JP2005260520A - Method and device for detecting reply attack error - Google Patents
Method and device for detecting reply attack error Download PDFInfo
- Publication number
- JP2005260520A JP2005260520A JP2004068414A JP2004068414A JP2005260520A JP 2005260520 A JP2005260520 A JP 2005260520A JP 2004068414 A JP2004068414 A JP 2004068414A JP 2004068414 A JP2004068414 A JP 2004068414A JP 2005260520 A JP2005260520 A JP 2005260520A
- Authority
- JP
- Japan
- Prior art keywords
- sequence number
- reply
- attack error
- reception history
- qos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、QoS機能を使用したIPSec処理においてQoSクラスの異なるパケットの出力順序逆転によって発生するリプライ・アタックエラーを防ぐ方法と装置に関する。 The present invention relates to a method and apparatus for preventing a reply / attack error caused by reversing the output order of packets having different QoS classes in IPSec processing using the QoS function.
ネットワークセキュリティとは、インターネットを介して重要なデータをやりとりする際にデータを暗号化する事により、悪意を持った第三者の「盗聴」、「改ざん」、「なりすまし」といった驚異から重要なデータを守る概念である。また、QoS機能とは、ネットワーク内で提供される各サービスに対して品質を保証する為の技術である。これらの機能は、今日のinternet-VPNネットワーク環境において、データ系や音声系等の様々なアプリケーションが使用される中、「セキュリティ」と「きめこまやかな品質保証」という面で重要な機能である。 Network security is data that is important from the wonders of malicious eavesdropping, tampering, and impersonation by encrypting data when important data is exchanged over the Internet. It is a concept that protects. The QoS function is a technique for guaranteeing quality for each service provided in the network. These functions are important in terms of "security" and "smooth quality assurance" while various applications such as data systems and voice systems are used in today's internet-VPN network environment.
多様なトラフィックが要求するQoSを実現するネットワークアーキテクチャの代表的なものに、ディフサーブ(Diffserv:Differentiated Services)がある(例えば非特許文献1参照)。図9にディフサーブのネットワーク構成例を示す。ディフサーブネットワークのルータは、ユーザ端末とネットワークとの境界部分に設置されるエッジルータと、ネットワーク内部の内部ルータとに大別される。ユーザ端末からのトラフィックを受信したエッジルータは、ユーザ−ネットワーク間の事前の契約(SLA:Service Level Agreement)に基づいてトラフィックを識別してパケットを幾つかのQoSクラスに分類し、QoSクラスに応じた優先度情報(DSCP:DiffServ Code Point)を各パケットのIPヘッダ内に記述して内部ルータへ転送する。QoSクラスとしては、EF(Expedited Forwarding)、AF(Assured Forwarding)、BF(Best effort)があり、EF、AFは更に幾つかのクラスに細分されている。内部ルータでは、受信パケットのDSCPに応じた優先制御、廃棄処理を行うことで、クラス間のQoSを差別化する。 A typical network architecture that realizes QoS required by various types of traffic is Diffserv (Differentiated Services) (see, for example, Non-Patent Document 1). Fig. 9 shows an example of the network structure of Diffserve. Diffserve network routers are broadly classified into edge routers installed at the boundary between the user terminal and the network, and internal routers inside the network. The edge router that receives the traffic from the user terminal identifies the traffic based on a prior service level agreement (SLA) between the user and the network, classifies the packet into several QoS classes, and responds to the QoS class. The priority information (DSCP: DiffServ Code Point) is described in the IP header of each packet and transferred to the internal router. QoS classes include EF (Expedited Forwarding), AF (Assured Forwarding), and BF (Best effort), and EF and AF are further subdivided into several classes. The internal router differentiates QoS between classes by performing priority control and discard processing according to the DSCP of received packets.
他方、ネットワークセキュリティ技術の代表的なものに、IPSec通信がある。IPSecは、インターネットの標準化組織であるIETF(Internet Engineering Task Force)により標準化されたものであり、VPN(Virtual Private Network)で最も一般的に用いられる暗号通信技術である。IPSecを使って互いに通信するホストは、相手ホストと事前にIPSecで使う暗号の種類や暗号鍵を取り決める。この取り決めをSA(Security Association)と呼び、SA確立後に暗号化されたパケットによる通信が開始される。IPSecによって暗号化されたパケットでは、ESP(Encapsulating Sesurity Payload)に暗号化された通信内容がパックされて送信される。ESPには、暗号化された通信内容に加えて、SPI(Security Parameters Index)、シーケンス番号、認証データなどが含まれる。SPIは、SAを一意に識別するための識別子である。シーケンス番号は、DoS(Denial of Service)アタックなどのリプライ・アタック(リプライ攻撃)への対処として設けられている。シーケンス番号を用いてリプライ・アタックから防御する原理は次の通りである。 On the other hand, IPSec communication is a typical network security technology. IPSec is standardized by the Internet Engineering Task Force (IETF), which is an Internet standardization organization, and is the most commonly used encryption communication technology for VPN (Virtual Private Network). Hosts that communicate with each other using IPSec negotiate with the other host in advance the encryption type and encryption key used in IPSec. This agreement is called SA (Security Association), and communication using encrypted packets is started after SA establishment. In the packet encrypted by IPSec, the encrypted communication content is packed in ESP (Encapsulating Sesurity Payload) and transmitted. ESP includes SPI (Security Parameters Index), sequence number, authentication data, etc. in addition to encrypted communication contents. The SPI is an identifier for uniquely identifying the SA. The sequence number is provided as a response to a reply attack (reply attack) such as a DoS (Denial of Service) attack. The principle of protecting against a reply attack using a sequence number is as follows.
送信側はSAを作ったときにシーケンス番号カウンタを0に設定し、パケットを送信する毎に1だけ増やしたシーケンス番号をパケットのヘッダに設定して送信する。受信側では、SA毎にシーケンス番号の受信履歴をとり、同じシーケンス番号のパケットを重複して受信した場合や、過去に受信した最大のシーケンス番号から予め定められた数(この数をウィンドウサイズ(window size)と言う)以上小さいシーケンス番号を持つパケットを受信した場合、エラーとして検出し、当該パケットを廃棄する。リプライ・アタックは、悪意を持った第三者が通信内容を傍受して得たパケットを、当事者のふりをして送りつけるものであるため、前述したように送信側でパケットを送信する毎にシーケンス番号をカウントアップしていき、受信側でもこのシーケンス番号の順序を確認することで、不正なパケットを排除することができる。但し、厳密にはシーケンス番号順にパケットが受信側に到着しない場合があるので、ウィンドウサイズだけの余裕を持たせてある。
上述したように、今日のinternet-VPNネットワーク環境において、データ系や音声系等の様々なアプリケーションが使用される中、「セキュリティ」と「きめこまやかな品質保証」という面でQoS機能とIPSec通信とは重要な機能であるが、従来のシステムでIPSec通信にQoS設定を行うと、QoSクラシフィケーション機能によりパケットの出力優先順位が決定されてしまい、IPSec処理でパケット毎に付与されたシーケンス番号の順番が逆転し、受信側でリプライ・アタックエラーが発生するという問題がある。このリプライ・アタックエラーを防ぐ為には、データ系と音声系とで別々のSAを作成するか、リプライ・アタック防止機能の設定をオフにする必要があり、前者の場合、セキュリティ性能が低下し、後者の場合、必要以上にSAを消費するという問題がある。 As mentioned above, in today's internet-VPN network environment, while various applications such as data and voice are used, QoS function and IPSec communication are required in terms of "security" and "fine quality assurance". Is an important function, but when QoS settings are configured for IPSec communication in a conventional system, the packet output priority is determined by the QoS classification function, and the sequence number assigned to each packet by IPSec processing is determined. There is a problem that the order is reversed and a reply / attack error occurs on the receiving side. In order to prevent this reply / attack error, it is necessary to create separate SAs for the data system and the voice system, or to turn off the reply / attack prevention function. In the former case, the security performance will be reduced. In the latter case, there is a problem that SA is consumed more than necessary.
そこで、本発明は、IPSec通信にQoS設定を行った際のシーケンス番号逆転によって発生するリプライ・アタックエラーを回避するために、セキュリティの強度を弱める(リプライ・アタック機能オフ)必要も無く、また、SAの資源を余分に消費(QoSクラス別にSAを使用)すること無く、IPSec通信でQoSの機能を使用することができるようにすることにある。 Therefore, the present invention eliminates the need for weakening the security (reply-attack function off) in order to avoid a reply-attack error caused by sequence number reversal when performing QoS setting for IPSec communication. The purpose is to make it possible to use the QoS function in IPSec communication without consuming extra SA resources (using SA for each QoS class).
本発明の第1のリプライ・アタックエラー検出方法は、セキュリティアソシエーションに対応して、前記セキュリティアソシエーションにかかる受信パケットのシーケンス番号の受信履歴をQoSクラス別に記録しておき、前記セキュリティアソシエーションにかかる受信パケットのヘッダに含まれるQoSクラス情報によって決定されるQoSクラスに対応して記憶されている受信履歴と前記受信パケットのヘッダに含まれるシーケンス番号とに基づいてリプライ・アタックエラーを検出することを特徴とする。 According to the first reply / attack error detection method of the present invention, the reception history of the sequence number of the received packet related to the security association is recorded for each QoS class corresponding to the security association, and the received packet related to the security association is recorded. A reply attack error is detected based on a reception history stored corresponding to the QoS class determined by the QoS class information included in the header of the received packet and a sequence number included in the header of the received packet. To do.
本発明の第2のリプライ・アタックエラー検出方法は、第1のリプライ・アタックエラー検出方法において、少なくともEF、AF、BFの3種類のQoSクラス別に受信パケットのシーケンス番号の受信履歴を記録することを特徴とする。 According to the second reply / attack error detection method of the present invention, in the first reply / attack error detection method, the reception history of the sequence number of the received packet is recorded for at least three types of QoS classes of EF, AF, and BF. It is characterized by.
本発明の第3のリプライ・アタックエラー検出方法は、第1のリプライ・アタックエラー検出方法において、各QoSクラス別に、最後に受信した最も大きなシーケンス番号を保持する最大シーケンス番号保持部と、過去のシーケンス番号の受信履歴を記録するためのnビットのビットマップであって、最下位ビットから最上位ビットまで順に、前記最大シーケンス番号保持部に保持されているシーケンス番号からn-1だけ小さなシーケンス番号までのn個のシーケンス番号の受信履歴に1対1に対応するビットマップとを使用して、シーケンス番号の受信履歴を管理することを特徴とする。 The third reply / attack error detection method of the present invention is the first reply / attack error detection method according to the first reply / attack error detection method, for each QoS class, a maximum sequence number holding unit that holds the last received largest sequence number, and a past An n-bit bitmap for recording the reception history of the sequence number, and the sequence number that is smaller by n-1 from the sequence number held in the maximum sequence number holding unit in order from the least significant bit to the most significant bit The reception history of the sequence number is managed using the bitmap corresponding to one-to-one with the reception history of the n sequence numbers up to.
本発明の第4のリプライ・アタックエラー検出方法は、第3のリプライ・アタックエラー検出方法において、受信したパケットのシーケンス番号が前記最大シーケンス番号保持部に保持されたシーケンス番号より小さく、両者の差dが前記nを超える場合、リプライ・アタックエラーとすることを特徴とする。 The fourth reply / attack error detection method of the present invention is the third reply / attack error detection method, wherein the sequence number of the received packet is smaller than the sequence number held in the maximum sequence number holding unit, and the difference between the two If d exceeds n, a reply attack error is set.
本発明の第5のリプライ・アタックエラー検出方法は、第4のリプライ・アタックエラー検出方法において、前記両者の差dが前記nを超えない場合、前記ビットマップのビットdが受信済を示す値の場合に、リプライ・アタックエラーとすることを特徴とする。 The fifth reply / attack error detection method of the present invention is the fourth reply / attack error detection method, wherein when the difference d between the two does not exceed the value n, the bit d of the bitmap indicates that it has been received. In this case, a reply / attack error is set.
本発明の第1のリプライ・アタックエラー検出装置は、セキュリティアソシエーションに対応して、前記セキュリティアソシエーションにかかる受信パケットのシーケンス番号の受信履歴をQoSクラス別に記録する記憶手段と、前記セキュリティアソシエーションにかかる受信パケットのヘッダに含まれるQoSクラス情報によって決定されるQoSクラスに対応して前記記憶手段に記憶されている受信履歴と前記受信パケットのヘッダに含まれるシーケンス番号とに基づいてリプライ・アタックエラーを検出する検出手段とを備えることを特徴とする。 The first reply / attack error detection device according to the present invention includes a storage unit that records a reception history of a sequence number of a received packet related to the security association for each QoS class in correspondence with the security association, and a reception related to the security association. A reply / attack error is detected based on the reception history stored in the storage means corresponding to the QoS class determined by the QoS class information included in the packet header and the sequence number included in the header of the received packet. And detecting means.
本発明の第2のリプライ・アタックエラー検出装置は、第1のリプライ・アタックエラー検出装置において、前記記憶手段は、少なくともEF、AF、BFの3種類のQoSクラス別に受信パケットのシーケンス番号の受信履歴を記録することを特徴とする。 The second reply / attack error detection device of the present invention is the first reply / attack error detection device, wherein the storage means receives the sequence number of the received packet for at least three types of QoS classes of EF, AF, and BF. A history is recorded.
本発明の第3のリプライ・アタックエラー検出装置は、第1のリプライ・アタックエラー検出装置において、前記記憶手段は、各QoSクラス別に、最後に受信した最も大きなシーケンス番号を保持する最大シーケンス番号保持部と、過去のシーケンス番号の受信履歴を記録するためのnビットのビットマップであって、最下位ビットから最上位ビットまで順に、前記最大シーケンス番号保持部に保持されているシーケンス番号からn-1だけ小さなシーケンス番号までのn個のシーケンス番号の受信履歴に1対1に対応するビットマップとを備えることを特徴とする。 According to a third reply / attack error detection device of the present invention, in the first reply / attack error detection device, the storage means holds a maximum sequence number that holds the largest sequence number received last for each QoS class. And an n-bit bitmap for recording the reception history of the past sequence number, in order from the least significant bit to the most significant bit, the sequence number held in the maximum sequence number holding unit A reception history of n sequence numbers up to one smaller sequence number is provided with a bit map corresponding to one to one.
本発明の第4のリプライ・アタックエラー検出装置は、第3のリプライ・アタックエラー検出装置において、前記検出手段は、受信したパケットのシーケンス番号が前記最大シーケンス番号保持部に保持されたシーケンス番号より小さく、両者の差dが前記nを超える場合、リプライ・アタックエラーとすることを特徴とする。 According to a fourth reply / attack error detection device of the present invention, in the third reply / attack error detection device, the detection means uses the sequence number of the received packet from the sequence number held in the maximum sequence number holding unit. If the difference d between the two exceeds n, a reply / attack error is assumed.
本発明の第5のリプライ・アタックエラー検出装置は、第4のリプライ・アタックエラー検出装置において、前記検出手段は、前記両者の差dが前記nを超えない場合、前記ビットマップのビットdが受信済を示す値の場合に、リプライ・アタックエラーとすることを特徴とする。 According to a fifth reply / attack error detection device of the present invention, in the fourth reply / attack error detection device, when the difference d between the two does not exceed the n, the detection unit determines that the bit d of the bitmap is In the case of a value indicating reception completion, a reply / attack error is set.
本発明のリプライ・アタックエラー検出方法および装置によれば、セキュリティの強度を弱める必要も無く、また、SAの資源を余分に消費すること無く、IPSec通信でQoSの機能を使用することができる。その理由は、リプライ・アタックエラーの検出を各QoSクラス別のシーケンス番号受信履歴に基づいて検出しており、IPSec通信にQoS設定を行った際にシーケンス番号の逆転が生じても、各QoSクラス別ではシーケンス番号の逆転が生じないからである。 According to the reply / attack error detection method and apparatus of the present invention, it is not necessary to weaken the security, and it is possible to use the QoS function in IPSec communication without consuming additional SA resources. The reason for this is that the detection of reply / attack errors is detected based on the sequence number reception history for each QoS class.Even if the sequence number is reversed when QoS setting is performed for IPSec communication, each QoS class This is because the sequence number is not reversed.
本発明の実施の形態の構成を図1に示す。図9との関係では、図1中の端末102、端末136が図9のユーザ端末に相当し、VPN Router A 138、VPN Router B 139がエッジルータに相当する。以下、図1を参照して、企業内LAN A 101の端末102から企業内LAN B 137の端末136宛にトンネルモードでインターネット119を経由してデータを送信する場合を例に、本実施の形態の構成と動作を説明する。
The configuration of the embodiment of the present invention is shown in FIG. In the relationship with FIG. 9, the
企業内LAN A 101の端末102から送信されたデータは、データ系と音声系が混在したトラフィックで、VPN Router A 138で受信される。VPN Router A 138の受信インターフェース部103からIPSec処理対象となるパケットは、IPSec Engine部107へフォーワードされ、CPU部104でHDR(ヘッダ)加工処理後、PCIバス105経由で暗号部106に送られて暗号化処理される。
The data transmitted from the
IPSec Engine部107でIPSec化されたパケットは、QoS Engine部108のQoSクラシフィア部109でQoSクラス分けされ、QoSクラス・キュー部110の各QoSクラス別に分けられたキューに格納される。企業内LAN A 101の端末102より送信されたデータは、データ系と音声系のデータが混在したトラフィックのため、音声系データはQoSクラス・キュー部110のEF_2キューに振り分けられ、データ系のデータはQoSクラス・キュー部110のBEキューに振り分けられる。各QoSクラス・キュー部110に振り分けられたデータは、QoSスケジュール部111によって優先順位が決定される。QoSシェーパー部112で優先順位別に出力制御されたパケット113、114、115、116は、シーケンス番号が順序逆転されて、送信インターフェース部117からトンネルモードでインターネット119を介してVPN Router B 139宛てに送信される。
Packets that have been made IPSec by the IPSec Engine unit 107 are classified into QoS classes by the
VPN Router B 139の受信インターフェース部120で受信されたIPSecパケットは、復号処理の為IPSec Engine部121にフォワーディングされる。フォワーディングされたIPSecパケットのHDR内のSPI番号からIPsec Engine部121のSADデータベース部122に格納されている任意のSA123を検索し、各QoSクラス別に設定されたwindow size部124〜130を使用してシーケンス番号のチェックを行う。例えば、QoSクラスがEF_2のIPSecパケットは、EF_2用のwindow size部125を使用してシーケンス番号の受信履歴を確認し、チェックを行う。
The IPSec packet received by the
各QoSクラス別のwindow size部124〜130でシーケンス番号をチェックされ、パスしたIPSecパケットは、PCIバス133を経由して暗号部134で復号化処理され、CPU部132でHDR加工後、VPN Router B 139の出力インターフェース部135より企業内 LAN B 137の端末136宛てに送信される。
The sequence number is checked by the window size units 124 to 130 for each QoS class, and the passed IPSec packet is decrypted by the
次に、図1乃至図4を参照して、本実施の形態のより詳細な動作を説明する。 Next, a more detailed operation of the present embodiment will be described with reference to FIGS.
図1の企業内LAN A 101の端末102より送信されたデータは、図2に示すように、HTTPトラフィック9、音声トラフィック8、の順に連続して送信される。このようなタイプの異なるトラフィックが、図3に示すVPN Router A 138で受信される。
The data transmitted from the
VPN Router A 138で受信されたデータは、図2に示すIPSec Engin部11の暗号処理部10で暗号化処理される。IPSec化されたパケット12、13には、パケット毎にシーケンス番号14、15が割り振られ、図3に示すEgress側のQoS Engine部 108へとフォワーディングされる。
The data received by
QoS Engine部 108で受信されたIPSecパケットは、QoSクラシフィア部109により音声系データとHTTPのベストエフォート型のデータとしてクラス分けされる。QoSクラシフィア部109でクラス分けされたパケットは、QoSクラス・キュー部110の各QoSクラス別に分けられたキュー部18〜23に格納される。本実施形態の場合、音声系のデータはEF_2キュー部20に振り分けられ、HTTPデータはBEキュー部18に振り分けられる。
The IPSec packet received by the
各QoSクラス・キュー部に振り分けられたデータは、QoSスケジューラ部111によって優先順番が決定される。BE型のトラフィックは、AF及びEFのトラフィックがある場合出力制御される。この結果、QoSシェーパー部112では、EF2にクラス分けされた音声系トラフィック28〜31が先に出力され、BEトラフィック27はQoSクラスの優先度が低いため音声系トラフィック28〜31の後にシェーピングされる。このようにQoSクラスの異なるパケットが同一のトンネルを使用してインターネット119を経由してVPN Router B 139宛てに送信された場合、図4に示すように、IPSecパケットに割り振られたシーケンス番号32、33は順序が逆転されて、VPN Router B 139に受信される。
The priority assigned to the data distributed to each QoS class / queue unit is determined by the
VPN Router B 139で受信されたIPSec パケットは、IPSec Engine部121に転送されESPヘッダ内のSPI番号をもとにそのユニークな番号に該当する唯一のSA部123をSADデータベース部122より検索する。該当するSA部123が検索された後、そのパケットに付与されたシーケンス番号32、33がチェックされる。本実施形態の場合、図4に示す音声系トラフィック32に含まれるシーケンス番号50,51,52,53,…に続き、HTTPトラフィック33に含まれるシーケンス番号1が到着する。従って、従来のシステムのようにwindow sizeが一つしかない場合、そのwindow sizeを32bitとすると、シーケンス番号1を持つHTTPパケットは32bitのwindows sizeを外れてしまうため、リプライ・アタックエラーとして処理されてしまう。
The IPSec packet received by the
これに対して本実施の形態では、図4に示すようにQoSクラス別にwindows size部36を持つことにより、該当するQoSクラスのwindows size部36でシーケンス番号のチェックを行う。このため、音声系トラフィック32に含まれるシーケンス番号50,51,52,53,…に続き、HTTPトラフィック33に含まれるシーケンス番号1が到着しても、QoSクラス別のwindows size部36においてはシーケンス番号の順序逆転が発生せず、シーケンス番号の順序逆転によるリプライ・アタックエラーの検出を防ぐことが出来る。こうして、復号化されたIPパケットは、図1に示す出力インタフェース部135に転送され、VPN Router B 139から企業内LAN B の端末136宛てに送信される。
On the other hand, in this embodiment, as shown in FIG. 4, by having a
次にVPN Router B 139におけるリプライ・アタックエラーの検出機構気候の実施例について図面を参照して説明する。
Next, an embodiment of a reply / attack error detection mechanism climate in
図5を参照すると、VPN Router B 139に設けられるリプライ・アタックエラー検出装置の一実施例は、メモリ装置51とリプライ・アタックエラー検出部52とで構成される。
Referring to FIG. 5, an embodiment of a reply / attack error detection device provided in
メモリ装置51には、VPN Router B 139に存在するSA部123に1対1に対応するウィンドウセット51-1〜51-nが格納される。個々のウィンドウセット51-1〜51-nは、QoSクラス毎のウィンドウ情報53-1〜53-mで構成される。例えば、QoSクラスを、EF、AF、BFの3種類に大別し、EF、AFをそれぞれ更に3つに区分する場合、全部で7つのQoSクラスが存在するので、個々のウィンドウセット51-1〜51-nには、7つのQoSクラス毎のウィンドウ情報53-1〜53-7が含まれる。
In the
個々のウィンドウ情報53-1〜53-mは、32bitのビットマップbitmapとラスト受信シーケンス番号レジスタlastseqとを有する。ラスト受信シーケンス番号レジスタlastseqは、最後に受信した最も大きなシーケンス番号を保持する記憶領域である。ビットマップbitmapは、過去のシーケンス番号の受信履歴を記録するためのビット列である。32bitなので、本実施例の場合、最後に受信した最も大きなシーケンス番号から32だけ小さい値のシーケンス番号までの受信履歴が保存できる。例えば、最後に受信した最も大きなシーケンス番号が100なら69〜100までの受信履歴がビットマップbitmapに保存できる。若し、69よりも小さいシーケンス番号を持つ受信パケットが受信された場合、受信履歴が無く確認できないということでエラーになる。つまり、リプライ・アタックエラーとなる。 Each piece of window information 53-1 to 53-m has a 32-bit bitmap bitmap and a last reception sequence number register lastseq. The last reception sequence number register lastseq is a storage area for holding the largest sequence number received last. The bitmap bitmap is a bit string for recording the reception history of past sequence numbers. Since it is 32 bits, in the case of the present embodiment, it is possible to save the reception history from the largest sequence number received last to the sequence number that is smaller by 32. For example, if the largest sequence number received last is 100, the reception history from 69 to 100 can be stored in the bitmap bitmap. If a received packet having a sequence number smaller than 69 is received, an error occurs because there is no reception history and confirmation is not possible. That is, a reply / attack error occurs.
リプライ・アタックエラー検出部52は、メモリ装置51を参照更新して、受信パケットのリプライ・アタックエラーの有無を検出する部分である。その処理の一例を図6に示す。リプライ・アタックエラー検出部52は、VPN Router B 139で受信されたIPSec パケットのESPヘッダ内のSPI番号54をもとに、そのSPI番号により唯一決まるSA部123に対応するウィンドウセット51-i(i=1〜n)を決定し(S100)、更に、そのパケットに含まれるQoSクラス情報56をもとに、ウィンドウセット51-iの中の当該QoSクラスに対応するウィンドウ情報53-j(j=1〜m)を決定する(S200)。QoSクラス情報56としては、IPヘッダ中のDS(Differentiated Services)フィールドに設定された優先度情報(DSCP:DiffServ Code Point)が使用される。次に、この決定したウィンドウ情報53-jと受信パケットに含まれる受信シーケンス番号55とに基づいて、リプライ・アタックエラーの有無を検出する(S300)。
The reply / attack error detection unit 52 refers to and updates the
図6のステップS300の詳細を図7に示す。リプライ・アタックエラー検出部52は、seq(受信シーケンス番号55)が0であるかどうかを調べ(S301)、0であればエラーとする。seqが0でなければ(S301でNO)、ウィンドウ情報53-j中のラスト受信シーケンス番号レジスタlastseqに保持されている最後に受信した最も大きなシーケンス番号lastseqよりseqが大きいかどうかを調べる(S302)。 Details of step S300 of FIG. 6 are shown in FIG. The reply / attack error detection unit 52 checks whether seq (reception sequence number 55) is 0 (S301). If seq is not 0 (NO in S301), it is checked whether seq is greater than the last sequence number lastseq received last stored sequence number lastseq in window information 53-j (S302) .
seqがlastseqより大きなシーケンス番号であれば(S302でYES)、seqからlastseqを引いた差分値diffを計算し(S303)、そのdiffがウィンドウサイズwsizebである32より小さいかどうかを調べる(S304)。若し、小さければ、ビットマップbitmapを差分値diff
だけ左にシフトし、bit0に1を設定する(S305)。そうでなければ、ビットマップbitmapの値を1に設定する(S307)。つまり、bit0を1に設定し、それ以外のbitを0に設定する。そして、今回の受信シーケンス番号seqをlastseqとして保存する(S306)。
If seq is a sequence number larger than lastseq (YES in S302), a difference value diff obtained by subtracting lastseq from seq is calculated (S303), and it is checked whether the diff is smaller than 32 which is the window size wsizeb (S304). . If it is small, the bitmap bitmap difference value diff
Shift to the left and set bit0 to 1 (S305). Otherwise, the value of the bitmap bitmap is set to 1 (S307). In other words, bit0 is set to 1 and other bits are set to 0. Then, the current reception sequence number seq is stored as lastseq (S306).
他方、seqがlastseqより大きくない場合(S302でNO)、lastseqからseqを引いた差分値diffを計算し(S308)、そのdiffがウィンドウサイズwsizebである32以上かどうかを調べる(S309)。若し、diffが32以上であれば(S309でYES)、最後に受信した最大シーケンス番号lastseqよりもウィンドウサイズ以上小さいシーケンス番号のパケットを受信したことになるので、エラーとする。また、diffが32より小さければ(S309でNO)、ビットマップbitmapの下位からdiff番目のビット(bit diff)が1かどうかを調べる(S310)。そして、1でなければ、そのビットを1に設定し(S311)、1であれば、同じシーケンス番号のパケットを重複して受信したことになるので、エラーとする。 On the other hand, if seq is not larger than lastseq (NO in S302), a difference value diff obtained by subtracting seq from lastseq is calculated (S308), and it is checked whether or not the diff is 32 or more which is the window size wsizeb (S309). If diff is 32 or more (YES in S309), a packet having a sequence number smaller than the last received maximum sequence number lastseq by a window size or more is received, and an error is assumed. If diff is smaller than 32 (NO in S309), it is checked whether the diff-th bit (bit diff) from the lower order of the bitmap bitmap is 1 (S310). If it is not 1, the bit is set to 1 (S311), and if it is 1, it means that the same sequence number packet has been received twice, so that it is an error.
図8にウィンドウ情報53-j中のbitmapとlastseqの状態遷移の一例を示す。図8(a)に示すように、初期状態ではbitmapの全bitは0であり、lastseqは未設定である。図8(b)はシーケンス番号101の受信パケットを受信した直後の状態を示しており、bitmapはbit0だけが1になっており、lastseqには101が保存されている。この状態を起点として、シーケンス番号102、103、110、108、103、60の受信パケットをこの順に受信した場合の状態遷移が図8の(c)〜(h)に示されている。
FIG. 8 shows an example of the state transition of bitmap and lastseq in the window information 53-j. As shown in FIG. 8 (a), in the initial state, all bits of the bitmap are 0, and lastseq is not set. FIG. 8 (b) shows a state immediately after receiving the received packet with the
まず、シーケンス番号102のパケットを受信した場合、seq>lastseq、diff=102-101=1なので、bitmapが1 bit左シフトされた後、bit0に1が設定され(S305)、lastseqに102が設定される(S306)。
First, when the packet with
同様に、シーケンス番号103のパケットを受信した場合、seq>lastseq、diff=103-102=1なので、bitmapが1 bit左シフトされた後、bit0に1が設定され(S305)、lastseqに103が設定される(S306)。
Similarly, when a packet with
同様に、シーケンス番号110のパケットを受信した場合、seq>lastseq、diff=110-103=7なので、bitmapが7 bit左シフトされた後、bit0に1が設定され(S305)、lastseqに110が設定される(S306)。
Similarly, when a packet with
次に、シーケンス番号108のパケットを受信した場合、seq<lastseq、diff=110-108=2、diff=2<wsizeb=32なので、bitmapのbit2が1かどうかが調べられ(S310)、0なので、bitmapのbit2が1に設定される(S311)。
Next, when the packet with
次に、シーケンス番号103のパケットを受信した場合、seq<lastseq、diff=110-103=7、diff=7<wsizeb=32なので、bitmapのbit7が1かどうかが調べられ(S310)、1なので、エラーが検出される。エラーが検出されたパケットは破棄される。
Next, when the packet with
次に、シーケンス番号60のパケットを受信した場合、seq<lastseq、diff=110-60=50、diff=50>wsizeb=32なので(S309でYES)、エラーが検出される。エラーが検出されたパケットは破棄される。 Next, when the packet having the sequence number 60 is received, since seq <lastseq, diff = 110-60 = 50, and diff = 50> wsizeb = 32 (YES in S309), an error is detected. Packets in which errors are detected are discarded.
以上本発明の実施の形態について説明したが、本発明は以上の実施の形態にのみ限定されず、その他各種の付加変更が可能である。例えば、前述した実施の形態では、32bitのビットマップを使用してシーケンス番号の受信履歴を管理したが、64bitなどより多くのビット数のビットマップを使用することも可能である。 Although the embodiment of the present invention has been described above, the present invention is not limited to the above embodiment, and various other additions and modifications can be made. For example, in the above-described embodiment, the reception history of the sequence number is managed using a 32-bit bitmap, but a bitmap having a larger number of bits such as 64 bits may be used.
51…メモリ装置
51-1〜51-n…ウィンドウセット
52…リプライ・アタックエラー検出部
53-1〜53-m…クラス対応ウィンドウ情報
54…SPI番号
55…受信シーケンス番号
56…QoSクラス情報
51 ... Memory device
51-1 to 51-n ... Window set
52… Reply / Attack Error Detection Unit
53-1 ~ 53-m ... Window information for class
54… SPI number
55 ... Reception sequence number
56 ... QoS class information
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004068414A JP4306498B2 (en) | 2004-03-11 | 2004-03-11 | Reply attack error detection method and apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004068414A JP4306498B2 (en) | 2004-03-11 | 2004-03-11 | Reply attack error detection method and apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005260520A true JP2005260520A (en) | 2005-09-22 |
JP4306498B2 JP4306498B2 (en) | 2009-08-05 |
Family
ID=35085831
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004068414A Expired - Fee Related JP4306498B2 (en) | 2004-03-11 | 2004-03-11 | Reply attack error detection method and apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4306498B2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007194815A (en) * | 2006-01-18 | 2007-08-02 | Nec Corp | Security communication device and sequence number managing method |
WO2007091758A1 (en) * | 2006-02-09 | 2007-08-16 | Samsung Electronics Co., Ltd. | Method and apparatus for updating anti-replay window in ipsec |
CN100403736C (en) * | 2006-03-14 | 2008-07-16 | 杭州华三通信技术有限公司 | Message serial number inspection and inspector with multi-unit transmission |
JP2009538015A (en) * | 2006-05-19 | 2009-10-29 | エアバス フランス | Message receiving device, in particular message receiving device in data secure communication, aircraft and method related thereto |
JP2010187327A (en) * | 2009-02-13 | 2010-08-26 | Sii Network Systems Kk | Packet communication apparatus, method and program |
JP2010273225A (en) * | 2009-05-22 | 2010-12-02 | Fujitsu Ltd | Packet transmitting/receiving system, packet transmitting/receiving apparatus, and packet transmitting/receiving method |
-
2004
- 2004-03-11 JP JP2004068414A patent/JP4306498B2/en not_active Expired - Fee Related
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007194815A (en) * | 2006-01-18 | 2007-08-02 | Nec Corp | Security communication device and sequence number managing method |
JP4645839B2 (en) * | 2006-01-18 | 2011-03-09 | 日本電気株式会社 | Security communication apparatus and sequence number management method |
WO2007091758A1 (en) * | 2006-02-09 | 2007-08-16 | Samsung Electronics Co., Ltd. | Method and apparatus for updating anti-replay window in ipsec |
KR100772394B1 (en) | 2006-02-09 | 2007-11-01 | 삼성전자주식회사 | Method and apparatus for updating ant-reply window of IPSec |
CN100403736C (en) * | 2006-03-14 | 2008-07-16 | 杭州华三通信技术有限公司 | Message serial number inspection and inspector with multi-unit transmission |
US7860010B2 (en) | 2006-03-14 | 2010-12-28 | Hangzhou H3C Technologies Co., Ltd. | Method, apparatus and system for detecting sequence number of packet for transmission of multi-units |
JP2009538015A (en) * | 2006-05-19 | 2009-10-29 | エアバス フランス | Message receiving device, in particular message receiving device in data secure communication, aircraft and method related thereto |
JP2010187327A (en) * | 2009-02-13 | 2010-08-26 | Sii Network Systems Kk | Packet communication apparatus, method and program |
JP2010273225A (en) * | 2009-05-22 | 2010-12-02 | Fujitsu Ltd | Packet transmitting/receiving system, packet transmitting/receiving apparatus, and packet transmitting/receiving method |
Also Published As
Publication number | Publication date |
---|---|
JP4306498B2 (en) | 2009-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8370921B2 (en) | Ensuring quality of service over VPN IPsec tunnels | |
US10095634B2 (en) | In-vehicle network (IVN) device and method for operating an IVN device | |
US8745373B2 (en) | Systems and methods for applying encryption to network traffic on the basis of policy | |
JP3954385B2 (en) | System, device and method for rapid packet filtering and packet processing | |
US7061899B2 (en) | Method and apparatus for providing network security | |
US8738800B1 (en) | Data structures and state tracking for network protocol processing | |
US20070165638A1 (en) | System and method for routing data over an internet protocol security network | |
US9491144B2 (en) | Methods and apparatus for denial of service resistant policing of packets | |
US7974209B1 (en) | Packet processing with re-insertion into network interface circuitry | |
US7139679B1 (en) | Method and apparatus for cryptographic protection from denial of service attacks | |
US7359983B1 (en) | Fragment processing utilizing cross-linked tables | |
EP2858300A1 (en) | Transmission apparatus, reception apparatus, communication system, transmission method, and reception method | |
US20150030029A1 (en) | Frame Passing Based on Ethertype | |
CN110868362B (en) | Method and device for processing MACsec uncontrolled port message | |
JP4340653B2 (en) | Communication processing apparatus and communication processing method | |
EP3038321B1 (en) | Anti-replay method and apparatus | |
US7359380B1 (en) | Network protocol processing for routing and bridging | |
JP4306498B2 (en) | Reply attack error detection method and apparatus | |
JP5181134B2 (en) | Packet communication apparatus, packet communication method, and packet communication program | |
TWI335160B (en) | Access-controlling method, pepeater, and sever | |
US11431730B2 (en) | Systems and methods for extending authentication in IP packets | |
JP2693881B2 (en) | Cryptographic processing apparatus and method used in communication network | |
AU2022203844A1 (en) | Method for detecting anomalies in ssl and/or tls communications, corresponding device, and computer program product | |
JP4391455B2 (en) | Unauthorized access detection system and program for DDoS attack | |
CN110572415A (en) | Safety protection method, equipment and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070213 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090414 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090427 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120515 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120515 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130515 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140515 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |