JP2007194815A - Security communication device and sequence number managing method - Google Patents

Security communication device and sequence number managing method Download PDF

Info

Publication number
JP2007194815A
JP2007194815A JP2006009828A JP2006009828A JP2007194815A JP 2007194815 A JP2007194815 A JP 2007194815A JP 2006009828 A JP2006009828 A JP 2006009828A JP 2006009828 A JP2006009828 A JP 2006009828A JP 2007194815 A JP2007194815 A JP 2007194815A
Authority
JP
Japan
Prior art keywords
sequence number
standby
packet
active
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006009828A
Other languages
Japanese (ja)
Other versions
JP4645839B2 (en
Inventor
Shiro Saito
史朗 齊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006009828A priority Critical patent/JP4645839B2/en
Publication of JP2007194815A publication Critical patent/JP2007194815A/en
Application granted granted Critical
Publication of JP4645839B2 publication Critical patent/JP4645839B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a security communication device capable of excellently performing switching of dual configurations of a security function through easy processing. <P>SOLUTION: An in-operation device 21 imparts a sequence number showing transmission order to a packet encrypted by the security function and transmits them to an opposite device 12 and then reports a sequence number to be imparted to a standby system 22 at prescribed time intervals. The standby device 21 when taking over the security function of the in-operation device 21 obtains a value by adding a prescribed value to the sequence number reported from the in-operation device 21 as an initial value of sequence numbers and starts imparting the sequence numbers to packets to be sent to the opposite device 12. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、セキュリティ機能の構成を2重化したセキュリティ通信装置に関する。   The present invention relates to a security communication apparatus in which a security function configuration is duplicated.

インターネットに代表されるネットワークを介した通信では盗聴や攻撃に対する防御手段としてセキュリティ技術が用いられる。この種のセキュリティ技術としてIPセキュリティ(IPsec)が知られている。   In communication via a network typified by the Internet, security technology is used as a defense against eavesdropping and attacks. IP security (IPsec) is known as this type of security technology.

IPsecを用いた通信システムでは、IPsecを終端して暗号化IPパケットと非暗号化IPパケットの相互変換を行なう装置(IPsec終端装置)が用いられる。IPsec終端装置は、同じくIPsecを終端する対向装置との間にIPsecトンネルを確立し、IPsecトンネルを通じて暗号化IPパケットを送受信する。通信システムの信頼性に対する要求が高い企業等では、このIPsec終端装置を2重化することが要求される場合がある。   In a communication system using IPsec, an apparatus (IPsec termination apparatus) that terminates IPsec and performs mutual conversion between an encrypted IP packet and an unencrypted IP packet is used. The IPsec terminator establishes an IPsec tunnel with the opposite device that also terminates IPsec, and transmits and receives encrypted IP packets through the IPsec tunnel. In companies and the like that have high demands on the reliability of a communication system, it may be required to duplicate this IPsec termination device.

図7は、従来のIPsec終端装置の構成を示すブロック図である。図7に示す従来のIPsec終端装置81は2重化されており、運用系装置91と予備系装置92を有している。運用系装置91および予備系装置92の各々は、一方でLANのようなIP網83と接続され、他方でIPsecトンネル86を介して対向装置82と接続されている。   FIG. 7 is a block diagram showing a configuration of a conventional IPsec terminator. The conventional IPsec terminator 81 shown in FIG. 7 is duplicated, and has an active device 91 and a standby device 92. Each of the active system device 91 and the standby system device 92 is connected to an IP network 83 such as a LAN on the one hand, and is connected to the opposite device 82 via an IPsec tunnel 86 on the other hand.

IPsec終端装置81は、非暗号化IPパケット88と暗号化IPパケット87の相互変換を行い、IPsecトンネル86上では暗号化パケット87を送受信し、IP網83に接続されたLANケーブル85上では非暗号化IPパケット88を送受信する。ここではIPsecトンネル86はレイヤ2スイッチ(L2SW)84を経由する経路に確立されている。   The IPsec terminator 81 performs mutual conversion between the unencrypted IP packet 88 and the encrypted IP packet 87, transmits / receives the encrypted packet 87 on the IPsec tunnel 86, and does not transmit it on the LAN cable 85 connected to the IP network 83. The encrypted IP packet 88 is transmitted / received. Here, the IPsec tunnel 86 is established on a route passing through the layer 2 switch (L2SW) 84.

IPsec終端装置81において、運用系装置91と予備系装置92は互いに独立した構成であり、それぞれが対向装置82との間でIPsecトンネル86を確立して暗号化IPパケットの送受信することができる。   In the IPsec termination apparatus 81, the active system apparatus 91 and the standby system apparatus 92 are configured independently of each other, and each can establish an IPsec tunnel 86 with the opposite apparatus 82 and transmit / receive encrypted IP packets.

IPsec終端装置81は、運用系装置91が動作可能な状態では、運用系装置91がIPsecを終端してIPパケットを変換するIPsecの処理を行なう。運用系装置91が故障等により動作不可能になると、予備系装置92が運用系装置91のIPsec処理を引き継いで実行する。   In a state where the active device 91 is operable, the IPsec terminating device 81 performs an IPsec process in which the active device 91 terminates IPsec and converts an IP packet. When the active device 91 becomes inoperable due to a failure or the like, the standby device 92 takes over the IPsec processing of the active device 91 and executes it.

運用系装置91または予備系装置92は、IPsec処理として、IP網83から受信した非暗号化IPパケット88を暗号化し、暗号化IPパケット87として対向装置82に送信する。非暗号化IPパケット88を暗号化する際、運用系装置91または予備系装置92は暗号化IPパケット87のヘッダに32ビットのシーケンスナンバーを付与する。シーケンスナンバーは、暗号化IPパケット毎に+1される値である。   The active device 91 or the standby device 92 encrypts the unencrypted IP packet 88 received from the IP network 83 as an IPsec process, and transmits the encrypted IP packet 87 to the opposite device 82. When the unencrypted IP packet 88 is encrypted, the active device 91 or the standby device 92 assigns a 32-bit sequence number to the header of the encrypted IP packet 87. The sequence number is a value incremented by 1 for each encrypted IP packet.

対向装置82もIPsecを終端する機能を有しており、暗号化IPパケット87を受信すると、そのヘッダにあるシーケンスナンバーをチェックし、1つ前に受信した暗号化IPパケット87のシーケンスナンバーより所定値以上小さければリプレイ攻撃であると判断する。リプレイ攻撃とは、悪意者が盗聴したIPパケットを保存しておき、そのIPパケットのコピーを送信してくる攻撃である。例えば、商品注文のIPパケットを盗聴し、そのコピーを送信することにより不正な発注をする場合が想定される。   The opposite device 82 also has a function of terminating IPsec. When the encrypted IP packet 87 is received, the sequence number in the header is checked, and a predetermined number is determined based on the sequence number of the encrypted IP packet 87 received immediately before. If it is smaller than the value, it is determined that the attack is a replay attack. A replay attack is an attack in which an IP packet eavesdropped by a Service-to-Self is stored and a copy of the IP packet is transmitted. For example, it is assumed that an illegal order is placed by eavesdropping on an IP packet of a product order and transmitting a copy thereof.

対向装置82は、リプレイ攻撃と判断した暗号化IPパケット87を破棄する。このシーケンスナンバーの付与およびチェックの機能によりリプレイ攻撃による被害を防ぐことができる。   The opposing device 82 discards the encrypted IP packet 87 determined to be a replay attack. Damage due to replay attacks can be prevented by the function of assigning and checking the sequence number.

また、運用系装置91または予備系装置92は、IPsec処理として、対向装置82から受信した暗号化IPパケット87を非暗号化IPパケット88に復号し、その非暗号化IPパケット88をIP網83へ送信する。その際、上述した対向装置82と同様に、運用系装置91または予備系装置92は、受信した暗号化IPパケット87のシーケンスナンバーを確認し、1つ前に受信した暗号化パケット87のシーケンスナンバーより所定値以上小さければ、その暗号化IPパケットを破棄する。   In addition, the active device 91 or the standby device 92 decrypts the encrypted IP packet 87 received from the opposite device 82 into an unencrypted IP packet 88 as an IPsec process, and the unencrypted IP packet 88 is transferred to the IP network 83. Send to. At this time, like the above-described opposite device 82, the active device 91 or the standby device 92 confirms the sequence number of the received encrypted IP packet 87, and the sequence number of the encrypted packet 87 received immediately before. If it is smaller than the predetermined value, the encrypted IP packet is discarded.

また、運用系装置91は、IPsec処理を実行している間、送信暗号化IPパケットに付与するシーケンスナンバーをカウントしており、定期的にそのカウント値を予備系装置92に通知する。予備系装置92は、運用系装置91から通知されたシーケンスナンバーを格納しており、運用系装置91のIPsec処理を引き継ぐとき、そのシーケンスナンバーから暗号化IPパケット87に付与し始める。   Further, the active device 91 counts the sequence number to be added to the transmission encrypted IP packet during the IPsec processing, and periodically notifies the standby device 92 of the count value. The standby device 92 stores the sequence number notified from the active device 91. When the standby device 92 takes over the IPsec processing of the active device 91, the standby device 92 starts to assign the encrypted IP packet 87 from the sequence number.

次に他の従来例について説明する。特許文献1に開示された例は、上述したIPsec終端装置とはシーケンスナンバー管理の方法が異なる。本従来例は、シーケンスナンバーをチェックする側の装置において、シーケンスナンバーを通信相手となる装置毎に管理するものである。これによれば、シーケンスナンバーを付与する側の運用系装置が故障し、予備系装置に切り替わったとき、シーケンスナンバーをチェックする側の装置は予備系装置に関して管理しているシーケンスナンバーでチェックを開始することとなる。
特開2004−328563号公報 Next, another conventional example will be described. The example disclosed in Patent Document 1 is different from the above-described IPsec terminator in the sequence number management method. In this conventional example, a sequence number is managed for each device that is a communication partner in a device that checks the sequence number. According to this, when the active device that gives the sequence number fails and switches to the standby device, the device that checks the sequence number starts checking with the sequence number managed for the standby device. Will be.
JP 2004-328563 A

図8は、図7に示した従来のIPsec終端装置の動作を説明するためのシーケンス図である。図8を参照すると、動作可能な状態の運用系装置91はシーケンスナンバーを付与した暗号化IPパケットを対向装置82に送信している。シーケンスナンバーは、暗号化パケット毎に+1されている。運用系装置91は、送信暗号化IPパケットに付与するシーケンスナンバーをカウントして管理している。   FIG. 8 is a sequence diagram for explaining the operation of the conventional IPsec terminator shown in FIG. Referring to FIG. 8, the operational apparatus 91 in an operable state transmits an encrypted IP packet to which a sequence number is assigned to the opposite apparatus 82. The sequence number is incremented by 1 for each encrypted packet. The active device 91 counts and manages the sequence number assigned to the transmission encrypted IP packet.

また、運用系装置91は、カウントして管理しているシーケンスナンバーを定期的に予備系装置92に通知する。図8では通知周期がT秒である。   In addition, the active system device 91 periodically notifies the standby system device 92 of the sequence numbers that are counted and managed. In FIG. 8, the notification cycle is T seconds.

運用系装置91は、シーケンスナンバー=4の暗号化IPパケットを対向装置82に送信した後、シーケンスナンバーのカウント値=5を予備系装置92に通知している。また、シーケンスナンバー=7の暗号化IPパケットを対向装置82に送信した後、運用系装置91は、シーケンスナンバーのカウント値=8を予備系装置92に通知している。   The active device 91 transmits the encrypted IP packet having the sequence number = 4 to the opposite device 82 and then notifies the standby device 92 of the sequence number count value = 5. In addition, after transmitting the encrypted IP packet with the sequence number = 7 to the opposite device 82, the active device 91 notifies the standby device 92 of the sequence number count value = 8.

予備系装置92は、運用系装置91から通知されたシーケンスナンバーのカウント値を保持している。   The standby system device 92 holds the sequence number count value notified from the active system device 91.

ここで、運用系装置91がシーケンスナンバー=11の暗号化IPパケットを送信した後に故障したとする。その故障の発生を契機に、予備系装置92がIPsec処理を引き継ぎ、保持していたシーケンスナンバー=8を使用して暗号化IPパケットを対向装置82に送信する。   Here, it is assumed that the active apparatus 91 has failed after transmitting the encrypted IP packet with the sequence number = 11. When the failure occurs, the standby apparatus 92 takes over the IPsec process, and transmits the encrypted IP packet to the opposite apparatus 82 using the retained sequence number = 8.

対向装置102では、シーケンスナンバー=11の暗号化IPパケットの次にシーケンスナンバー=8の暗号化IPパケットを受信することとなり、そのためシーケンスナンバー=8の暗号化IPパケットをリプライ攻撃と判断して破棄する。その結果、予備系装置82は、運用系装置81の故障時にその通信を正常に継続できないこととなる。   The opposite apparatus 102 receives the encrypted IP packet with the sequence number = 8 next to the encrypted IP packet with the sequence number = 11. Therefore, the encrypted IP packet with the sequence number = 8 is judged as a reply attack and discarded. To do. As a result, the standby system device 82 cannot normally continue its communication when the operational system device 81 fails.

図9は、図7に示した従来のIPsec終端装置の他の動作を説明するためのシーケンス図である。図8に示した問題の対策として、運用系装置91が暗号化IPパケットを対向装置82に送信する毎に、予備系装置92にシーケンスナンバーのカウント値を通知することとすればよい。   FIG. 9 is a sequence diagram for explaining another operation of the conventional IPsec terminator shown in FIG. As a countermeasure against the problem shown in FIG. 8, every time the active device 91 transmits the encrypted IP packet to the opposite device 82, the standby device 92 may be notified of the sequence number count value.

図9を参照すると、運用系装置91は、暗号化IPパケットを対向装置82に送信する毎に、予備系装置92にシーケンスナンバーのカウント値を通知している。そして、シーケンスナンバー=8の暗号化IPパケットを対向装置82に送信し、シーケンスナンバーのカウント値=9を予備系装置92に通知した後、運用系装置81に故障が発生している。そのとき、予備系装置92は、保持していたシーケンスナンバー=9を使用して暗号化IPパケットを対向装置82に送信する。これにより、予備系装置82は、運用系装置81のIPsec処理を継続させることができる。   Referring to FIG. 9, every time the active system device 91 transmits the encrypted IP packet to the opposite device 82, it notifies the standby system device 92 of the sequence number count value. Then, the encrypted IP packet with the sequence number = 8 is transmitted to the opposite device 82 and the standby device 92 is notified of the sequence number count value = 9, and then a failure has occurred in the operational system device 81. At that time, the standby apparatus 92 transmits the encrypted IP packet to the opposite apparatus 82 using the sequence number = 9 that is held. Thereby, the standby system device 82 can continue the IPsec processing of the active system device 81.

しかし、実際のIPsec終端装置が終端すべきIPsecのトンネル数は数千から数万という数である。そのため、運用系装置81が暗号化IPパケットを対向装置82に送信する毎に、運用系装置81から予備系装置92にシーケンスナンバーのカウント値を通知するのは非常に重たい処理であり実現が困難である。   However, the number of IPsec tunnels that an actual IPsec termination apparatus should terminate is from several thousands to several tens of thousands. Therefore, every time the active device 81 transmits the encrypted IP packet to the opposite device 82, it is very heavy processing and difficult to realize that the count value of the sequence number is notified from the active device 81 to the standby device 92. It is.

一方、特許文献1に開示されたシーケンスナンバー管理の方法によれば、シーケンスナンバーを付与する側の運用系装置が故障し、予備系装置に切り替わったとき、シーケンスナンバーをチェックする側の装置は予備系装置に関して管理しているシーケンスナンバーでチェックを開始することとなる。そのため暗号化IPパケットを不必要に破棄してしまうことがなくなる。   On the other hand, according to the sequence number management method disclosed in Patent Document 1, when the operating system apparatus that gives the sequence number fails and is switched to the standby system apparatus, the apparatus that checks the sequence number is in the standby state. The check is started with the sequence number managed for the system device. Therefore, the encrypted IP packet is not unnecessarily discarded.

しかし、この方法では、チェック側の装置は、送信側の運用系装置と予備系装置のそれぞれについてシーケンスナンバーを管理する必要があり管理情報のサイズが大きくなる。また、運用系装置から予備系装置への切り替えをチェック側の装置と同期して行なうために生存監視の処理が必要となる。また、例えばタイマを用いて生存監視をするとすれば、故障検知に時間がかかることとなる。   However, in this method, it is necessary for the check-side device to manage the sequence number for each of the transmission-side active device and the standby device, which increases the size of the management information. In addition, in order to perform switching from the active system device to the standby system device in synchronization with the check side device, a survival monitoring process is required. For example, if survival monitoring is performed using a timer, it takes time to detect a failure.

本発明の目的は、セキュリティ機能の2重化構成における切り替えを容易な処理で良好に行なうことのできるセキュリティ通信装置を提供することである。   An object of the present invention is to provide a security communication device that can satisfactorily perform switching in a duplex configuration of security functions with easy processing.

上記目的を達成するために、本発明のセキュリティ通信装置は、運用系と予備系を備えた冗長構成によりセキュリティ機能を提供するセキュリティ通信装置であって、
セキュリティ機能により暗号化したパケットに送信順序を示すシーケンスナンバーを付与して対向装置に送信し、次に付与すべきシーケンスナンバーを所定の時間間隔で予備系に通知する運用系装置と、
前記運用系装置のセキュリティ機能を引き継ぐとき、該運用系装置から通知された、前記シーケンスナンバーに所定値を加算した値を、シーケンスナンバーの初期値として、前記対向装置に送信するパケットへの付与を開始する予備系装置とを有している。 In order to achieve the above object, a security communication device of the present invention is a security communication device that provides a security function with a redundant configuration including an active system and a standby system,
An operational device that gives a sequence number indicating the transmission order to the packet encrypted by the security function and transmits it to the opposite device, and notifies the standby system of a sequence number to be assigned next at a predetermined time interval;
When taking over the security function of the active device, a value obtained by adding a predetermined value to the sequence number notified from the active device is used as an initial value of the sequence number, and attached to the packet to be transmitted to the opposite device. And a standby system device to start.

本発明によれば、運用系装置から予備系装置に、次に付与すべきシーケンスナンバーを通知し、予備系装置は、処理を引き継ぐとき、通知されたシーケンスナンバーに所定値を加算した値を初期値として用いる。そのため、運用系装置から予備系装置にシーケンスナンバーを頻繁に通知しなくても、対向装置にてパケットを誤って廃棄してしまうことがなく、その結果、大きな記憶容量や重たい処理を要することなく、セキュリティ機能の2重化構成における良好な切り替えによる通信の継続が可能なセキュリティ通信装置を提供することができる。   According to the present invention, the active system device notifies the standby system device of the sequence number to be assigned next, and when the standby system takes over the process, the initial value is obtained by adding a predetermined value to the notified sequence number. Use as a value. Therefore, even if the active device does not frequently notify the standby device of the sequence number, the opposite device will not accidentally discard the packet, and as a result, large storage capacity and heavy processing are not required. Thus, it is possible to provide a security communication device capable of continuing communication by good switching in a duplex configuration of security functions.

また、セキュリティ機能を提供する系となった前記運用系装置または前記予備系装置は、前記対向装置から受信したパケットに付与されているシーケンスナンバーが1つ前に受信したパケットのシーケンスナンバーより所定の閾値以上小さいとき、前記対向装置から受信した該パケットを廃棄し、前記対向装置から受信したパケットに付与されているシーケンスナンバーが1つ前に受信したパケットのシーケンスナンバーより所定の閾値以上小さくないとき、前記対向装置から受信した該パケットを取得することとしてもよい。   In addition, the active device or the standby device that has become a system that provides a security function has a sequence number assigned to a packet received from the opposite device that is a predetermined number from the sequence number of the packet that was previously received. When the packet received from the opposite device is discarded when the threshold is smaller than the threshold, and the sequence number assigned to the packet received from the opposite device is not smaller than the predetermined threshold by the sequence number of the packet received one before The packet received from the opposite device may be acquired.

また、前記運用系装置は、次に付与すべきシーケンスナンバーをそのまま前記予備系装置に通知し、
前記予備系装置は、前記運用系装置から通知された前記シーケンスナンバーに前記所定値を加算して保持しておき、該運用系装置のセキュリティ機能を引き継ぐときに用いることとしてもよい。 Further, the operational system device notifies the standby system device of the sequence number to be assigned next, as it is,
The standby apparatus may add the predetermined value to the sequence number notified from the active apparatus and hold it, and use it when taking over the security function of the active apparatus.

また、前記運用系装置は、次に付与すべきシーケンスナンバーに前記所定値を加算して前記予備系装置に通知し、
前記予備系装置は、前記運用系装置から通知された、前記所定値の加算された前記シーケンスナンバーを、該運用系装置のセキュリティ機能を引き継ぐときに用いることとしてもよい。 Further, the operational system device adds the predetermined value to the sequence number to be assigned next, and notifies the standby system device,
The standby apparatus may use the sequence number notified from the active apparatus and added with the predetermined value when taking over the security function of the active apparatus.

また、前記運用系装置は、単位時間当たりに前記対向装置に送信するパケット数をカウントし、そのカウント値に基づいて、前記シーケンスナンバーに加算する前記所定値を制御することとしてもよい。   In addition, the active device may count the number of packets transmitted to the opposite device per unit time and control the predetermined value to be added to the sequence number based on the count value.

これによれば、トラヒック量に応じて加算値を適切に選択することができるので、トラヒック量が大きく変化する場合でも、対向装置にてパケットを廃棄してしまうことがない。   According to this, since the addition value can be appropriately selected according to the traffic volume, even when the traffic volume greatly changes, the opposite apparatus does not discard the packet.

本発明によれば、大きな記憶容量や重たい処理を要することなく、セキュリティ機能の2重化構成における良好な切り替えによる通信の継続が可能なセキュリティ通信装置を提供することができる。   According to the present invention, it is possible to provide a security communication device capable of continuing communication by good switching in a duplex configuration of security functions without requiring a large storage capacity or heavy processing.

本発明を実施するための形態について図面を参照して詳細に説明する。   Embodiments for carrying out the present invention will be described in detail with reference to the drawings.

図1は、本発明の実施形態によるIPsec終端装置を含むシステムの構成を示すブロック図である。図1を参照すると、IPsec終端装置11は2重化されており、運用系装置21と予備系装置22を有している。運用系装置21および予備系装置22の各々は、一方でLANのようなIP網13と接続され、他方でIPsecトンネル16を介して対向装置12と接続されている。   FIG. 1 is a block diagram showing a configuration of a system including an IPsec terminator according to an embodiment of the present invention. Referring to FIG. 1, the IPsec terminator 11 is duplexed and has an active system device 21 and a standby system device 22. Each of the active system device 21 and the standby system device 22 is connected to the IP network 13 such as a LAN on the one hand and connected to the opposing device 12 via the IPsec tunnel 16 on the other hand.

IPsec終端装置11は、非暗号化IPパケット18と暗号化IPパケット17の相互変換を行い、IPsecトンネル16上では暗号化パケット17を送受信し、IP網13に接続されたLANケーブル15上では非暗号化IPパケット18を送受信する。ここではIPsecトンネル16はレイヤ2スイッチ(L2SW)14を経由する経路に確立されている。   The IPsec terminator 11 performs mutual conversion between the unencrypted IP packet 18 and the encrypted IP packet 17, transmits / receives the encrypted packet 17 on the IPsec tunnel 16, and does not transmit it on the LAN cable 15 connected to the IP network 13. The encrypted IP packet 18 is transmitted / received. Here, the IPsec tunnel 16 is established in a route passing through the layer 2 switch (L2SW) 14.

IPsec終端装置11において、運用系装置11と予備系装置12は互いに独立した構成であり、それぞれが対向装置12との間でIPsecトンネル16を確立して暗号化IPパケットの送受信することができる。   In the IPsec termination device 11, the active device 11 and the standby device 12 are configured independently of each other, and each can establish an IPsec tunnel 16 with the opposite device 12 to transmit / receive encrypted IP packets.

IPsec終端装置11は、運用系装置21が動作可能な状態では、運用系装置21がIPsecを終端してIPパケットを変換するIPsecの処理を行なう。運用系装置21が故障等により動作不可能になると、予備系装置22が運用系装置21のIPsec処理を引き継いで実行する。   In a state where the active system device 21 is operable, the IPsec termination apparatus 11 performs an IPsec process in which the active system device 21 terminates IPsec and converts an IP packet. When the active system device 21 becomes inoperable due to a failure or the like, the standby system device 22 takes over the IPsec processing of the active system device 21 and executes it.

運用系装置21または予備系装置22は、IPsec処理として、IP網13から受信した非暗号化IPパケット18を暗号化し、暗号化IPパケット17として対向装置12に送信する。非暗号化IPパケット18を暗号化する際、運用系装置21または予備系装置22は暗号化IPパケット17のヘッダに32ビットのシーケンスナンバーを付与する。シーケンスナンバーは、暗号化IPパケット毎に+1される値である。   The active device 21 or the standby device 22 encrypts the unencrypted IP packet 18 received from the IP network 13 as an IPsec process, and transmits the encrypted IP packet 17 to the opposite device 12. When the unencrypted IP packet 18 is encrypted, the active device 21 or the standby device 22 assigns a 32-bit sequence number to the header of the encrypted IP packet 17. The sequence number is a value incremented by 1 for each encrypted IP packet.

対向装置12もIPsecを終端する機能を有しており、暗号化IPパケット17を受信すると、そのヘッダにあるシーケンスナンバーをチェックし、1つ前に受信した暗号化IPパケット17のシーケンスナンバーより所定値以上小さければリプレイ攻撃であると判断する。リプレイ攻撃とは、悪意者が盗聴したIPパケットを保存しておき、そのIPパケットのコピーを送信してくる攻撃である。例えば、商品注文のIPパケットを盗聴し、そのコピーを送信することにより不正な発注をする場合が想定される。   The opposite device 12 also has a function of terminating IPsec. When the encrypted IP packet 17 is received, the sequence number in the header is checked, and a predetermined number is determined from the sequence number of the encrypted IP packet 17 received immediately before. If it is smaller than the value, it is determined that the attack is a replay attack. A replay attack is an attack in which an IP packet eavesdropped by a Service-to-Self is stored and a copy of the IP packet is transmitted. For example, it is assumed that an illegal order is placed by eavesdropping on an IP packet of a product order and transmitting a copy thereof.

対向装置12は、リプレイ攻撃と判断した暗号化IPパケット17を破棄する。このシーケンスナンバーの付与およびチェックの機能によりリプレイ攻撃による被害を防ぐことができる。   The opposing device 12 discards the encrypted IP packet 17 determined to be a replay attack. Damage due to replay attacks can be prevented by the function of assigning and checking the sequence number.

また、運用系装置21または予備系装置22は、IPsec処理として、対向装置12から受信した暗号化IPパケット17を非暗号化IPパケット18に復号し、その非暗号化IPパケット18をIP網13へ送信する。その際、上述した対向装置12と同様に、運用系装置21または予備系装置22は、受信した暗号化IPパケット17のシーケンスナンバーを確認し、1つ前に受信した暗号化パケット17のシーケンスナンバーより所定値以上小さければ、その暗号化IPパケットを破棄する。   Further, as the IPsec processing, the active device 21 or the standby device 22 decrypts the encrypted IP packet 17 received from the opposite device 12 into the unencrypted IP packet 18, and converts the unencrypted IP packet 18 into the IP network 13. Send to. At that time, like the above-described opposite device 12, the active device 21 or the standby device 22 confirms the sequence number of the received encrypted IP packet 17 and confirms the sequence number of the encrypted packet 17 received immediately before. If it is smaller than the predetermined value, the encrypted IP packet is discarded.

また、運用系装置21は、IPsec処理を実行している間、送信暗号化IPパケットに付与するシーケンスナンバーをカウントしており、定期的にそのカウント値を予備系装置22に通知する。本実施形態では従来と異なり、予備系装置22は、運用系装置21から通知されたシーケンスナンバーに所定の値(α)を加算した修正シーケンスナンバーを格納しており、運用系装置21のIPsec処理を引き継ぐとき、その修正シーケンスナンバーから暗号化IPパケット17に付与し始める。   Further, the active system device 21 counts the sequence number assigned to the transmission encrypted IP packet during the IPsec processing, and periodically notifies the standby system device 22 of the count value. In the present embodiment, unlike the prior art, the standby system device 22 stores a modified sequence number obtained by adding a predetermined value (α) to the sequence number notified from the active system device 21, and the IPsec processing of the active system device 21. Is started to be added to the encrypted IP packet 17 from the modified sequence number.

図2は、本実施形態のIPsec終端装置の構成を示すブロック図である。図2を参照すると、IPsec終端装置11は運用系装置21と予備系装置22を有している。運用系装置21は、送信シーケンスナンバー管理部23および受信シーケンスナンバー確認部24を有している。予備系装置22は、送信シーケンスナンバー管理部25および受信シーケンスナンバー確認部26を有している。   FIG. 2 is a block diagram showing the configuration of the IPsec termination apparatus of this embodiment. Referring to FIG. 2, the IPsec terminator 11 has an active system device 21 and a standby system device 22. The active system device 21 includes a transmission sequence number management unit 23 and a reception sequence number confirmation unit 24. The standby system device 22 includes a transmission sequence number management unit 25 and a reception sequence number confirmation unit 26.

運用系装置21の送信シーケンスナンバー管理部23は、対向装置12へ送信すべき暗号化IPパケット17があると、その暗号化IPパケット17に、1つ前の暗号化IPパケット87のシーケンスナンバーに+1した値のシーケンスナンバーを付与する。   When there is an encrypted IP packet 17 to be transmitted to the opposite device 12, the transmission sequence number management unit 23 of the active system device 21 sets the encrypted IP packet 17 to the sequence number of the previous encrypted IP packet 87. A sequence number with a value of +1 is added.

また、送信シーケンスナンバー管理部23は、次の暗号化IPパケット87に付与しようとして保持しているシーケンスナンバーの値を定期的に予備系装置22に送信する。   In addition, the transmission sequence number management unit 23 periodically transmits the sequence number value held to be assigned to the next encrypted IP packet 87 to the standby system device 22.

運用系装置21がIPsec処理を行っている間、その受信シーケンスナンバー確認部24は、暗号化IPパケット17を受信すると、そのヘッダにあるシーケンスナンバーをチェックする。そのシーケンスナンバーが1つ前に受信した暗号化IPパケット17のシーケンスナンバーより所定値以上小さければ、受信シーケンスナンバー確認部24は、その暗号化IPパケット17をリプレイ攻撃によるものであると判断して破棄する。一方、そのシーケンスナンバーが1つ前に受信した暗号化IPパケット17のシーケンスナンバーより所定値以上小さいものでなければ、受信シーケンスナンバー確認部24は、その暗号化IPパケット17をリプレイ攻撃によるものでないと判断して取得する。その際、受信シーケンスナンバー確認部24は、取得した暗号化IPパケット17に付与されていたシーケンスナンバーを、次のパケットのシーケンスナンバーを確認するときに用いるために保持する。   While the active device 21 is performing the IPsec processing, when the received sequence number confirmation unit 24 receives the encrypted IP packet 17, it checks the sequence number in the header. If the sequence number is smaller than the sequence number of the previously received encrypted IP packet 17 by a predetermined value or more, the received sequence number confirmation unit 24 determines that the encrypted IP packet 17 is due to a replay attack. Discard. On the other hand, if the sequence number is not smaller than the sequence number of the encrypted IP packet 17 received immediately before by a predetermined value or more, the reception sequence number confirmation unit 24 is not caused by the replay attack. It is determined and acquired. At this time, the reception sequence number confirmation unit 24 holds the sequence number assigned to the acquired encrypted IP packet 17 for use when confirming the sequence number of the next packet.

一方、予備系装置22の送信シーケンスナンバー管理部25は、運用系装置21からシーケンスナンバーの通知を受けると、その値にαを加算して修正シーケンスナンバーとして保持する。   On the other hand, when receiving the notification of the sequence number from the active system device 21, the transmission sequence number management unit 25 of the standby system device 22 adds α to the value and holds it as a modified sequence number.

また、送信シーケンスナンバー管理部25は、運用系装置21の故障等で運用系装置21から予備系装置22への切り替えが起こると、それまで運用系装置21の送信シーケンスナンバー管理部23が行っていたIPsec処理における送信シーケンスナンバーの管理を引き継ぐ。IPsec処理を引き継いだ送信シーケンスナンバー管理部25は、対向装置12への暗号化IPパケットに対するシーケンスナンバーの付与を、保持していた修正シーケンスナンバーを初期値として、開始する。   The transmission sequence number management unit 25 performs the transmission sequence number management unit 23 of the operational system 21 until then when switching from the operational system 21 to the standby system 22 occurs due to a failure of the operational system 21 or the like. Take over the management of transmission sequence numbers in IPsec processing. The transmission sequence number management unit 25 that has taken over the IPsec processing starts giving the sequence number to the encrypted IP packet to the opposite device 12 using the retained modified sequence number as an initial value.

予備系装置22がIPsec処理を行っている間、その受信シーケンスナンバー確認部26は、暗号化IPパケット17を受信すると、そのヘッダにあるシーケンスナンバーをチェックする。そのシーケンスナンバーが1つ前に受信した暗号化IPパケット17のシーケンスナンバーより所定値以上小さければ、受信シーケンスナンバー確認部26は、その暗号化IPパケット17をリプレイ攻撃によるものであると判断して破棄する。一方、そのシーケンスナンバーが1つ前に受信した暗号化IPパケット17のシーケンスナンバーより所定値以上小さいものでなければ、受信シーケンスナンバー確認部26は、その暗号化IPパケット17をリプレイ攻撃によるものでないと判断して取得する。その際、受信シーケンスナンバー確認部26は、取得した暗号化IPパケット17に付与されていたシーケンスナンバーを、次のパケットのシーケンスナンバーを確認するときに用いるために保持する。   While the standby apparatus 22 is performing the IPsec process, when receiving the encrypted IP packet 17, the reception sequence number confirmation unit 26 checks the sequence number in the header. If the sequence number is smaller than the sequence number of the previously received encrypted IP packet 17 by a predetermined value or more, the received sequence number confirmation unit 26 determines that the encrypted IP packet 17 is due to a replay attack. Discard. On the other hand, if the sequence number is not smaller than the sequence number of the previous encrypted IP packet 17 received by the encrypted IP packet 17, the received sequence number confirmation unit 26 is not caused by the replay attack. It is determined and acquired. At this time, the reception sequence number confirmation unit 26 holds the sequence number assigned to the acquired encrypted IP packet 17 for use when confirming the sequence number of the next packet.

図3は、本実施形態によるIPsec終端装置の運用系装置の送信シーケンスナンバー管理動作を示すフローチャートである。図3を参照すると、運用系装置21の送信シーケンスナンバー管理部23は、シーケンスナンバーを予備系装置22に通知するタイミングを管理するためのタイマーをリセットし、時間計測を開始する(ステップ101)。このタイマーは、シーケンスナンバーを通知する周期Tでタイムアップとなる。   FIG. 3 is a flowchart showing the transmission sequence number management operation of the active device of the IPsec termination device according to the present embodiment. Referring to FIG. 3, the transmission sequence number management unit 23 of the active system device 21 resets a timer for managing the timing for notifying the standby system device 22 of the sequence number, and starts time measurement (step 101). This timer expires at a cycle T for notifying the sequence number.

次に、送信シーケンスナンバー管理部23は、対向装置12に送信すべき暗号化IPパケット17があるか否か判定する(ステップ102)。送信すべき暗号化IPパケット17があれば、送信シーケンスナンバー管理部23は、次に付与するために保持していたシーケンスナンバーを暗号化IPパケット17に付与して送信する(ステップ103)。そして、次に付与するためのシーケンスナンバーに+1を加算する(ステップ104)。   Next, the transmission sequence number management unit 23 determines whether there is an encrypted IP packet 17 to be transmitted to the opposite device 12 (step 102). If there is an encrypted IP packet 17 to be transmitted, the transmission sequence number management unit 23 assigns the sequence number held for the next assignment to the encrypted IP packet 17 and transmits it (step 103). Then, +1 is added to the sequence number to be assigned next (step 104).

ステップ104の後、またはステップ102の判定にて、送信すべき暗号化IPパケット17がなければ、送信シーケンスナンバー管理部23は、タイマーがタイムアウトしているか否か判定する(ステップ105)。タイムアウトしていなければ、送信シーケンスナンバー管理部23はステップ102に戻る。   If there is no encrypted IP packet 17 to be transmitted after step 104 or in the determination in step 102, the transmission sequence number management unit 23 determines whether or not the timer has timed out (step 105). If not timed out, the transmission sequence number management unit 23 returns to Step 102.

一方、タイマーがタイムアウトしていれば、送信シーケンスナンバー管理部23は、次の暗号化IPパケット17に付与するために保持しているシーケンスナンバーを予備系装置22の送信シーケンスナンバー管理部25に通知し(ステップ106)、ステップ101に戻る。   On the other hand, if the timer has timed out, the transmission sequence number management unit 23 notifies the transmission sequence number management unit 25 of the standby system device 22 of the sequence number that is held to be assigned to the next encrypted IP packet 17. (Step 106), the process returns to Step 101.

図4は、本実施形態によるIPsec終端装置の予備系装置の送信シーケンスナンバー管理動作を示すフローチャートである。図4を参照すると、予備系装置22の送信シーケンスナンバー管理部25は、まず運用系装置21の送信シーケンスナンバー管理部23からシーケンスナンバーの通知があったか否か判定する(ステップ201)。   FIG. 4 is a flowchart showing a transmission sequence number management operation of the standby system apparatus of the IPsec termination apparatus according to the present embodiment. Referring to FIG. 4, the transmission sequence number management unit 25 of the standby system device 22 first determines whether or not a sequence number is notified from the transmission sequence number management unit 23 of the active system device 21 (step 201).

シーケンスナンバーの通知があれば、送信シーケンスナンバー管理部25は、そのシーケンスナンバーにαを加算し(ステップ202)、修正シーケンスナンバーとして保持する(ステップ203)。   If there is a notification of the sequence number, the transmission sequence number management unit 25 adds α to the sequence number (step 202) and holds it as a modified sequence number (step 203).

ステップ203の後、またはステップ201の判定にてシーケンスナンバーの通知がなければ、送信シーケンスナンバー管理部25は、2重化構成の切り替え要求があるか否か判定する(ステップ204)。切り替え要求がなければ、送信シーケンスナンバー管理部25はステップ201に戻る。   After step 203 or if the sequence number is not notified in step 201, the transmission sequence number management unit 25 determines whether there is a request for switching the duplex configuration (step 204). If there is no switching request, the transmission sequence number management unit 25 returns to Step 201.

一方、切り替え要求があれば、送信シーケンスナンバー管理部25は、保持していた修正シーケンスナンバーを、暗号化IPパケット17に付与するシーケンスナンバーの初期値として、IPsec処理を開始する(ステップ205)。   On the other hand, if there is a switching request, the transmission sequence number management unit 25 starts the IPsec process using the retained modified sequence number as the initial value of the sequence number to be assigned to the encrypted IP packet 17 (step 205).

図5は、本実施形態のIPsec終端装置における運用系装置または予備系装置の受信シーケンスナンバー管理動作を示すフローチャートである。図5を参照すると、受信シーケンスナンバー確認部24または受信シーケンスナンバー確認部26は、対向装置12からの暗号化IPパケット17の受信があったか否か判定する(ステップ301)。暗号化IPパケット17の受信がなければ、受信シーケンスナンバー確認部24または受信シーケンスナンバー確認部26はステップ301の動作を繰り返す。   FIG. 5 is a flowchart showing the reception sequence number management operation of the active system apparatus or the standby system apparatus in the IPsec termination apparatus of this embodiment. Referring to FIG. 5, the reception sequence number confirmation unit 24 or the reception sequence number confirmation unit 26 determines whether or not the encrypted IP packet 17 has been received from the opposite device 12 (step 301). If the encrypted IP packet 17 is not received, the reception sequence number confirmation unit 24 or the reception sequence number confirmation unit 26 repeats the operation of step 301.

暗号化IPパケットの受信があると、受信シーケンスナンバー確認部24または受信シーケンスナンバー確認部26は、そのパケットに付与されているシーケンスナンバーが正常か否か判定する(ステップ302)。1つ前に受信した暗号化IPパケット17のシーケンスナンバーよりも所定値以上小さければ正常でないと判定し、所定値以上小さくなければ正常でないと判定する。   When the encrypted IP packet is received, the reception sequence number confirmation unit 24 or the reception sequence number confirmation unit 26 determines whether or not the sequence number given to the packet is normal (step 302). If it is smaller than a predetermined value by the sequence number of the encrypted IP packet 17 received immediately before, it is determined that it is not normal, and if it is not smaller than a predetermined value, it is determined that it is not normal.

受信シーケンスナンバーが正常であれば、受信シーケンスナンバー確認部24または受信シーケンスナンバー確認部26は、そのシーケンスナンバーを保持し(ステップ303)、その暗号化IPパケットを取り込み(ステップ304)、ステップ301に戻る。   If the reception sequence number is normal, the reception sequence number confirmation unit 24 or the reception sequence number confirmation unit 26 holds the sequence number (step 303), captures the encrypted IP packet (step 304), and proceeds to step 301. Return.

一方、受信シーケンスナンバーが正常でなければ、受信シーケンスナンバー確認部24または受信シーケンスナンバー確認部26は、その暗号化IPパケットを破棄し(ステップ305)、ステップ301に戻る。   On the other hand, if the reception sequence number is not normal, the reception sequence number confirmation unit 24 or the reception sequence number confirmation unit 26 discards the encrypted IP packet (step 305) and returns to step 301.

図6は、本実施形態によるIPsec終端装置の動作を説明するためのシーケンス図である。図6を参照すると、動作可能な状態の運用系装置21はシーケンスナンバーを付与した暗号化IPパケットを対向装置12に送信している。シーケンスナンバーは、暗号化パケット毎に+1されている。運用系装置21は、送信暗号化IPパケットに付与するシーケンスナンバーをカウントして管理している。   FIG. 6 is a sequence diagram for explaining the operation of the IPsec terminator according to the present embodiment. Referring to FIG. 6, the operational apparatus 21 in an operable state transmits an encrypted IP packet to which a sequence number is assigned to the opposite apparatus 12. The sequence number is incremented by 1 for each encrypted packet. The active device 21 counts and manages the sequence number assigned to the transmission encrypted IP packet.

また、運用系装置21は、カウントして管理しているシーケンスナンバーを定期的に予備系装置22に通知する。図6では通知周期がT秒である。   In addition, the operational system device 21 periodically notifies the standby system device 22 of the sequence numbers that are counted and managed. In FIG. 6, the notification cycle is T seconds.

運用系装置21は、シーケンスナンバー=4の暗号化IPパケットを対向装置12に送信した後、シーケンスナンバーのカウント値=5を予備系装置22に通知している。また、シーケンスナンバー=7の暗号化IPパケットを対向装置12に送信した後、運用系装置21は、シーケンスナンバーのカウント値=8を予備系装置22に通知している。   The operational system device 21 transmits the encrypted IP packet with the sequence number = 4 to the opposite device 12 and then notifies the standby system device 22 of the sequence number count value = 5. In addition, after transmitting the encrypted IP packet with the sequence number = 7 to the opposite device 12, the active device 21 notifies the standby device 22 of the sequence number count value = 8.

予備系装置22は、運用系装置21から通知されたシーケンスナンバーのカウント値に所定値α=10を加算して修正シーケンスナンバーとして保持している。αの値は、通知周期Tの間に、IPsec終端装置11が対向装置12に送信する暗号化IPパケット17の数より大きい値にしておく必要がある。そのため、周期Tと、IPsec終端装置11が対向装置12に送信する暗号化IPパケット17の最大数とから予めαの値を定めて予備系装置22に格納しておく。   The standby system device 22 adds a predetermined value α = 10 to the sequence number count value notified from the active system device 21 and holds it as a modified sequence number. The value of α needs to be set to a value larger than the number of encrypted IP packets 17 transmitted from the IPsec terminating apparatus 11 to the opposing apparatus 12 during the notification period T. Therefore, a value of α is determined in advance from the period T and the maximum number of encrypted IP packets 17 transmitted from the IPsec terminating apparatus 11 to the opposite apparatus 12, and stored in the standby apparatus 22.

ここで、運用系装置21がシーケンスナンバー=8の暗号化IPパケットを送信した後に故障したとする。その故障の発生を契機に、予備系装置22がIPsec処理を引き継ぎ、保持していた修正シーケンスナンバー18(8+10)から暗号化IPパケットに付与し始める。   Here, it is assumed that the active apparatus 21 has failed after transmitting the encrypted IP packet with the sequence number = 8. When the failure occurs, the standby apparatus 22 takes over the IPsec process and starts to assign the encrypted IP packet from the modified sequence number 18 (8 + 10) held.

対向装置12は、シーケンスナンバー=8の暗号化IPパケットの次にシーケンスナンバー=18の暗号化IPパケットを受信することとなり、正常な暗号化パケットとして受信を継続することができる。予備系装置22は、運用系装置21の故障時にその通信を正常に継続できる。   The opposite apparatus 12 receives the encrypted IP packet with the sequence number = 18 next to the encrypted IP packet with the sequence number = 8, and can continue receiving as a normal encrypted packet. The standby device 22 can normally continue its communication when the operational device 21 fails.

以上説明したように、本実施形態によれば、運用系装置21から予備系装置22に定期的に、次に付与すべきシーケンスナンバーを通知している。予備系装置22は、通知されたシーケンスナンバーに所定値αを加算して修正シーケンスナンバーを保持している。そして、予備系装置22は、IPsec処理を引き継ぐとき、保持しておいた修正シーケンスナンバーを初期値として暗号化IPパケットに付与し始める。そのため、運用系装置21から予備系装置22にシーケンスナンバーを頻繁に通知しなくても、対向装置12にて暗号化IPパケットを誤って廃棄してしまうことがなく、その結果、大きな記憶容量や重たい処理を要することなく、セキュリティ機能の2重化構成における良好な切り替えによる通信の継続が可能なIPsec終端装置を提供することができる。   As described above, according to the present embodiment, the active system device 21 periodically notifies the standby system device 22 of the sequence number to be assigned next. The standby system device 22 holds the corrected sequence number by adding a predetermined value α to the notified sequence number. Then, when the standby system 22 takes over the IPsec process, the standby system 22 starts to assign the stored modified sequence number to the encrypted IP packet as an initial value. Therefore, even if the active device 21 does not frequently notify the standby device 22 of the sequence number, the opposite device 12 does not accidentally discard the encrypted IP packet. It is possible to provide an IPsec terminator capable of continuing communication by good switching in a duplex configuration of security functions without requiring heavy processing.

なお、本実施形態では、予備系装置22が、運用系装置21から通知されたシーケンスナンバーにαを加算することとしたが、本発明はこれに限定されるものではない。他の例として、αの加算を運用系装置21にて行なうこととし、運用系装置21から予備系装置22に、すでにαの加算された、修正シーケンスナンバーを通知することとしてもよい。   In the present embodiment, the standby apparatus 22 adds α to the sequence number notified from the active apparatus 21, but the present invention is not limited to this. As another example, addition of α may be performed by the active system device 21, and the correction system number to which α has already been added may be notified from the active system device 21 to the standby system device 22.

また、その場合、運用系装置21は、一定時間当たりに対向装置12に送信する暗号化IPパケット数(トラヒック量)をカウントしており、そのカウント数に基づいてαの値を可変制御することとしてもよい。   In this case, the active device 21 counts the number of encrypted IP packets (traffic amount) transmitted to the opposite device 12 per fixed time, and variably controls the value of α based on the counted number. It is good.

これによれば、トラヒック量に応じてαの値を適切に選択することができるので、トラヒック量が大きく変化する場合でも、対向装置12にて暗号化IPパケットを廃棄してしまうことがない。   According to this, since the value of α can be appropriately selected according to the traffic volume, even when the traffic volume greatly changes, the opposite apparatus 12 does not discard the encrypted IP packet.

本発明の実施形態によるIPsec終端装置を含むシステムの構成を示すブロック図である。It is a block diagram which shows the structure of the system containing the IPsec termination device by embodiment of this invention. 本実施形態のIPsec終端装置の構成を示すブロック図である。It is a block diagram which shows the structure of the IPsec termination | terminus apparatus of this embodiment. 本実施形態によるIPsec終端装置の運用系装置の送信シーケンスナンバー管理動作を示すフローチャートである。It is a flowchart which shows the transmission sequence number management operation | movement of the active system apparatus of the IPsec termination apparatus by this embodiment. 本実施形態によるIPsec終端装置の予備系装置の送信シーケンスナンバー管理動作を示すフローチャートである。It is a flowchart which shows the transmission sequence number management operation | movement of the backup system apparatus of the IPsec termination apparatus by this embodiment. 本実施形態のIPsec終端装置における運用系装置または予備系装置の受信シーケンスナンバー管理動作を示すフローチャートである。It is a flowchart which shows the reception sequence number management operation | movement of the active system apparatus or standby system apparatus in the IPsec termination | terminus apparatus of this embodiment. 本実施形態によるIPsec終端装置の動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating operation | movement of the IPsec termination apparatus by this embodiment. 従来のIPsec終端装置の構成を示すブロック図である。It is a block diagram which shows the structure of the conventional IPsec termination | terminus apparatus. 図7に示した従来のIPsec終端装置の動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating operation | movement of the conventional IPsec termination | terminus apparatus shown in FIG. 図7に示した従来のIPsec終端装置の他の動作を説明するためのシーケンス図である。FIG. 8 is a sequence diagram for explaining another operation of the conventional IPsec terminator shown in FIG. 7.

符号の説明Explanation of symbols

11 IPsec終端装置
12 対向装置
13 IP網
14 L2SW
15 LANケーブル
16 IPsecトンネル
17 暗号化IPパケット
18 非暗号化IPパケット
21 運用系装置
22 予備系装置
23、25 送信シーケンスナンバー管理部
24、26 受信シーケンスナンバー確認部
101〜106、201〜205、301〜305 ステップ 11 IPsec terminator 12 Opposite device 13 IP network 14 L2SW
DESCRIPTION OF SYMBOLS 15 LAN cable 16 IPsec tunnel 17 Encrypted IP packet 18 Unencrypted IP packet 21 Operation system apparatus 22 Standby system apparatus 23, 25 Transmission sequence number management part 24, 26 Reception sequence number confirmation part 101-106, 201-205, 301 ~ 305 steps

Claims (10)

運用系と予備系を備えた冗長構成によりセキュリティ機能を提供するセキュリティ通信装置であって、
セキュリティ機能により暗号化したパケットに送信順序を示すシーケンスナンバーを付与して対向装置に送信し、次に付与すべきシーケンスナンバーを所定の時間間隔で予備系に通知する運用系装置と、
前記運用系装置のセキュリティ機能を引き継ぐとき、該運用系装置から通知された、前記シーケンスナンバーに所定値を加算した値を、シーケンスナンバーの初期値として、前記対向装置に送信するパケットへの付与を開始する予備系装置とを有するセキュリティ通信装置。 A security communication device that provides a security function with a redundant configuration including an active system and a standby system,
An operational device that gives a sequence number indicating the transmission order to the packet encrypted by the security function and transmits it to the opposite device, and notifies the standby system of a sequence number to be assigned next at a predetermined time interval;
When taking over the security function of the active device, a value obtained by adding a predetermined value to the sequence number notified from the active device is used as an initial value of the sequence number, and attached to the packet to be transmitted to the opposite device. A security communication device having a standby device to start. セキュリティ機能を提供する系となった前記運用系装置または前記予備系装置は、前記対向装置から受信したパケットに付与されているシーケンスナンバーが1つ前に受信したパケットのシーケンスナンバーより所定の閾値以上小さいとき、前記対向装置から受信した該パケットを廃棄し、前記対向装置から受信したパケットに付与されているシーケンスナンバーが1つ前に受信したパケットのシーケンスナンバーより所定の閾値以上小さくないとき、前記対向装置から受信した該パケットを取得する、請求項1に記載のセキュリティ通信装置。   In the operational apparatus or the standby apparatus that has become a system providing a security function, the sequence number assigned to the packet received from the opposite apparatus is a predetermined threshold or more than the sequence number of the packet received one before When it is small, discard the packet received from the opposite device, when the sequence number given to the packet received from the opposite device is not less than a predetermined threshold than the sequence number of the previous packet received, The security communication device according to claim 1, wherein the packet received from the opposite device is acquired. 前記運用系装置は、次に付与すべきシーケンスナンバーをそのまま前記予備系装置に通知し、
前記予備系装置は、前記運用系装置から通知された前記シーケンスナンバーに前記所定値を加算して保持しておき、該運用系装置のセキュリティ機能を引き継ぐときに用いる、請求項1または2に記載のセキュリティ通信装置。 The operational system device notifies the standby system device as it is of the sequence number to be assigned next,
3. The standby system apparatus according to claim 1, wherein the standby apparatus adds the predetermined value to the sequence number notified from the active system apparatus and holds the sequence number, and is used when taking over the security function of the active system apparatus. Security communication device. 前記運用系装置は、次に付与すべきシーケンスナンバーに前記所定値を加算して前記予備系装置に通知し、
前記予備系装置は、前記運用系装置から通知された、前記所定値の加算された前記シーケンスナンバーを、該運用系装置のセキュリティ機能を引き継ぐときに用いる、請求項1または2に記載のセキュリティ通信装置。 The operational system device adds the predetermined value to the sequence number to be assigned next and notifies the standby system device,
3. The security communication according to claim 1, wherein the standby device uses the sequence number notified from the active device to which the predetermined value is added when taking over the security function of the active device. 4. apparatus. 前記運用系装置は、単位時間当たりに前記対向装置に送信するパケット数をカウントし、そのカウント値に基づいて、前記シーケンスナンバーに加算する前記所定値を制御する、請求項4に記載のセキュリティ通信装置。   5. The security communication according to claim 4, wherein the active device counts the number of packets to be transmitted to the opposite device per unit time and controls the predetermined value to be added to the sequence number based on the count value. apparatus. 運用系装置と予備系装置でセキュリティ機能の冗長構成を提供するセキュリティ通信装置にて用いるためのシーケンスナンバー管理方法であって、
前記運用系装置にて、セキュリティ機能により暗号化したパケットに送信順序を示す前記シーケンスナンバーを付与して対向装置に送信するステップと、
前記運用系装置から、次に付与すべきシーケンスナンバーを所定の時間間隔で前記予備系装置に通知するステップと、
前記予備系装置により前記運用系装置のセキュリティ機能を引き継ぐとき、該運用系装置から通知された、前記シーケンスナンバーに所定値を加算した値を、シーケンスナンバーの初期値として、前記対向装置に送信するパケットへの付与を開始するステップとを有するシーケンスナンバー管理方法。 A sequence number management method for use in a security communication device that provides a redundant configuration of security functions between an active device and a standby device,
In the operational device, assigning the sequence number indicating the transmission order to the packet encrypted by the security function and transmitting to the opposite device;
From the operational system device, notifying the standby system device of a sequence number to be assigned next at a predetermined time interval;
When the standby device takes over the security function of the active device, a value obtained by adding a predetermined value to the sequence number notified from the active device is transmitted to the opposite device as an initial value of the sequence number. A sequence number management method including a step of starting attachment to a packet. 前記対向装置にて、前記運用系装置または前記予備系装置から受信したパケットに付与されているシーケンスナンバーが1つ前に受信したパケットのシーケンスナンバーより所定の閾値以上小さいとき、前記運用系装置または前記予備系装置から受信した該パケットを廃棄し、前記運用系装置または前記予備系装置から受信した受信したパケットに付与されているシーケンスナンバーが1つ前に受信したパケットのシーケンスナンバーより所定の閾値以上小さくないとき、前記運用系装置または前記予備系装置から受信した該パケットを取得する、請求項6に記載のシーケンスナンバー管理方法。   When the sequence number assigned to the packet received from the active system device or the standby system device is smaller than the sequence number of the previous packet received by the opposite device, the active system device or Discard the packet received from the standby system device, and the sequence number assigned to the received packet received from the active system device or the standby system device is a predetermined threshold value from the sequence number of the packet previously received The sequence number management method according to claim 6, wherein the packet received from the active system apparatus or the standby system apparatus is acquired when it is not smaller than the above. 前記運用系装置にて、次に付与すべきシーケンスナンバーをそのまま前記予備系装置に通知し、
前記予備系装置にて、前記運用系装置から通知された前記シーケンスナンバーに前記所定値を加算して保持しておき、該運用系装置のセキュリティ機能を引き継ぐときに用いる、請求項6または7に記載のシーケンスナンバー管理方法。 In the operational system device, notify the standby system device as it is the sequence number to be assigned next,
The standby apparatus adds the predetermined value to the sequence number notified from the operational system apparatus and holds the sequence number, and is used when taking over the security function of the operational system apparatus. The sequence number management method described. 前記運用系装置にて、次に付与すべきシーケンスナンバーに前記所定値を加算して前記予備系装置に通知し、
前記予備系装置にて、前記運用系装置から通知された、前記所定値の加算された前記シーケンスナンバーを、該運用系装置のセキュリティ機能を引き継ぐときに用いる、請求項6または7に記載のシーケンスナンバー管理方法。 In the operational system device, add the predetermined value to the sequence number to be assigned next, and notify the standby system device,
The sequence according to claim 6 or 7, wherein the standby device uses the sequence number notified from the active device to which the predetermined value is added when taking over the security function of the active device. Number management method. 前記運用系装置にて、単位時間当たりに前記対向装置に送信するパケット数をカウントし、そのカウント値に基づいて、前記シーケンスナンバーに加算する前記所定値を制御する、請求項9に記載のシーケンスナンバー管理方法。   The sequence according to claim 9, wherein the active device counts the number of packets transmitted to the opposite device per unit time, and controls the predetermined value to be added to the sequence number based on the count value. Number management method.
JP2006009828A 2006-01-18 2006-01-18 Security communication apparatus and sequence number management method Expired - Fee Related JP4645839B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006009828A JP4645839B2 (en) 2006-01-18 2006-01-18 Security communication apparatus and sequence number management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006009828A JP4645839B2 (en) 2006-01-18 2006-01-18 Security communication apparatus and sequence number management method

Publications (2)

Publication Number Publication Date
JP2007194815A true JP2007194815A (en) 2007-08-02
JP4645839B2 JP4645839B2 (en) 2011-03-09

Family

ID=38450170

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006009828A Expired - Fee Related JP4645839B2 (en) 2006-01-18 2006-01-18 Security communication apparatus and sequence number management method

Country Status (1)

Country Link
JP (1) JP4645839B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008199421A (en) * 2007-02-14 2008-08-28 Furukawa Electric Co Ltd:The Encryption communication method and encryption communication system using redundant data repeater
JP2012070077A (en) * 2010-09-21 2012-04-05 Nec Infrontia Corp Communication system, information processing device, and information processing method
JP2012518312A (en) * 2009-02-13 2012-08-09 アルカテル−ルーセント Packet sequence number synchronization for line card redundancy
US8693313B2 (en) 2009-12-01 2014-04-08 Fujitsu Limited Apparatus and method for switching between redundant communication devices
WO2017195356A1 (en) * 2016-05-13 2017-11-16 三菱電機株式会社 Data processing device, data processing method, and data processing program

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002247113A (en) * 2001-02-22 2002-08-30 Ntt Docomo Inc Encryption communication system and encryption communication method
JP2004328563A (en) * 2003-04-28 2004-11-18 Hitachi Ltd Encryption communication apparatus and system
JP2005057461A (en) * 2003-08-04 2005-03-03 Nippon Telegr & Teleph Corp <Ntt> Method for switching redundant system
JP2005260520A (en) * 2004-03-11 2005-09-22 Nec Corp Method and device for detecting reply attack error
JP2006324833A (en) * 2005-05-18 2006-11-30 Nec Corp Redundancy constitution system and communication processor, and delivery non-confirmation connection switching method used therefor

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002247113A (en) * 2001-02-22 2002-08-30 Ntt Docomo Inc Encryption communication system and encryption communication method
JP2004328563A (en) * 2003-04-28 2004-11-18 Hitachi Ltd Encryption communication apparatus and system
JP2005057461A (en) * 2003-08-04 2005-03-03 Nippon Telegr & Teleph Corp <Ntt> Method for switching redundant system
JP2005260520A (en) * 2004-03-11 2005-09-22 Nec Corp Method and device for detecting reply attack error
JP2006324833A (en) * 2005-05-18 2006-11-30 Nec Corp Redundancy constitution system and communication processor, and delivery non-confirmation connection switching method used therefor

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008199421A (en) * 2007-02-14 2008-08-28 Furukawa Electric Co Ltd:The Encryption communication method and encryption communication system using redundant data repeater
JP2012518312A (en) * 2009-02-13 2012-08-09 アルカテル−ルーセント Packet sequence number synchronization for line card redundancy
US8693313B2 (en) 2009-12-01 2014-04-08 Fujitsu Limited Apparatus and method for switching between redundant communication devices
JP2012070077A (en) * 2010-09-21 2012-04-05 Nec Infrontia Corp Communication system, information processing device, and information processing method
WO2017195356A1 (en) * 2016-05-13 2017-11-16 三菱電機株式会社 Data processing device, data processing method, and data processing program
JPWO2017195356A1 (en) * 2016-05-13 2018-09-13 三菱電機株式会社 Data processing apparatus, data processing method, and data processing program

Also Published As

Publication number Publication date
JP4645839B2 (en) 2011-03-09

Similar Documents

Publication Publication Date Title
JP5392034B2 (en) Communication apparatus and communication method
CN102904818B (en) A kind of ARP information entry updating method and device
EP1914939B1 (en) A method for the triggering failure detection of bidirectional forwarding detection
KR101593168B1 (en) Physical one direction communication device and method thereof
CN101951345B (en) Message transmitting method and equipment
EP3322150A1 (en) Apparatus and method for resilient ip security/internet key exchange security gateway
WO2016082412A1 (en) Method and apparatus for realizing reliable transmission of data, and computer storage medium
JP5419907B2 (en) Network system and communication recovery method
CN107836095B (en) Method for generating a secret or key in a network
JP4645839B2 (en) Security communication apparatus and sequence number management method
JP2010050958A (en) Transmitting terminal, receiving terminal, communicating terminal, and information distributing system
CN102571488B (en) Failure processing method, device and system for encryption card
CN100466583C (en) Fast ring network method against attack based on RRPP, apparatus and system
WO2011060677A1 (en) Method, device and system for main/standby switch
CN102769552A (en) Method and apparatus for transmitting BFD (bidirectional forwarding detection) message during LSP (label switched path) detection by BFD
US11895228B2 (en) Pausing a media access control security (MACsec) key agreement (MKA) protocol of an MKA session using a fast heartbeat session
JP2004328563A (en) Encryption communication apparatus and system
JP4138819B2 (en) Encrypted communication method
CN108322330A (en) A kind of IPSEC VPN sequence numbers and anti-playback window synchronization method and apparatus
JP4626646B2 (en) Packet communication apparatus, packet communication method, and packet communication program
EP3766223B1 (en) Defeating man-in-the-middle attacks in one leg of 1+1 redundant network paths
JP6323336B2 (en) Information distribution system, information distribution method, communication terminal, and program
JP2010193039A (en) Communication device, communication system, and communication control method
JP4268200B2 (en) Redundant data relay device and encrypted communication method using redundant data relay device
JP2017034627A (en) System and method for communication control

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081112

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100813

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100818

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101015

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101110

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101123

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131217

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees