JP2007194815A - Security communication device and sequence number managing method - Google Patents
Security communication device and sequence number managing method Download PDFInfo
- Publication number
- JP2007194815A JP2007194815A JP2006009828A JP2006009828A JP2007194815A JP 2007194815 A JP2007194815 A JP 2007194815A JP 2006009828 A JP2006009828 A JP 2006009828A JP 2006009828 A JP2006009828 A JP 2006009828A JP 2007194815 A JP2007194815 A JP 2007194815A
- Authority
- JP
- Japan
- Prior art keywords
- sequence number
- standby
- packet
- active
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、セキュリティ機能の構成を2重化したセキュリティ通信装置に関する。 The present invention relates to a security communication apparatus in which a security function configuration is duplicated.
インターネットに代表されるネットワークを介した通信では盗聴や攻撃に対する防御手段としてセキュリティ技術が用いられる。この種のセキュリティ技術としてIPセキュリティ(IPsec)が知られている。 In communication via a network typified by the Internet, security technology is used as a defense against eavesdropping and attacks. IP security (IPsec) is known as this type of security technology.
IPsecを用いた通信システムでは、IPsecを終端して暗号化IPパケットと非暗号化IPパケットの相互変換を行なう装置(IPsec終端装置)が用いられる。IPsec終端装置は、同じくIPsecを終端する対向装置との間にIPsecトンネルを確立し、IPsecトンネルを通じて暗号化IPパケットを送受信する。通信システムの信頼性に対する要求が高い企業等では、このIPsec終端装置を2重化することが要求される場合がある。 In a communication system using IPsec, an apparatus (IPsec termination apparatus) that terminates IPsec and performs mutual conversion between an encrypted IP packet and an unencrypted IP packet is used. The IPsec terminator establishes an IPsec tunnel with the opposite device that also terminates IPsec, and transmits and receives encrypted IP packets through the IPsec tunnel. In companies and the like that have high demands on the reliability of a communication system, it may be required to duplicate this IPsec termination device.
図7は、従来のIPsec終端装置の構成を示すブロック図である。図7に示す従来のIPsec終端装置81は2重化されており、運用系装置91と予備系装置92を有している。運用系装置91および予備系装置92の各々は、一方でLANのようなIP網83と接続され、他方でIPsecトンネル86を介して対向装置82と接続されている。
FIG. 7 is a block diagram showing a configuration of a conventional IPsec terminator. The conventional IPsec
IPsec終端装置81は、非暗号化IPパケット88と暗号化IPパケット87の相互変換を行い、IPsecトンネル86上では暗号化パケット87を送受信し、IP網83に接続されたLANケーブル85上では非暗号化IPパケット88を送受信する。ここではIPsecトンネル86はレイヤ2スイッチ(L2SW)84を経由する経路に確立されている。
The IPsec
IPsec終端装置81において、運用系装置91と予備系装置92は互いに独立した構成であり、それぞれが対向装置82との間でIPsecトンネル86を確立して暗号化IPパケットの送受信することができる。
In the IPsec
IPsec終端装置81は、運用系装置91が動作可能な状態では、運用系装置91がIPsecを終端してIPパケットを変換するIPsecの処理を行なう。運用系装置91が故障等により動作不可能になると、予備系装置92が運用系装置91のIPsec処理を引き継いで実行する。
In a state where the
運用系装置91または予備系装置92は、IPsec処理として、IP網83から受信した非暗号化IPパケット88を暗号化し、暗号化IPパケット87として対向装置82に送信する。非暗号化IPパケット88を暗号化する際、運用系装置91または予備系装置92は暗号化IPパケット87のヘッダに32ビットのシーケンスナンバーを付与する。シーケンスナンバーは、暗号化IPパケット毎に+1される値である。
The
対向装置82もIPsecを終端する機能を有しており、暗号化IPパケット87を受信すると、そのヘッダにあるシーケンスナンバーをチェックし、1つ前に受信した暗号化IPパケット87のシーケンスナンバーより所定値以上小さければリプレイ攻撃であると判断する。リプレイ攻撃とは、悪意者が盗聴したIPパケットを保存しておき、そのIPパケットのコピーを送信してくる攻撃である。例えば、商品注文のIPパケットを盗聴し、そのコピーを送信することにより不正な発注をする場合が想定される。
The
対向装置82は、リプレイ攻撃と判断した暗号化IPパケット87を破棄する。このシーケンスナンバーの付与およびチェックの機能によりリプレイ攻撃による被害を防ぐことができる。
The
また、運用系装置91または予備系装置92は、IPsec処理として、対向装置82から受信した暗号化IPパケット87を非暗号化IPパケット88に復号し、その非暗号化IPパケット88をIP網83へ送信する。その際、上述した対向装置82と同様に、運用系装置91または予備系装置92は、受信した暗号化IPパケット87のシーケンスナンバーを確認し、1つ前に受信した暗号化パケット87のシーケンスナンバーより所定値以上小さければ、その暗号化IPパケットを破棄する。
In addition, the
また、運用系装置91は、IPsec処理を実行している間、送信暗号化IPパケットに付与するシーケンスナンバーをカウントしており、定期的にそのカウント値を予備系装置92に通知する。予備系装置92は、運用系装置91から通知されたシーケンスナンバーを格納しており、運用系装置91のIPsec処理を引き継ぐとき、そのシーケンスナンバーから暗号化IPパケット87に付与し始める。
Further, the
次に他の従来例について説明する。特許文献1に開示された例は、上述したIPsec終端装置とはシーケンスナンバー管理の方法が異なる。本従来例は、シーケンスナンバーをチェックする側の装置において、シーケンスナンバーを通信相手となる装置毎に管理するものである。これによれば、シーケンスナンバーを付与する側の運用系装置が故障し、予備系装置に切り替わったとき、シーケンスナンバーをチェックする側の装置は予備系装置に関して管理しているシーケンスナンバーでチェックを開始することとなる。
図8は、図7に示した従来のIPsec終端装置の動作を説明するためのシーケンス図である。図8を参照すると、動作可能な状態の運用系装置91はシーケンスナンバーを付与した暗号化IPパケットを対向装置82に送信している。シーケンスナンバーは、暗号化パケット毎に+1されている。運用系装置91は、送信暗号化IPパケットに付与するシーケンスナンバーをカウントして管理している。
FIG. 8 is a sequence diagram for explaining the operation of the conventional IPsec terminator shown in FIG. Referring to FIG. 8, the
また、運用系装置91は、カウントして管理しているシーケンスナンバーを定期的に予備系装置92に通知する。図8では通知周期がT秒である。
In addition, the
運用系装置91は、シーケンスナンバー=4の暗号化IPパケットを対向装置82に送信した後、シーケンスナンバーのカウント値=5を予備系装置92に通知している。また、シーケンスナンバー=7の暗号化IPパケットを対向装置82に送信した後、運用系装置91は、シーケンスナンバーのカウント値=8を予備系装置92に通知している。
The
予備系装置92は、運用系装置91から通知されたシーケンスナンバーのカウント値を保持している。
The
ここで、運用系装置91がシーケンスナンバー=11の暗号化IPパケットを送信した後に故障したとする。その故障の発生を契機に、予備系装置92がIPsec処理を引き継ぎ、保持していたシーケンスナンバー=8を使用して暗号化IPパケットを対向装置82に送信する。
Here, it is assumed that the
対向装置102では、シーケンスナンバー=11の暗号化IPパケットの次にシーケンスナンバー=8の暗号化IPパケットを受信することとなり、そのためシーケンスナンバー=8の暗号化IPパケットをリプライ攻撃と判断して破棄する。その結果、予備系装置82は、運用系装置81の故障時にその通信を正常に継続できないこととなる。
The
図9は、図7に示した従来のIPsec終端装置の他の動作を説明するためのシーケンス図である。図8に示した問題の対策として、運用系装置91が暗号化IPパケットを対向装置82に送信する毎に、予備系装置92にシーケンスナンバーのカウント値を通知することとすればよい。
FIG. 9 is a sequence diagram for explaining another operation of the conventional IPsec terminator shown in FIG. As a countermeasure against the problem shown in FIG. 8, every time the
図9を参照すると、運用系装置91は、暗号化IPパケットを対向装置82に送信する毎に、予備系装置92にシーケンスナンバーのカウント値を通知している。そして、シーケンスナンバー=8の暗号化IPパケットを対向装置82に送信し、シーケンスナンバーのカウント値=9を予備系装置92に通知した後、運用系装置81に故障が発生している。そのとき、予備系装置92は、保持していたシーケンスナンバー=9を使用して暗号化IPパケットを対向装置82に送信する。これにより、予備系装置82は、運用系装置81のIPsec処理を継続させることができる。
Referring to FIG. 9, every time the
しかし、実際のIPsec終端装置が終端すべきIPsecのトンネル数は数千から数万という数である。そのため、運用系装置81が暗号化IPパケットを対向装置82に送信する毎に、運用系装置81から予備系装置92にシーケンスナンバーのカウント値を通知するのは非常に重たい処理であり実現が困難である。
However, the number of IPsec tunnels that an actual IPsec termination apparatus should terminate is from several thousands to several tens of thousands. Therefore, every time the
一方、特許文献1に開示されたシーケンスナンバー管理の方法によれば、シーケンスナンバーを付与する側の運用系装置が故障し、予備系装置に切り替わったとき、シーケンスナンバーをチェックする側の装置は予備系装置に関して管理しているシーケンスナンバーでチェックを開始することとなる。そのため暗号化IPパケットを不必要に破棄してしまうことがなくなる。 On the other hand, according to the sequence number management method disclosed in Patent Document 1, when the operating system apparatus that gives the sequence number fails and is switched to the standby system apparatus, the apparatus that checks the sequence number is in the standby state. The check is started with the sequence number managed for the system device. Therefore, the encrypted IP packet is not unnecessarily discarded.
しかし、この方法では、チェック側の装置は、送信側の運用系装置と予備系装置のそれぞれについてシーケンスナンバーを管理する必要があり管理情報のサイズが大きくなる。また、運用系装置から予備系装置への切り替えをチェック側の装置と同期して行なうために生存監視の処理が必要となる。また、例えばタイマを用いて生存監視をするとすれば、故障検知に時間がかかることとなる。 However, in this method, it is necessary for the check-side device to manage the sequence number for each of the transmission-side active device and the standby device, which increases the size of the management information. In addition, in order to perform switching from the active system device to the standby system device in synchronization with the check side device, a survival monitoring process is required. For example, if survival monitoring is performed using a timer, it takes time to detect a failure.
本発明の目的は、セキュリティ機能の2重化構成における切り替えを容易な処理で良好に行なうことのできるセキュリティ通信装置を提供することである。 An object of the present invention is to provide a security communication device that can satisfactorily perform switching in a duplex configuration of security functions with easy processing.
上記目的を達成するために、本発明のセキュリティ通信装置は、運用系と予備系を備えた冗長構成によりセキュリティ機能を提供するセキュリティ通信装置であって、
セキュリティ機能により暗号化したパケットに送信順序を示すシーケンスナンバーを付与して対向装置に送信し、次に付与すべきシーケンスナンバーを所定の時間間隔で予備系に通知する運用系装置と、
前記運用系装置のセキュリティ機能を引き継ぐとき、該運用系装置から通知された、前記シーケンスナンバーに所定値を加算した値を、シーケンスナンバーの初期値として、前記対向装置に送信するパケットへの付与を開始する予備系装置とを有している。
In order to achieve the above object, a security communication device of the present invention is a security communication device that provides a security function with a redundant configuration including an active system and a standby system,
An operational device that gives a sequence number indicating the transmission order to the packet encrypted by the security function and transmits it to the opposite device, and notifies the standby system of a sequence number to be assigned next at a predetermined time interval;
When taking over the security function of the active device, a value obtained by adding a predetermined value to the sequence number notified from the active device is used as an initial value of the sequence number, and attached to the packet to be transmitted to the opposite device. And a standby system device to start.
本発明によれば、運用系装置から予備系装置に、次に付与すべきシーケンスナンバーを通知し、予備系装置は、処理を引き継ぐとき、通知されたシーケンスナンバーに所定値を加算した値を初期値として用いる。そのため、運用系装置から予備系装置にシーケンスナンバーを頻繁に通知しなくても、対向装置にてパケットを誤って廃棄してしまうことがなく、その結果、大きな記憶容量や重たい処理を要することなく、セキュリティ機能の2重化構成における良好な切り替えによる通信の継続が可能なセキュリティ通信装置を提供することができる。 According to the present invention, the active system device notifies the standby system device of the sequence number to be assigned next, and when the standby system takes over the process, the initial value is obtained by adding a predetermined value to the notified sequence number. Use as a value. Therefore, even if the active device does not frequently notify the standby device of the sequence number, the opposite device will not accidentally discard the packet, and as a result, large storage capacity and heavy processing are not required. Thus, it is possible to provide a security communication device capable of continuing communication by good switching in a duplex configuration of security functions.
また、セキュリティ機能を提供する系となった前記運用系装置または前記予備系装置は、前記対向装置から受信したパケットに付与されているシーケンスナンバーが1つ前に受信したパケットのシーケンスナンバーより所定の閾値以上小さいとき、前記対向装置から受信した該パケットを廃棄し、前記対向装置から受信したパケットに付与されているシーケンスナンバーが1つ前に受信したパケットのシーケンスナンバーより所定の閾値以上小さくないとき、前記対向装置から受信した該パケットを取得することとしてもよい。 In addition, the active device or the standby device that has become a system that provides a security function has a sequence number assigned to a packet received from the opposite device that is a predetermined number from the sequence number of the packet that was previously received. When the packet received from the opposite device is discarded when the threshold is smaller than the threshold, and the sequence number assigned to the packet received from the opposite device is not smaller than the predetermined threshold by the sequence number of the packet received one before The packet received from the opposite device may be acquired.
また、前記運用系装置は、次に付与すべきシーケンスナンバーをそのまま前記予備系装置に通知し、
前記予備系装置は、前記運用系装置から通知された前記シーケンスナンバーに前記所定値を加算して保持しておき、該運用系装置のセキュリティ機能を引き継ぐときに用いることとしてもよい。
Further, the operational system device notifies the standby system device of the sequence number to be assigned next, as it is,
The standby apparatus may add the predetermined value to the sequence number notified from the active apparatus and hold it, and use it when taking over the security function of the active apparatus.
また、前記運用系装置は、次に付与すべきシーケンスナンバーに前記所定値を加算して前記予備系装置に通知し、
前記予備系装置は、前記運用系装置から通知された、前記所定値の加算された前記シーケンスナンバーを、該運用系装置のセキュリティ機能を引き継ぐときに用いることとしてもよい。
Further, the operational system device adds the predetermined value to the sequence number to be assigned next, and notifies the standby system device,
The standby apparatus may use the sequence number notified from the active apparatus and added with the predetermined value when taking over the security function of the active apparatus.
また、前記運用系装置は、単位時間当たりに前記対向装置に送信するパケット数をカウントし、そのカウント値に基づいて、前記シーケンスナンバーに加算する前記所定値を制御することとしてもよい。 In addition, the active device may count the number of packets transmitted to the opposite device per unit time and control the predetermined value to be added to the sequence number based on the count value.
これによれば、トラヒック量に応じて加算値を適切に選択することができるので、トラヒック量が大きく変化する場合でも、対向装置にてパケットを廃棄してしまうことがない。 According to this, since the addition value can be appropriately selected according to the traffic volume, even when the traffic volume greatly changes, the opposite apparatus does not discard the packet.
本発明によれば、大きな記憶容量や重たい処理を要することなく、セキュリティ機能の2重化構成における良好な切り替えによる通信の継続が可能なセキュリティ通信装置を提供することができる。 According to the present invention, it is possible to provide a security communication device capable of continuing communication by good switching in a duplex configuration of security functions without requiring a large storage capacity or heavy processing.
本発明を実施するための形態について図面を参照して詳細に説明する。 Embodiments for carrying out the present invention will be described in detail with reference to the drawings.
図1は、本発明の実施形態によるIPsec終端装置を含むシステムの構成を示すブロック図である。図1を参照すると、IPsec終端装置11は2重化されており、運用系装置21と予備系装置22を有している。運用系装置21および予備系装置22の各々は、一方でLANのようなIP網13と接続され、他方でIPsecトンネル16を介して対向装置12と接続されている。
FIG. 1 is a block diagram showing a configuration of a system including an IPsec terminator according to an embodiment of the present invention. Referring to FIG. 1, the
IPsec終端装置11は、非暗号化IPパケット18と暗号化IPパケット17の相互変換を行い、IPsecトンネル16上では暗号化パケット17を送受信し、IP網13に接続されたLANケーブル15上では非暗号化IPパケット18を送受信する。ここではIPsecトンネル16はレイヤ2スイッチ(L2SW)14を経由する経路に確立されている。
The
IPsec終端装置11において、運用系装置11と予備系装置12は互いに独立した構成であり、それぞれが対向装置12との間でIPsecトンネル16を確立して暗号化IPパケットの送受信することができる。
In the
IPsec終端装置11は、運用系装置21が動作可能な状態では、運用系装置21がIPsecを終端してIPパケットを変換するIPsecの処理を行なう。運用系装置21が故障等により動作不可能になると、予備系装置22が運用系装置21のIPsec処理を引き継いで実行する。
In a state where the
運用系装置21または予備系装置22は、IPsec処理として、IP網13から受信した非暗号化IPパケット18を暗号化し、暗号化IPパケット17として対向装置12に送信する。非暗号化IPパケット18を暗号化する際、運用系装置21または予備系装置22は暗号化IPパケット17のヘッダに32ビットのシーケンスナンバーを付与する。シーケンスナンバーは、暗号化IPパケット毎に+1される値である。
The
対向装置12もIPsecを終端する機能を有しており、暗号化IPパケット17を受信すると、そのヘッダにあるシーケンスナンバーをチェックし、1つ前に受信した暗号化IPパケット17のシーケンスナンバーより所定値以上小さければリプレイ攻撃であると判断する。リプレイ攻撃とは、悪意者が盗聴したIPパケットを保存しておき、そのIPパケットのコピーを送信してくる攻撃である。例えば、商品注文のIPパケットを盗聴し、そのコピーを送信することにより不正な発注をする場合が想定される。
The
対向装置12は、リプレイ攻撃と判断した暗号化IPパケット17を破棄する。このシーケンスナンバーの付与およびチェックの機能によりリプレイ攻撃による被害を防ぐことができる。
The opposing
また、運用系装置21または予備系装置22は、IPsec処理として、対向装置12から受信した暗号化IPパケット17を非暗号化IPパケット18に復号し、その非暗号化IPパケット18をIP網13へ送信する。その際、上述した対向装置12と同様に、運用系装置21または予備系装置22は、受信した暗号化IPパケット17のシーケンスナンバーを確認し、1つ前に受信した暗号化パケット17のシーケンスナンバーより所定値以上小さければ、その暗号化IPパケットを破棄する。
Further, as the IPsec processing, the
また、運用系装置21は、IPsec処理を実行している間、送信暗号化IPパケットに付与するシーケンスナンバーをカウントしており、定期的にそのカウント値を予備系装置22に通知する。本実施形態では従来と異なり、予備系装置22は、運用系装置21から通知されたシーケンスナンバーに所定の値(α)を加算した修正シーケンスナンバーを格納しており、運用系装置21のIPsec処理を引き継ぐとき、その修正シーケンスナンバーから暗号化IPパケット17に付与し始める。
Further, the
図2は、本実施形態のIPsec終端装置の構成を示すブロック図である。図2を参照すると、IPsec終端装置11は運用系装置21と予備系装置22を有している。運用系装置21は、送信シーケンスナンバー管理部23および受信シーケンスナンバー確認部24を有している。予備系装置22は、送信シーケンスナンバー管理部25および受信シーケンスナンバー確認部26を有している。
FIG. 2 is a block diagram showing the configuration of the IPsec termination apparatus of this embodiment. Referring to FIG. 2, the
運用系装置21の送信シーケンスナンバー管理部23は、対向装置12へ送信すべき暗号化IPパケット17があると、その暗号化IPパケット17に、1つ前の暗号化IPパケット87のシーケンスナンバーに+1した値のシーケンスナンバーを付与する。
When there is an
また、送信シーケンスナンバー管理部23は、次の暗号化IPパケット87に付与しようとして保持しているシーケンスナンバーの値を定期的に予備系装置22に送信する。
In addition, the transmission sequence
運用系装置21がIPsec処理を行っている間、その受信シーケンスナンバー確認部24は、暗号化IPパケット17を受信すると、そのヘッダにあるシーケンスナンバーをチェックする。そのシーケンスナンバーが1つ前に受信した暗号化IPパケット17のシーケンスナンバーより所定値以上小さければ、受信シーケンスナンバー確認部24は、その暗号化IPパケット17をリプレイ攻撃によるものであると判断して破棄する。一方、そのシーケンスナンバーが1つ前に受信した暗号化IPパケット17のシーケンスナンバーより所定値以上小さいものでなければ、受信シーケンスナンバー確認部24は、その暗号化IPパケット17をリプレイ攻撃によるものでないと判断して取得する。その際、受信シーケンスナンバー確認部24は、取得した暗号化IPパケット17に付与されていたシーケンスナンバーを、次のパケットのシーケンスナンバーを確認するときに用いるために保持する。
While the
一方、予備系装置22の送信シーケンスナンバー管理部25は、運用系装置21からシーケンスナンバーの通知を受けると、その値にαを加算して修正シーケンスナンバーとして保持する。
On the other hand, when receiving the notification of the sequence number from the
また、送信シーケンスナンバー管理部25は、運用系装置21の故障等で運用系装置21から予備系装置22への切り替えが起こると、それまで運用系装置21の送信シーケンスナンバー管理部23が行っていたIPsec処理における送信シーケンスナンバーの管理を引き継ぐ。IPsec処理を引き継いだ送信シーケンスナンバー管理部25は、対向装置12への暗号化IPパケットに対するシーケンスナンバーの付与を、保持していた修正シーケンスナンバーを初期値として、開始する。
The transmission sequence
予備系装置22がIPsec処理を行っている間、その受信シーケンスナンバー確認部26は、暗号化IPパケット17を受信すると、そのヘッダにあるシーケンスナンバーをチェックする。そのシーケンスナンバーが1つ前に受信した暗号化IPパケット17のシーケンスナンバーより所定値以上小さければ、受信シーケンスナンバー確認部26は、その暗号化IPパケット17をリプレイ攻撃によるものであると判断して破棄する。一方、そのシーケンスナンバーが1つ前に受信した暗号化IPパケット17のシーケンスナンバーより所定値以上小さいものでなければ、受信シーケンスナンバー確認部26は、その暗号化IPパケット17をリプレイ攻撃によるものでないと判断して取得する。その際、受信シーケンスナンバー確認部26は、取得した暗号化IPパケット17に付与されていたシーケンスナンバーを、次のパケットのシーケンスナンバーを確認するときに用いるために保持する。
While the
図3は、本実施形態によるIPsec終端装置の運用系装置の送信シーケンスナンバー管理動作を示すフローチャートである。図3を参照すると、運用系装置21の送信シーケンスナンバー管理部23は、シーケンスナンバーを予備系装置22に通知するタイミングを管理するためのタイマーをリセットし、時間計測を開始する(ステップ101)。このタイマーは、シーケンスナンバーを通知する周期Tでタイムアップとなる。
FIG. 3 is a flowchart showing the transmission sequence number management operation of the active device of the IPsec termination device according to the present embodiment. Referring to FIG. 3, the transmission sequence
次に、送信シーケンスナンバー管理部23は、対向装置12に送信すべき暗号化IPパケット17があるか否か判定する(ステップ102)。送信すべき暗号化IPパケット17があれば、送信シーケンスナンバー管理部23は、次に付与するために保持していたシーケンスナンバーを暗号化IPパケット17に付与して送信する(ステップ103)。そして、次に付与するためのシーケンスナンバーに+1を加算する(ステップ104)。
Next, the transmission sequence
ステップ104の後、またはステップ102の判定にて、送信すべき暗号化IPパケット17がなければ、送信シーケンスナンバー管理部23は、タイマーがタイムアウトしているか否か判定する(ステップ105)。タイムアウトしていなければ、送信シーケンスナンバー管理部23はステップ102に戻る。
If there is no
一方、タイマーがタイムアウトしていれば、送信シーケンスナンバー管理部23は、次の暗号化IPパケット17に付与するために保持しているシーケンスナンバーを予備系装置22の送信シーケンスナンバー管理部25に通知し(ステップ106)、ステップ101に戻る。
On the other hand, if the timer has timed out, the transmission sequence
図4は、本実施形態によるIPsec終端装置の予備系装置の送信シーケンスナンバー管理動作を示すフローチャートである。図4を参照すると、予備系装置22の送信シーケンスナンバー管理部25は、まず運用系装置21の送信シーケンスナンバー管理部23からシーケンスナンバーの通知があったか否か判定する(ステップ201)。
FIG. 4 is a flowchart showing a transmission sequence number management operation of the standby system apparatus of the IPsec termination apparatus according to the present embodiment. Referring to FIG. 4, the transmission sequence
シーケンスナンバーの通知があれば、送信シーケンスナンバー管理部25は、そのシーケンスナンバーにαを加算し(ステップ202)、修正シーケンスナンバーとして保持する(ステップ203)。
If there is a notification of the sequence number, the transmission sequence
ステップ203の後、またはステップ201の判定にてシーケンスナンバーの通知がなければ、送信シーケンスナンバー管理部25は、2重化構成の切り替え要求があるか否か判定する(ステップ204)。切り替え要求がなければ、送信シーケンスナンバー管理部25はステップ201に戻る。
After
一方、切り替え要求があれば、送信シーケンスナンバー管理部25は、保持していた修正シーケンスナンバーを、暗号化IPパケット17に付与するシーケンスナンバーの初期値として、IPsec処理を開始する(ステップ205)。
On the other hand, if there is a switching request, the transmission sequence
図5は、本実施形態のIPsec終端装置における運用系装置または予備系装置の受信シーケンスナンバー管理動作を示すフローチャートである。図5を参照すると、受信シーケンスナンバー確認部24または受信シーケンスナンバー確認部26は、対向装置12からの暗号化IPパケット17の受信があったか否か判定する(ステップ301)。暗号化IPパケット17の受信がなければ、受信シーケンスナンバー確認部24または受信シーケンスナンバー確認部26はステップ301の動作を繰り返す。
FIG. 5 is a flowchart showing the reception sequence number management operation of the active system apparatus or the standby system apparatus in the IPsec termination apparatus of this embodiment. Referring to FIG. 5, the reception sequence
暗号化IPパケットの受信があると、受信シーケンスナンバー確認部24または受信シーケンスナンバー確認部26は、そのパケットに付与されているシーケンスナンバーが正常か否か判定する(ステップ302)。1つ前に受信した暗号化IPパケット17のシーケンスナンバーよりも所定値以上小さければ正常でないと判定し、所定値以上小さくなければ正常でないと判定する。
When the encrypted IP packet is received, the reception sequence
受信シーケンスナンバーが正常であれば、受信シーケンスナンバー確認部24または受信シーケンスナンバー確認部26は、そのシーケンスナンバーを保持し(ステップ303)、その暗号化IPパケットを取り込み(ステップ304)、ステップ301に戻る。
If the reception sequence number is normal, the reception sequence
一方、受信シーケンスナンバーが正常でなければ、受信シーケンスナンバー確認部24または受信シーケンスナンバー確認部26は、その暗号化IPパケットを破棄し(ステップ305)、ステップ301に戻る。
On the other hand, if the reception sequence number is not normal, the reception sequence
図6は、本実施形態によるIPsec終端装置の動作を説明するためのシーケンス図である。図6を参照すると、動作可能な状態の運用系装置21はシーケンスナンバーを付与した暗号化IPパケットを対向装置12に送信している。シーケンスナンバーは、暗号化パケット毎に+1されている。運用系装置21は、送信暗号化IPパケットに付与するシーケンスナンバーをカウントして管理している。
FIG. 6 is a sequence diagram for explaining the operation of the IPsec terminator according to the present embodiment. Referring to FIG. 6, the
また、運用系装置21は、カウントして管理しているシーケンスナンバーを定期的に予備系装置22に通知する。図6では通知周期がT秒である。
In addition, the
運用系装置21は、シーケンスナンバー=4の暗号化IPパケットを対向装置12に送信した後、シーケンスナンバーのカウント値=5を予備系装置22に通知している。また、シーケンスナンバー=7の暗号化IPパケットを対向装置12に送信した後、運用系装置21は、シーケンスナンバーのカウント値=8を予備系装置22に通知している。
The
予備系装置22は、運用系装置21から通知されたシーケンスナンバーのカウント値に所定値α=10を加算して修正シーケンスナンバーとして保持している。αの値は、通知周期Tの間に、IPsec終端装置11が対向装置12に送信する暗号化IPパケット17の数より大きい値にしておく必要がある。そのため、周期Tと、IPsec終端装置11が対向装置12に送信する暗号化IPパケット17の最大数とから予めαの値を定めて予備系装置22に格納しておく。
The
ここで、運用系装置21がシーケンスナンバー=8の暗号化IPパケットを送信した後に故障したとする。その故障の発生を契機に、予備系装置22がIPsec処理を引き継ぎ、保持していた修正シーケンスナンバー18(8+10)から暗号化IPパケットに付与し始める。
Here, it is assumed that the
対向装置12は、シーケンスナンバー=8の暗号化IPパケットの次にシーケンスナンバー=18の暗号化IPパケットを受信することとなり、正常な暗号化パケットとして受信を継続することができる。予備系装置22は、運用系装置21の故障時にその通信を正常に継続できる。
The
以上説明したように、本実施形態によれば、運用系装置21から予備系装置22に定期的に、次に付与すべきシーケンスナンバーを通知している。予備系装置22は、通知されたシーケンスナンバーに所定値αを加算して修正シーケンスナンバーを保持している。そして、予備系装置22は、IPsec処理を引き継ぐとき、保持しておいた修正シーケンスナンバーを初期値として暗号化IPパケットに付与し始める。そのため、運用系装置21から予備系装置22にシーケンスナンバーを頻繁に通知しなくても、対向装置12にて暗号化IPパケットを誤って廃棄してしまうことがなく、その結果、大きな記憶容量や重たい処理を要することなく、セキュリティ機能の2重化構成における良好な切り替えによる通信の継続が可能なIPsec終端装置を提供することができる。
As described above, according to the present embodiment, the
なお、本実施形態では、予備系装置22が、運用系装置21から通知されたシーケンスナンバーにαを加算することとしたが、本発明はこれに限定されるものではない。他の例として、αの加算を運用系装置21にて行なうこととし、運用系装置21から予備系装置22に、すでにαの加算された、修正シーケンスナンバーを通知することとしてもよい。
In the present embodiment, the
また、その場合、運用系装置21は、一定時間当たりに対向装置12に送信する暗号化IPパケット数(トラヒック量)をカウントしており、そのカウント数に基づいてαの値を可変制御することとしてもよい。
In this case, the
これによれば、トラヒック量に応じてαの値を適切に選択することができるので、トラヒック量が大きく変化する場合でも、対向装置12にて暗号化IPパケットを廃棄してしまうことがない。
According to this, since the value of α can be appropriately selected according to the traffic volume, even when the traffic volume greatly changes, the
11 IPsec終端装置
12 対向装置
13 IP網
14 L2SW
15 LANケーブル
16 IPsecトンネル
17 暗号化IPパケット
18 非暗号化IPパケット
21 運用系装置
22 予備系装置
23、25 送信シーケンスナンバー管理部
24、26 受信シーケンスナンバー確認部
101〜106、201〜205、301〜305 ステップ
11
DESCRIPTION OF
Claims (10)
セキュリティ機能により暗号化したパケットに送信順序を示すシーケンスナンバーを付与して対向装置に送信し、次に付与すべきシーケンスナンバーを所定の時間間隔で予備系に通知する運用系装置と、
前記運用系装置のセキュリティ機能を引き継ぐとき、該運用系装置から通知された、前記シーケンスナンバーに所定値を加算した値を、シーケンスナンバーの初期値として、前記対向装置に送信するパケットへの付与を開始する予備系装置とを有するセキュリティ通信装置。 A security communication device that provides a security function with a redundant configuration including an active system and a standby system,
An operational device that gives a sequence number indicating the transmission order to the packet encrypted by the security function and transmits it to the opposite device, and notifies the standby system of a sequence number to be assigned next at a predetermined time interval;
When taking over the security function of the active device, a value obtained by adding a predetermined value to the sequence number notified from the active device is used as an initial value of the sequence number, and attached to the packet to be transmitted to the opposite device. A security communication device having a standby device to start.
前記予備系装置は、前記運用系装置から通知された前記シーケンスナンバーに前記所定値を加算して保持しておき、該運用系装置のセキュリティ機能を引き継ぐときに用いる、請求項1または2に記載のセキュリティ通信装置。 The operational system device notifies the standby system device as it is of the sequence number to be assigned next,
3. The standby system apparatus according to claim 1, wherein the standby apparatus adds the predetermined value to the sequence number notified from the active system apparatus and holds the sequence number, and is used when taking over the security function of the active system apparatus. Security communication device.
前記予備系装置は、前記運用系装置から通知された、前記所定値の加算された前記シーケンスナンバーを、該運用系装置のセキュリティ機能を引き継ぐときに用いる、請求項1または2に記載のセキュリティ通信装置。 The operational system device adds the predetermined value to the sequence number to be assigned next and notifies the standby system device,
3. The security communication according to claim 1, wherein the standby device uses the sequence number notified from the active device to which the predetermined value is added when taking over the security function of the active device. 4. apparatus.
前記運用系装置にて、セキュリティ機能により暗号化したパケットに送信順序を示す前記シーケンスナンバーを付与して対向装置に送信するステップと、
前記運用系装置から、次に付与すべきシーケンスナンバーを所定の時間間隔で前記予備系装置に通知するステップと、
前記予備系装置により前記運用系装置のセキュリティ機能を引き継ぐとき、該運用系装置から通知された、前記シーケンスナンバーに所定値を加算した値を、シーケンスナンバーの初期値として、前記対向装置に送信するパケットへの付与を開始するステップとを有するシーケンスナンバー管理方法。 A sequence number management method for use in a security communication device that provides a redundant configuration of security functions between an active device and a standby device,
In the operational device, assigning the sequence number indicating the transmission order to the packet encrypted by the security function and transmitting to the opposite device;
From the operational system device, notifying the standby system device of a sequence number to be assigned next at a predetermined time interval;
When the standby device takes over the security function of the active device, a value obtained by adding a predetermined value to the sequence number notified from the active device is transmitted to the opposite device as an initial value of the sequence number. A sequence number management method including a step of starting attachment to a packet.
前記予備系装置にて、前記運用系装置から通知された前記シーケンスナンバーに前記所定値を加算して保持しておき、該運用系装置のセキュリティ機能を引き継ぐときに用いる、請求項6または7に記載のシーケンスナンバー管理方法。 In the operational system device, notify the standby system device as it is the sequence number to be assigned next,
The standby apparatus adds the predetermined value to the sequence number notified from the operational system apparatus and holds the sequence number, and is used when taking over the security function of the operational system apparatus. The sequence number management method described.
前記予備系装置にて、前記運用系装置から通知された、前記所定値の加算された前記シーケンスナンバーを、該運用系装置のセキュリティ機能を引き継ぐときに用いる、請求項6または7に記載のシーケンスナンバー管理方法。 In the operational system device, add the predetermined value to the sequence number to be assigned next, and notify the standby system device,
The sequence according to claim 6 or 7, wherein the standby device uses the sequence number notified from the active device to which the predetermined value is added when taking over the security function of the active device. Number management method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006009828A JP4645839B2 (en) | 2006-01-18 | 2006-01-18 | Security communication apparatus and sequence number management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006009828A JP4645839B2 (en) | 2006-01-18 | 2006-01-18 | Security communication apparatus and sequence number management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007194815A true JP2007194815A (en) | 2007-08-02 |
JP4645839B2 JP4645839B2 (en) | 2011-03-09 |
Family
ID=38450170
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006009828A Expired - Fee Related JP4645839B2 (en) | 2006-01-18 | 2006-01-18 | Security communication apparatus and sequence number management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4645839B2 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008199421A (en) * | 2007-02-14 | 2008-08-28 | Furukawa Electric Co Ltd:The | Encryption communication method and encryption communication system using redundant data repeater |
JP2012070077A (en) * | 2010-09-21 | 2012-04-05 | Nec Infrontia Corp | Communication system, information processing device, and information processing method |
JP2012518312A (en) * | 2009-02-13 | 2012-08-09 | アルカテル−ルーセント | Packet sequence number synchronization for line card redundancy |
US8693313B2 (en) | 2009-12-01 | 2014-04-08 | Fujitsu Limited | Apparatus and method for switching between redundant communication devices |
WO2017195356A1 (en) * | 2016-05-13 | 2017-11-16 | 三菱電機株式会社 | Data processing device, data processing method, and data processing program |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002247113A (en) * | 2001-02-22 | 2002-08-30 | Ntt Docomo Inc | Encryption communication system and encryption communication method |
JP2004328563A (en) * | 2003-04-28 | 2004-11-18 | Hitachi Ltd | Encryption communication apparatus and system |
JP2005057461A (en) * | 2003-08-04 | 2005-03-03 | Nippon Telegr & Teleph Corp <Ntt> | Method for switching redundant system |
JP2005260520A (en) * | 2004-03-11 | 2005-09-22 | Nec Corp | Method and device for detecting reply attack error |
JP2006324833A (en) * | 2005-05-18 | 2006-11-30 | Nec Corp | Redundancy constitution system and communication processor, and delivery non-confirmation connection switching method used therefor |
-
2006
- 2006-01-18 JP JP2006009828A patent/JP4645839B2/en not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002247113A (en) * | 2001-02-22 | 2002-08-30 | Ntt Docomo Inc | Encryption communication system and encryption communication method |
JP2004328563A (en) * | 2003-04-28 | 2004-11-18 | Hitachi Ltd | Encryption communication apparatus and system |
JP2005057461A (en) * | 2003-08-04 | 2005-03-03 | Nippon Telegr & Teleph Corp <Ntt> | Method for switching redundant system |
JP2005260520A (en) * | 2004-03-11 | 2005-09-22 | Nec Corp | Method and device for detecting reply attack error |
JP2006324833A (en) * | 2005-05-18 | 2006-11-30 | Nec Corp | Redundancy constitution system and communication processor, and delivery non-confirmation connection switching method used therefor |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008199421A (en) * | 2007-02-14 | 2008-08-28 | Furukawa Electric Co Ltd:The | Encryption communication method and encryption communication system using redundant data repeater |
JP2012518312A (en) * | 2009-02-13 | 2012-08-09 | アルカテル−ルーセント | Packet sequence number synchronization for line card redundancy |
US8693313B2 (en) | 2009-12-01 | 2014-04-08 | Fujitsu Limited | Apparatus and method for switching between redundant communication devices |
JP2012070077A (en) * | 2010-09-21 | 2012-04-05 | Nec Infrontia Corp | Communication system, information processing device, and information processing method |
WO2017195356A1 (en) * | 2016-05-13 | 2017-11-16 | 三菱電機株式会社 | Data processing device, data processing method, and data processing program |
JPWO2017195356A1 (en) * | 2016-05-13 | 2018-09-13 | 三菱電機株式会社 | Data processing apparatus, data processing method, and data processing program |
Also Published As
Publication number | Publication date |
---|---|
JP4645839B2 (en) | 2011-03-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5392034B2 (en) | Communication apparatus and communication method | |
CN102904818B (en) | A kind of ARP information entry updating method and device | |
EP1914939B1 (en) | A method for the triggering failure detection of bidirectional forwarding detection | |
KR101593168B1 (en) | Physical one direction communication device and method thereof | |
CN101951345B (en) | Message transmitting method and equipment | |
EP3322150A1 (en) | Apparatus and method for resilient ip security/internet key exchange security gateway | |
WO2016082412A1 (en) | Method and apparatus for realizing reliable transmission of data, and computer storage medium | |
JP5419907B2 (en) | Network system and communication recovery method | |
CN107836095B (en) | Method for generating a secret or key in a network | |
JP4645839B2 (en) | Security communication apparatus and sequence number management method | |
JP2010050958A (en) | Transmitting terminal, receiving terminal, communicating terminal, and information distributing system | |
CN102571488B (en) | Failure processing method, device and system for encryption card | |
CN100466583C (en) | Fast ring network method against attack based on RRPP, apparatus and system | |
WO2011060677A1 (en) | Method, device and system for main/standby switch | |
CN102769552A (en) | Method and apparatus for transmitting BFD (bidirectional forwarding detection) message during LSP (label switched path) detection by BFD | |
US11895228B2 (en) | Pausing a media access control security (MACsec) key agreement (MKA) protocol of an MKA session using a fast heartbeat session | |
JP2004328563A (en) | Encryption communication apparatus and system | |
JP4138819B2 (en) | Encrypted communication method | |
CN108322330A (en) | A kind of IPSEC VPN sequence numbers and anti-playback window synchronization method and apparatus | |
JP4626646B2 (en) | Packet communication apparatus, packet communication method, and packet communication program | |
EP3766223B1 (en) | Defeating man-in-the-middle attacks in one leg of 1+1 redundant network paths | |
JP6323336B2 (en) | Information distribution system, information distribution method, communication terminal, and program | |
JP2010193039A (en) | Communication device, communication system, and communication control method | |
JP4268200B2 (en) | Redundant data relay device and encrypted communication method using redundant data relay device | |
JP2017034627A (en) | System and method for communication control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081112 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100813 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100818 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101015 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101110 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101123 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131217 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |