JP2006005425A - Reception method of encrypted packet and reception processor - Google Patents
Reception method of encrypted packet and reception processor Download PDFInfo
- Publication number
- JP2006005425A JP2006005425A JP2004176815A JP2004176815A JP2006005425A JP 2006005425 A JP2006005425 A JP 2006005425A JP 2004176815 A JP2004176815 A JP 2004176815A JP 2004176815 A JP2004176815 A JP 2004176815A JP 2006005425 A JP2006005425 A JP 2006005425A
- Authority
- JP
- Japan
- Prior art keywords
- priority
- packet
- reception processing
- window
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、暗号化されたパケットを受信する際の受信方法に関するものである。 The present invention relates to a receiving method when receiving an encrypted packet.
近年、パーソナルコンピュータやインターネットの普及により、インターネット上で公開されるホームページによる容易かつ安価な情報提供や情報収集が可能になってきている。また、インターネットや企業間のイントラネットを介した電子メールの交換や、映像・音声の配信、電子商取引や電子決済が一般化しつつある。このようなサービスを利用する場合、特に重要な情報を含む通信や、個人のプライバシーに関わる情報の通信には専用線並みのセキュリティ確保が求められる。 In recent years, with the widespread use of personal computers and the Internet, it has become possible to provide information and collect information easily and inexpensively through websites published on the Internet. Also, exchange of e-mails via the Internet and intranets between companies, video / audio distribution, electronic commerce and electronic payments are becoming common. When using such a service, security that is equivalent to that of a dedicated line is required for communication including particularly important information and communication of information related to personal privacy.
上述したようなセキュリティを確保する技術の一例として、IPsecが挙げられる。IPsecとは、ネットワーク層(OSI参照モデル第3層)で暗号化、認証を行うセキュリティプロトコルであって、インターネット技術標準委員会(IETF)で標準化されている(RFC2401〜2412、2451)。 One example of a technique for ensuring security as described above is IPsec. IPsec is a security protocol that performs encryption and authentication at the network layer (OSI reference model layer 3), and is standardized by the Internet Engineering Task Force (IETF) (RFCs 2401 to 2412, 2451).
IPsec機能を搭載したコンピュータやルータ等のネットワーク接続機器を介してインターネットに接続することで、インターネットのような広域ネットワーク上に仮想私設網(Virtual Private Network;VPN)を構築できる。つまり、ユーザが暗号化等の特別な処理を実施することなく、安全にインターネットを利用することができる。 By connecting to the Internet via a network connection device such as a computer or router equipped with the IPsec function, a virtual private network (VPN) can be constructed on a wide area network such as the Internet. That is, the user can safely use the Internet without performing special processing such as encryption.
IPsecを利用した通信を行うにあたっては、どのような暗号化アルゴリズムや認証アルゴリズムを使用するか、どのような暗号鍵や認証鍵を使用するかなどを事前に送信側と受信側のIPsec機能を搭載したコンピュータやネットワーク接続装置間で一致させなければならない。この暗号化、認証アルゴリズム等をセキュリティパラメータと呼び、暗号化アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵、SPI値(Security Parameter Index)、プロトコル(ESPやAH)、モード(トランスポート、トンネル)等から構成される。このセキュリティパラメータ値を一致させるためにIKE(Internet Key Exchange)と呼ばれるアプリケーションが相互通信を行う。相互通信の結果、送信側と受信側で一致させたセキュリティパラメータ値は、SA(Security Associsation)と呼ばれる枠組みによって保持され、IPsec処理部に通知される。なお、IKEを用いて相互通信を行う代わりに、何からの方法−例えば、送信側と受信側とが電話等を用いてセキュリティパラメータを通知しあう等−によって整合性のとれたSAを手動でそれぞれのIPsec処理部に設定しても構わない。 When performing communication using IPsec, the encryption function and authentication algorithm used, the encryption key and authentication key used, etc. are pre-installed on the sender and receiver IPsec functions. Must match between connected computers and network connected devices. This encryption, authentication algorithm, etc. are called security parameters. From the encryption algorithm, encryption key, authentication algorithm, authentication key, SPI value (Security Parameter Index), protocol (ESP or AH), mode (transport, tunnel), etc. Composed. In order to match the security parameter values, applications called IKE (Internet Key Exchange) communicate with each other. As a result of the mutual communication, the security parameter value matched between the transmission side and the reception side is held by a framework called SA (Security Association) and is notified to the IPsec processing unit. In addition, instead of performing mutual communication using IKE, the SA that has been consistently matched manually by any method, for example, the transmission side and the reception side notify the security parameters using a telephone or the like is manually used. You may set to each IPsec process part.
IPsec処理を行う機能部はこのSAで規定された暗号化アルゴリズムや認証アルゴリズム、暗号鍵、認証鍵等に基づいて、送信するIPパケットをIPsecパケットに変換したり、受信したIPsecパケットをIPパケットに復元したりすることで通信を行う。 A functional unit that performs IPsec processing converts an IP packet to be transmitted into an IPsec packet based on an encryption algorithm, an authentication algorithm, an encryption key, an authentication key, and the like defined in SA, or converts a received IPsec packet into an IP packet. It communicates by restoring.
またIPsecには、リプレイ攻撃を防御するための仕組みが備えられている。リプレイ攻撃とは、やりとりされているIPパケットを通信経路上で取り込み、そのコピーを通信経路上に送信する攻撃である。やりとりされているIPパケットは、本来、正常に受信されるはずのIPパケットであるため、リプレイ攻撃によって、受信側の端末の処理負荷を増加させることができる。このリプレイ攻撃を防御するために、IPsecでは以下のリプレイ防止処理を行う。まず、IPsecパケットを送信する装置では、IPsecヘッダ内にセキュリティパラメータごとに定まるシーケンス番号を付与する。IPsecパケットを受信する装置では、受信したIPsecパケットに含まれるシーケンス番号が以前受信したものと重複していないことを確認する。もしシーケンス番号が重複している場合、このパケットがリプレイ攻撃によるものであると判断し、同パケットを廃棄する。ここで、シーケンス番号の重複を調べるために、それまでに受信した全てのIPsecパケットのシーケンス番号を記憶すると、非常に大きな記憶容量が必要となり、現実的でない。そこで、IPsecでは受信したパケットのうちで、最大のシーケンス番号から一定数以内のシーケンス番号を持つパケットの受信の有無をリプレイ防止ウィンドウとして記憶する。 IPsec also includes a mechanism for defending against replay attacks. The replay attack is an attack in which an exchanged IP packet is taken on a communication path and a copy thereof is transmitted on the communication path. Since the exchanged IP packet is an IP packet that should be normally received, the processing load on the receiving terminal can be increased by a replay attack. To prevent this replay attack, IPsec performs the following replay prevention process. First, in an apparatus that transmits an IPsec packet, a sequence number determined for each security parameter is given in the IPsec header. The apparatus that receives the IPsec packet confirms that the sequence number included in the received IPsec packet is not duplicated with that previously received. If the sequence numbers are duplicated, it is determined that the packet is due to a replay attack, and the packet is discarded. Here, in order to check the duplication of sequence numbers, storing the sequence numbers of all IPsec packets received so far requires a very large storage capacity, which is not practical. Therefore, in IPsec, the presence / absence of reception of a packet having a sequence number within a certain number from the maximum sequence number among the received packets is stored as a replay prevention window.
では、受信したIPsecパケットについてリプレイ防止処理を行う受信処理装置の一例を図9および図10を用いて説明する。 Now, an example of a reception processing apparatus that performs replay prevention processing on the received IPsec packet will be described with reference to FIGS.
まず図9を用いてネットワーク構成を説明する。図9において、600は従来の受信処理装置、200は中継装置、700は対向の暗号通信装置、800はリプレイ攻撃を行う攻撃端末である。暗号通信装置700は、IPsecパケットを従来の受信処理装置600に送信し、従来の受信処理装置600はこれを受信して、リプレイ防止処理を含むIPsecの受信処理を行う。ここでは暗号通信装置700はP1、P2の順にIPsecパケットを送信する。P1〜P2のシーケンス番号は順に101、103である。また、攻撃端末800はP1のリプレイ攻撃であるP3(シーケンス番号はP1と同じ101)を従来の受信処理装置600に対して送信する。この結果、従来の受信処理装置600は、P1、P2、P3の順にパケットを受信するものとする。
First, the network configuration will be described with reference to FIG. In FIG. 9, 600 is a conventional reception processing device, 200 is a relay device, 700 is a counter encryption communication device, and 800 is an attack terminal that performs a replay attack. The
次に、従来の受信処理装置600の構成の一例を、図10を用いて説明する。図10において、610はパケットを受信するためのネットワークI/F、620は受信キュー、630は受信したパケットの受信処理を行う受信処理部、640は受信パケットに対応したリプレイ防止ウィンドウであり、説明の簡単化のためにウィンドウサイズを3とする。650は受信パケットのセキュリティパラメータを蓄積したSADB(セキュリティアソシエーションデータベース)である。ここで、従来の受信処理装置600がIPsecパケットを受信すると、受信処理部630はネットワークI/F610と受信キュー620を介してIPsecパケットを受け取り、当該パケットに含まれるAHヘッダまたはESPヘッダからSPI値を取り出し、これを検索キーとしてSADB650を検索する。検索の結果、SPI値に対応した暗号アルゴリズムや、暗号鍵、認証アルゴリズム、認証鍵などのセキュリティパラメータと共に、SPI値に対応したリプレイ防止ウィンドウ640を獲得する。次いで、セキュリティパラメータを用いてIPsecパケットの復号処理や認証処理を行って、通常のIPパケットに復元するための受信処理を行う。この受信処理の際に行うリプレイ防止処理について、図11を用いて説明する。
Next, an example of the configuration of a conventional
図11はリプレイ防止ウィンドウ640の状態を示した図面である。図11において、1は受信済みであることを、0は受信していないことを示す。図11(a)はパケットP1〜P3を受信する前の状態を示しており、シーケンス番号100、102のIPsecパケットを受信しており、シーケンス番号101のIPsecパケットを受信していないことを示している。
FIG. 11 shows the state of the
リプレイ防止ウィンドウ640が図11(a)の場合に、シーケンス番号99以下のIPsecパケットを受信した場合、リプレイ防止ウィンドウ640の管理外のため、そのパケットは廃棄される。また、リプレイ防止ウィンドウ640においてすでに受信済みであるパケット(図ではシーケンス番号100と102)を受信すると、そのパケットはリプレイ攻撃であると判断され、廃棄される。
When the
ここでまずパケットP1(シーケンス番号101)を受信すると、当該シーケンス番号はリプレイ防止ウィンドウ640で管理されており、かつ受信していない状態であるので、当該パケットは正常に受信され、リプレイ防止ウィンドウ640は図11(b)のように更新される。
Here, when the packet P1 (sequence number 101) is received first, since the sequence number is managed by the
次にパケットP2(シーケンス番号103)を受信すると、当該シーケンス番号はリプレイ防止ウィンドウ640で管理されている最大のシーケンス番号100よりも大きいので、ウィンドウをスライドし、図11(c)のように更新して正常に受信される。
Next, when the packet P2 (sequence number 103) is received, the sequence number is larger than the
最後に、パケットP1のリプレイ攻撃であるパケットP3(シーケンス番号101)を受信すると、当該シーケンス番号はリプレイ防止ウィンドウ640で管理されているが、すでに受信済みであるため、当該パケットは廃棄される。当該パケットが廃棄された場合、リプレイ防止ウィンドウ640の状態は変化せず、図11(c)のままである。
Finally, when the packet P3 (sequence number 101), which is a replay attack of the packet P1, is received, the sequence number is managed by the
以上示したように、パケットの入れ替わりが限定されている場合においては、リプレイ防止ウィンドウを用いることで、効果的なリプレイ防止処理を行うことができる。
ところで、IPsecパケットはIPパケットの一種であるため、IPsecパケットに含まれるIPヘッダ内に優先度情報が設定されている場合、当該IPsecパケットは、通常のIPパケットと同様に通信経路上のルータ装置等によって上記優先度情報に基づいて転送処理の優先制御が行われる。このような優先制御を行う技術の一例としてRFC2475で規定されたDiffServがある。DiffServでは、優先度情報としてIPヘッダ内のTOSフィールドに設定された値を使用し、TOSフィールド値に基づいて転送すべきパケットの転送順序を制御する。よってDiffServに対応した中継装置は、転送すべき複数のパケットのうち、TOSフィールドに優先度の高い値が設定されたパケットを、優先度の低い値が設定されたパケットよりも優先的に転送する。その結果、IPsecパケットを送信する装置が送信した順序と、IPsecパケットを受信する装置が受信する順序が、IPsecパケット内の優先度情報に応じて変化する。しかしながら、前記従来の構成では、リプレイ防止ウィンドウは1つのSAにつき1つしか存在しないため、IPヘッダ内の優先度情報に基づいて受信順序が入れ替わった場合、リプレイ攻撃によるパケットでないにもかかわらず、リプレイ防止処理によって当該パケットを廃棄してしまう場合があった。以下にこの問題について説明する。 By the way, since an IPsec packet is a kind of IP packet, when priority information is set in an IP header included in the IPsec packet, the IPsec packet is a router device on a communication path like a normal IP packet. Based on the priority information, the priority control of the transfer process is performed. An example of a technique for performing such priority control is DiffServ defined in RFC2475. In DiffServ, the value set in the TOS field in the IP header is used as priority information, and the transfer order of packets to be transferred is controlled based on the TOS field value. Therefore, the relay device corresponding to DiffServ forwards a packet in which a high priority value is set in the TOS field among a plurality of packets to be transferred in preference to a packet in which a low priority value is set. . As a result, the order in which the device that transmits the IPsec packet transmits and the order in which the device that receives the IPsec packet receives change according to the priority information in the IPsec packet. However, in the conventional configuration, since there is only one replay prevention window per SA, when the reception order is changed based on the priority information in the IP header, it is not a packet due to the replay attack. In some cases, the replay prevention process discards the packet. This problem will be described below.
図9において、暗号通信装置700が従来の受信処理装置600に対して、P11、P12、P13、P14の順にIPsecパケットを送信するものとする。P11〜P14のシーケンス番号はそれぞれ100、101、102、103であり、優先度はそれぞれ2、1、1、1である。優先度1は優先度が高いことを、優先度2は優先度が低いことを表す。この場合、パケットP1は優先度が低いため中継装置200において転送が遅延し、従来の受信処理装置600はP12、P13、P14、P11の順にパケットを受信する。この結果、パケットP14を受信した後のリプレイ防止ウィンドウ640は図11(c)と等しくなる。その後P11(シーケンス番号100)を受信すると、当該シーケンス番号はリプレイ防止ウィンドウ640の管理外のため、リプレイ攻撃によるパケットでないにもかかわらず、P11は廃棄されてしまう。
In FIG. 9, it is assumed that the
このように、従来の受信処理装置では、パケットに設定された転送処理の優先度によってパケットの受信順序が入れ替わった場合に、リプレイ攻撃によるパケットでないにもかかわらず、当該パケットを廃棄してしまう場合があった。本発明は、前記従来の課題を解決するもので、転送処理の優先制御によってIPsecパケットの到着順序が入れ替わった場合においても、パケット廃棄を防ぐリプレイ防止処理を備えた暗号通信装置を提供することを目的とする。 As described above, in the conventional reception processing device, when the packet reception order is changed depending on the transfer processing priority set in the packet, the packet is discarded even though it is not a packet due to the replay attack. was there. The present invention solves the above-described conventional problems, and provides an encryption communication device provided with a replay prevention process for preventing packet discard even when the arrival order of IPsec packets is switched by priority control of transfer processing. Objective.
前記従来の課題を解決するために、本発明の請求項1に記載の受信処理方法は、受信パケットに含まれる保護領域が書き換えられていないことを確認する認証ステップと、受信パケットの優先度を優先度特定情報から特定する優先度特定ステップと、複数のリプレイ防止ウィンドウから受信パケットの優先度に対応したリプレイ防止ウィンドウを選択するウィンドウ選択ステップと、選択したリプレイ防止ウィンドウを用いて受信パケットがリプレイ攻撃であるか否かを判断し、リプレイ攻撃であれば前記パケットを破棄するリプレイ防止処理ステップを含む。
In order to solve the conventional problem, a reception processing method according to
本発明の請求項1によれば、受信パケットに含まれる転送処理の優先度によって受信順序が入れ替わっても、パケット廃棄を防ぐリプレイ防止処理を行うことが可能となる。 According to the first aspect of the present invention, even if the reception order is changed depending on the priority of the transfer process included in the received packet, it is possible to perform the replay prevention process for preventing packet discard.
また本発明の請求項2に記載の受信処理方法における優先度特定ステップは、受信パケット内の保護領域の一部または全てがブロック暗号によって暗号化されていても、優先度特定情報を含むブロックと、優先度特定情報を含むブロックを特定するために必要な情報を含むブロックのみを復号することにより、前記受信パケットの優先度特定情報を獲得する。
In addition, the priority specifying step in the reception processing method according to
本発明の請求項2によれば、優先度特定情報がブロック暗号によって暗号化されていても、全てのブロックを復号することなく、前記受信パケットのリプレイ防止処理を行うことが可能となる。 According to the second aspect of the present invention, even if the priority specifying information is encrypted by the block cipher, it is possible to perform the replay prevention process of the received packet without decrypting all the blocks.
また本発明の請求項3に記載の受信処理方法は、受信パケットの優先度特定情報として第3層ヘッダ内の情報と、第4層ヘッダ内の情報のいずれかまたは双方を用いる。 Also, the reception processing method according to claim 3 of the present invention uses either or both of information in the third layer header and information in the fourth layer header as priority specifying information of the received packet.
本発明の請求項3によれば、第3層ヘッダに含まれる情報と第4層ヘッダに含まれる情報を用いて、優先度に対応したリプレイ防止処理を行うことが可能となる。 According to claim 3 of the present invention, it is possible to perform the replay prevention process corresponding to the priority by using the information included in the third layer header and the information included in the fourth layer header.
また本発明の請求項4に記載の受信処理方法は、第1のヘッダと第1のデータからなる第1のパケットを第2のヘッダによってカプセル化したパケットを受信した場合、当該受信パケットの第1のヘッダに含まれる優先度情報から当該パケットの優先度を特定するステップを含む。 In the reception processing method according to claim 4 of the present invention, when a packet obtained by encapsulating the first packet composed of the first header and the first data by the second header is received, Including a step of specifying the priority of the packet from the priority information included in the header of 1.
本発明の請求項4によれば、カプセル化されたパケットのヘッダに含まれる優先度情報を用いて、優先度に対応したリプレイ防止処理を行うことが可能となる。 According to claim 4 of the present invention, it is possible to perform the replay prevention process corresponding to the priority by using the priority information included in the header of the encapsulated packet.
また本発明の請求項5に記載の受信処理方法は、優先度の高いものほどウィンドウサイズが大きいリプレイ防止ウィンドウを用いる。 In the reception processing method according to claim 5 of the present invention, a replay prevention window having a larger window size is used as the priority is higher.
本発明の請求項5によれば、経路途中のルータによってパケットの遅配が発生しても、優先度の高いパケットを誤って廃棄することを防ぐことが可能となる。 According to the fifth aspect of the present invention, it is possible to prevent a packet having a high priority from being erroneously discarded even if the packet is delayed due to a router in the middle of the route.
また本発明の請求項6に記載の受信処理方法は、優先度の高いものほどウィンドウサイズが小さいリプレイ防止ウィンドウを用いる。 The reception processing method according to claim 6 of the present invention uses a replay prevention window having a smaller window size as the priority is higher.
本発明の請求項6によれば、リアルタイム性を要するパケットにもかかわらず、大きく遅延した高優先度のパケットを廃棄することで、処理負荷を低減させることが可能となる。 According to the sixth aspect of the present invention, it is possible to reduce the processing load by discarding a packet with a high priority which is greatly delayed despite a packet requiring real-time property.
また本発明の請求項7に記載の受信処理方法は、演算に用いるリソースの使用量が一定の閾値を超える場合、優先度の低いリプレイ防止ウィンドウのウィンドウサイズを縮小するステップを含む。 The reception processing method according to claim 7 of the present invention includes a step of reducing the window size of the replay prevention window having a low priority when the usage amount of the resource used for the calculation exceeds a certain threshold.
本発明の請求項7によれば、演算用リソースの使用量が多くなった場合、優先度の低いパケットを廃棄しやすくすることにより、リソースの使用量を減少させることが可能となる。 According to the seventh aspect of the present invention, when the usage amount of the computing resource increases, it becomes possible to reduce the resource usage amount by facilitating discarding the low priority packet.
また本発明の請求項8に記載の受信処理方法は、演算に用いるリソースの使用量が一定の閾値以下となった場合、一旦縮小したリプレイ防止ウィンドウのウィンドウサイズを元のサイズに戻すステップを含む。 In addition, the reception processing method according to claim 8 of the present invention includes a step of returning the window size of the replay prevention window once reduced to the original size when the amount of the resource used for the calculation is equal to or less than a certain threshold value. .
本発明の請求項8によれば、演算用リソースの使用量が減少した場合、パケット廃棄を抑えることが可能となる。 According to claim 8 of the present invention, it is possible to suppress packet discard when the amount of computing resources used decreases.
また本発明の請求項9に記載の受信処理方法は、受信処理を行うCPU負荷が一定の閾値以下の場合にリプレイ防止ウィンドウのウィンドウサイズを縮小し、一定の閾値以上の場合に縮小したウィンドウサイズを元に戻すステップを含む。 In the reception processing method according to claim 9 of the present invention, the window size of the replay prevention window is reduced when the CPU load for reception processing is equal to or less than a certain threshold value, and the window size is reduced when it is equal to or greater than the certain threshold value. Including the step of restoring.
本発明の請求項9によれば、CPU負荷が上昇した場合は低優先度のパケットを廃棄しやすくすることによってCPU負荷を低減し、CPU負荷が減少した場合は低優先度のパケットも廃棄しないようにリプレイ防止処理を行うことが可能となる。 According to the ninth aspect of the present invention, the CPU load is reduced by facilitating the discarding of low priority packets when the CPU load increases, and the low priority packets are not discarded when the CPU load decreases. Thus, the replay prevention process can be performed.
また本発明の請求項10に記載の受信処理方法は、受信キューにキューイングされたパケット数が第1の閾値以下の場合にリプレイ防止ウィンドウのウィンドウサイズを縮小し、第2の閾値以上の場合に縮小したウィンドウサイズを元に戻すステップを含む。 The reception processing method according to claim 10 of the present invention reduces the window size of the replay prevention window when the number of packets queued in the reception queue is equal to or smaller than the first threshold, and is equal to or larger than the second threshold. The step of restoring the window size reduced to the original size is included.
本発明の請求項10によれば、受信キューにキューイングされたパケット数が増加した場合には、低優先度のパケットを廃棄しやすくすることによって処理負荷を削減し、パケット数が減少した場合には低優先度のパケットも廃棄しないようにリプレイ防止処理を行うことが可能となる。 According to the tenth aspect of the present invention, when the number of packets queued in the reception queue increases, the processing load is reduced by facilitating discarding of low priority packets, and the number of packets decreases. It is possible to perform replay prevention processing so as not to discard low priority packets.
また本発明の請求項11に記載の受信処理方法は、受信処理に用いる作業用メモリ量が第1の閾値以下の場合にリプレイ防止ウィンドウのウィンドウサイズを縮小し、第2の閾値以上の場合に縮小したウィンドウサイズを元に戻すステップを含む。 The reception processing method according to claim 11 of the present invention reduces the window size of the replay prevention window when the amount of working memory used for the reception processing is equal to or smaller than the first threshold, and when equal to or larger than the second threshold. Including restoring the reduced window size.
本発明の請求項11によれば、受信処理に用いる作業用メモリ量が増加した場合には、低優先度のパケットを廃棄しやすくすることによって処理負荷を削減し、作業用メモリ量が減少した場合には低優先度のパケットも廃棄しないようにリプレイ防止処理を行うことが可能となる。 According to the eleventh aspect of the present invention, when the amount of work memory used for reception processing increases, the processing load is reduced by facilitating discarding of low priority packets, and the amount of work memory decreases. In this case, it is possible to perform replay prevention processing so as not to discard low priority packets.
また本発明の請求項12に記載の受信処理方法は、IPsecによって保護されたパケットを受信する場合のリプレイ防止処理を行う。 The reception processing method according to claim 12 of the present invention performs replay prevention processing when receiving a packet protected by IPsec.
本発明の請求項12によれば、受信パケットに含まれる優先度によって受信順序が入れ替わったIPsecパケットに対しても、正しくリプレイ防止処理を行うことができる。 According to the twelfth aspect of the present invention, it is possible to correctly perform the replay prevention process even for the IPsec packet whose reception order is changed depending on the priority included in the received packet.
また本発明の請求項13に記載の受信処理装置は、セキュリティパラメータを蓄積するセキュリティデータベースと、受信パケットに含まれる優先度情報と前記パケットの優先度の対応を保持する優先度決定データベースと、前記パケットの受信処理を行う受信処理部を備え、受信処理部は、前記パケットの保護領域が書き換えられていないことを確認する認証手段と、優先度特定情報をキーに優先度決定データベースを検索して前記パケットの優先度を特定する優先度特定手段と、各優先度に対応したリプレイ防止ウィンドウから優先度特定手段が特定した優先度に対応するリプレイ防止ウィンドウを選択するウィンドウ選択手段と、ウィンドウ選択手段で選択したリプレイ防止ウィンドウを用いて、前記パケットがリプレイ攻撃によるものか否かを判断し、リプレイ攻撃によるパケットであれば前記パケットを破棄するリプレイ防止手段を備える。
The reception processing apparatus according to claim 13 of the present invention includes a security database that stores security parameters, a priority determination database that holds correspondence between priority information included in received packets and priority of the packets, A reception processing unit that performs packet reception processing, and the reception processing unit searches the priority determination database using authentication means for confirming that the protection area of the packet has not been rewritten, and priority specifying information as a key. Priority specifying means for specifying the priority of the packet, window selecting means for selecting a replay prevention window corresponding to the priority specified by the priority specifying means from the replay prevention windows corresponding to each priority, and window selection means Using the replay prevention window selected in
本発明の請求項13によれば、受信パケットに含まれる優先度によって受信順序が変動しても、誤ったパケット廃棄を防ぐことが可能な受信処理装置を実現できる。 According to the thirteenth aspect of the present invention, it is possible to realize a reception processing device capable of preventing erroneous packet discard even if the reception order varies depending on the priority included in the received packet.
また本発明の請求項14に記載の受信処理装置の優先度特定手段は、保護領域の一部または全てがブロック暗号によって暗号化された受信パケットについて、優先度特定情報を含むブロックと、優先度特定情報を含むブロックを特定するための情報を含むブロックのみを復号することで、優先度特定情報を得る。 Further, the priority specifying means of the reception processing device according to claim 14 of the present invention comprises a block including priority specifying information for a received packet in which a part or all of the protected area is encrypted by block cipher, The priority specifying information is obtained by decoding only the block including the information for specifying the block including the specifying information.
本発明の請求項14によれば、優先度特定情報が暗号化されていても、受信パケットすべてを復号することなく、受信パケットのリプレイ防止処理を行うことが可能な受信処理装置を実現できる。 According to the fourteenth aspect of the present invention, it is possible to realize a reception processing device capable of performing replay prevention processing of a received packet without decrypting all the received packets even when the priority specifying information is encrypted.
また本発明の請求項15に記載の受信処理装置は、受信パケットに含まれる第3層ヘッダ内の情報と第4層ヘッダ内の情報のいずれかまたは双方から、受信パケットの優先度を特定する。 In addition, the reception processing device according to claim 15 of the present invention specifies the priority of the received packet from one or both of the information in the third layer header and the information in the fourth layer header included in the received packet. .
本発明の請求項15によれば、第3層ヘッダに含まれる情報と第4層ヘッダに含まれる情報を用いて、優先度に対応したリプレイ防止処理を行うことが可能となる。 According to the fifteenth aspect of the present invention, it is possible to perform the replay prevention process corresponding to the priority using the information included in the third layer header and the information included in the fourth layer header.
また本発明の請求項16に記載の受信処理装置は、第1のヘッダと第2のデータからなる第1のパケットを第1のヘッダと同じレイヤーに属するヘッダである第2のヘッダによってカプセル化したパケットを受信した場合、前記受信パケットの第1のヘッダに含まれる優先度情報から前記パケットの優先度を特定する。 The reception processing apparatus according to claim 16 of the present invention encapsulates a first packet composed of a first header and second data by a second header that is a header belonging to the same layer as the first header. When the received packet is received, the priority of the packet is specified from the priority information included in the first header of the received packet.
本発明の請求項16によれば、カプセル化されたパケットのヘッダに含まれる優先度情報から前記受信パケットの優先度を特定する受信処理装置を実現できる。 According to the sixteenth aspect of the present invention, it is possible to realize a reception processing device that specifies the priority of the received packet from the priority information included in the header of the encapsulated packet.
また本発明の請求項17に記載の受信処理装置は、優先度の高いものほどウィンドウサイズが大きいリプレイ防止ウィンドウを用いてリプレイ防止処理を行う受信処理部を備える。 A reception processing device according to claim 17 of the present invention includes a reception processing unit that performs a replay prevention process using a replay prevention window having a higher window size as the priority is higher.
本発明の請求項17によれば、経路途中のルータによってパケットの遅配が発生しても、優先度の高いパケットを誤って廃棄することを防ぐことが可能な受信処理装置を実現できる。 According to the seventeenth aspect of the present invention, it is possible to realize a reception processing apparatus that can prevent a packet with a high priority from being erroneously discarded even if a packet is delayed due to a router on the way.
また本発明の請求項18に記載の受信処理装置は、優先度の高いものほどウィンドウサイズが小さいリプレイ防止ウィンドウを用いてリプレイ防止処理を行う受信処理部を備える。 The reception processing apparatus according to claim 18 of the present invention further includes a reception processing unit that performs replay prevention processing using a replay prevention window having a smaller window size as the priority is higher.
本発明の請求項18によれば、厳密なリアルタイム性を要するパケットにもかかわらず、大きく遅延した高優先度のパケットを廃棄することで、処理負荷を低減させることが可能な受信処理装置を実現できる。 According to the eighteenth aspect of the present invention, a reception processing device capable of reducing the processing load by discarding a high-priority packet that is greatly delayed despite a packet requiring strict real-time performance is realized. it can.
また本発明の請求項19に記載の受信処理装置は、演算に用いるリソースの使用量が一定の閾値を超える場合にこれを通知するリソース監視部と、この通知を受けると優先度の低いリプレイ防止ウィンドウのウィンドウサイズを縮小する受信処理部を備える。 In addition, the reception processing device according to claim 19 of the present invention provides a resource monitoring unit that notifies when the amount of resources used for calculation exceeds a certain threshold, and prevents replay with low priority when receiving this notification. A reception processing unit for reducing the window size of the window is provided.
本発明の請求項19によれば、演算用リソースの使用量が多くなった場合、優先度の低いパケットを廃棄しやすくし、リソースの使用量を減少させることが可能な受信処理装置を実現できる。 According to the nineteenth aspect of the present invention, it is possible to realize a reception processing device that can easily discard a low-priority packet and reduce the resource usage when the usage amount of computing resources increases. .
また本発明の請求項20に記載の受信処理装置は、演算に用いるリソースの使用量が一定の閾値を下回る場合にこれを通知するリソース監視部と、この通知を受けると一旦縮小した優先度の低いリプレイ防止ウィンドウのウィンドウサイズを、元のサイズに戻す受信処理部を備える。 In addition, the reception processing device according to claim 20 of the present invention includes a resource monitoring unit that notifies when the usage amount of the resource used for the calculation is below a certain threshold, and the priority that has been reduced once receiving this notification. A reception processing unit that returns the window size of the low replay prevention window to the original size is provided.
本発明の請求項20によれば、演算用リソースの使用量が減少した場合、優先度の低いパケットの廃棄を抑えることが可能な受信処理装置を実現できる。 According to the twentieth aspect of the present invention, it is possible to realize a reception processing device capable of suppressing the discard of packets with low priority when the amount of computing resources used is reduced.
また本発明の請求項21に記載の受信処理装置は、受信処理を行うCPU負荷の値が一定の閾値を上回る場合や下回る場合にこれを通知するリソース監視部と、この通知を受けると優先度の低いリプレイ防止ウィンドウのウィンドウサイズを縮小、または元のサイズに戻す受信処理部を備える。 Further, the reception processing device according to claim 21 of the present invention provides a resource monitoring unit that notifies when the value of the CPU load for receiving processing exceeds or falls below a certain threshold value, and receives this notification, and receives the priority. A reception processing unit that reduces or restores the window size of the low replay prevention window to the original size.
本発明の請求項21によれば、CPU負荷が大きい場合には低優先度のパケットを廃棄しやすくすることでCPU負荷を下げ、CPU負荷が小さい場合には低優先度のパケットも廃棄しにくくする受信処理装置を実現できる。 According to the twenty-first aspect of the present invention, the CPU load is lowered by facilitating the discarding of the low priority packet when the CPU load is large, and the low priority packet is not easily discarded when the CPU load is small. It is possible to realize a reception processing device.
また本発明の請求項22に記載の受信処理装置は、受信処理を開始するまで受信したパケットをキューイングする受信キューと、受信キューの長さが一定の閾値を上回る場合や下回る場合にこれを通知するリソース監視部と、この通知を受けると優先度の低いリプレイ防止ウィンドウのウィンドウサイズを縮小、または元のサイズに戻す受信処理部を備える。 The reception processing apparatus according to claim 22 of the present invention also includes a reception queue for queuing received packets until reception processing is started, and when the length of the reception queue exceeds or falls below a certain threshold. A resource monitoring unit for notification and a reception processing unit for reducing the window size of the replay prevention window having a low priority or returning the window size to the original size when the notification is received.
本発明の請求項22によれば、受信キューにキューイングされたパケット数が多い場合に低優先度のパケットを廃棄しやすくすることで処理負荷を低減し、パケット数が少なくなった時点で低優先度のパケットも廃棄しにくくする受信処理装置を実現できる。 According to the twenty-second aspect of the present invention, when the number of packets queued in the reception queue is large, the processing load is reduced by facilitating the discarding of the low priority packets, and when the number of packets decreases. It is possible to realize a reception processing device that makes it difficult to discard priority packets.
また本発明の請求項23に記載の受信処理装置は、受信処理に要する作業用メモリ量が一致の閾値を上回る場合や下回る場合にこれを通知するリソース監視部と、この通知を受けると優先度の低いリプレイ防止ウィンドウのウィンドウサイズを縮小、または元のサイズに戻す受信処理部を備える。 Further, the reception processing device according to claim 23 of the present invention provides a resource monitoring unit that notifies when the amount of work memory required for the reception processing exceeds or falls below a matching threshold, and receives this notification, and receives the priority. A reception processing unit that reduces or restores the window size of the low replay prevention window to the original size.
本発明の請求項23によれば、受信処理に要する作業メモリ量が増加した場合に低優先度のパケットを廃棄しやすくすることで処理負荷を低減し、作業メモリ量が減少した場合に低優先度のパケットも廃棄しにくくする受信処理装置を実現できる。 According to the twenty-third aspect of the present invention, when the working memory amount required for the reception process increases, the processing load is reduced by facilitating the discarding of the low priority packet, and when the working memory amount decreases, the low priority is given. It is possible to realize a reception processing device that makes it difficult to discard a certain number of packets.
また本発明の請求項24に記載の受信処理装置は、IPsecにより保護されたパケットの受信処理を行う受信処理部を備える。 According to a twenty-fourth aspect of the present invention, the reception processing apparatus includes a reception processing unit that performs reception processing of a packet protected by IPsec.
本発明の請求項24によれば、受信パケットに含まれる優先度によって受信順序が入れ替わったIPsecパケットに対しても、正しくリプレイ防止処理を行うことが可能な受信処理装置を実現できる。 According to the twenty-fourth aspect of the present invention, it is possible to realize a reception processing device capable of correctly performing a replay prevention process even for an IPsec packet whose reception order is switched depending on the priority included in the reception packet.
以上のように、本発明の受信処理方法は、パケットに含まれる優先度によって受信順序が変動しても、その受信順序の変動による影響を取り除くことができ、低優先度のパケットの廃棄を防ぐことが可能となる。 As described above, according to the reception processing method of the present invention, even if the reception order varies depending on the priority included in the packet, the influence due to the variation in the reception order can be removed, and the discard of the low priority packet is prevented. It becomes possible.
以下本発明の実施の形態について、図面を参照しながら説明する。 Embodiments of the present invention will be described below with reference to the drawings.
(実施の形態1)
図1は、本発明の実施の形態1に係る受信処理装置を含むネットワーク構成を示す図面である。図1において、100は本実施の形態に係る受信処理装置であり132.182.1.10のIPアドレスを備える。200はルータ等のネットワーク中継装置である。400は映像や音声情報等のリアルタイム処理を要するパケットを受信処理装置100に送信する第1のサーバ装置であり、132.182.3.10のIPアドレスを備える。500は電子メール等のリアルタイム処理を要しないパケットを受信処理装置100に送信する第2のサーバ装置であり、132.182.3.11のIPアドレスを備える。300は第1のサーバ装置ならびに第2のサーバ装置が受信処理装置100宛に送信したパケットを一旦受け取り、暗号化して受信処理装置100に送信するセキュリティゲートウェイである。セキュリティゲートウェイ300は、第1のサーバ装置400や第2のサーバ装置500とのパケット送受信のために132.182.3.1のIPアドレスを備え、また受信処理装置100とのパケット送受信のために132.182.2.10のIPアドレスを備える。
(Embodiment 1)
FIG. 1 is a diagram showing a network configuration including a reception processing apparatus according to
第1のサーバ装置400は、映像データを、第4層のプロトコルがUDP、宛先ポート番号が2000であるIPパケットとして受信処理装置100に送信する。同様に、第2のサーバ装置500は、電子メールのデータを、第4層のプロトコルがTCP、宛先ポート番号が3000であるIPパケットとして受信処理装置100に送信する。
The
次に、セキュリティゲートウェイ300を介して、受信処理装置100が第1のサーバ装置400および第2のサーバ装置500から受信するパケットを、図2を用いて説明する。受信処理装置100とセキュリティゲートウェイ300との間の通信にはSAが設定されており、IPsecによる暗号化通信が行われる。ここでの暗号化に用いられるSAは、SPIが1000、暗号アルゴリズムがDES−CBC、暗号鍵が“abcdefgh”、認証アルゴリズムがHMAC−MD5、認証鍵が“OPQRSTUVW”である。この結果、第1のサーバ装置400が受信処理装置100に送信したIPパケットは、セキュリティゲートウェイ300によって、図2(a)に示すIPsecパケットとして、受信処理装置100に送信される。以下、このIPsecパケットをパケットHと示す。図2(a)において、パケットHは第2のIPヘッダ、ESPヘッダ、IV、第1のIPヘッダ、第4層プロトコルヘッダ、ペイロード、ESPトレーラ、ICVから構成される。第1のIPヘッダ、第4層プロトコルヘッダ、ペイロードの部分が第1のサーバ装置400が送信したパケットである。セキュリティゲートウェイ300は第2のIPヘッダを付加してパケットをカプセル化すると共に、ESPヘッダ、ESPトレーラ、ICVを付加して、元のIPパケット全体をIPsecにより保護する。その結果、ESPヘッダからESPトレーラまでが認証アルゴリズム(HMAC−MD5)によって値の書き換えから保護され、第1のIPヘッダからESPトレーラまでが暗号アルゴリズム(DES−CBC)によって暗号化される。第2のIPヘッダは送信元IPアドレスが132.182.2.10、宛先IPアドレスが132.182.1.10であり、TOSフィールド値にはIPsec仕様によって、後述する第1のIPヘッダのTOSフィールド値と同じ値である1が設定される。ESPヘッダはシーケンス番号とSPIから構成され、SPIは1000であり、シーケンス番号は送信された順に連続した番号が振られる。IVは暗号化の際に用いられた乱数が格納される。第1のIPヘッダは送信元IPアドレスが132.182.3.10、宛先IPアドレスが132.182.1.10、TOSフィールドが1である。第4層プロトコルヘッダはUDPヘッダであり、宛先ポート番号には2000が格納される。ペイロードには映像データが格納される。ESPトレーラは第4層プロトコルのプロトコル種別を示す次ヘッダを含み、ここではUDPが格納される。ICVには、認証範囲のデータを認証アルゴリズムに従って認証鍵(本実施の形態では“OPQRSTUVW”)を用いて計算したハッシュ値が格納される。
Next, packets received by the
同様に、第2のサーバ装置500が受信処理装置100に対して送信したIPパケットは、セキュリティゲートウェイ300によって、図2(b)に示すIPsecパケットとして、受信処理装置100に送信される。以下、このIPsecパケットをパケットLと示す。図2(b)において、第2のサーバ装置500が送信したパケットに相当する部分、ならびに暗号化された領域および認証によって保護された領域はパケットHと同様であり、パケットLの第2のIPヘッダの送信元IPアドレスは132.182.2.10、宛先IPアドレスは132.182.1.10、TOSフィールドは2である。第1のIPヘッダは送信元IPアドレスが132.182.3.11、宛先IPアドレスが132.182.1.10、TOSフィールドが2である。第4層プロトコルヘッダはTCPヘッダであり、宛先ポート番号は3000である。ペイロードには電子メール等のリアルタイム処理を要しないデータが格納され、ESPトレーラの次ヘッダにはTCPが格納される。上記以外のESPヘッダ、IV、ICVの内容はパケットHと同様である。
Similarly, the IP packet transmitted from the
以上示したように、セキュリティゲートウェイ300から送信されるIPsecパケットは、パケットHとパケットLとでは、以下に示す相違点がある。すなわち、第1のIPヘッダ内のTOSフィールド値は、パケットHが1であるのに対し、パケットLが2である。また第2のIPヘッダ内の送信元IPアドレスは、パケットHが132.182.3.10であるのに対し、パケットLが132.182.3.11である。また第2のIPヘッダ内のTOSフィールド値は、パケットHが1であるのに対し、パケットLでは2である。また、第4層プロトコルヘッダは、パケットHが宛先ポート番号2000であるUDPヘッダであり、パケットLが宛先ポート番号3000であるTCPヘッダである。また、ESPトレーラ内の次ヘッダの値は、パケットHがUDPであるのに対し、パケットLがTCPである。
As described above, the IPsec packet transmitted from the
次に受信処理装置100の構成を図3に示す。図3において、110はネットワークI/F、120は受信したIPsecパケットをキューイングするための受信キュー、130は受信したIPsecパケットの受信処理を行う受信処理部、140は受信したIPsecパケットに適用されたSAに対応したリプレイ防止ウィンドウであり、当該受信パケットの優先度に応じて141〜142から構成される。150はSAを蓄積するデータベースであるSADBであり、160は受信したIPsecパケットの優先度を決定するためのデータベースである優先度決定DBである。
Next, the configuration of the
ここで、SADB150の構成を図4に示す。SADB150は、構成要素としてSPI値、暗号アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵、リプレイ防止ウィンドウの状態を備える。図4には1つのSAが登録されており、そのSPI値は1000、暗号アルゴリズムはDES−CBC、暗号鍵は“abcdefgh”、認証アルゴリズムはHMAC−MD5、認証鍵は“OPQRSTUVW”である。またリプレイ防止ウィンドウは優先度1および優先度2に対応したものが登録されており、優先度1のウィンドウはウィンドウサイズが3、シーケンス番号94、95、96のパケットについて受信済みであり、優先度2のウィンドウはウィンドウサイズが3、シーケンス番号97、98、99のパケットについて受信済みであることを示している。
Here, the configuration of
また、優先度決定DB160の構成を図5に示す。図5において、優先度決定DB160は、第4層プロトコルのプロトコル種別、送信元ポート番号、宛先ポート番号、優先度の項目を備えており、少なくとも2つのエントリが登録されている。1つ目のエントリは、プロトコル種別がUDP、送信元ポート番号が“*”(これは全ての送信元ポート番号を示す記号である)、宛先ポート番号が2000、優先度が1であり、2つ目のエントリはプロトコル種別がTCP、送信元ポート番号が“*”、宛先ポート番号が3000、優先度が2である。
The configuration of the
では次に、受信処理装置100の受信処理時の動作について説明する。図1において、セキュリティゲートウェイ300は、第2のサーバ装置500から受信したパケット、ならびに第1のサーバ装置400から受信したパケット400をIPsecによって保護し、受信処理装置100宛てのトンネルモードIPsecパケットP1〜P4を送信する。ここでパケットP4は第2のサーバ装置500から生成したIPsecパケットであり、SPI値は1000、優先度は2、シーケンス番号は100である。またパケットP1〜P3は第1のサーバ装置400から生成したIPsecパケットであり、SPI値は1000、優先度は1、シーケンス番号は順に101、102、103である。セキュリティゲートウェイ300は受信処理装置100に向けて、P4、P1、P2、P3の順にパケットを送信する。
Next, the operation of the
次に、パケットP1〜P4を受け取った中継装置200は、パケットに含まれる優先度情報を参照し、パケットの優先度順に受信処理装置100に転送する。すなわち、中継装置200は受信処理装置100宛てに、P1、P2、P3、P4の順にパケットを送信する。この結果、セキュリティゲートウェイ300がP4、P1、P2、P3の順に送信したIPsecパケットを、受信処理装置100はP1、P2、P3、P4の順に受信することとなる。では、受信処理装置100がP1〜P4を受信した場合の受信動作を図6および図7を用いて説明する。
Next, the
(初期状態)
まず初期状態において、受信処理装置100はシーケンス番号が94、95、96である3つのIPsecパケットHと、97、98、99である3つのIPsecパケットLを受信しているものとする。したがってリプレイ防止ウィンドウ141および142は図7(a)に示す状態である。すなわち、優先度1に対応したリプレイ防止ウィンドウ141はシーケンス番号94、95、96が受信済み、優先度2に対応したリプレイ防止ウィンドウ142はシーケンス番号97、98、99が受信済みとして登録されている。
(initial state)
First, in the initial state, it is assumed that the
(パケットP1の受信)
パケットP1を受信すると、図6に示すフローチャートに従い、当該パケットの受信処理を行う。
(Reception of packet P1)
When the packet P1 is received, the reception process of the packet is performed according to the flowchart shown in FIG.
<ステップ1>
ステップ1では受信したパケットの認証処理を行う。ネットワークI/F110によってパケットを受信すると、受信処理部130は受信キュー120を介して当該パケットを受け取る。次に、受信処理部130は当該パケットからSPI値を取り出し、SPI値を検索キーとしてSADBを検索する。検索の結果、SPI値に対応した暗号アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵、リプレイ防止ウィンドウの状態を得る。本実施の形態ではパケットP1のSPI値は1000であるため、SADBを検索した結果として、「DES−CBC」、“abcdefgh”、「HMAC−MD5」、“OPQRSTUVW”、「優先度1用が94〜96が受信済み、優先度2用が97〜99受信済み」を獲得する。
<
In
<ステップ2>
ステップ2では、ステップ1で得られた認証アルゴリズムと認証鍵を用いて受信パケットのハッシュ値を計算し、ICVと一致することを確認する。ICVと一致した場合、当該パケットのうち認証アルゴリズムによって保護された領域が第3者によって書き換えられていないことが確認できる。ハッシュ値がICVと一致しない場合、当該パケットの当該領域が第3者によって書き換えられた可能性があるため、当該パケットを廃棄する。
<
In
本実施の形態では、パケットP1についてハッシュ値とICVが一致し、第3者による書き換えはなかったと判断する。 In the present embodiment, it is determined that the hash value and the ICV match for the packet P1, and there has been no rewriting by a third party.
<ステップ3>
ステップ3では受信したパケットの優先度を特定する。ステップ1のSADB検索によって得られた暗号アルゴリズムと暗号鍵を用いて、まず第2のIPヘッダ内のIHLとプロトコルの値を得る。すなわち、先頭のブロックと2番目のブロックを復号し、IHLとプロトコルの値を得る。次に、IHLの値から第2のIPヘッダ長を特定し、第4層プロトコルヘッダ内の送信元ポート番号と宛先ポート番号の値を得る。本実施の形態ではIHLは5(20バイトを示す値)であり、3番目ならびに4番目のブロックを復号し、両ポート番号を得る。以上から、第4層プロトコルの種別、送信元ポート番号、宛先ポート番号が得られる。さらにこれらの値をキーに優先度決定DB160を検索し、当該パケットの優先度を特定する。
<Step 3>
In step 3, the priority of the received packet is specified. First, the IHL and protocol values in the second IP header are obtained using the encryption algorithm and encryption key obtained by the SADB search in
パケットP1の場合、暗号アルゴリズムはDES−CBCのため、1ブロックのサイズは8バイトである。よって、先頭、2番目、3番目、4番目のブロックを復号してUDP、1000、2000を得る。さらに、これらの情報をキーに優先度決定DB160を検索した結果、当該パケットの優先度として1を得る。
In the case of the packet P1, since the encryption algorithm is DES-CBC, the size of one block is 8 bytes. Therefore, UDP, 1000, and 2000 are obtained by decoding the first, second, third, and fourth blocks. Further, as a result of searching the
なお当該パケットが暗号化されていない場合、復号処理そのものはスキップされ、当該パケットに含まれる第4層プロトコルの種別、送信元ポート番号、宛先ポート番号の値を直接参照する。 If the packet is not encrypted, the decryption process itself is skipped, and the values of the type of the fourth layer protocol, the source port number, and the destination port number included in the packet are directly referred to.
<ステップ4>
ステップ4では、ステップ1で求めた複数のリプレイ防止ウィンドウのうちで、ステップ3で求めた優先度に対応したリプレイ防止ウィンドウを用いてリプレイ防止処理を行う。リプレイ防止処理は従来の受信処理装置における処理と同様である。
<Step 4>
In Step 4, the replay prevention process is performed using the replay prevention window corresponding to the priority obtained in Step 3 among the plurality of replay prevention windows obtained in
パケットP1の場合、優先度1に対応したリプレイ防止ウィンドウ141を用いてリプレイ防止処理を行う。リプレイ防止処理を行った結果、当該パケットは正常に受理され、リプレイ防止ウィンドウ141は図7(b)に示す状態に更新される。
In the case of the packet P1, the replay prevention process is performed using the
<ステップ5>
ステップ4において受信パケットを廃棄しなかった場合、受信処理部130は残りの受信処理を行う。すなわち、ステップ1にて検索したSAを用い、復号していない残りのブロックの復号を行った後、第1のIPヘッダ、ESPヘッダ、IV、ESPトレーラ、ICVを除去する。こうして第2のIPヘッダ、第4層プロトコルヘッダ、ペイロードから構成される、IPsecパケットに変換される前のIPパケットが復元される。受信処理部130はこの復元されたIPパケットの受信処理を行う。
<Step 5>
If the received packet is not discarded in step 4, the
なお、当該パケットが暗号化されていない場合、残りのブロックの復号は不要である。 If the packet is not encrypted, the remaining blocks need not be decrypted.
以上がパケットP1を受信した場合における、受信処理部130の受信処理動作である。この結果、パケットP1は正常に受信され、優先度1に対応したリプレイ防止ウィンドウ141は、図7(b)に示すように、シーケンス番号101が受信済みとして登録される。
The above is the reception processing operation of the
(IPsecパケットP2受信後)
IPsecパケットP2(優先度1、シーケンス番号102)を受信すると、受信処理部130はパケットP1の場合と同様に、図6に示すフローチャートに従って受信処理を行う。その結果、パケットP2も正常に受信され、パケットP2の優先度1に対応したリプレイ防止ウィンドウ141は、図7(c)に示すように、シーケンス番号102、101が受信済みとして登録される。
(After receiving IPsec packet P2)
When receiving the IPsec packet P2 (
(IPsecパケットP3受信後)
IPsecパケットP3(優先度1、シーケンス番号103)を受信した場合も同様である。その結果、パケットP3は正常に受信され、パケットP1の優先度1に対応したリプレイ防止ウィンドウ141は、図7(d)に示すように、シーケンス番号103、102、101が受信済みとして登録される。
(After receiving IPsec packet P3)
The same applies when an IPsec packet P3 (
(IPsecパケットP4受信後)
IPsecパケットP4(優先度2、シーケンス番号100)を受信した場合も同様に、受信処理部130は図6に示すフローチャートに従って受信処理を行う。パケットP4はステップ3において優先度2と判定されるため、受信処理部130は、優先度2に対応したリプレイ防止ウィンドウ142を用いて、ステップ4のリプレイ防止処理を実行する。
(After receiving IPsec packet P4)
Similarly, when the IPsec packet P4 (
従来技術ではこの場合においても、パケットの優先度に関わらず単一のリプレイ防止ウィンドウを用いていた。そのため、パケットP1〜P3を受信する際に用いたリプレイ防止ウィンドウ141を用いてリプレイ防止処理を行うために、パケットP4は廃棄されていた。なぜならパケットP4のシーケンス番号は100であり、リプレイ防止ウィンドウ141が管理するシーケンス番号101〜103よりも古いためである。
In this case, the conventional technique uses a single replay prevention window regardless of the priority of the packet. Therefore, the packet P4 is discarded in order to perform the replay prevention process using the
これに対し、本発明では、パケットP4のリプレイ防止処理に際し、優先度2に対応するリプレイ防止ウィンドウ142を用いる。その結果、パケットP4は正常に受理される。なぜなら、パケットP4のシーケンス番号100は、リプレイ防止ウィンドウ142が管理するシーケンス番号97〜99よりも新しいためである。以上の受信処理の結果、パケットP4は正常に受信され、リプレイ防止ウィンドウ142は、図7(e)に示すように、シーケンス番号100、99、98が受信済みとして登録される。
On the other hand, in the present invention, the
以上のように、受信パケットの優先度に対応したリプレイ防止ウィンドウを用いて当該パケットのリプレイ防止処理を行うことによって、受信パケットに含まれる優先度によって受信順序が入れ替わった場合においても、当該パケットを廃棄することなく、正常に受信することができる。 As described above, by performing the replay prevention processing of the packet using the replay prevention window corresponding to the priority of the received packet, even when the reception order is changed depending on the priority included in the received packet, the packet is It can be received normally without being discarded.
なお、本実施の形態では受信パケットの優先度を、第4層のプロトコル種別とポート番号から求めたが、第2のヘッダに含まれる送信元アドレスや宛先アドレスから求めてもよいし、第4層のプロトコル種別とポート番号ならびに第2のIPヘッダに含まれる送信元アドレスと宛先アドレスとから求めても良い。また、第2のIPヘッダに含まれる優先度情報(IPv4ヘッダの場合、TOSフィールドに相当)から求めても良い。また、第2のIPヘッダがIPv6ヘッダである場合、優先度情報としてDSフィールドを用いても構わない。さらには第1のIPヘッダ、第2のIPヘッダ、第4層プロトコルヘッダに含まれるいずれかの情報を元に、当該パケットの優先度を求めてもよい。例えば、本実施の形態で説明した第4層プロトコルのプロトコル種別、送信元ポート番号、宛先ポート番号に加え、第2のIPヘッダに含まれる送信元IPアドレスと宛先IPアドレスから優先度を求めても構わない。 In this embodiment, the priority of the received packet is obtained from the protocol type and the port number of the fourth layer. However, the priority may be obtained from the source address and the destination address included in the second header. It may be obtained from the protocol type and port number of the layer and the source address and destination address included in the second IP header. Alternatively, it may be obtained from priority information included in the second IP header (corresponding to the TOS field in the case of an IPv4 header). Further, when the second IP header is an IPv6 header, the DS field may be used as priority information. Furthermore, the priority of the packet may be obtained based on any information included in the first IP header, the second IP header, and the fourth layer protocol header. For example, the priority is obtained from the source IP address and destination IP address included in the second IP header in addition to the protocol type, source port number, and destination port number of the fourth layer protocol described in this embodiment. It doesn't matter.
また、本実施の形態ではセキュアなパケットとしてIPsecトンネルモードによるパケットを用いて説明したが、トランスポートモードによるパケットであっても構わない。トランスポートモードでは第2のIPヘッダは存在しないため、当該IPヘッダに含まれる情報以外から当該パケットの優先度を求めればよい。 In this embodiment, the packet in the IPsec tunnel mode is used as a secure packet. However, a packet in the transport mode may be used. Since the second IP header does not exist in the transport mode, the priority of the packet may be obtained from information other than the information included in the IP header.
また、本実施の形態では受信パケットはESPによって暗号化および認証が施されていたが、当該パケットは暗号化されていなくてもよい。暗号化されていない場合、本実施の形態で説明した全ての復号処理は不要である。また当該パケットがESPの代わりにAHによって保護されていてもかまわない。AHでは暗号化は行わないため、本実施の計値亜で説明した全ての復号処理は不要である。 In this embodiment, the received packet is encrypted and authenticated by ESP, but the packet may not be encrypted. When the data is not encrypted, all the decryption processes described in this embodiment are not necessary. The packet may be protected by AH instead of ESP. Since encryption is not performed in AH, all the decryption processing described in the present embodiment is not necessary.
また、本実施の形態ではパケットの優先度を2段階として説明したが、3段階以上であっても構わない。 Further, in the present embodiment, the packet priority has been described as two levels, but it may be three or more levels.
また、本実施の形態ではリプレイ防止ウィンドウのウィンドウサイズを3として説明したが、本発明はウィンドウサイズを制限するものではない。 In the present embodiment, the window size of the replay prevention window has been described as 3, but the present invention does not limit the window size.
また、本実施の形態ではパケットがIPsecによって保護されている場合について説明したが、本発明は、当該パケットが優先度を特定するための情報と、パケットを区別するシーケンス番号を含み、両者が認証によって保護されているパケット全般に適用可能であり、保護する技術としてIPsecに限定されるわけではない。 In the present embodiment, the case where the packet is protected by IPsec has been described. However, the present invention includes information for specifying the priority of the packet and a sequence number for distinguishing the packet, and both are authenticated. It can be applied to all packets protected by, and the technology for protection is not limited to IPsec.
(実施の形態2)
次に、本発明における別の実施の形態について、以下に説明する。ネットワーク構成は実施の形態1と同様であるので、説明を省略する。
(Embodiment 2)
Next, another embodiment of the present invention will be described below. Since the network configuration is the same as that of the first embodiment, description thereof is omitted.
本実施の形態における受信処理装置100の構成は、以下の点において実施の形態1と相違する。実施の形態2における優先度1に対応するリプレイウィンドウ141のウィンドウサイズは5であり、優先度2に対応するリプレイウィンドウ142のウィンドウサイズ3よりも大きい。
The configuration of
このような受信処理装置100に対し、セキュリティゲートウェイ300が優先度1、シーケンス番号が順に111、112、113、114、115であるパケットP11〜P15を送信した場合における、受信処理装置100の受信処理動作について説明する。
The reception processing of the
本実施の形態では、通信経路途中において、同じ優先度を持つパケットP11〜15間で転送順序が入れ替わり、P12、P13、P14、P15、P11の順に受信処理装置100に到着したものとする。この場合、シーケンス番号は受信する順に、112、113、114、115、111となる。本実施の形態において、優先度1に対応するリプレイウィンドウ141のウィンドウサイズは5であるため、上記のように5つ分のシーケンス番号の入れ替わりに対しても、正しく受信することが可能である。このように、優先度の高いパケットに対するリプレイウィンドウのウィンドウサイズを大きく設定することによって、優先度の高いパケットを廃棄しづらい受信処理装置を実現できる。
In the present embodiment, it is assumed that, in the middle of the communication path, the transfer order is switched between packets P11 to P15 having the same priority, and arrives at
なお、本実施の形態では、優先度1に対応したリプレイ防止ウィンドウ141の方がリプレイ防止ウィンドウ142よりもウィンドウサイズが大きかったが、優先度2に対応したリプレイ防止ウィンドウ142のウィンドウサイズの方が大きくても構わない。音声情報を含むパケットは許容できる遅延時間が小さく、かつ高い優先度が設定されることが多い。したがって、大きく遅延したこのようなパケットをリプレイ防止処理の段階で廃棄することにより、受信処理装置の負荷軽減を図ることが可能となる。
In this embodiment, the window size of the
また優先度決定DB160において、パケットの優先度に加えて、パケットのリアルタイム性を指し示す指標であるリアルタイム指標を保持し、各リプレイ防止ウィンドウのウィンドウサイズをリアルタイム指標に応じて設定しても構わない。また、各リプレイ防止ウィンドウのウィンドウサイズを、パケットの優先度と、パケットのリアルタイム指標と、基本となるウィンドウサイズを入力とする、特定の計算式によって決定しても構わない。この特定の計算式の一例として、「ウィンドウサイズ=基本となるウィンドウサイズ×優先度/リアルタイム指標」が挙げられる。この特定の計算式は、ここに示した一例に限ることなく、任意に定めても構わない。
Further, in the
(実施の形態3)
次に、本発明における別の実施の形態について、以下に説明する。ネットワーク構成は実施の形態1と同様である。
(Embodiment 3)
Next, another embodiment of the present invention will be described below. The network configuration is the same as in the first embodiment.
本実施の形態における受信処理装置100の構成を図8に示す。図8において、受信処理装置100は実施の形態1の構成に加え、受信キュー長監視部170を備える。受信キュー長監視部170は、受信キュー120にキューイングされている受信パケットの個数を計測する。受信キュー長監視部170は第1の閾値と第2の閾値を備える。本実施の形態において、第1の閾値は2、第2の閾値は3であり、受信キュー長監視部170は、受信キューにキューイングされたパケット数が第1の閾値を超えた場合、受信処理部に対してこれを通知する。これを受けた受信処理部130は、優先度2に対応するウィンドウ142のウィンドウサイズを1に縮小する。また受信キュー長監視部170は、同様にパケット数が第2の閾値を下回った場合、受信処理部に対してこれを通知する。これを受けた受信処理部130は、優先度2に対応するウィンドウ142のウィンドウサイズを元のサイズである3に戻す。本実施の形態において、第1の閾値は3、第2の閾値は2である。
The configuration of
ここで優先度1、シーケンス番号が順に211、212であるIPsecパケットP21〜P22と、優先度2、シーケンス番号が順に215、214、213であるIPsecパケットP25、P24、P23を受信処理装置100が一度に受信した場合について、その動作を説明する。
Here, the
上記に示したパケットP21〜P25を一度に受信すると、受信キューのキュー長は5となり、第1の閾値3を超える。そのため、受信キュー長監視部170は、受信パケット数が第1の閾値を超えたことを受信処理部130に通知し、受信処理部130はウィンドウ142のウィンドウサイズを1に縮小する。受信処理部130は、リプレイ防止ウィンドウ142のウィンドウサイズが1の状態で、パケットP21〜P22の受信処理を行う。パケットP21〜P22は全て優先度が1であるから、受信処理部130はリプレイ防止ウィンドウ141を用いてリプレイ防止リプレイ防止処理を行い、全て正しく受信処理を完了する。
When the packets P21 to P25 shown above are received at a time, the queue length of the reception queue becomes 5, which exceeds the first threshold value 3. Therefore, the reception queue length monitoring unit 170 notifies the
パケットP22の受信処理が完了した時点では、受信キューのキュー長は3であり、キュー長監視部170が保持する第2の閾値;2を下回っていない。ゆえに受信処理部130はリプレイ防止ウィンドウ142のウィンドウサイズを1に設定したまま、パケットP23〜P25のリプレイ防止処理を行う。
At the time when the reception process of the packet P22 is completed, the queue length of the reception queue is 3, and the second threshold value held by the queue length monitoring unit 170 is not less than 2. Therefore, the
次にパケットP25の受信処理を行う。パケットP25のシーケンス番号は215であるから、受信処理部130はリプレイ防止ウィンドウ142のシーケンス番号215を「受信済み」に更新すると共に、当該パケットの受信処理を完了する。この時点においても、受信キューのキュー長は第2の閾値を下回っていないため、リプレイ防止ウィンドウ142のウィンドウサイズは1のままである。
Next, reception processing of the packet P25 is performed. Since the sequence number of the packet P25 is 215, the
次にパケットP24の受信処理を行う。パケットP24のシーケンス番号は214であるから、受信処理部130はウィンドウ142より、当該パケットはリプレイ攻撃であると判定し、パケットP24を廃棄する。この時点において、受信処理部130は、受信キュー長監視部170から受信キューのキュー長が第2の閾値を下回ったことを通知され、リプレイ防止ウィンドウ142のウィンドウサイズを3に戻す。
Next, reception processing of the packet P24 is performed. Since the sequence number of the packet P24 is 214, the
最後にパケットP23の受信処理を行う。パケットP23のシーケンス番号は213であるから、受信処理部130はウィンドウ142のシーケンス番号213を「受信済み」に更新すると共に、当該パケットの受信処理を完了する。
Finally, the packet P23 is received. Since the sequence number of the packet P23 is 213, the
以上説明したように、受信キューのキュー長によって、低優先度に対応したリプレイ防止ウィンドウのウィンドウサイズを縮小することによって、一度に多くのパケットを受信した場合に低優先度のパケットが廃棄されやすくなり、処理負荷を低減させることが可能となる。またキュー長が短くなった場合は処理負荷も軽減されていると考えられるので、低優先度に対応したリプレイ防止ウィンドウのウィンドウサイズを元の値に戻すことによって、低優先度のパケットが廃棄されにくくなる。 As described above, by reducing the window size of the replay prevention window corresponding to the low priority according to the queue length of the reception queue, when a large number of packets are received at a time, the low priority packets are easily discarded. Thus, the processing load can be reduced. If the queue length is shortened, the processing load is also considered to be reduced. By returning the window size of the replay prevention window corresponding to the low priority to the original value, the low priority packet is discarded. It becomes difficult.
なお、本実施の形態では、受信キューのキュー長によって低優先度に対応したリプレイ防止ウィンドウ142のウィンドウサイズを変更したが、受信処理のCPU負荷や受信処理に使用する作業メモリ使用量などの演算リソースの使用量によって、ウィンドウサイズを変更しても構わない。同様に、受信処理装置全体のCPU負荷や作業メモリ使用量によってウィンドウサイズを変更しても構わない。
In this embodiment, the window size of the
また、本実施の形態では、第1の閾値と第2の閾値とは異なる値であったが、同じ値であっても構わない。 In the present embodiment, the first threshold value and the second threshold value are different values, but they may be the same value.
なお、上記した各実施の形態は、記憶装置(ROM、RAM、ハードディスク等)に格納された上述した処理手順を実行可能な所定のプログラムデータが、CPUによって解釈実行されることで実現される。この場合、プログラムデータは、記録媒体を介して記憶装置内に導入されてもよいし、記録媒体上から直接実行されてもよい。なお、記録媒体は、ROM、RAM、フラッシュメモリ等の半導体メモリ、フレキシブルディスクやハードディスク等の磁気ディスクメモリ、CD−ROMやDVD、BD等の光ディスク、メモリカード等の記録媒体をいう。また、記録媒体は、電話回線や搬送路等の通信媒体も含む概念である。 Each of the above-described embodiments is realized by interpreting and executing predetermined program data stored in a storage device (ROM, RAM, hard disk, etc.) that can execute the above-described processing procedure. In this case, the program data may be introduced into the storage device via the recording medium, or may be directly executed from the recording medium. The recording medium refers to a recording medium such as a semiconductor memory such as a ROM, a RAM, or a flash memory, a magnetic disk memory such as a flexible disk or a hard disk, an optical disk such as a CD-ROM, DVD, or BD, or a memory card. The recording medium is a concept including a communication medium such as a telephone line or a conveyance path.
また、上記した各実施の形態の各鍵交換装置あるいは各機能部は典型的には集積回路であるLSIとして実現することができる。これらは個別に1チップ化されても良いし、一部又は全てを含むように1チップ化されても良い。 In addition, each key exchange device or each functional unit of each of the above embodiments can be realized as an LSI that is typically an integrated circuit. These may be individually made into one chip, or may be made into one chip so as to include a part or all of them.
ここでは、LSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。 The name used here is LSI, but it may also be called IC, system LSI, super LSI, or ultra LSI depending on the degree of integration.
また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。 Further, the method of circuit integration is not limited to LSI, and implementation with a dedicated circuit or a general-purpose processor is also possible. An FPGA (Field Programmable Gate Array) that can be programmed after manufacturing the LSI, or a reconfigurable processor that can reconfigure the connection and setting of circuit cells inside the LSI may be used.
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適応等が可能性としてありえる。 Further, if integrated circuit technology comes out to replace LSI's as a result of the advancement of semiconductor technology or a derivative other technology, it is naturally also possible to carry out function block integration using this technology. Biotechnology can be applied.
本発明にかかる受信処理方法は、パケットの優先度を特定するステップと、特定したパケットの優先度に対応したリプレイ防止ウィンドウを用いてリプレイ防止処理を行うステップを有し、セキュリティプロトコルによって保護された、映像や音声等のリアルタイム情報と、WEBや制御情報等の非リアルタイム情報を受信する受信端末等として有用である。 A reception processing method according to the present invention includes a step of specifying a priority of a packet and a step of performing a replay prevention process using a replay prevention window corresponding to the priority of the identified packet, and is protected by a security protocol. It is useful as a receiving terminal that receives real-time information such as video and audio and non-real-time information such as WEB and control information.
100 受信処理装置
110 ネットワークインタフェース
120 受信キュー
130 受信処理部
140 リプレイ防止ウィンドウ
141 リプレイ防止ウィンドウ
142 リプレイ防止ウィンドウ
150 SADB(セキュリティデータベース)
160 優先度決定DB
200 中継装置
300 セキュリティゲートウェイ
400 第1のサーバ装置
500 第2のサーバ装置
600 従来の受信処理装置
610 ネットワークインタフェース
620 受信キュー
630 受信処理部
640 リプレイ防止ウィンドウ
650 セキュリティアソシエーションデータベース(SADB)
700 暗号通信装置
800 リプレイ攻撃装置
DESCRIPTION OF
160 Priority decision DB
DESCRIPTION OF
700
Claims (24)
前記パケットは、
前記セキュリティプロトコルが用いるセキュリティパラメータの組ごとに定まるシーケンス番号と、
通信経路上の中継装置において、前記パケットを転送する際の優先順位を示す優先度を含み、
前記保護領域は、
前記シーケンス番号と、
前記優先度を特定する優先度特定情報を含み、
前記受信処理方法は、
前記保護領域が書き換えられていないことを確認する認証ステップと、
前記優先度特定情報から前記パケットの優先度を特定する優先度特定ステップと、
パケットの優先度に対応させて設けた1つ以上のリプレイ防止ウィンドウから、前記優先度特定ステップにおいて特定した前記パケットの優先度に対応したリプレイ防止ウィンドウを選択するウィンドウ選択ステップと、
前記ウィンドウ選択ステップにおいて選択したリプレイ防止ウィンドウを用いて、前記パケットがリプレイ攻撃であるか否かを判定し、リプレイ攻撃である場合は前記パケットを廃棄するリプレイ防止処理ステップを含むこと、
を特徴とする受信処理方法。 A reception processing method for receiving a packet including a protected area protected from value rewriting by a security protocol,
The packet is
A sequence number determined for each set of security parameters used by the security protocol;
In the relay device on the communication path, including a priority indicating the priority when transferring the packet,
The protected area is
The sequence number;
Including priority specifying information for specifying the priority,
The reception processing method is:
An authentication step for confirming that the protected area has not been rewritten;
A priority specifying step of specifying the priority of the packet from the priority specifying information;
A window selection step of selecting a replay prevention window corresponding to the priority of the packet identified in the priority identification step from one or more replay prevention windows provided in correspondence with the priority of the packet;
Using the replay prevention window selected in the window selection step, determining whether or not the packet is a replay attack, and including a replay prevention processing step of discarding the packet if the packet is a replay attack,
A reception processing method.
前記優先度特定ステップは、前記優先度特定情報を含むブロックと、前記優先度特定情報を含むブロックを特定するための情報を含むブロックのみを復号し、前記優先度特定情報を得ること、
を特徴とする請求項1記載の受信処理方法。 Part or all of the protected area is further encrypted with a block cipher,
The priority specifying step decodes only the block including the priority specifying information and the block including information for specifying the block including the priority specifying information, and obtains the priority specifying information;
The reception processing method according to claim 1.
を特徴とする請求項1または請求項2記載の受信処理方法。 The priority specifying information is one or both of information included in a third layer header included in the protection area and information included in a fourth layer header;
The reception processing method according to claim 1 or 2.
前記保護領域は前記第1のパケットを含み、
前記優先度特定情報は、前記第1のヘッダに含まれる優先度情報であること、
を特徴とする請求項1または請求項2記載の受信処理方法。 The packet is a packet in which a first packet composed of a first header and first data is encapsulated by a second header which is a header of the same layer as the first header,
The protected area includes the first packet;
The priority specifying information is priority information included in the first header;
The reception processing method according to claim 1 or 2.
演算用リソースの使用量が第1の閾値を超える場合、優先度の低い前記リプレイ防止ウィンドウのウィンドウサイズを縮小するウィンドウ縮小ステップを含むこと、
を特徴とする請求項1〜請求項6のいずれか1項に記載の受信処理方法。 The reception processing method is:
A window reduction step of reducing a window size of the replay prevention window having a low priority when the usage amount of the computing resource exceeds the first threshold;
The reception processing method according to any one of claims 1 to 6, wherein:
前記演算用リソースの使用量が第2の閾値を下回った場合、前記縮小したウィンドウサイズを元のサイズに戻すこと、
を特徴とする請求項7記載の受信処理方法。 The reception processing method is:
When the usage amount of the computing resource falls below a second threshold, returning the reduced window size to the original size;
The reception processing method according to claim 7.
を特徴とする請求項7または請求項8記載の受信処理方法。 The computing resource is a CPU load for receiving processing;
The reception processing method according to claim 7 or 8, wherein:
を特徴とする請求項7または請求項8記載の受信処理方法。 The computing resource is the number of packets queued in a reception queue for queuing received packets until reception processing is started,
The reception processing method according to claim 7 or 8, wherein:
を特徴とする請求項7または請求項8記載の受信処理方法。 The computing resource is a working memory amount for performing reception processing;
The reception processing method according to claim 7 or 8, wherein:
を特徴とする請求項1〜請求項11のいずれか1項に記載の受信処理方法。 The security protocol is IPsec;
The reception processing method according to any one of claims 1 to 11, wherein:
前記パケットは、
前記セキュリティプロトコルが用いるセキュリティパラメータの組ごとに定まるシーケンス番号と、
通信経路上の中継装置において、前記パケットを転送する際の優先順位を示す優先度を含み、
前記保護領域は、
前記シーケンス番号と、
前記優先度を特定する優先度特定情報を含み、
前記受信処理装置は、
前記セキュリティパラメータを蓄積するセキュリティデータベースと、
前記優先度特定情報と前記パケットの優先度の対応を蓄積する優先度決定データベースと、
前記パケットの受信処理を行う受信処理部を備え、
前記受信処理部は、
前記セキュリティデータベースが保持するセキュリティパラメータを用いて、前記パケットに含まれる保護領域が書き換えられていないことを確認する認証手段と、
前記優先度特定情報をキーに前記優先度決定データベースを検索し、前記パケットの優先度を求める優先度特定手段と、
1つ以上のリプレイ防止ウィンドウから、前記優先度特定手段において求めた優先度に対応した前記リプレイ防止ウィンドウを選択するウィンドウ選択手段と、
前記ウィンドウ選択手段において選択したリプレイウィンドウを用いて、前記パケットがリプレイ攻撃によるものか否かを判断し、リプレイ攻撃によるものであれば前記パケットを廃棄するリプレイ防止手段を備えること、
を特徴とする受信処理装置。 A reception processing device for receiving a packet including a protected area protected from value rewriting by a security protocol,
The packet is
A sequence number determined for each set of security parameters used by the security protocol;
In the relay device on the communication path, including a priority indicating the priority when transferring the packet,
The protected area is
The sequence number;
Including priority specifying information for specifying the priority,
The reception processing device includes:
A security database for storing the security parameters;
A priority determination database for storing the correspondence between the priority specification information and the priority of the packet;
A reception processing unit for receiving the packet;
The reception processing unit
Using security parameters stored in the security database, authentication means for confirming that the protection area included in the packet has not been rewritten;
Searching the priority determination database using the priority specifying information as a key, and priority specifying means for obtaining the priority of the packet;
Window selection means for selecting the replay prevention window corresponding to the priority obtained in the priority specifying means from one or more replay prevention windows;
Using the replay window selected by the window selection means, determining whether or not the packet is due to a replay attack, and comprising replay prevention means for discarding the packet if it is due to a replay attack,
A reception processing device.
前記優先度特定手段は、
前記優先度特定情報を含むブロックと、前記優先度特定情報を含むブロックを特定するための情報を含むブロックを、前記セキュリティパラメータを用いて復号することによって前記優先度特定情報を得ること、
を特徴とする請求項13記載の受信処理装置。 Part or all of the protected area is encrypted with a block cipher,
The priority specifying means includes:
Obtaining the priority specifying information by decoding the block including the priority specifying information and the block including information for specifying the block including the priority specifying information using the security parameter;
The reception processing apparatus according to claim 13.
を特徴とする請求項13または請求項14記載の受信処理装置。 The priority specifying information is one or both of information included in a third layer header and information included in a fourth layer header;
The reception processing apparatus according to claim 13 or 14, characterized in that:
前記保護領域は前記第1のパケットを含み、
前記優先度特定情報は、前記第1のヘッダに含まれる優先度情報であること、
を特徴とする請求項13または請求項14記載の受信処理装置。 The packet is a packet in which a first packet composed of a first header and first data is encapsulated by a second header which is a header of the same layer as the first header,
The protected area includes the first packet;
The priority specifying information is priority information included in the first header;
The reception processing apparatus according to claim 13 or 14, characterized in that:
前記受信処理部は、前記リソース監視部からの通知を受けると、優先度の低いリプレイ防止ウィンドウのウィンドウサイズを縮小すること、
を特徴とする請求項13〜請求項18のいずれか1項に記載の受信処理装置。 The reception processing device further includes a resource monitoring unit that monitors the usage amount of the computing resource held by the reception processing device and notifies the usage amount of the computing resource when the usage amount exceeds a first threshold. ,
The reception processing unit, upon receiving a notification from the resource monitoring unit, reduces the window size of the replay prevention window having a low priority,
The reception processing apparatus according to claim 13, wherein
前記受信処理部は、前記リソース監視部からの通知を受けると、優先度の低いリプレイ防止ウィンドウのウィンドウサイズを元のサイズに戻すこと、
を特徴とする請求項19記載の受信処理装置。 The resource monitoring unit notifies when the usage amount of the computing resource falls below a second threshold,
Upon receiving the notification from the resource monitoring unit, the reception processing unit returns the window size of the low-priority replay prevention window to the original size,
The reception processing device according to claim 19.
を特徴とする請求項19または請求項20記載の受信処理装置。 The computing resource is a CPU load of a CPU that performs reception processing;
21. The reception processing apparatus according to claim 19 or 20, wherein:
前記演算用リソースは、前記受信キューにキューイングされたパケット数であること、
を特徴とする請求項19または請求項20記載の受信処理装置。 The reception processing device includes a reception queue for queuing received packets until reception processing is started,
The computing resource is the number of packets queued in the reception queue;
21. The reception processing apparatus according to claim 19 or 20, wherein:
を特徴とする請求項19または請求項20記載の受信処理装置。 The computing resource is an amount of working memory for receiving processing;
21. The reception processing apparatus according to claim 19 or 20, wherein:
を特徴とする請求項13〜請求項23のいずれか1項に記載の受信処理装置。 The security protocol is IPsec;
The reception processing apparatus according to any one of claims 13 to 23.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004176815A JP2006005425A (en) | 2004-06-15 | 2004-06-15 | Reception method of encrypted packet and reception processor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004176815A JP2006005425A (en) | 2004-06-15 | 2004-06-15 | Reception method of encrypted packet and reception processor |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006005425A true JP2006005425A (en) | 2006-01-05 |
Family
ID=35773470
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004176815A Pending JP2006005425A (en) | 2004-06-15 | 2004-06-15 | Reception method of encrypted packet and reception processor |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006005425A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009159231A (en) * | 2007-12-26 | 2009-07-16 | Fujitsu Ltd | Test device measurement system |
JP2009538015A (en) * | 2006-05-19 | 2009-10-29 | エアバス フランス | Message receiving device, in particular message receiving device in data secure communication, aircraft and method related thereto |
JP2010187327A (en) * | 2009-02-13 | 2010-08-26 | Sii Network Systems Kk | Packet communication apparatus, method and program |
JP2010273225A (en) * | 2009-05-22 | 2010-12-02 | Fujitsu Ltd | Packet transmitting/receiving system, packet transmitting/receiving apparatus, and packet transmitting/receiving method |
WO2014017532A1 (en) * | 2012-07-24 | 2014-01-30 | 横河電機株式会社 | Packet forwarding device, packet forwarding system, and packet forwarding method |
-
2004
- 2004-06-15 JP JP2004176815A patent/JP2006005425A/en active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009538015A (en) * | 2006-05-19 | 2009-10-29 | エアバス フランス | Message receiving device, in particular message receiving device in data secure communication, aircraft and method related thereto |
JP2009159231A (en) * | 2007-12-26 | 2009-07-16 | Fujitsu Ltd | Test device measurement system |
JP2010187327A (en) * | 2009-02-13 | 2010-08-26 | Sii Network Systems Kk | Packet communication apparatus, method and program |
JP2010273225A (en) * | 2009-05-22 | 2010-12-02 | Fujitsu Ltd | Packet transmitting/receiving system, packet transmitting/receiving apparatus, and packet transmitting/receiving method |
WO2014017532A1 (en) * | 2012-07-24 | 2014-01-30 | 横河電機株式会社 | Packet forwarding device, packet forwarding system, and packet forwarding method |
JP2014027350A (en) * | 2012-07-24 | 2014-02-06 | Yokogawa Electric Corp | Packet transfer device and method |
US9397994B2 (en) | 2012-07-24 | 2016-07-19 | Yokogawa Electric Corporation | Packet forwarding device, packet forwarding system, and packet forwarding method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7143282B2 (en) | Communication control scheme using proxy device and security protocol in combination | |
US8468337B2 (en) | Secure data transfer over a network | |
US7082477B1 (en) | Virtual application of features to electronic messages | |
US7003118B1 (en) | High performance IPSEC hardware accelerator for packet classification | |
WO2021037216A1 (en) | Message transmission method and device, and computer storage medium | |
US7139679B1 (en) | Method and apparatus for cryptographic protection from denial of service attacks | |
CN112491821B (en) | IPSec message forwarding method and device | |
CN110912859B (en) | Method for sending message, method for receiving message and network equipment | |
US9185130B2 (en) | Transmission apparatus, reception apparatus, communication system, transmission method, and reception method | |
KR100748698B1 (en) | Apparatus and method of packet processing in security communication system | |
US20050198498A1 (en) | System and method for performing cryptographic operations on network data | |
CN114095195B (en) | Method, network device, and non-transitory computer readable medium for adaptive control of secure socket layer proxy | |
CN115242561B (en) | Method, device and medium for fragment processing after IPSec transmission mode overrun packet | |
CN107154917B (en) | Data transmission method and server | |
CN106161386B (en) | Method and device for realizing IPsec (Internet protocol Security) shunt | |
US7564976B2 (en) | System and method for performing security operations on network data | |
US8170057B2 (en) | Communication-processing apparatus and its method | |
JP2006005425A (en) | Reception method of encrypted packet and reception processor | |
US20180227271A1 (en) | Method for transmitting information between two domains with distinct security levels | |
KR101584836B1 (en) | Network security method and apparatus | |
JP6075871B2 (en) | Network system, communication control method, communication control apparatus, and communication control program | |
CN117254976B (en) | National standard IPsec VPN realization method, device and system based on VPP and electronic equipment | |
KR100564753B1 (en) | Apparatus and method processing internet protocol security protocol in network processor | |
US20240106744A1 (en) | Securing multiprotocol label switching (mpls) payloads | |
WO2023159346A1 (en) | Communication devices and methods therein for facilitating ipsec communications |