JP2006324970A - 暗号化パケット通信システム - Google Patents

暗号化パケット通信システム Download PDF

Info

Publication number
JP2006324970A
JP2006324970A JP2005146563A JP2005146563A JP2006324970A JP 2006324970 A JP2006324970 A JP 2006324970A JP 2005146563 A JP2005146563 A JP 2005146563A JP 2005146563 A JP2005146563 A JP 2005146563A JP 2006324970 A JP2006324970 A JP 2006324970A
Authority
JP
Japan
Prior art keywords
packet
protection window
replay protection
replay
sequence number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005146563A
Other languages
English (en)
Inventor
Tatsuya Inagaki
達也 稲垣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2005146563A priority Critical patent/JP2006324970A/ja
Publication of JP2006324970A publication Critical patent/JP2006324970A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 パケット落ち検出負荷をできるだけ低減できる暗号化パケット通信システムを提供することを目的とする。
【解決手段】 端末間でESPを用いて通信を行う暗号化パケット通信システム(100)において、受信装置(101)のリプレイ防御ウィンドウステータス報告部(104)はリプレイ防御ウィンドウ(RPW)のウィンドウを移動する際にリプレイ防御ウィンドウのスコープから外れるシーケンス番号に対応するパケットを受信していない場合は受信していないパケット数をリプレイ防御ウィンドウステータス報告(R)として通知し、送信装置(111)のESPパケット送信レート調節部(113)はリプレイ防御ウィンドウステータス報告(R)に応答してESPパケットの送信レートを調整する。
【選択図】 図1

Description

本発明は、端末間で交換される平文パケットを暗号化パケットとして送受信しあう暗号化パケット通信システムに関する。
セキュリティ・パケット通信プロトコルIPSecの通信プロトコルであるESP(Encapsulate Security Paylord)を用いてセキュアな伝送路を確立し、データを送受信するアプリケーションにおいて、映像データを流す際などには高いレートで通信が行われている。
特開平10−285565号公報 特開2000−22684号公報
上述のように、映像データなどを高いレートで通信する際に、さらにセキュアな伝送を処理するための負荷がかかる場合には伝送路上や暗号化、復号化の処理に時間がかかりパケット落ちが生じてしまう可能性がある。パケット落ちが生じてしまう場合に、送信側で送信レートを調整してパケット落ちを防止する必要がある。送信側で送信レートを調整するためには、受信側でのパケット落ち発生を送信側に報告してやる必要がある。そのため、受信装置において、パケット落ちの検出および報告の機能を別途設ける必要があり。装置の複雑化、コストの増大、および必要リソースの増大を招く。よって、本発明は、パケット落ち検出負荷をできるだけ低減できる暗号化パケット通信システムを提供することを目的とする。
端末間でESPを用いて通信を行う暗号化パケット通信システムであって、
受信装置は、リプレイ防御ウィンドウのウィンドウを移動する際にリプレイ防御ウィンドウのスコープから外れるシーケンス番号に対応するパケットを受信していない場合は受信していないパケット数をリプレイ防御ウィンドウステータス報告として送信装置を通知するリプレイ防御ウィンドウステータス報告手段を備え、
送信装置は、前記リプレイ防御ウィンドウステータス報告に応答して、ESPパケットの送信レートを増減させるESPパケット送信レート調節手段を備える。
本発明にかかる暗号化パケット通信システムにおいては、パケット落ち検出機能を新たに付け加えなくてもESPプロトコルにおけるパケット落ちを検出することができる。
図面を参照して、本発明の実施の形態について詳述する前に、本発明における暗号化パケット通信システムにおけるパケット落ち検出およびレート調整の方法ついて説明する。先ず、本発明においては、受信装置おけるパケット落ちの検出および報告に要する負荷を低減する手段として、ESPプロトコルにおけるリプレイ防御ウィンドウ機能を利用する。
つまり、ESPプロトコルにおいては、各パケットに32ビットのシーケンス番号を指定するフィールドがある。送信側はパケットを送信する毎にシーケンス番号を1ずつ増加させる。受信側では、受信したシーケンス番号の最大値から、最大値より所定数α(α=32〜)だけ小さいシーケンス番号を持つパケットをそれぞれ受信したかどうかを記憶するリプレイ防御ウィンドウを持っている。
よって、新たに受信したESPパケットのシーケンス番号が既に受信しているパケットのシーケンス番号の最大値よりも小さい場合は、リプレイ防御ウィンドウを調べる。そして、該当するシーケンス番号を持つパケットを既に受信しているかを確認し、既に受信している場合にはリプレイ攻撃と見なして、新たな受信したパケットを破棄する。また、新たに受信したパケットのシーケンス番号が現在までに受信したシーケンス番号の最大値よりも大きな場合には、リプレイ防御ウィンドウを移動させる。
この場合、リプレイ防御ウィンドウを移動する際にリプレイ防御ウィンドウのスコープから外れる値の小さいシーケンス番号に対しては今後パケットを受信してもパケットを無視することになる。よって、このリプレイウィンドウを移動する際にリプレイ防御ウィンドウのスコープから外れる値の小さいシーケンス番号においてパケットを受信していないシーケンス番号があれば、それをパケット落ちとして検出して送信側にパケット落ちを報告することができる。
このように、本発明においてはリプレイ防御ウィンドウを移動する際にリプレイ防御ウィンドウのスコープから外れる値の小さなシーケンス番号に関してパケットを受信していないシーケンス番号があれば受信側は送信側にその数を報告するリプレイ防御ウィンドウステータス報告手段を持ち、送信側は受信側からのリプレイ防御ウィンドウステータス報告手段からの報告により送信データの送信レートを調節するESPパケット送信レート調節手段を持つことを特徴とする。
以下に、図面を参照して、本発明の実施の形態について、本発明の特徴である受信側におけるパケット落ち検出および、送信側へのパケット落ち報告に関して、重点的に説明する。図1に示すように、暗号通信システム100は、EPS送信を行う送信装置111およびEPS受信を行う受信装置101を含む。受信装置101は、IPSecプロトコル処理部102とリプレイ防御ウィンドウステータス報告部104を含む。さらに、IPSecプロトコル処理部102は、リプレイ防御ウィンドウ制御部103を含む。
リプレイ防御ウィンドウ制御部103は、後述するリプレイ防御ウィンドウ(図3)をスライドする際にリプレイ防御ウィンドウからスコープ外となるシーケンス番号に対して、該当するシーケンス番号に対するパケットを受信していない場合にはそのシーケンス番号の数をカウントして、リプレイ防御ウィンドウステータス報告部104に通知する。
リプレイ防御ウィンドウステータス報告部104はリプレイ防御ウィンドウ制御部103から受信していないシーケンス番号が検出されたと報告された際には、リモートの送信装置111に対してリプレイ防御ウィンドウステータス報告Rを送信する。送信装置111は、リプレイ防御ウィンドウステータスRを受信すると、ESPパケット送信レート調節部113に報告してESPプロトコルの送信レートを低下させて、ESPプロトコルのパケット落ちを避けるようにする。
図2に、ESPプロトコルにおけるEPSヘッダの構造を示す。ESPヘッダは、32ビットのシーケンス番号フィールド202を有する。シーケンス番号フィールド202は、リプレイ攻撃に対する防御をするための仕組みであり、シーケンス番号フィールド202にはデータを送信する毎に送信装置111によって、1から1ずつ増やした番号がセットされる。受信装置101は、以下に述べるようにして、リプレイ防御ウィンドウを用いてシーケンス番号を処理する。
図3を参照して、リプレイ防御ウィンドウ制御部103の動作について説明する。なお、リプレイ防御ウィンドウRPWは、32ビット以上のビットマスクとなっている。リプレイ防御ウィンドウRPWのビット位置はシーケンス番号と対応しており、最近到着したIPパケットのシーケンス番号の最大値が一番右側のビット位置に対応する。受信したパケットのシーケンス番号に対応するビットは1となり、受信していないシーケンス番号に対応するビットは0となる。
図3の上段に、サイズが32ビットで、シーケンス番号47のパケットが到着した状態のリプレイ防御ウィンドウRPW1が例示されている。同例においては、シーケンス番号16のパケットとシーケンス番号32のパケットは、受信装置101に到着していない。ここでシーケンス番号16またはシーケンス番号32のパケットが受信装置101に到着した際には正常に受信される。しかしながら、シーケンス番号36やシーケンス番号40など既にビットマスクが1となっているシーケンス番号に対応するパケットは到着しても、受信装置101において破棄される。同様に、既にリプレイ防御ウィンドウRPWの範囲外のシーケンス番号10やシーケンス番号12のパケットは、受信装置101は受信しても破棄する。
図3の下段に、シーケンス番号50番のパケットが到着した際のリプレイ防御ウィンドウRPW2を例示する。シーケンス番号50番のパケットが到着すると、リプレイ防御ウィンドウRPW1は3つ右へ移動してリプレイ防御ウィンドウRPW2となる。リプレイ防御ウィンドウRPW1もリプレイ防御ウィンドウRPW2も同じリプレイ防御ウィンドウRPWであり、状態が異なるだけである。
リプレイ防御ウィンドウRPW2においては、シーケンス番号16のフィールドはリプレイ防御ウィンドウRPWの範囲外となってしまい、今後シーケンス番号16のパケットが到着しても、受信装置101は受信せずに破棄する。シーケンス番号が32、48、および49のパケットは今後到着すれば受信することができる。
このように、受信装置101のリプレイ防御ウィンドウRPWが移動する際に、そのスコープから外れるシーケンス番号のビットマスクが0であるか、1であるかをモニタすることにより、本来リプレイ攻撃対処用のシーケンス番号の仕組みを利用することによって、パケットの欠落をモニタすることができる。受信装置101は、リプレイ防御ウィンドウRPWが移動する際に、リプレイ防御ウィンドウRPWのスコープ外となるビットマスクが0であるビットがある場合にはリプレイ防御ウィンドウステータス報告部104にビット数を報告する。そして、リプレイ防御ウィンドウステータス報告部104はリモートのESPパケット送信装置111に対して、リプレイ防御ウィンドウステータス報告Rを送信して、パケット落ちの数を送信する。
一方、送信装置111は、リプレイ防御ウィンドウステータス報告部104からのパケット落ちの報告(リプレイ防御ウィンドウステータス報告R)を受信すると、ESPパケット送信レート調節部113に送信レートを下げるように指示をして送信レートを落す。なお、送信装置111はリプレイ防御ウィンドウステータス報告部104からのパケット落ちの報告(リプレイ制御ウィンドウステータス報告R)を受信しなかった場合、ないし、リプレイ制御ウィンドウステータス報告Rにより報告されたパケット落ち数が少なかった場合に送信レートを上げることにより、送信レートを最適に調整することができる。
上述の如く構成することによって、本発明にかかる暗号化パケット通信システムにおいては、本来リプレイ攻撃を防御する仕組みであるリプレイ攻撃防御ウィンドウを利用することにより、パケット落ちの検知をすることができ、ESPパケットを送信するESPパケット送信装置にリプレイ防御ウィンドウステータス報告にて報告することにより送信レートを調節する仕組みを実現できる。つまり、従来の受信装置において別途設けられていたパケット落ちの検出および報告の機能が不要となり、装置の複雑化、コストの増大、および必要リソースの増大を防止できる。
端末間で交換される平文パケットを暗号化パケットとして送受しあう暗号化パケット通信システム等に利用できる。
本発明の実施の形態に係る暗号化パケット通信システムの構成を示すブロック図 ESPヘッダの構造の説明図 本発明の実施の形態に係る暗号化パケット通信システムにおけるリプレイ防御ウィンドウの挙動の説明図
符号の説明
100 暗号通信システム
101 受信装置
102 IPSecプロトコル処理部
103 リプレイ防御ウィンドウ制御部
104 リプレイ防御ウィンドウステータス報告部
111 送信装置
112 IPSecプロトコル処理部
113 ESPパケット送信レート調節部



Claims (1)

  1. 端末間でESPを用いて通信を行う暗号化パケット通信システムであって、
    受信装置は、リプレイ防御ウィンドウのウィンドウを移動する際にリプレイ防御ウィンドウのスコープから外れるシーケンス番号に対応するパケットを受信していない場合は受信していないパケット数をリプレイ防御ウィンドウステータス報告として送信装置に通知するリプレイ防御ウィンドウステータス報告手段を備え、
    送信装置は、前記リプレイ防御ウィンドウステータス報告に応答して、ESPパケットの送信レートを増減させるESPパケット送信レート調節手段を備える暗号化パケット通信システム。
JP2005146563A 2005-05-19 2005-05-19 暗号化パケット通信システム Pending JP2006324970A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005146563A JP2006324970A (ja) 2005-05-19 2005-05-19 暗号化パケット通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005146563A JP2006324970A (ja) 2005-05-19 2005-05-19 暗号化パケット通信システム

Publications (1)

Publication Number Publication Date
JP2006324970A true JP2006324970A (ja) 2006-11-30

Family

ID=37544311

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005146563A Pending JP2006324970A (ja) 2005-05-19 2005-05-19 暗号化パケット通信システム

Country Status (1)

Country Link
JP (1) JP2006324970A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009538015A (ja) * 2006-05-19 2009-10-29 エアバス フランス メッセージ受信装置、特にデータの安全化交信におけるメッセージ受信装置、これに関連した航空機及び方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009538015A (ja) * 2006-05-19 2009-10-29 エアバス フランス メッセージ受信装置、特にデータの安全化交信におけるメッセージ受信装置、これに関連した航空機及び方法

Similar Documents

Publication Publication Date Title
EP2243302B1 (en) Method and nodes for congestion notification
JP5456203B2 (ja) 通信ネットワークにおける輻輳処理
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US20080101609A1 (en) Method and apparatus for handling protocol error in a wireless communications system
EP3186912B1 (en) Method and apparatus for handling packet loss in mobile communication network
US9055108B2 (en) Method for increasing performance in encapsulation of TCP/IP packets into HTTP in network communication system
US10469530B2 (en) Communications methods, systems and apparatus for protecting against denial of service attacks
CN107196816B (zh) 异常流量检测方法、系统及网络分析设备
US10554558B2 (en) Data diode device
US20190238402A1 (en) System for testing ethernet paths and links without impacting non-test traffic
US20080095150A1 (en) Method and system for mitigating traffic congestions in a communication network
US20170141989A1 (en) In-line tool performance monitoring and adaptive packet routing
Kim et al. Congestion control for coded transport layers
CN107154917B (zh) 数据传输方法及服务器
US20080101608A1 (en) Method and apparatus for handling protocol error in a wireless communications system
Harada et al. Quick suppression of ddos attacks by frame priority control in iot backhaul with construction of mirai-based attacks
US9585014B2 (en) Fast recovery from ciphering key mismatch
JP2006324970A (ja) 暗号化パケット通信システム
EP3222014B1 (en) Active queue management for a wireless communication network
JP2007081678A (ja) データ中継装置及びデータ中継方法
WO2019035488A1 (ja) 制御装置、通信システム、制御方法及びコンピュータプログラム
Gupta et al. Stealthy off-target coupled-control-plane jamming
JP4152404B2 (ja) リアルタイムパケットの揺らぎを補う無線伝送装置および方法
Leccadito et al. Investigating encrypted ieee 802.15. 4 and digimesh communications for small unmanned systems
JP2008193324A (ja) ネットワーク中継装置