックエラー検出方法および装置によれば、セキュリティの強度を弱める必要も無く、また、SAの資源を余分に消費すること無く、IPSec通信でQoSの機能を使用することができる。その理由は、リプライ・アタックエラーの検出を各QoSクラス別のシーケンス番号受信履歴に基づいて検出しており、IPSec通信にQoS設定を行った際にシーケンス番号の逆転が生じても、各QoSクラス別ではシーケンス番号の逆転が生じないからである。   According to the reply / attack error detection method and apparatus of the present invention, it is not necessary to weaken the security, and it is possible to use the QoS function in IPSec communication without consuming additional SA resources. The reason for this is that the detection of reply / attack errors is detected based on the sequence number reception history for each QoS class.Even if the sequence number is reversed when QoS setting is performed for IPSec communication, each QoS class This is because the sequence number is not reversed.

本発明の実施の形態の構成を図1に示す。図9との関係では、図1中の端末102、端末136が図9のユーザ端末に相当し、VPN Router A 138、VPN Router B 139がエッジルータに相当する。以下、図1を参照して、企業内LAN A 101の端末102から企業内LAN B 137の端末136宛にトンネルモードでインターネット119を経由してデータを送信する場合を例に、本実施の形態の構成と動作を説明する。   The configuration of the embodiment of the present invention is shown in FIG. In the relationship with FIG. 9, the terminal 102 and the terminal 136 in FIG. 1 correspond to the user terminal in FIG. 9, and the VPN Router A 138 and the VPN Router B 139 correspond to the edge router. Hereinafter, referring to FIG. 1, the present embodiment will be described by taking as an example a case where data is transmitted from terminal 102 of corporate LAN A 101 to terminal 136 of corporate LAN B 137 via Internet 119 in tunnel mode. The configuration and operation will be described.

企業内LAN A 101の端末102から送信されたデータは、データ系と音声系が混在したトラフィックで、VPN Router A 138で受信される。VPN Router A 138の受信インターフェース部103からIPSec処理対象となるパケットは、IPSec Engine部107へフォーワードされ、CPU部104でHDR(ヘッダ)加工処理後、PCIバス105経由で暗号部106に送られて暗号化処理される。   The data transmitted from the terminal 102 of the corporate LAN A 101 is traffic in which a data system and a voice system are mixed, and is received by the VPN Router A 138. Packets subject to IPSec processing from the receiving interface unit 103 of VPN Router A 138 are forwarded to the IPSec Engine unit 107, processed by the CPU unit 104 for HDR (header) processing, and then sent to the encryption unit 106 via the PCI bus 105. Is encrypted.

IPSec Engine部107でIPSec化されたパケットは、QoS Engine部108のQoSクラシフィア部109でQoSクラス分けされ、QoSクラス・キュー部110の各QoSクラス別に分けられたキューに格納される。企業内LAN A 101の端末102より送信されたデータは、データ系と音声系のデータが混在したトラフィックのため、音声系データはQoSクラス・キュー部110のEF_2キューに振り分けられ、データ系のデータはQoSクラス・キュー部110のBEキューに振り分けられる。各QoSクラス・キュー部110に振り分けられたデータは、QoSスケジュール部111によって優先順位が決定される。QoSシェーパー部112で優先順位別に出力制御されたパケット113、114、115、116は、シーケンス番号が順序逆転されて、送信インターフェース部117からトンネルモードでインターネット119を介してVPN Router B 139宛てに送信される。   Packets that have been made IPSec by the IPSec Engine unit 107 are classified into QoS classes by the QoS classifier unit 109 of the QoS Engine unit 108, and are stored in queues classified by the QoS classes of the QoS class / queue unit 110. Since the data transmitted from the terminal 102 of the corporate LAN A 101 is traffic that is a mixture of data and voice data, the voice data is distributed to the EF_2 queue of the QoS class queue unit 110, and the data data Are distributed to the BE queue of the QoS class / queue unit 110. The priority of the data distributed to each QoS class / queue unit 110 is determined by the QoS schedule unit 111. The packets 113, 114, 115, and 116 that are output-controlled by the QoS shaper unit 112 according to priority are transmitted in the tunnel mode from the transmission interface unit 117 to the VPN Router B 139 via the Internet 119 in the tunnel mode. Is done.

VPN Router B 139の受信インターフェース部120で受信されたIPSecパケットは、復号処理の為IPSec Engine部121にフォワーディングされる。フォワーディングされたIPSecパケットのHDR内のSPI番号からIPsec Engine部121のSADデータベース部122に格納されている任意のSA123を検索し、各QoSクラス別に設定されたwindow size部124〜130を使用してシーケンス番号のチェックを行う。例えば、QoSクラスがEF_2のIPSecパケットは、EF_2用のwindow size部125を使用してシーケンス番号の受信履歴を確認し、チェックを行う。   The IPSec packet received by the reception interface unit 120 of the VPN Router B 139 is forwarded to the IPSec Engine unit 121 for decryption processing. Search for any SA123 stored in the SAD database unit 122 of the IPsec Engine unit 121 from the SPI number in the HDR of the forwarded IPSec packet, and use the window size units 124-130 set for each QoS class Check the sequence number. For example, an IPSec packet whose QoS class is EF_2 is checked by checking the reception history of the sequence number using the window size unit 125 for EF_2.

各QoSクラス別のwindow size部124〜130でシーケンス番号をチェックされ、パスしたIPSecパケットは、PCIバス133を経由して暗号部134で復号化処理され、CPU部132でHDR加工後、VPN Router B 139の出力インターフェース部135より企業内 LAN B 137の端末136宛てに送信される。   The sequence number is checked by the window size units 124 to 130 for each QoS class, and the passed IPSec packet is decrypted by the encryption unit 134 via the PCI bus 133, and after the HDR processing by the CPU unit 132, the VPN Router The data is transmitted from the output interface unit 135 of the B 139 to the terminal 136 of the corporate LAN B 137.

次に、図1乃至図4を参照して、本実施の形態のより詳細な動作を説明する。   Next, a more detailed operation of the present embodiment will be described with reference to FIGS.

図1の企業内LAN A 101の端末102より送信されたデータは、図2に示すように、HTTPトラフィック9、音声トラフィック8、の順に連続して送信される。このようなタイプの異なるトラフィックが、図3に示すVPN Router A 138で受信される。   The data transmitted from the terminal 102 of the corporate LAN A 101 in FIG. 1 is continuously transmitted in the order of HTTP traffic 9 and voice traffic 8 as shown in FIG. Such different types of traffic are received by VPN Router A 138 shown in FIG.

VPN Router A 138で受信されたデータは、図2に示すIPSec Engin部11の暗号処理部10で暗号化処理される。IPSec化されたパケット12、13には、パケット毎にシーケンス番号14、15が割り振られ、図3に示すEgress側のQoS Engine部 108へとフォワーディングされる。   The data received by VPN Router A 138 is encrypted by the encryption processing unit 10 of the IPSec Engin unit 11 shown in FIG. The IPSec packets 12 and 13 are assigned sequence numbers 14 and 15 for each packet and forwarded to the QoS Engine unit 108 on the egress side shown in FIG.

QoS Engine部 108で受信されたIPSecパケットは、QoSクラシフィア部109により音声系データとHTTPのベストエフォート型のデータとしてクラス分けされる。QoSクラシフィア部109でクラス分けされたパケットは、QoSクラス・キュー部110の各QoSクラス別に分けられたキュー部18〜23に格納される。本実施形態の場合、音声系のデータはEF_2キュー部20に振り分けられ、HTTPデータはBEキュー部18に振り分けられる。   The IPSec packet received by the QoS Engine unit 108 is classified by the QoS classifier unit 109 as voice system data and HTTP best effort type data. The packets classified by the QoS classifier unit 109 are stored in the queue units 18 to 23 of the QoS class / queue unit 110 that are classified according to each QoS class. In the case of the present embodiment, the audio data is distributed to the EF_2 queue unit 20, and the HTTP data is distributed to the BE queue unit 18.

各QoSクラス・キュー部に振り分けられたデータは、QoSスケジューラ部111によって優先順番が決定される。BE型のトラフィックは、AF及びEFのトラフィックがある場合出力制御される。この結果、QoSシェーパー部112では、EF2にクラス分けされた音声系トラフィック28〜31が先に出力され、BEトラフィック27はQoSクラスの優先度が低いため音声系トラフィック28〜31の後にシェーピングされる。このようにQoSクラスの異なるパケットが同一のトンネルを使用してインターネット119を経由してVPN Router B 139宛てに送信された場合、図4に示すように、IPSecパケットに割り振られたシーケンス番号32、33は順序が逆転されて、VPN Router B 139に受信される。   The priority assigned to the data distributed to each QoS class / queue unit is determined by the QoS scheduler unit 111. BE type traffic is output controlled when there is AF and EF traffic. As a result, the QoS shaper unit 112 outputs the voice traffic 28 to 31 classified into EF2 first, and the BE traffic 27 is shaped after the voice traffic 28 to 31 because the priority of the QoS class is low. . In this way, when packets with different QoS classes are sent to VPN Router B 139 via the Internet 119 using the same tunnel, as shown in FIG. 4, the sequence number 32 assigned to the IPSec packet, 33 is received by VPN Router B 139 with the order reversed.

VPN Router B 139で受信されたIPSec パケットは、IPSec Engine部121に転送されESPヘッダ内のSPI番号をもとにそのユニークな番号に該当する唯一のSA部123をSADデータベース部122より検索する。該当するSA部123が検索された後、そのパケットに付与されたシーケンス番号32、33がチェックされる。本実施形態の場合、図4に示す音声系トラフィック32に含まれるシーケンス番号50,51,52,53,…に続き、HTTPトラフィック33に含まれるシーケンス番号1が到着する。従って、従来のシステムのようにwindow sizeが一つしかない場合、そのwindow sizeを32bitとすると、シーケンス番号1を持つHTTPパケットは32bitのwindows sizeを外れてしまうため、リプライ・アタックエラーとして処理されてしまう。   The IPSec packet received by the VPN Router B 139 is transferred to the IPSec Engine unit 121, and the SAD database unit 122 is searched for the only SA unit 123 corresponding to the unique number based on the SPI number in the ESP header. After the corresponding SA section 123 is searched, the sequence numbers 32 and 33 given to the packet are checked. In the present embodiment, the sequence number 1 included in the HTTP traffic 33 arrives after the sequence numbers 50, 51, 52, 53,... Included in the voice traffic 32 shown in FIG. Therefore, if there is only one window size as in the conventional system, if the window size is 32 bits, an HTTP packet with sequence number 1 will be out of the 32-bit windows size and will be processed as a reply / attack error. End up.

これに対して本実施の形態では、図4に示すようにQoSクラス別にwindows size部36を持つことにより、該当するQoSクラスのwindows size部36でシーケンス番号のチェックを行う。このため、音声系トラフィック32に含まれるシーケンス番号50,51,52,53,…に続き、HTTPトラフィック33に含まれるシーケンス番号1が到着しても、QoSクラス別のwindows size部36においてはシーケンス番号の順序逆転が発生せず、シーケンス番号の順序逆転によるリプライ・アタックエラーの検出を防ぐことが出来る。こうして、復号化されたIPパケットは、図1に示す出力インタフェース部135に転送され、VPN Router B 139から企業内LAN B の端末136宛てに送信される。   On the other hand, in this embodiment, as shown in FIG. 4, by having a windows size unit 36 for each QoS class, the windows size unit 36 of the corresponding QoS class checks the sequence number. Therefore, even if the sequence number 1 included in the HTTP traffic 33 arrives after the sequence numbers 50, 51, 52, 53,... Included in the voice traffic 32, the sequence is performed in the windows size unit 36 for each QoS class. No order reversal of numbers occurs, and it is possible to prevent detection of reply / attack errors due to sequence number reversal. The decrypted IP packet is transferred to the output interface unit 135 shown in FIG. 1, and transmitted from the VPN Router B 139 to the terminal 136 of the corporate LAN B.

次にVPN Router B 139におけるリプライ・アタックエラーの検出機構気候の実施例について図面を参照して説明する。   Next, an embodiment of a reply / attack error detection mechanism climate in VPN Router B 139 will be described with reference to the drawings.

図5を参照すると、VPN Router B 139に設けられるリプライ・アタックエラー検出装置の一実施例は、メモリ装置51とリプライ・アタックエラー検出部52とで構成される。   Referring to FIG. 5, an embodiment of a reply / attack error detection device provided in VPN Router B 139 includes a memory device 51 and a reply / attack error detection unit 52.

メモリ装置51には、VPN Router B 139に存在するSA部123に1対1に対応するウィンドウセット51-1〜51-nが格納される。個々のウィンドウセット51-1〜51-nは、QoSクラス毎のウィンドウ情報53-1〜53-mで構成される。例えば、QoSクラスを、EF、AF、BFの3種類に大別し、EF、AFをそれぞれ更に3つに区分する場合、全部で7つのQoSクラスが存在するので、個々のウィンドウセット51-1〜51-nには、7つのQoSクラス毎のウィンドウ情報53-1〜53-7が含まれる。   In the memory device 51, window sets 51-1 to 51-n corresponding to one-to-one are stored in the SA unit 123 existing in the VPN Router B 139. Each of the window sets 51-1 to 51-n includes window information 53-1 to 53-m for each QoS class. For example, when QoS classes are roughly divided into three types, EF, AF, and BF, and EF and AF are further divided into three, there are seven QoS classes in total, so each window set 51-1 ˜51-n includes window information 53-1 to 53-7 for each of the seven QoS classes.

個々のウィンドウ情報53-1〜53-mは、32bitのビットマップbitmapとラスト受信シーケンス番号レジスタlastseqとを有する。ラスト受信シーケンス番号レジスタlastseqは、最後に受信した最も大きなシーケンス番号を保持する記憶領域である。ビットマップbitmapは、過去のシーケンス番号の受信履歴を記録するためのビット列である。32bitなので、本実施例の場合、最後に受信した最も大きなシーケンス番号から32だけ小さい値のシーケンス番号までの受信履歴が保存できる。例えば、最後に受信した最も大きなシーケンス番号が100なら69〜100までの受信履歴がビットマップbitmapに保存できる。若し、69よりも小さいシーケンス番号を持つ受信パケットが受信された場合、受信履歴が無く確認できないということでエラーになる。つまり、リプライ・アタックエラーとなる。   Each piece of window information 53-1 to 53-m has a 32-bit bitmap bitmap and a last reception sequence number register lastseq. The last reception sequence number register lastseq is a storage area for holding the largest sequence number received last. The bitmap bitmap is a bit string for recording the reception history of past sequence numbers. Since it is 32 bits, in the case of the present embodiment, it is possible to save the reception history from the largest sequence number received last to the sequence number that is smaller by 32. For example, if the largest sequence number received last is 100, the reception history from 69 to 100 can be stored in the bitmap bitmap. If a received packet having a sequence number smaller than 69 is received, an error occurs because there is no reception history and confirmation is not possible. That is, a reply / attack error occurs.

リプライ・アタックエラー検出部52は、メモリ装置51を参照更新して、受信パケットのリプライ・アタックエラーの有無を検出する部分である。その処理の一例を図6に示す。リプライ・アタックエラー検出部52は、VPN Router B 139で受信されたIPSec パケットのESPヘッダ内のSPI番号54をもとに、そのSPI番号により唯一決まるSA部123に対応するウィンドウセット51-i(i=1〜n)を決定し(S100)、更に、そのパケットに含まれるQoSクラス情報56をもとに、ウィンドウセット51-iの中の当該QoSクラスに対応するウィンドウ情報53-j(j=1〜m)を決定する(S200)。QoSクラス情報56としては、IPヘッダ中のDS(Differentiated Services)フィールドに設定された優先度情報(DSCP:DiffServ Code Point)が使用される。次に、この決定したウィンドウ情報53-jと受信パケットに含まれる受信シーケンス番号55とに基づいて、リプライ・アタックエラーの有無を検出する(S300)。   The reply / attack error detection unit 52 refers to and updates the memory device 51 to detect the presence / absence of a reply / attack error in the received packet. An example of the processing is shown in FIG. Based on the SPI number 54 in the ESP header of the IPSec packet received by VPN Router B 139, the reply / attack error detection unit 52 uses the window set 51-i () corresponding to the SA unit 123 that is uniquely determined by the SPI number. i = 1 to n) (S100), and based on the QoS class information 56 included in the packet, the window information 53-j (j = 1 to m) is determined (S200). As the QoS class information 56, priority information (DSCP: DiffServ Code Point) set in a DS (Differentiated Services) field in the IP header is used. Next, the presence / absence of a reply / attack error is detected based on the determined window information 53-j and the reception sequence number 55 included in the received packet (S300).

図6のステップS300の詳細を図7に示す。リプライ・アタックエラー検出部52は、seq(受信シーケンス番号55)が0であるかどうかを調べ(S301)、0であればエラーとする。seqが0でなければ(S301でNO)、ウィンドウ情報53-j中のラスト受信シーケンス番号レジスタlastseqに保持されている最後に受信した最も大きなシーケンス番号lastseqよりseqが大きいかどうかを調べる(S302)。   Details of step S300 of FIG. 6 are shown in FIG. The reply / attack error detection unit 52 checks whether seq (reception sequence number 55) is 0 (S301). If seq is not 0 (NO in S301), it is checked whether seq is greater than the last sequence number lastseq received last stored sequence number lastseq in window information 53-j (S302) .

seqがlastseqより大きなシーケンス番号であれば(S302でYES)、seqからlastseqを引いた差分値diffを計算し(S303)、そのdiffがウィンドウサイズwsizebである32より小さいかどうかを調べる(S304)。若し、小さければ、ビットマップbitmapを差分値diff
だけ左にシフトし、bit0に1を設定する(S305)。そうでなければ、ビットマップbitmapの値を1に設定する(S307)。つまり、bit0を1に設定し、それ以外のbitを0に設定する。そして、今回の受信シーケンス番号seqをlastseqとして保存する(S306)。 If seq is a sequence number larger than lastseq (YES in S302), a difference value diff obtained by subtracting lastseq from seq is calculated (S303), and it is checked whether the diff is smaller than 32 which is the window size wsizeb (S304). . If it is small, the bitmap bitmap difference value diff
Shift to the left and set bit0 to 1 (S305). Otherwise, the value of the bitmap bitmap is set to 1 (S307). In other words, bit0 is set to 1 and other bits are set to 0. Then, the current reception sequence number seq is stored as lastseq (S306).

他方、seqがlastseqより大きくない場合(S302でNO)、lastseqからseqを引いた差分値diffを計算し(S308)、そのdiffがウィンドウサイズwsizebである32以上かどうかを調べる(S309)。若し、diffが32以上であれば(S309でYES)、最後に受信した最大シーケンス番号lastseqよりもウィンドウサイズ以上小さいシーケンス番号のパケットを受信したことになるので、エラーとする。また、diffが32より小さければ(S309でNO)、ビットマップbitmapの下位からdiff番目のビット(bit diff)が1かどうかを調べる(S310)。そして、1でなければ、そのビットを1に設定し(S311)、1であれば、同じシーケンス番号のパケットを重複して受信したことになるので、エラーとする。   On the other hand, if seq is not larger than lastseq (NO in S302), a difference value diff obtained by subtracting seq from lastseq is calculated (S308), and it is checked whether or not the diff is 32 or more which is the window size wsizeb (S309). If diff is 32 or more (YES in S309), a packet having a sequence number smaller than the last received maximum sequence number lastseq by a window size or more is received, and an error is assumed. If diff is smaller than 32 (NO in S309), it is checked whether the diff-th bit (bit diff) from the lower order of the bitmap bitmap is 1 (S310). If it is not 1, the bit is set to 1 (S311), and if it is 1, it means that the same sequence number packet has been received twice, so that it is an error.

図8にウィンドウ情報53-j中のbitmapとlastseqの状態遷移の一例を示す。図8(a)に示すように、初期状態ではbitmapの全bitは0であり、lastseqは未設定である。図8(b)はシーケンス番号101の受信パケットを受信した直後の状態を示しており、bitmapはbit0だけが1になっており、lastseqには101が保存されている。この状態を起点として、シーケンス番号102、103、110、108、103、60の受信パケットをこの順に受信した場合の状態遷移が図8の(c)〜(h)に示されている。   FIG. 8 shows an example of the state transition of bitmap and lastseq in the window information 53-j. As shown in FIG. 8 (a), in the initial state, all bits of the bitmap are 0, and lastseq is not set. FIG. 8 (b) shows a state immediately after receiving the received packet with the sequence number 101. In the bitmap, only bit 0 is 1, and 101 is stored in lastseq. Starting from this state, the state transitions when the received packets of sequence numbers 102, 103, 110, 108, 103, 60 are received in this order are shown in (c) to (h) of FIG.

まず、シーケンス番号102のパケットを受信した場合、seq>lastseq、diff=102-101=1なので、bitmapが1 bit左シフトされた後、bit0に1が設定され(S305)、lastseqに102が設定される(S306)。   First, when the packet with sequence number 102 is received, since seq> lastseq and diff = 102-101 = 1, after bitmap is shifted 1 bit to the left, bit0 is set to 1 (S305) and lastseq is set to 102 (S306).

同様に、シーケンス番号103のパケットを受信した場合、seq>lastseq、diff=103-102=1なので、bitmapが1 bit左シフトされた後、bit0に1が設定され(S305)、lastseqに103が設定される(S306)。   Similarly, when a packet with sequence number 103 is received, since seq> lastseq and diff = 103-102 = 1, after bitmap is shifted 1 bit to the left, bit0 is set to 1 (S305), and lastseq is set to 103. It is set (S306).

同様に、シーケンス番号110のパケットを受信した場合、seq>lastseq、diff=110-103=7なので、bitmapが7 bit左シフトされた後、bit0に1が設定され(S305)、lastseqに110が設定される(S306)。   Similarly, when a packet with sequence number 110 is received, since seq> lastseq and diff = 110-103 = 7, after bitmap is shifted 7 bits to the left, bit0 is set to 1 (S305), and lastseq is set to 110 It is set (S306).

次に、シーケンス番号108のパケットを受信した場合、seq<lastseq、diff=110-108=2、diff=2<wsizeb=32なので、bitmapのbit2が1かどうかが調べられ(S310)、0なので、bitmapのbit2が1に設定される(S311)。   Next, when the packet with sequence number 108 is received, seq <lastseq, diff = 110-108 = 2, diff = 2 <wsizeb = 32, so it is checked whether bit2 of bitmap is 1 (S310), 0 , Bit2 of the bitmap is set to 1 (S311).

次に、シーケンス番号103のパケットを受信した場合、seq<lastseq、diff=110-103=7、diff=7<wsizeb=32なので、bitmapのbit7が1かどうかが調べられ(S310)、1なので、エラーが検出される。エラーが検出されたパケットは破棄される。   Next, when the packet with sequence number 103 is received, since seq <lastseq, diff = 110-103 = 7, diff = 7 <wsizeb = 32, it is checked whether bit7 of bitmap is 1 (S310), An error is detected. Packets in which errors are detected are discarded.

次に、シーケンス番号60のパケットを受信した場合、seq<lastseq、diff=110-60=50、diff=50>wsizeb=32なので(S309でYES)、エラーが検出される。エラーが検出されたパケットは破棄される。   Next, when the packet having the sequence number 60 is received, since seq <lastseq, diff = 110-60 = 50, and diff = 50> wsizeb = 32 (YES in S309), an error is detected. Packets in which errors are detected are discarded.

以上本発明の実施の形態について説明したが、本発明は以上の実施の形態にのみ限定されず、その他各種の付加変更が可能である。例えば、前述した実施の形態では、32bitのビットマップを使用してシーケンス番号の受信履歴を管理したが、64bitなどより多くのビット数のビットマップを使用することも可能である。   Although the embodiment of the present invention has been described above, the present invention is not limited to the above embodiment, and various other additions and modifications can be made. For example, in the above-described embodiment, the reception history of the sequence number is managed using a 32-bit bitmap, but a bitmap having a larger number of bits such as 64 bits may be used.

本発明の実施の形態の構成を示す図である。It is a figure which shows the structure of embodiment of this invention. QoS機能を使用したIPSec処理においてQoSクラスの異なるパケットのシーケンス番号の逆転が生じる様子を示す図である。It is a figure which shows a mode that the inversion of the sequence number of the packet from which QoS class differs arises in the IPSec process which uses a QoS function. VPN Router A の動作説明図である。FIG. 5 is an operation explanatory diagram of VPN Router A. VPN Router B の動作説明図である。FIG. 6 is an operation explanatory diagram of VPN Router B. リプライ・アタックエラー検出装置の一実施例のブロック図である。It is a block diagram of one Example of a reply attack error detection apparatus. リプライ・アタックエラー検出部の処理例を示すフローチャートである。It is a flowchart which shows the process example of a reply / attack error detection part. ステップS300の詳細を示すフローチャートである。It is a flowchart which shows the detail of step S300. ウィンドウ情報中のbitmapとlastseqの状態遷移の一例を示す図である。It is a figure which shows an example of the state transition of bitmap and lastseq in window information. ディフサーブのネットワーク構成例を示す図である。It is a figure which shows the network structural example of a differential serve.

符号の説明Explanation of symbols

51…メモリ装置
51-1〜51-n…ウィンドウセット
52…リプライ・アタックエラー検出部
53-1〜53-m…クラス対応ウィンドウ情報
54…SPI番号
55…受信シーケンス番号
56…QoSクラス情報 51 ... Memory device
51-1 to 51-n ... Window set
52… Reply / Attack Error Detection Unit
53-1 ~ 53-m ... Window information for class
54… SPI number
55 ... Reception sequence number
56 ... QoS class information

Claims (10)

セキュリティアソシエーションに対応して、前記セキュリティアソシエーションにかかる受信パケットのシーケンス番号の受信履歴をQoSクラス別に記録しておき、前記セキュリティアソシエーションにかかる受信パケットのヘッダに含まれるQoSクラス情報によって決定されるQoSクラスに対応して記憶されている受信履歴と前記受信パケットのヘッダに含まれるシーケンス番号とに基づいてリプライ・アタックエラーを検出することを特徴とするリプライ・アタックエラー検出方法。   Corresponding to the security association, the reception history of the sequence number of the received packet related to the security association is recorded for each QoS class, and the QoS class determined by the QoS class information included in the header of the received packet related to the security association A reply / attack error detection method, wherein a reply / attack error is detected on the basis of a reception history stored corresponding to the received message and a sequence number included in a header of the received packet. 少なくともEF、AF、BFの3種類のQoSクラス別に受信パケットのシーケンス番号の受信履歴を記録することを特徴とする請求項1記載のリプライ・アタックエラー検出方法。   2. The reply / attack error detection method according to claim 1, wherein a reception history of a sequence number of a received packet is recorded for at least three types of QoS classes of EF, AF, and BF. 各QoSクラス別に、最後に受信した最も大きなシーケンス番号を保持する最大シーケンス番号保持部と、過去のシーケンス番号の受信履歴を記録するためのnビットのビットマップであって、最下位ビットから最上位ビットまで順に、前記最大シーケンス番号保持部に保持されているシーケンス番号からn-1だけ小さなシーケンス番号までのn個のシーケンス番号の受信履歴に1対1に対応するビットマップとを使用して、シーケンス番号の受信履歴を管理することを特徴とする請求項1記載のリプライ・アタックエラー検出方法。   For each QoS class, a maximum sequence number holding unit that holds the largest sequence number received last, and an n-bit bitmap for recording the reception history of past sequence numbers, from the least significant bit to the most significant bit In order up to the bit, using a bit map corresponding to the reception history of n sequence numbers from the sequence number held in the maximum sequence number holding unit to a sequence number smaller by n-1 by one to one, 2. The reply / attack error detection method according to claim 1, wherein a reception history of sequence numbers is managed. 受信したパケットのシーケンス番号が前記最大シーケンス番号保持部に保持されたシーケンス番号より小さく、両者の差dが前記nを超える場合、リプライ・アタックエラーとすることを特徴とする請求項3記載のリプライ・アタックエラー検出方法。   4. The reply according to claim 3, wherein when the sequence number of the received packet is smaller than the sequence number held in the maximum sequence number holding unit and the difference d between both exceeds n, a reply attack error is generated. -Attack error detection method. 前記両者の差dが前記nを超えない場合、前記ビットマップのビットdが受信済を示す値の場合に、リプライ・アタックエラーとすることを特徴とする請求項4記載のリプライ・アタックエラー検出方法。   5. The reply / attack error detection according to claim 4, wherein if the difference d between the two does not exceed the n, a reply / attack error is detected when the bit d of the bitmap is a value indicating reception completion. Method. セキュリティアソシエーションに対応して、前記セキュリティアソシエーションにかかる受信パケットのシーケンス番号の受信履歴をQoSクラス別に記録する記憶手段と、前記セキュリティアソシエーションにかかる受信パケットのヘッダに含まれるQoSクラス情報によって決定されるQoSクラスに対応して前記記憶手段に記憶されている受信履歴と前記受信パケットのヘッダに含まれるシーケンス番号とに基づいてリプライ・アタックエラーを検出する検出手段とを備えることを特徴とするリプライ・アタックエラー検出装置。   Corresponding to the security association, storage means for recording the reception history of the sequence number of the received packet related to the security association for each QoS class, and the QoS determined by the QoS class information included in the header of the received packet related to the security association A reply attack characterized by comprising: a detection means for detecting a reply / attack error based on a reception history stored in the storage means corresponding to a class and a sequence number included in a header of the received packet. Error detection device. 前記記憶手段は、少なくともEF、AF、BFの3種類のQoSクラス別に受信パケットのシーケンス番号の受信履歴を記録することを特徴とする請求項6記載のリプライ・アタックエラー検出装置。   7. The reply / attack error detection apparatus according to claim 6, wherein the storage unit records a reception history of a sequence number of a received packet for each of at least three types of QoS classes of EF, AF, and BF. 前記記憶手段は、各QoSクラス別に、最後に受信した最も大きなシーケンス番号を保持する最大シーケンス番号保持部と、過去のシーケンス番号の受信履歴を記録するためのnビットのビットマップであって、最下位ビットから最上位ビットまで順に、前記最大シーケンス番号保持部に保持されているシーケンス番号からn-1だけ小さなシーケンス番号までのn個のシーケンス番号の受信履歴に1対1に対応するビットマップとを備えることを特徴とする請求項6記載のリプライ・アタックエラー検出装置。   The storage means includes, for each QoS class, a maximum sequence number holding unit that holds the largest sequence number received last, and an n-bit bitmap for recording a reception history of past sequence numbers. In order from the least significant bit to the most significant bit, a bit map corresponding to the reception history of n sequence numbers from the sequence number held in the maximum sequence number holding unit to a sequence number smaller by n-1 by one-to-one 7. The reply / attack error detection apparatus according to claim 6, further comprising: 前記検出手段は、受信したパケットのシーケンス番号が前記最大シーケンス番号保持部に保持されたシーケンス番号より小さく、両者の差dが前記nを超える場合、リプライ・アタックエラーとすることを特徴とする請求項8記載のリプライ・アタックエラー検出装置。   The detection means, when a sequence number of a received packet is smaller than a sequence number held in the maximum sequence number holding unit, and a difference d between the two exceeds n, a reply / attack error is generated. Item 9. The reply / attack error detection device according to item 8. 前記検出手段は、前記両者の差dが前記nを超えない場合、前記ビットマップのビットdが受信済を示す値の場合に、リプライ・アタックエラーとすることを特徴とする請求項9記載のリプライ・アタックエラー検出装置。   10. The detection means according to claim 9, wherein when the difference d between the two does not exceed the n, a reply / attack error is generated when the bit d of the bitmap is a value indicating reception completion. Reply and attack error detection device.
JP2004068414A 2004-03-11 2004-03-11 Reply attack error detection method and apparatus Expired - Fee Related JP4306498B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004068414A JP4306498B2 (en) 2004-03-11 2004-03-11 Reply attack error detection method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004068414A JP4306498B2 (en) 2004-03-11 2004-03-11 Reply attack error detection method and apparatus

Publications (2)

Publication Number Publication Date
JP2005260520A true JP2005260520A (en) 2005-09-22
JP4306498B2 JP4306498B2 (en) 2009-08-05

Family

ID=35085831

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004068414A Expired - Fee Related JP4306498B2 (en) 2004-03-11 2004-03-11 Reply attack error detection method and apparatus

Country Status (1)

Country Link
JP (1) JP4306498B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007194815A (en) * 2006-01-18 2007-08-02 Nec Corp Security communication device and sequence number managing method
WO2007091758A1 (en) * 2006-02-09 2007-08-16 Samsung Electronics Co., Ltd. Method and apparatus for updating anti-replay window in ipsec
CN100403736C (en) * 2006-03-14 2008-07-16 杭州华三通信技术有限公司 Message serial number inspection and inspector with multi-unit transmission
JP2009538015A (en) * 2006-05-19 2009-10-29 エアバス フランス Message receiving device, in particular message receiving device in data secure communication, aircraft and method related thereto
JP2010187327A (en) * 2009-02-13 2010-08-26 Sii Network Systems Kk Packet communication apparatus, method and program
JP2010273225A (en) * 2009-05-22 2010-12-02 Fujitsu Ltd Packet transmitting/receiving system, packet transmitting/receiving apparatus, and packet transmitting/receiving method

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007194815A (en) * 2006-01-18 2007-08-02 Nec Corp Security communication device and sequence number managing method
JP4645839B2 (en) * 2006-01-18 2011-03-09 日本電気株式会社 Security communication apparatus and sequence number management method
WO2007091758A1 (en) * 2006-02-09 2007-08-16 Samsung Electronics Co., Ltd. Method and apparatus for updating anti-replay window in ipsec
KR100772394B1 (en) 2006-02-09 2007-11-01 삼성전자주식회사 Method and apparatus for updating ant-reply window of IPSec
CN100403736C (en) * 2006-03-14 2008-07-16 杭州华三通信技术有限公司 Message serial number inspection and inspector with multi-unit transmission
US7860010B2 (en) 2006-03-14 2010-12-28 Hangzhou H3C Technologies Co., Ltd. Method, apparatus and system for detecting sequence number of packet for transmission of multi-units
JP2009538015A (en) * 2006-05-19 2009-10-29 エアバス フランス Message receiving device, in particular message receiving device in data secure communication, aircraft and method related thereto
JP2010187327A (en) * 2009-02-13 2010-08-26 Sii Network Systems Kk Packet communication apparatus, method and program
JP2010273225A (en) * 2009-05-22 2010-12-02 Fujitsu Ltd Packet transmitting/receiving system, packet transmitting/receiving apparatus, and packet transmitting/receiving method

Also Published As

Publication number Publication date
JP4306498B2 (en) 2009-08-05

Similar Documents

Publication Publication Date Title
US8370921B2 (en) Ensuring quality of service over VPN IPsec tunnels
US10095634B2 (en) In-vehicle network (IVN) device and method for operating an IVN device
US8745373B2 (en) Systems and methods for applying encryption to network traffic on the basis of policy
JP3954385B2 (en) System, device and method for rapid packet filtering and packet processing
US7061899B2 (en) Method and apparatus for providing network security
US20050022017A1 (en) Data structures and state tracking for network protocol processing
US20070165638A1 (en) System and method for routing data over an internet protocol security network
US9491144B2 (en) Methods and apparatus for denial of service resistant policing of packets
US7974209B1 (en) Packet processing with re-insertion into network interface circuitry
US7359983B1 (en) Fragment processing utilizing cross-linked tables
EP2858300A1 (en) Transmission apparatus, reception apparatus, communication system, transmission method, and reception method
US20150030029A1 (en) Frame Passing Based on Ethertype
CN110868362B (en) Method and device for processing MACsec uncontrolled port message
JP4340653B2 (en) Communication processing apparatus and communication processing method
EP3038321B1 (en) Anti-replay method and apparatus
US7359380B1 (en) Network protocol processing for routing and bridging
JP4306498B2 (en) Reply attack error detection method and apparatus
JP5181134B2 (en) Packet communication apparatus, packet communication method, and packet communication program
TWI335160B (en) Access-controlling method, pepeater, and sever
US11431730B2 (en) Systems and methods for extending authentication in IP packets
JP2016019031A (en) Filtering device and filtering method
CN109167774B (en) Data message and data stream safety mutual access method on firewall
JP2693881B2 (en) Cryptographic processing apparatus and method used in communication network
JP4391455B2 (en) Unauthorized access detection system and program for DDoS attack
CN115277164B (en) Message processing method and device based on two-layer networking environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090414

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090427

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120515

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120515

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130515

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140515

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees