JP2010273225A - パケット送受信システム、パケット送受信装置、および、パケット送受信方法 - Google Patents

パケット送受信システム、パケット送受信装置、および、パケット送受信方法 Download PDF

Info

Publication number
JP2010273225A
JP2010273225A JP2009124731A JP2009124731A JP2010273225A JP 2010273225 A JP2010273225 A JP 2010273225A JP 2009124731 A JP2009124731 A JP 2009124731A JP 2009124731 A JP2009124731 A JP 2009124731A JP 2010273225 A JP2010273225 A JP 2010273225A
Authority
JP
Japan
Prior art keywords
packet
transmission
received
reception
priority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009124731A
Other languages
English (en)
Other versions
JP5246034B2 (ja
Inventor
Isamu Fukuda
勇 福田
Katsuhiko Nekoto
勝彦 音琴
Toshifumi Inoue
俊史 井上
Kiyohisa Hoshino
清久 星野
Nobuyuki Fukuda
信之 福田
Yoshiaki Fukunaga
吉晃 福永
Satoru Hirasawa
哲 平沢
Kenji Fukuda
健次 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2009124731A priority Critical patent/JP5246034B2/ja
Priority to US12/783,724 priority patent/US20100296395A1/en
Publication of JP2010273225A publication Critical patent/JP2010273225A/ja
Application granted granted Critical
Publication of JP5246034B2 publication Critical patent/JP5246034B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】リプレイ攻撃チェックを適切に実行する。
【解決手段】パケット送信装置は、異なるQoSの優先度が設定されたパケットに対して同一の暗号鍵を用いて該パケットを暗号化し、暗号化したパケットに対して、該パケットに設定されたQoSの優先度ごとに異なる一連のシーケンス番号を付与して送信する。そして、パケット受信装置は、パケット送信装置から受信したパケットに付与されていたシーケンス番号の履歴を優先度ごとに記憶しておき、パケット送信装置からパケットを受信すると、受信したパケットに対して付与されたシーケンス番号を識別し、受信したパケットに設定されたQoSの優先度に対応付けて記憶部に記憶された履歴と照合することで、受信したパケットが既に受信済みかを判定する。そして、パケット受信装置は、受信済みではないと判定すると、異なるQoSの優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号する。
【選択図】図1

Description

本発明は、パケット送受信システム、パケット送受信装置、および、パケット送受信方法に関する。
ネットワークにおける脅威の一つとして、リプレイ攻撃がある。リプレイ攻撃では、悪意の第三者は、ネットワーク上において送受信されている認証用のデータを盗聴する。そして、悪意の第三者は、盗聴により取得した認証用のデータをそのまま送信することによって「なりすまし」を行い、他者のシステムに不正なログインを試みる。
ここで、リプレイ攻撃に対する対策としては、シーケンス番号を用いたリプレイ攻撃チェック技術がある。シーケンス番号を用いたリプレイ攻撃チェックについて、図21に示す例を用いて簡単に説明する。なお、図21に示す例では、IPsecを実行するNode AとNode Cとが、QoSによる送信制御を実行するRouterを経由してパケット通信を行う例を示した。
パケットを送信するNode Aは、Node Cに向けて送信するパケットに対して、パケットの優先度に関係なく、パケットを送信する毎に「1」ずつ増やしたシーケンス番号を付与する。そして、Node Cは、Node Aから受信したシーケンス番号の受信履歴を記憶しておき、パケットを受信すると、例えば、過去に受信した最大のシーケンス番号から予め定められた数以上小さいシーケンス番号ではないかを判定する。ここで、悪意の第三者が取得したパケットは過去のパケットであり、シーケンス番号が最大のシーケンス番号よりも小さくなるので、Node Cは、小さいと判定すると、パケットを廃棄する。なお、予め定められた数のことを、リプレイウィンドウサイズとも称する。
ところで、ネットワークにおいて通信の品質を保証する技術としてQoS(Quality of Service)が知られている。QoSによる送信制御を実行する装置は、相対的に低い優先度が設定されたパケットに優先して、相対的に高い優先度が設定されたパケットを送信する。
また、ネットワークセキュリティに関する技術として、例えば、IPsec(Security Architecture for Internet Protocol)が知られている。IPsecを実行する装置間にてパケットの送受信を行う場合には、パケット送信装置とパケット受信装置とが、暗号の種類や暗号鍵を予め取り決め、取り決めた暗号の種類や暗号鍵を用いてパケットの送受信を行う。なお、ここで、IPsecを実行する装置によって暗号の種類や暗号鍵を取り決めることをSA(Security Association、セキュリティアソシエーション)を確立すると称する。
また、リプレイ攻撃チェックを行う技術としては、例えば、QoS単位で別々のSAを確立する技術が知られている(RFC4301 4.1.項716行)。また、他にも、パケットを送信するパケット送信装置によって付与された一連のシーケンス番号について、受信装置が、QoSの優先度単位で管理する技術も知られている。
特開2005−260520号公報 特開2005−64594号公報
しかしながら、上記した従来技術では、リプレイ攻撃チェックを適切に行うことができなかったという課題があった。具体的には、上記したQoSの優先度単位で別々のSAを確立する技術では、取り決めた暗号の種類や暗号鍵をQoSごとに管理しなければならず、管理するデータ量が大量になっていた。
また、受信装置がQoSの優先度単位でシーケンス番号を管理する技術では、同一のQoSの優先度が設定されたパケット間にて順序入れ替えが発生した場合に、不当なパケット廃棄を防止できなかった。
例えば、パケット送信装置は、同一のQoSの優先度が設定されたパケットを連続して送信するとは限らず、連続する同一のQoSの優先度が設定されたパケットに対して、リプレイウィンドウサイズよりも大きく離れた番号を付与することがある。具体的な例をあげて説明すると、同一のQoSの優先度が設定された連続するパケットに対して、シーケンス番号「3」「16」が付与されることがある。
この場合、同一のQoSの優先度が設定されたパケット間にて順序入れ替えが発生すると、パケット受信装置は、「16」の後に「3」を受信することになる。この結果、パケットを受信する装置は、例えば、リプレイウィンドウサイズが「4」である場合には、リプレイウィンドウサイズ以上小さいと判定し、シーケンス番号「3」が付与されたパケットを破棄し、不当なパケット破棄が発生していた。
開示の技術は、上記に鑑みてなされたものであって、リプレイ攻撃チェックを適切に実行可能なパケット送受信システム、パケット送受信装置、および、パケット送受信方法を提供することを目的とする。
本願の開示するパケット送受信システムは、1つの態様において、パケット送信装置とパケット受信装置とを有するパケット送受信システムである。また、前記パケット送信装置は、異なる通話品質の優先度が設定されたパケットに対して同一の暗号鍵を用いて該パケットを暗号化する暗号化部を備える。また、前記パケット送信装置は、前記暗号化部によって暗号化されたパケットに対して、該パケットに設定された通話品質の優先度ごとに異なる一連のシーケンス番号を付与して送信する送信部を備える。また、前記パケット受信装置は、前記パケット送信装置から受信したパケットに付与されていたシーケンス番号の履歴を優先度ごとに記憶する記憶部を備える。また、前記パケット受信装置は、前記パケット送信装置からパケットを受信すると、受信したパケットに対して前記送信部によって付与されたシーケンス番号を識別し、受信したパケットに設定された通話品質の優先度に対応付けて前記記憶部に記憶された履歴と照合することで、受信したパケットが既に受信済みかを判定する判定部を備える。また、前記パケット受信装置は、前記判定部によって受信済みではないと判定された場合に、異なる通話品質の優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号する復号部を備える。
本願の開示するパケット送受信システムの1つの態様によれば、アンチリプレイ攻撃への対策を適切に実現可能であるという効果を奏する。
図1は、実施例1に係るパケット送受信システムの概要を説明するためのシーケンス図である。 図2は、実施例1に係るパケット送受信システムの構成を説明するためのブロック図である。 図3は、実施例1に係るパケット送受信システムが適用される無線ネットワークの一例について説明するための図である。 図4は、実施例1における送信側ポリシ記憶部に記憶される情報の一例を説明するための図である。 図5は、実施例1における送信側SA記憶部に記憶される情報の一例を説明するための図である。 図6は、実施例1におけるIKEパケットについて説明するための図である。 図7は、実施例1におけるパケット送受信システムにおけるSA確立処理の流れを説明するためのシーケンス図である。 図8は、実施例1におけるパケット送信装置によるパケット送信処理の流れを説明するためのフローチャートである。 図9は、実施例1におけるパケット受信装置によるパケット受信処理の流れを説明するためのフローチャートである。 図10は、実施例1におけるパケット送受信システムによる効果を説明するための図である。 図11は、実施例2における受信側SA記憶部に記憶される情報の一例を説明するための図である。 図12は、実施例2における受信側SA記憶部に記憶される情報の一例を説明するための図である。 図13は、実施例2におけるパケット受信装置によるパケット受信処理の流れを説明するためのフローチャートである。 図14は、実施例3における受信側SA記憶部に記憶される情報の一例を説明するための図である。 図15は、実施例3における受信側SA記憶部に記憶される情報の一例を説明するための図である。 図16は、実施例3におけるSA確立処理の流れを説明するためのフローチャートである。 図17は、シーケンス番号保持方式によるリプレイ攻撃チェック処理を説明するための図である。 図18は、シーケンス番号保持方式によるリプレイ攻撃チェック処理の流れを説明するためのフローチャートである。 図19は、シーケンス最新番号方式によるリプレイ攻撃チェック処理の流れを説明するためのフローチャートである。 図20は、実施例1に係るパケット送受信プログラムを実行するコンピュータの一例について説明するための図である。 図21は、従来技術を説明するための図である。
以下に、本願の開示するパケット送受信システム、パケット送受信装置、および、パケット送受信方法の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
[パケット送受信システムの概要]
最初に、図1を用いて、実施例1に係るパケット送受信システムの概要を説明する。図1は、実施例1に係るパケット送受信システムの概要を説明するためのシーケンス図である。
実施例1に係るパケット送受信システムは、パケット送信装置とパケット受信装置とを有するパケット送受信システムである。また、パケット送信装置とパケット受信装置とは、SAを確立し、以下に説明するように、確立したSAに従ってパケットの送受信を行う。なお、SAとは、IPsecを実行する装置によって行われる取り決めを示す。
具体的には、図1に示すように、実施例1におけるパケット送信装置は、パケットを送信するタイミングとなると(ステップS101肯定)、異なるQoS(通話品質とも称する)の優先度が設定されたパケットに対して同一の暗号鍵を用いて暗号化する(ステップS102)。例えば、パケット送信装置は、パケットに設定されたQoSの優先度が「EF(Expedited Forwarding)」であっても「BF(Best Effort)」であっても、同一の暗号鍵を用いて暗号化する。
そして、実施例1におけるパケット送信装置は、暗号化したパケットに対して、パケットに設定されたQoSの優先度ごとに異なる一連のシーケンス番号を付与し(ステップS103)、パケット受信装置に対してパケットを送信する(ステップS104)。例えば、パケット送信装置は、QoSの優先度が「EF」であるか「BF」であるかに関係なく同じ一連のシーケンス番号を送信順に付与するのではなく、送信するパケットに設定されたQoSの優先度を識別し、QoSの優先度ごとに一連のシーケンス番号を付与する。
そして、実施例1におけるパケット受信装置は、パケット送信装置からパケットを受信すると、QoSの優先度ごとにリプレイ攻撃チェックを行う(ステップS105)。
具体的には、パケット受信装置は、パケット送信装置から受信したパケットに付与されていたシーケンス番号の履歴を優先度ごとに記憶する記憶部を備える。そして、パケット受信装置は、受信したパケットに対して送信部によって付与されたシーケンス番号を識別する。そして、パケット受信装置は、受信したパケットに設定されたQoSの優先度に対応付けて記憶部に記憶された履歴と照合することで、受信したパケットが既に受信済みかを判定する。
そして、実施例1におけるパケット受信装置は、受信済みではないと判定した場合に、異なるQoSの優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号化する(ステップS106)。
このようなことから、実施例1に係るパケット送受信装置は、リプレイ攻撃チェックを適切に実現可能である。具体的には、暗号鍵数を最小限に抑えることができ、また、優先度ごとに異なるシーケンス番号を用いてチェックを行うので、優先度の違いによるパケットの受信順序逆転による不当なパケット廃棄を防止することが可能である。
[パケット送受信システムの詳細]
以下では、まず、ブロック図を用いて、図1を用いて説明したパケット送受信システムの構成について簡単に説明し、その後、パケット送受信システムによる処理の説明において、パケット送受信システムについて詳細に説明する。
また、以下では、実施例1として、異なるQoSの優先度に対して1つのSAを確立し、パケットに設定されたQoSの優先度ごとに異なる一連のシーケンス番号を付与する手法について説明する。なお、実施例1にて説明する手法は、後述するシーケンス制御方式「シーケンスリスト方式」に対応する。
[パケット送受信システムの構成]
図2を用いて、図1を用いて説明したパケット送受信システムの構成について簡単に説明する。図2は、実施例1に係るパケット送受信システムの構成を説明するためのブロック図である。
図2に示すように、パケット送受信システムは、パケット送信装置100とパケット受信装置200とを備え、パケット送信装置100とパケット受信装置200とがネットワーク300を介して接続される。また、パケット送受信システムでは、パケット送信装置100とパケット受信装置200とが、暗号技術を用いてパケットの送受信を行い、具体的には、IPsecのSAを確立し、確立したSAに従ってパケットの送受信を行う。
また、図2には図示していないが、ネットワーク300において、QoSによる送信制御を行う装置が、パケット送信装置100とパケット受信装置200との間のパケット送受信を中継する。
例えば、図3に示すように、パケット送受信システムは、LTE(Long Term Evolution、ロング・ターム・エボリューション)などの無線ネットワークシステムに適用される。なお、図3は、実施例1に係るパケット送受信システムが適用される無線ネットワークの一例について説明するための図である。
図3に示す例では、無線ネットワークシステムには、無線基地局装置(eNodeB)やセキュリティGW(ゲートウェイ)装置、サービングGW(ゲートウェイ)装置などで構成されており、各装置間のデータ送受信にIPsecのSAを適用している。また、無線ネットワークシステムにおいて送受信されるデータの種類には、音声データやパケットデータが混在しており、QoSによる送信制御を行う。なお、図3に示す例では、セキュリティGW装置やサービングGW装置、無線基地局装置などが、パケット送信装置100やパケット受信装置200に対応し、Routerが、ネットワーク300に存在するQoSによる送信制御を行う装置に対応する。
なお、実施例1では、説明の便宜上、パケット送信装置100とパケット受信装置200とを用いて説明するが、本発明はこれに限定されるものではなく、パケットを送受信するパケット送受信装置であってもよい。
[パケット送信装置の構成]
次に、パケット送信装置100が備える各部について簡単に説明する。パケット送信装置100は、ネットワーク300を介してパケット受信装置200と接続され、送信側ポリシ記憶部101と送信側SA記憶部102と送信側終端部111と送信側SA処理部112と送信側IKE処理部113とを備える。
パケット送信装置100が備える各部の内、送信側ポリシ記憶部101と送信側SA記憶部102とは、パケット送信装置100による各種送信処理に用いられるデータを記憶する。
送信側ポリシ記憶部101は、送信側IKE処理部113と接続され、図4に示すように、自装置がSAにて用いることが可能な情報を記憶し、図4に示す例では、自装置が使用可能な「暗号鍵」や「復号鍵」、「シーケンス制御方式」を記憶する。なお、図4は、実施例1における送信側ポリシ記憶部に記憶される情報の一例を説明するための図である。
図4に示す例では、パケット送信装置100は、暗号鍵として、暗号鍵「A」「B」「C」を用いることができ、また、復号鍵として復号鍵「a」「b」「c」を用いることができることを示す。
なお、シーケンス制御方式とは、どのようなSAかを識別するための情報であり、「シーケンスリスト方式」は、異なるQoSの優先度に対して1つのSAを確立し、パケットに設定されたQoSの優先度ごとに異なる一連のシーケンス番号を付与する方式を示す。また、「シーケンスリスト方式」では、以下に詳述するように、一回目にSAを確立する際に、QoSの優先度全てについて、それぞれ付与するシーケンス番号を決定する手法である。
なお、「シーケンス独立方式」や「シーケンス鍵共有方式」については、それぞれ、実施例2や実施例3で説明するため、ここでは説明を省略する。
なお、送信側ポリシ記憶部101に記憶されたデータは、パケット送信装置100とパケット受信装置200とがSAを確立する際に送信側IKE処理部113によって用いられ、また、パケット送信装置100を管理する管理者によって予め格納される。
送信側SA記憶部102は、送信側SA処理部112と送信側IKE処理部113と接続され、図5に示すように、確立されたSAについての情報を記憶する。なお、図5は、実施例1における送信側SA記憶部に記憶される情報の一例を説明するための図である。
図5に示す例では、送信側SA記憶部102は、「SPI(Security Parameters Index)」と「IPアドレス」と「暗号鍵」と「復号鍵」と「シーケンス制御方式」とを記憶する。また、送信側SA記憶部102は、「QoS」ごとに、「最新シーケンス番号」と「リプレイウィンドウサイズ」とを記憶する。
ここで、送信側SA記憶部102によって記憶された情報の内、「SPI」は、パケット送信装置100とパケット受信装置200とによって確立されたSAを一意に識別する情報である。実施例1では、異なるQoSの優先度に対して1つのSAが確立されるため、送信側SA記憶部102は、「SPI」を1つのみ記憶し、図5に示す例では、SPI「1」のみを記憶する。
また、送信側SA記憶部102によって記憶された情報の内、「IPアドレス」は、確立されたSAにおいて送信元となるパケット送信装置100のIP(Internet Protocol)アドレスと、送信先となるパケット受信装置200のIPアドレスとが該当する。図5に示す例では、送信側SA記憶部102は、「255.255.xxx.xxx、255.255.yyy.yyy」を記憶する。また、暗号鍵や復号鍵、シーケンス制御方式は、確立されたSAにおいて用いられる暗号鍵や復号鍵、シーケンス制御方式であり、図5に示す例では、暗号鍵「A」や復号鍵「a」、シーケンス制御方式「シーケンスリスト方式」を記憶する。
また、送信側SA記憶部102によって記憶された情報の内、「最新シーケンス番号」は、使用されたシーケンス番号の内最新の番号を識別するための情報であり、具体的には、パケット送信装置100によって送信するパケットに付与されたシーケンス番号の内、最新のシーケンス番号である。なお、QoSの優先度ごとに付与される一連のシーケンス番号は、QoSの優先度ごとにそれぞれことなる。また、「リプレイウィンドウサイズ」は、確立されたSAに設定されたリプレイウィンドウサイズを示す。また、「QoS」は、QoSの優先度を識別するための情報である。
なお、送信側SA記憶部102は、パケット送受信システムにおいて用いられるQoSの優先度全てについて、それぞれ、「最新シーケンス番号」や「リプレイウィンドウサイズ」が格納される。つまり、図5示す例では、例えば、QoS「EF」やQoS「BF」について、それぞれ、「最新シーケンス番号」や「リプレイウィンドウサイズ」が格納される。
また、実施例1では、送信側SA記憶部102は、パケット受信装置200と最初にSAを確立する際に、QoSの優先度全てについて、「最新シーケンス番号」、「リプレイウィンドウサイズ」が格納される。
なお、送信側SA記憶部102に記憶されたデータは、SA確立時に送信側IKE処理部113によって格納される。また、送信側SA記憶部102に記憶されたデータは、パケット送信装置100がパケットを送信する際に送信側SA処理部112によって用いられ、また、送信するごとに「最新シーケンス番号」が更新される。
また、パケット送信装置100が備える各部の内、送信側終端部111と送信側SA処理部112と送信側IKE処理部113とは、各種の送信処理手順などを規定したプログラムを記憶するための内部メモリを有し、各種の送信処理を行う。
送信側終端部111は、送信側SA処理部112と接続され、パケット受信装置200に送信するパケットを送信側SA処理部112に送る。例えば、パケット送信装置100がパケット受信装置200とは異なる他の装置と接続される場合には、送信側終端部111は、他の装置からパケットを受信すると、受信したパケットを送信側SA処理部112に送る。
送信側SA処理部112は、送信側SA記憶部102と送信側終端部111と送信側IKE処理部113と接続される。また、送信側SA処理部112は、送信側SA記憶部102を参照し、既に確立されたSAに従って、パケット受信装置200にパケットを送信する。
具体的には、送信側SA処理部112は、送信側終端部111からパケットを受信すると、送信側SA記憶部102を参照し、SAが確立されているかを判定する。例えば、送信側SA処理部112は、送信側SA記憶部102に既に確立されたSAについての情報が格納されているかを判定する。
また、送信側SA処理部112は、SAが確立されていると判定した場合には、既に確立されたSAに従って、パケット受信装置200にパケットを送信する。具体的には、送信側SA処理部112は、異なるQoSの優先度が設定されたパケットに対して同一の暗号鍵を用いてパケットを暗号化し、パケットに設定されたQoSの優先度ごとに異なる一連のシーケンス番号を付与して送信する。例えば、送信側SA処理部112は、パケットに設定されたQoSの優先度ごとに、それぞれ異なるシーケンス番号を昇順にて付与し、パケットを送信する。
また、送信側SA処理部112は、SAが確立されていないと判定した場合には、その旨を送信側IKE処理部113に送る。その後、送信側IKE処理部113によってSAが確立された旨の情報を受信すると、確立されたSAに従って、パケット受信装置200にパケットを送信する。
送信側IKE処理部113は、送信側ポリシ記憶部101と送信側SA記憶部102と送信側SA処理部112と接続される。また、送信側IKE処理部113は、SAが確立されていないと判定した旨を送信側SA処理部112から受信すると、パケットを送信する送信先となるパケット受信装置200との間にSAを確立する。つまり、送信側IKE処理部113は、パケット受信装置200内にある後述する受信側IKE処理部211と共働して、パケット送信装置100とパケット受信装置200との間にSAを確立する。
また、実施例1では、送信側IKE処理部113は、受信側IKE処理部211と共働して、異なるQoSの優先度に対して1つのSAを確立する。
また、送信側IKE処理部113と受信側IKE処理部211とは、SAを確立する際に、IKE(Internet Key Exchange)パケットを送受信することでネゴシエーションし、SAにて用いる暗号鍵や復号鍵、シーケンス制御方式を決定する。
図6を用いて、IKEパケットの一例について説明する。図6に示す例は、IKEパケットに含まれるペイロードのヘッダである。図6に示す例では、送信側IKE処理部113が、シーケンス制御方式についての3つのプロポーザルをパケット受信装置200に提案する場合を例に示した。なお、図6に示した例は、IKEv2(Internet Key Exchange version 2)に関するものである。また、図6に示す例では、シーケンス制御方式に関する情報のみが含まれているが、他にも、暗号鍵や復号鍵など、SAを確立するうえで用いられる情報であって、ネゴシエーションを要する情報も含まる。
図6に示すIKEパケットでは、プロポーザル各々に、「トランスフォームタイプ」や「トランスフォーム長」、「トランスフォームID」、「トランスフォーム属性」が含まれる。また、プロポーザルには、希望順位が設定されている。ここで、「トランスフォームタイプ」には、シーケンス制御方式を識別するための情報が設定され、例えば、「6」〜「255」までの数のいずれかが設定される。また、「トランスフォームタイプ」に設定される数のいずれかに、シーケンス制御方式がそれぞれ対応付けられる。「トランスフォーム長」には、トランスフォームフィールドの長さが設定される。「トランスフォームID」には、シーケンス制御方式の名称が設定され、例えば、「シーケンスリスト方式」が設定される。また、「トランスフォーム属性」には、シーケンス制御方式に対応する情報が設定され、例えば、シーケンスリスト方式である場合には、QoSの優先度とシーケンス番号との組み合わせが設定される。なお、シーケンスリスト方式以外の場合におけるトランスフォーム属性については、実施例1以降にて後述するため、ここでは説明を省略する。
[パケット受信装置の構成]
パケット受信装置200は、ネットワーク300を介してパケット送信装置100と接続され、受信側ポリシ記憶部201と受信側SA記憶部202と受信側IKE処理部211と受信側SA処理部212と受信側終端部213とを備える。
パケット受信装置200が備える各部の内、受信側ポリシ記憶部201と受信側SA記憶部202とは、パケット受信装置200による各種送信処理に用いられるデータを記憶する。また、受信側ポリシ記憶部201は、送信側ポリシ記憶部101に対応し、送信側ポリシ記憶部101と同様の情報を記憶する。また、受信側SA記憶部202は、送信側SA記憶部102に対応し、送信側SA記憶部102と同様の情報を記憶する。
ここで、受信側ポリシ記憶部201や受信側SA記憶部202と、送信側ポリシ記憶部101や送信側SA記憶部102との違いについて簡単に説明する。これらの記憶部は、受信側ポリシ記憶部201や受信側SA記憶部202が、パケット受信装置200についての情報を記憶し、送信側ポリシ記憶部101や送信側SA記憶部102が、パケット送信装置100についての情報を記憶する点において異なる。
受信側SA記憶部202は、パケット送信装置100から受信したパケットに付与されていたシーケンス番号の履歴を優先度ごとに記憶する。また、受信側SA記憶部202は、送信側SA記憶部102の例としてあげた図5に示す例と同様の構成にて、情報を記憶する。なお、送信側SA記憶部102の例としてあげた図5に示す例の内、受信側SA記憶部202では、「最新シーケンス番号」が履歴に該当する。つまり、受信側SA記憶部202が記憶する「最新シーケンス番号」は、パケット受信装置200が受信したパケットに付与されていたシーケンス番号の内、もっとも大きなシーケンス番号が該当する。
また、パケット受信装置200が備える各部の内、受信側終端部213と受信側SA処理部212と受信側IKE処理部211とは、各種の受信処理手順などを規定したプログラムを記憶するための内部メモリを有し、各種の受信処理を行う。
受信側IKE処理部211は、受信側ポリシ記憶部201と受信側SA記憶部202と接続され、送信側IKE処理部113と共働して、パケット送信装置100との間にSAを確立する。そして、受信側IKE処理部211は、確立したSAについての情報を受信側SA記憶部202に格納する。なお、受信側IKE処理部211のその他の点については、送信側IKE処理部113と同様のため、説明を省略する。
受信側SA処理部212は、受信側SA記憶部202と受信側終端部213と接続され、また、ネットワーク300を介して送信側SA処理部112と接続される。また、受信側SA処理部212は、送信側SA処理部112によって送信されたパケットを受信すると、受信側IKE処理部211によって既に確立されたSAに従って、シーケンス番号を用いてリプレイ攻撃チェックを行う。
具体的には、受信側SA処理部212は、受信したパケットに付与されたシーケンス番号を識別する。そして、受信側SA処理部212は、受信したパケットに設定されたQoSの優先度に対応付けて受信側SA記憶部202に記憶された履歴と照合することで、受信したパケットが既に受信済みかを判定する。
ここで、受信側SA処理部212は、受信済みではないと判定すると、異なるQoSの優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号する。そして、受信側SA処理部212は、復号したパケットを受信側終端部213に送る。また、受信側SA処理部212は、受信側SA記憶部202に記憶された履歴を更新し、具体的には、最新のシーケンス番号を更新する。一方、受信側SA処理部212は、受信済みであると判定すると、パケットを破棄する。
受信側終端部213は、受信側SA処理部212と接続され、送信側SA処理部112からパケットを受信し、パケット受信装置200が受信したパケットを利用する他の装置に送信する。
[実施例1に係るパケット送受信システムによる処理]
次に、実施例1に係るパケット送受信システムによる処理の流れについて説明する。以下では、パケット送受信システムにおけるSA確立処理の流れ、パケット送信装置100によるパケット送信処理の流れ、パケット受信装置200によるパケット受信処理の流れについて、順に説明する。
[実施例1におけるパケット送受信システムにおけるSA確立処理]
次に、図7を用いて、実施例1におけるパケット送受信システムにおけるSA確立処理の流れについて説明する。なお、図7は、実施例1におけるパケット送受信システムにおけるSA確立処理の流れを説明するためのシーケンス図である。
図7に示すように、パケット送信装置100では、SAを確立するタイミングになると(ステップS201肯定)、例えば、パケット送信時にSAが確立されていないと送信側SA処理部112によって判定されると、SAを確立する処理を開始する。具体的には、送信側IKE処理部113は、図6に示すようなIKEパケットをパケット受信装置200に送信する(ステップS202)。
ここで、送信側IKE処理部113は、これから確立するSAにて使用することを希望する暗号鍵や復号鍵、シーケンス制御方式について、IKEパケットを用いて受信側IKE処理部211に送信する。また、IKEパケットを用いて送信する暗号鍵や復号鍵、シーケンス制御方式に対して、希望順位を設定しておく。なお、送信側IKE処理部113は、暗号鍵や復号鍵そのものを送信するのではなく、暗号鍵や復号鍵を一意に識別するための情報を送信する。
例えば、図6に示す例では、送信側IKE処理部113は、第1希望となるプロポーザル[0]の「トランスフォームID」に、「シーケンスリスト方式」を設定する。また、送信側IKE処理部113は、「シーケンスリスト方式」を設定する場合には、IKEパケットの「トランスフォーム属性」に、QoSの優先度とシーケンス番号との組み合わせを設定する。例えば、送信側IKE処理部113は、QoSの優先度「EF」と「BF」とを用いる場合には、QoSの優先度「EF」や「BF」を設定する。
ここで、送信側IKE処理部113は、パケット送受信システムにおいて用いられるすべてのQoSの優先度について、それぞれ「トランスフォーム属性」に設定する。送信側IKE処理部113は、SAを確立する場合に、パケット受信装置に対して、パケット送信装置から送信されるパケットに設定されるQoSの優先度各々を示す優先度識別情報すべてを送信することになる。なお、優先度識別情報とは、例えば、「EF」や「BF」などが該当する。
そして、パケット受信装置200では、受信側IKE処理部211は、IKEパケットに含まれる方式の内、自装置が対応する方式を1つ選択する(ステップS203)。例えば、受信側IKE処理部211は、希望順位の高いプロポーザルから、自装置が対応するシーケンス制御方式かを判定し、対応すると最初に判定したシーケンス制御方式を選択する。例えば、図6に示す例では、受信側IKE処理部211は、プロポーザル[0]の「シーケンスリスト方式」を選択する。
また、受信側IKE処理部211は、シーケンス制御方式と同様に、「暗号鍵」や「複合鍵」についても、シーケンス制御方式と同様に選択する。
そして、パケット受信装置200では、受信側IKE処理部211は、選択した方式を示すIKEパケットを送信側IKE処理部113に対して送信する(ステップS204)。
そして、パケット送信装置100では、送信側IKE処理部113が、受信側IKE処理部211から受信したIKEパケットによって特定される方式を用いて、SAを確立する(ステップS205)。また、ここで、送信側IKE処理部113は、確立したSAについての情報を送信側SA記憶部102に格納する。
図5に示す例を用いて説明すると、送信側IKE処理部113は、SPIを1つ設定したうえで、「IPアドレス」や「暗号鍵」、「シーケンス制御方式」を送信側SA記憶部102に格納する。また、パケット送受信システムにおいて用いられるQoSの優先度ごとに、「最新シーケンス番号」や「リプレイウィンドウ」、「QoS」を送信側SA記憶部102に格納する。
ここで、送信側IKE処理部113が送信側SA記憶部102に格納する情報の内、「暗号鍵」や「シーケンス制御方式」、「リプレイウィンドウ」、「QoS」については、IKEパケットによって識別される。また、「最新シーケンス番号」については、SAを新たに確立した時点においては、未だシーケンス番号が使用されていないため、初期設定として「0」になる。
また、受信側IKE処理部211は、送信側IKE処理部113と同様に、受信したIKEパケットによって特定される方式の内選択した方式を用いて、送信側IKE処理部113と同様にSAを確立する(ステップS206)。また、ここで、受信側IKE処理部211は、確立したSAについての情報を受信側SA記憶部202に格納し、送信側IKE処理部113によって送信された優先度識別情報ごとにシーケンス番号の履歴を記憶するように受信側SA記憶部202を設定する。
[実施例1におけるパケット送信装置によるパケット送信処理]
次に、図8を用いて、実施例1におけるパケット送信装置100によるパケット送信処理の流れについて説明する。なお、図8は、実施例1におけるパケット送信装置によるパケット送信処理の流れを説明するためのフローチャートである。
なお、以下では、SAを確立する処理の流れについては、図7を用いて説明したため、予めSAが確立されている場合におけるパケット送信処理の流れについて説明する。また、実施例1におけるパケット送信装置によるパケット送信処理の流れでは、特に言及しない限り、送信するパケットに設定されたQoSの優先度が「BF」である場合を例に説明する。
図8に示すように、パケット送信装置100では、送信タイミングとなると(ステップS301肯定)、送信側SA処理部112は、送信するパケットを解析し(ステップS302)、パケットに設定されたQoSの優先度を識別する(ステップS303)。例えば、送信側SA処理部112は、パケットに設定されたQoSの優先度が「BF」であると識別する。
そして、送信側SA処理部112は、送信側SA記憶部102から、識別したQoSの優先度に対応する最新のシーケンス番号を取得する(ステップS304)。図5に示す例を用いて説明すると、送信側SA処理部112は、QoSの優先度が「BF」に対応する最新のシーケンス番号「6」を取得する。
そして、送信側SA処理部112は、最新のシーケンス番号を更新する(ステップS305)。図5に示す例を用いて説明すると、送信側SA処理部112は、QoSの優先度が「BF」に対応する最新のシーケンス番号について、「6」から「7」へと更新する。
そして、送信側SA処理部112は、送信側SA記憶部102から暗号鍵を取得し(ステップS306)、図5に示す例を用いて説明すると、暗号鍵「A」を取得する。そして、送信側SA処理部112は、送信するパケットを暗号化し(ステップS307)、例えば、送信するパケットに設定されたQoSの優先度に関係なく、暗号鍵「A」を用いて暗号化する。
そして、送信側SA処理部112は、パケットに設定されたQoSの優先度ごとに異なる一連のシーケンス番号を付与する(ステップS308)。例えば、更新後の最新のシーケンス番号である「7」を、QoSの優先度が「BF」が設定されたパケットに付与する。なお、ここで、例えば、送信するパケットに設定されたQoSの優先度が「EF」である場合には、QoSの優先度が「EF」に対応するシーケンス番号が付与され、図5に示す例では、「10」の次の番号になる「11」が付与される。
そして、送信側SA処理部112は、パケット受信装置200に対してパケットを送信する(ステップS309)。つまり、送信側SA処理部112は、異なるQoSの優先度が設定されたパケットに対して同一の暗号鍵を用いて暗号化し、パケットに設定されたQoSの優先度ごとに異なる一連のシーケンス番号を付与した上で、パケットを送信する。
[実施例1におけるパケット受信装置によるパケット受信処理]
次に、図9を用いて、実施例1におけるパケット受信装置200によるパケット受信処理の流れについて説明する。なお、図9は、パケット受信装置によるパケット受信処理の流れを説明するためのフローチャートである。また、実施例1におけるパケット送信装置100によるパケット送信処理の流れでは、特に言及しない限り、受信したパケットに設定されたQoSの優先度が「BF」である場合を例に説明する。
図9に示すように、パケット受信装置200では、受信側SA処理部212は、パケットを受信すると(ステップS401肯定)、受信したパケットを解析し(ステップS402)、パケットに設定されたQoSの優先度を識別する(ステップS403)。例えば、受信側SA処理部212は、受信したパケットに設定されたQoSの優先度が「BF」であると識別する。
そして、受信側SA処理部212は、受信側SA記憶部202から、識別したQoSの優先度に対応する最新のシーケンス番号とリプレイウィンドウサイズを取得する(ステップS404)。例えば、受信側SA処理部212は、QoSの優先度が「BF」に対応する最新のシーケンス番号「6」とリプレイウィンドウサイズ「3」とを取得する。
ここで、受信側SA記憶部202は、QoSの優先度ごとに最新のシーケンス番号を記憶しており、受信側SA処理部212は、QoSの優先度ごとに異なる最新のシーケンス番号を取得することになる。
そして、受信側SA処理部212は、QoSの優先度ごとに異なるシーケンス番号を用いて、リプレイ攻撃チェックを行う(ステップS405)。具体的には、まず、受信側SA処理部212は、受信したパケットに対して付与されたシーケンス番号を識別する。そして、受信側SA処理部212は、受信したパケットに設定されたQoSの優先度に対応付けて受信側SA記憶部202に記憶された履歴と照合することで、受信したパケットが既に受信済みかを判定する。
最新のシーケンス番号「6」とリプレイウィンドウサイズ「3」とを用いて判定する場合を例に、さらに説明する。受信側SA処理部212は、識別したシーケンス番号が最新のシーケンス番号より大きければ、例えば、「7」以上であれば、受信済みでないと判定する。また、受信側SA処理部212は、識別したシーケンス番号が「6」である場合には、受信済みのシーケンス番号と重複することになり、受信済みであると判定する。また、受信側SA処理部212は、識別したシーケンス番号が「6」未満である場合には、リプレイウィンドウサイズ「3」の範囲内になるシーケンス番号であれば、受信済みでないと判定し、例えば、シーケンス番号が「4、5、6」であれば、受信済みでないと判定する。ただし、シーケンス番号が「4、5、6」の内、シーケンス番号が「6」については、「最新シーケンス番号」として記憶されており、上記したように、受信済みであると優先して判定することになる。また、受信側SA処理部212は、識別したシーケンス番号が6未満であり、リプレイウィンドウサイズ「3」の範囲外になるシーケンス番号であれば、受信済みであると判定し、例えば、シーケンス番号が「3」未満であれば、受信済みであると判定する。
なお、シーケンス番号が「4、5」について、受信済みであると判定しない理由について簡単に説明する。パケット送信装置100による送信順番と、パケット受信装置200による受信順番とは、必ずしも同一にならず、順番に入れ替えが発生することがある。このような場合に、誤って不当なパケット破棄が発生しないように、リプレイウィンドウを用い、この結果、上記した例では、シーケンス番号が「4、5」受信済みでないと判定する。
そして、受信側SA処理部212は、受信済みであると判定すると(ステップS406肯定)、つまり、例えば、「最新シーケンス番号」と重複し、または、リプレイウィンドウサイズ外であると判定すると、受信したパケットを破棄する(ステップS407)。一方、受信側SA処理部212は、受信済みでないと判定すると(ステップS406否定)、つまり、例えば、受信側SA処理部212は、「最新シーケンス番号」より大きく、または、リプレイウィンドウサイズ内であると判定すると、受信したパケットを復号化する(ステップS408)。つまり、受信側SA処理部212は、異なるQoSの優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号し、図5に示す例では、復号鍵「a」を用いて復号する。また、受信側SA処理部212は、最新シーケンス番号を受信側SA記憶部202に格納する。
[実施例1の効果]
上記したように、実施例1によれば、パケット送信装置100は、異なるQoSの優先度が設定されたパケットに対して同一の暗号鍵を用いて暗号化し、パケットに設定されたQoSの優先度ごとに異なる一連のシーケンス番号を付与して送信する。そして、パケット受信装置200は、受信したパケットに付与されていたシーケンス番号の履歴を優先度ごとに記憶する受信側SA記憶部202を備える。そして、パケット受信装置200は、受信したパケットに対して付与されたシーケンス番号を識別し、受信したパケットに設定されたQoSの優先度に対応付けられた履歴と照合することで、受信したパケットが既に受信済みかを判定する。そして、パケット受信装置200は、受信済みではないと判定された場合に、異なるQoSの優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号する。
この結果、実施例1によれば、リプレイ攻撃チェックを適切に実現可能である。具体的には、複数のQoSにて同一の暗号鍵を用いるので、暗号鍵数を最小限に抑えることが可能である。また、優先度ごとに異なるシーケンス番号を用いてチェックを行うので、優先度の違いによるパケットの受信順序逆転による不当なパケット廃棄を防止することが可能である。
ここで、図10を用いて、不当なパケット廃棄を防止することが可能であるという効果についてさらに説明する。なお、図10は、実施例1におけるパケット送受信システムによる効果を説明するための図である。
例えば、従来の手法では、パケット送信装置は、QoSの優先度に関係なくシーケンス番号を送信順に付与し、図10の(1)に示す例では、QoSの優先度「EF」に対して、シーケンス番号「1〜3、5、7、9〜15」を付与する。また、同様に、パケット送信装置100は、QoSの優先度「BF」に対して、シーケンス番号「4、6、8、16」を付与する。
ここで、パケット送信装置によって送信されたパケットがQoSによる送信制御を行うルータなどを経由してパケット受信装置に届く場合には、図10の(2)に示すように、ルータにて、送信順番が変更される。つまり、ルータは、相対的に高いQoSの優先度が設定されたパケットについて、相対的に低いQoSの優先度が設定されたパケットに優先して送信する。この結果、パケット送信装置100による送信順番とは異なる送信順にてパケットを送信する。例えば、図10の(2−1)の「QoS制御前」に示す例では、パケット送信装置100によって送信された送信順と同じ並びになっている。これに対して、QoSの優先度「EF」は「BF」よりも優先度が高いため、図10の(2−2)の「QoS制御後」に示す例では、シーケンス番号の大小に関係なく、QoSの優先度「EF」が設定されたパケットの送信順が、QoSの優先度「BF」が設定されたパケットの送信順よりも早くなる。
この結果、パケット受信装置は、図10の(2−2)に示す送信順でパケットを受信した場合には、シーケンス番号「15」が付与されたパケットの後に、シーケンス番号「4」が付与されたパケットを受信することになる。ここで従来の手法では、リプレイウィンドウサイズが「4」である場合には、パケット受信装置は、シーケンス番号「4」が付与されたパケットが既に受信済みであると判定し、シーケンス番号「8」が付与されたリプレイウィンドウ外であると判定し、パケットを破棄する。つまり、QoSの優先度の違いによるパケットの受信順序逆転による不当なパケット廃棄が発生する。
また、パケットの伝送過程では、同じQoSの優先度であったとしても、送信順番が入れ替わることがあり、図10の(2−3)の「同一優先度内での逆転」に示す例では、QoSの優先度「BF」が設定されたパケット内にて、送信順序が入れ替わっている。この結果、従来の手法では、パケット受信装置は、図10の(2−3)に示す送信順にてパケットを受信した場合には、シーケンス番号「16」が付与されたパケットの後に、シーケンス番号「8」が付与されたパケットを受信することになる。このため、リプレイウィンドウサイズが「4」である場合には、図10の(3)の「パケット受信装置によるリプレイ攻撃チェック」に示すように、パケット受信装置200が、シーケンス番号「8」が付与されたパケット破棄する。つまり、同一優先度内における順序逆転による不当なパケット廃棄が発生する。
これに対して、実施例1によれば、QoSの優先度ごとに異なる一連のシーケンス番号を付与するので、QoSの優先度の違いによるパケットの受信順序逆転による不当なパケット廃棄や、同一優先度内における順序逆転による不当なパケット破棄を防止可能である。
また、実施例1によれば、パケット送信装置100は、異なるQoSの優先度に対して1つのSAをパケット受信装置200と確立する。また、パケット送信装置100は、SAを確立する場合に、パケット受信装置200に対して、パケット送信装置100から送信されるパケットに設定されるQoSの優先度を示す優先度識別情報を送信する。そして、パケット受信装置200は、優先度識別情報を受信すると、優先度識別情報を受信側SA記憶部202に格納し、優先度識別情報ごとにシーケンス番号の履歴を記憶するように設定する。
この結果、実施例1によれば、SA確立時に、パケット送受信システムにおいて用いられるQoSの優先度すべてについて、それぞれ異なる一連のシーケンス番号が設定されるため、厳密な設定を実現することが可能である。
このように、実施例1によれば、同一のQoSの優先度が設定されたパケットにおいて、送信順と受信順とが同一になる保障がないルータやセキュリティ機器を使用したネットワークにおいても、SAリソースを増やすことなく、リプレイ攻撃チェックを実行可能である。この結果、安価でセキュリティの高いネットワークを提供することが可能となる。特に、無線ネットワークシステムにおいては、隣接するノード間のネットワークとQoSの組み合わせがメッシュ構成となっている。このため、SAリソース数が多く、従来の手法では、多くのSAリソースを実現することを目的として、多くの機器や高価な部品を採用していた。これに対して、実施例1によれば、従来採用していた多くの機器や高価な部品を削減するができ、大きな効果を得ることが可能である。
また、実施例1によれば、すべてのQoSの優先度について、一度にSAを確立することが可能である。
さて、これまで、実施例1として、パケット送信装置100が、SA確立時に、パケット送信装置100において用いられるQoSの優先度を示す優先度識別情報すべてを送信する手法について説明した。また、その後、パケット受信装置200が、SA確立時に、QoSの優先度全てについて、QoSの優先度と一連のシーケンス番号との組み合わせを受信側SA記憶部202に格納する手法について説明した。
しかし、本発明はこれに限定されるものではなく、パケット送信装置100は、QoSの優先度の数のみを送信してもよい。また、その後、パケット受信装置200は、SA確立時に、QoSの優先度のみを把握しており、その後、受信したパケットを解析し、QoSの優先度と一連のシーケンス番号の組み合わせを識別して受信側SA記憶部202に格納してもよい。
そこで、以下では、実施例2として、SA確立時にQoSの優先度の数のみを送信する手法について説明する。
具体的には、異なるQoSの優先度に対して一つのSAを確立し、パケット送信装置100がQoSの優先度の数のみを送信する手法について説明する。また、パケット受信装置200が、受信したパケットに設定されたQoSの優先度を示す優先度識別情報が受信側SA記憶部202に格納されていない場合に、該優先度識別情報に対応付けてシーケンス番号の履歴を記憶するように設定する手法について説明する。なお、実施例2において説明する手法は、シーケンス制御方式「シーケンス独立方式」に対応する。
なお、以下では、実施例1に係るパケット送受信システムと同様の点については簡単に説明し、または、説明を省略する。
[実施例2におけるパケット送信装置およびパケット受信装置の構成]
実施例2における送信側IKE処理部113と受信側IKE処理部211とは、共働して、異なるQoSの優先度に対して1つのSAを確立する。ここで、送信側IKE処理部113は、QoSの優先度の個数を設定したIKEパケットを送信し、図6に示す例を用いて説明すると、IKEパケットの「トランスフォーム属性」に、QoSの優先度の数を示すQoS個数を設定する。例えば、送信側IKE処理部113は、QoSの優先度として、「EF」と「BF」とをパケット送信装置100が用いる場合には、QoS個数「2」を設定する。
また、受信側IKE処理部211は、送信側IKE処理部113からのIKEパケットを用いて、受信側SA記憶部202に、確立したSAについての情報を格納する。ここで、受信側IKE処理部211は、SA確立時には、パケット送信装置100がQoSの優先度が何であるかは把握しておらず、QoS個数のみを把握している。このため、図11に示すように、受信側SA記憶部202は、「QoS」各々については、何ら情報が格納されておらず、同様に、「最新シーケンス番号」にも何ら情報が格納されていない。言い換えると、受信側IKE処理部211は、受信側SA記憶部202に、QoS個数分、「QoS」ごとに「最新シーケンス番号」を格納するための空きのレコードを予め用意する。また、「SPI」や「IPアドレス」、「暗号鍵」、「復号鍵」、「リプレイウィンドウサイズ」については、実施例1と同様であり、説明を省略する。なお、図11に示す例では、QoS個数が「n」である場合を例に示した。なお、図11は、実施例2における受信側SA記憶部に記憶される情報の一例を説明するための図である。
そして、実施例2における受信側SA処理部212は、SAが確立された後にパケット送信装置100からパケットを受信すると、受信したパケットに対して設定されたQoSの優先度を識別する。そして、識別したQoSの優先度を示す優先度識別情報が受信側SA記憶部202に格納されているか検索する。
例えば、受信側SA処理部212は、受信したパケットに設定されたQoSの優先度が「EF」である場合には、「QoS」が「EF」となっている「QoS」があるか検索する。
そして、受信側SA処理部212によって格納されていないとの検索結果を得ると、その旨を受信側IKE処理部211に送る。その後、受信側IKE処理部211は、受信側SA処理部212によって識別されたQoSの優先度を示す優先度識別情報を受信側SA記憶部202に格納し、該優先度識別情報に対応付けてシーケンス番号の履歴を記憶するように設定する。
具体的には、受信側IKE処理部211は、受信側SA記憶部202に設けられた空きのレコードの内末尾の「QoS」を割り当て、識別したQoSの優先度を格納する。例えば、受信側IKE処理部211は、図12に示す例では、「QoS null(1)」に、QoSの優先度「EF」を格納する。そして、受信側IKE処理部211は、QoS「EF」に対応付けられる「最新シーケンス番号」を初期化し、例えば、「0」を格納する。なお、図12は、実施例2における受信側SA記憶部に記憶される情報の一例を説明するための図である。
つまり、図11に示すように、受信側IKE処理部211は、SA確立時には、「最新シーケンス番号」や「QoS」には何も情報を格納しなかったが、図12に示すように、受信したパケットについてのQoSの優先度をQoSに格納する。
このようにして、受信側IKE処理部211は、受信側SA記憶部202に格納されていないQoSが設定されたパケットを受信するごとに、新たなQoSの優先度を受信側SA記憶部202に格納することになる。
また、受信側SA処理部212の説明に戻ると、受信側SA処理部212は、格納されているとの検索結果を得ると、受信側SA記憶部202を参照してリプレイ攻撃チェックを実行する。
[実施例2におけるパケット受信装置の処理]
次に、図13を用いて、実施例2におけるパケット受信装置200によるパケット受信処理の流れを説明する。なお、図13は、実施例2におけるパケット受信装置によるパケット受信処理の流れを説明するためのフローチャートである。なお、実施例2におけるパケット送信装置100による処理の流れについては、実施例1におけるパケット送信装置100による処理の流れと同様のため、説明を省略する。
なお、図13に示す各処理の内、ステップS501〜503は、それぞれ、図9におけるステップS401〜S403に対応する。また、ステップS507〜511は、それぞれ、図9におけるステップS404〜S408に対応する。すなわち、実施例2におけるパケット受信装置200による処理は、実施例1におけるパケット受信装置200による処理に、図13におけるステップS504〜S506を加えたものになる。
図13に示すように、実施例2におけるパケット受信装置200では、受信側SA処理部212は、パケットを受信すると(ステップS501肯定)、受信したパケットを解析してQoSの優先度を識別する(ステップS502、ステップS503)。
そして、受信側SA処理部212は、取得したQoSの優先度に対応する情報があるかについて、受信側SA記憶部202を検索し(ステップS504)、つまり、取得したQoSの優先度を示す優先度識別情報が格納されているかを検索する。例えば、受信側SA処理部212は、受信したパケットに設定されたQoSの優先度が「EF」である場合には、「QoS」が「EF」となっている「QoS」があるか検索する。
ここで、受信したパケットに設定されたQoSの優先度が受信側SA記憶部202にないと(ステップS505肯定)、識別したQoSの優先度を空きのレコードに格納する(ステップS506)。例えば、受信側IKE処理部211は、「QoS null(1)」にQoSの優先度「EF」を格納し、「最新シーケンス番号」を初期化して「0」を格納する。そして、受信側SA処理部212は、ステップS507以降の処理を実行する。
一方、受信側IKE処理部211は、受信したパケットに設定されたQoSの優先度に対応する情報が受信側SA記憶部202にあると(ステップS505否定)、つまり、受信側SA処理部212によって格納されているとの検索結果が得られると、上記したステップS506を実行することなく、ステップS507以降の処理を実行する。
[実施例2の効果]
上記したように、実施例2によれば、パケット送信装置100は、異なるQoSの優先度に対して1つのSAを確立する。そして、パケット受信装置200は、SAが確立された後にパケット送信装置100からパケットを受信すると、受信したパケットに対して設定されたQoSの優先度を識別する。そして、パケット受信装置200は、識別したQoSの優先度を示す優先度識別情報が受信側SA記憶部202に、格納されているか検索する。そして、パケット受信装置200は、格納されていないとの検索結果が得られる場合に、識別したQoSの優先度を示す優先度識別情報を受信側SA記憶部202に格納し、格納した優先度識別情報に対応付けてシーケンス番号の履歴を記憶するように設定する。
この結果、SA確立時にパケットのQoSをすべて指定することなく、送信されたパケットに設定されていた優先度に応じて受信側SA記憶部202を設定でき、実施例1の手法と比較して汎用性を高くすることが可能である。
さて、これまで、実施例1や2では、異なるQoSの優先度に対して1つのSAを確立する場合について説明した。しかし、本発明はこれに限定されるものではなく、異なるQoSの優先度ごとに異なるSAを確立し、暗号鍵や復号鍵などの設定を複数のSAが共有してもよい。
そこで、以下では、実施例3として、異なるQoSの優先度ごとに異なるSAを確立し、暗号鍵や復号鍵などの設定を複数のSAが共有する手法について説明する。
具体的には、異なるQoSの優先度ごとに異なるSAを確立し、SAを確立する場合に、既に確立されているSAにて用いられる情報を参照して用いるSAを確立する手法について説明する。なお、実施例3において説明する手法は、シーケンス制御方式「シーケンス鍵共有方式」に対応する。
実施例3における送信側SA処理部112は、送信側終端部111からパケットを受信するごとにQoSの優先度を識別し、識別したQoSの優先度についてSAが確立されているかを判定する。例えば、送信側SA処理部112は、送信側SA記憶部102に、識別したQoSに用いられるSAに対応する情報が格納されているかを判定する。
そして、送信側SA処理部112によって格納されていないと判定された場合に、つまり、識別されたQoSの優先度についてSAが確立されていない場合に、実施例3における送信側IKE処理部113と受信側IKE処理部211とは、新たにSAを確立する。
具体的には、送信側IKE処理部113は、シーケンス制御方式として「シーケンス鍵共有方式」を希望するIKEパケットをパケット受信装置200に送信する。ここで、図6に示す例を用いて説明すると、IKEパケットの「トランスフォーム属性」に、参照元となるSAを示す「参照元QoS」を設定する。例えば、送信側IKE処理部113は、既にQoSの優先度「EF」が既に確立されており、新たなSAの参照元とする場合には、参照元QoS「EF」についてのSAを識別する「SPI「1」」を設定する。その後、受信側IKE処理部211によってシーケンス制御方式として「シーケンス鍵共有方式」が選択されると、送信側IKE処理部113と受信側IKE処理部211とは、「シーケンス鍵共有方式」にてSAを確立する。
ここで、SAを確立する処理について、受信側IKE処理部211を例に説明する。受信側IKE処理部211は、参照元として指定されたSAが既に確立されているか受信側SA記憶部202を検索し、確立されていないとの検索結果が得られると、SAにて用いる暗号鍵や復号鍵などを共働して新たに決定し、新たなSAを一から確立する。例えば、図14に示すように、受信側IKE処理部211は、暗号鍵や復号鍵を送信側IKE処理部113とのネゴシエーションにより決定し、QoSの優先度「EF」についてのSPI「1」を新たに確立する。
また、受信側IKE処理部211は、参照元として指定されたSAが既に確立されているか受信側SA記憶部202を検索し、確立されているとの検索結果が得られると、既に確立されているSAにて用いられる暗号鍵や復号鍵を参照して用いるSAを確立する。例えば、図15に示すように、受信側IKE処理部211とは、新たにSPI「2」を確立し、その際、「IPアドレス」や「暗号鍵」、「復号鍵」について新たに共働して決定することなく、参照元となるSPI「1」の内容をそのまま使用する。図15に示す例では、受信側IKE処理部213は、「IPアドレス」や「暗号鍵」、「復号鍵」について、「SPI「1」を参照」と受信側SA記憶部202に格納し、言い換えると、SPI「1」の「IPアドレス」や「暗号鍵」、「復号鍵」にリンク設定を行う。なお、送信側IKE処理部113も、受信側IKE処理部211と同様にSAを確立する。
つまり、送信側IKE処理部113や受信側IKE処理部211は、参照元として指定されたSAが確立されているかを検索する。そして、送信側IKE処理部113や受信側IKE処理部211は、ある場合には、つまり、参照元として指定されたSAがあり、具体的には、二回目以降にSAを確立する場合には、新たな「暗号鍵」や「復号鍵」をネゴシエーションにより決定することなく、確立されていたSAの「暗号鍵」や「復号鍵」を共働して使用するSAを確立する。
[実施例3におけるSA確立処理]
次に、図16を用いて、実施例3におけるSA確立処理の流れについて説明する。なお、図16は、実施例3におけるSA確立処理の流れを説明するためのフローチャートである。なお、図16に示す処理は、図7におけるステップS205やS206に対応する。
以下では、既に、IKEパケットを送受信することで、「シーケンス鍵共有方式」にてSAを確立することを決定したものとし、「シーケンス鍵共有方式」を用いて新たにSAを確立する処理について説明する。また、以下では、受信側IKE処理部211を例に説明するが、送信側IKE処理部113であっても同様の処理にてSAを確立する。
図16に示すように、受信側IKE処理部211は、参照元となるSAがあるかを検索する(ステップS601)。そして、受信側IKE処理部211は、参照元となるSAがないとの検索結果が得られると(ステップS601否定)、SAにて用いる暗号鍵や復号鍵などを送信側IKE処理部113と共働して決定し、新たなSAを一から確立する(ステップS602)。
一方、受信側IKE処理部211は、参照元となるSAがあるとの検索結果が得られると(ステップS601肯定)、既に確立されている参照元となるSAにて用いられる暗号鍵や復号鍵にリンク設定するSAを確立する(ステップS603)。
[実施例3の効果]
上記したように、実施例3によれば、パケット送信装置100は、異なるQoSの優先度ごとに異なるSAを確立する。また、送信側IKE処理部113や受信側IKE処理部211は、SAを確立する場合に、SAを確立するQoSの優先度とは異なる他の優先度についてSAが確立されているかを判定し、確立されていると判定した場合に、既に確立されているSAにて用いられる情報を共有するSAを確立する。この結果、実施例3によれば、SAを確立するごとに、暗号鍵や復号鍵などをネゴシエーションにより決定する処理を不要にすることが可能である。また、他のSAの暗号鍵や復号鍵などを参照するSAを確立することで、複数のSAを確立する場合であっても、管理するデータ量の増加を抑制することが可能である。
さて、上記した実施例1では、最新のシーケンス番号とリプレイウィンドウサイズとを用いてリプレイ攻撃チェックを実行する手法について説明した。しかし、本発明はこれに限定されるものではなく、例えば、パケット受信装置200は、優先度ごとに、パケット送信装置から受信したパケットに付与されていたシーケンス番号を所定数履歴として記憶し、リプレイ攻撃チェックを実行してもよい。
そこで、以下では、受信側SA記憶部202が、優先度ごとに、シーケンス番号を所定の数履歴として記憶する手法について説明する。また、受信側SA処理部212が、履歴に含まれるシーケンス番号と重複せず、履歴に含まれるシーケンス番号の内最小の番号よりも小さい番号ではないかを照合する手法について説明する。なお、実施例4にて説明する手法は、「シーケンス番号保持方式」とも称する。
具体的には、受信側SA記憶部202は、優先度ごとに、パケット送信装置100から受信したパケットに付与されていたシーケンス番号を所定数履歴として記憶する。例えば、図17の(1)に示す例では、受信側SA記憶部202は、4つのシーケンス番号を記憶し、例えば、「80」と「100」と「102」と「103」とを記憶する。なお、図17は、シーケンス番号保持方式によるリプレイ攻撃チェック処理を説明するための図である。
そして、受信側SA処理部212は、受信したパケットに対して付与されたシーケンス番号について、受信側SA記憶部202に記憶されたシーケンス番号の履歴と照合し、リプレイ攻撃チェックを実行する。具体的には、受信側SA処理部212は、受信したパケットに付与されたシーケンス番号について、履歴に含まれるシーケンス番号と重複せず、履歴に含まれるシーケンス番号の内最小の番号よりも小さい番号ではないかを照合する。
ここで、図18を用いて、さらに詳細に説明する。なお、図18は、シーケンス番号保持方式によるリプレイ攻撃チェック処理の流れを説明するためのフローチャートである。図18に示すように、リプレイ攻撃チェックを実行する場合に(ステップS701肯定)、受信側SA処理部212は、受信したパケットに付与されたシーケンス番号が、履歴に含まれるシーケンス番号と重複するかを照合する(ステップS702)。ここで、図17の(1)に示す例では、受信したパケットに付与されたシーケンス番号が「100」である場合には、履歴に含まれるシーケンス番号と重複するため(ステップS702肯定)、パケットを破棄する(ステップS703)。
そして、重複しない場合には(ステップS702否定)、受信側SA処理部212は、受信したパケットに付与されたシーケンス番号が、履歴に含まれるシーケンス番号の内最小の番号よりも小さい番号ではないかを照合する(ステップS704)。ここで、図17の(1)に示す例では、受信したパケットに付与されたシーケンス番号が「50」である場合には、履歴に含まれるシーケンス番号の内最小の番号よりも小さい番号になり(ステップS704肯定)、パケットを破棄する(ステップS703)。
そして、履歴に含まれるシーケンス番号の内最小の番号よりも小さい番号でないと判定すると(ステップS704否定)、例えば、受信したパケットに付与されたシーケンス番号が「101」や「120」である場合に、パケットを復号化する(ステップS705)。
また、受信側SA処理部212は、履歴に含まれるシーケンス番号を更新する。例えば、図17の(2)に示すように、受信側SA処理部212は、履歴に含まれるシーケンス番号の内、「80」や「100」を削除し、「101」や「120」を格納することで、「101」と「102」と「103」と「120」との4つに更新する。
なお、上記したように、リプレイ攻撃チェックを実行する場合には、パケット送信装置100は、QoSの優先度ごとに異なる一連のシーケンス番号を付与せず、パケット受信装置200にて、優先度ごとにシーケンス番号の履歴を記憶し、リプレイ攻撃チェックを実行してもよい。
また、例えば、シーケンス番号保持方式によるリプレイ攻撃チェックを行う場合には、SAを確立する際に、シーケンス番号保持方式によるリプレイ攻撃チェックを希望する旨の情報をIKEパケットに設定する。
[実施例4の効果]
このように、シーケンス番号保持方式によるリプレイ攻撃チェックを行うことで、リプレイウィンドウサイズを不要とすることが可能である。また、パケット送信装置100による送信順番と、パケット受信装置200による受信順番とが大きく異なったとしても、不当なパケット破棄を防止することが可能である。例えば、実施例1のように、リプレイウィンドウサイズを用いる手法では、リプレイウィンドウサイズよりも大きく送信順番と受信順番とが異なった場合には、不当なパケット破棄が発生してしまう。これに対して、シーケンス番号保持方式によるリプレイ攻撃チェックによれば、このような不当なパケット破棄を防止することが可能である。
また、例えば、QoSの優先度ごとに異なる一連のシーケンス番号を付与しない場合であっても、不当なパケット破棄を防止可能である。図10の(1)に示す例を用いて説明する。具体的には、QoSの優先度「EF」が設定された連続するパケットについて、シーケンス番号「9」〜「15」が付与され、QoSの優先度「BF」が設定された連続するパケットについて、シーケンス番号「8」「16」が付与された場合を例として用いる。ここで、QoSの優先度「BF」が設定された連続するパケットに対して、シーケンス番号「8」「16」がそれぞれ付与されており、例えば、リプレイウィンドウサイズが「4」である場合には、「8」と「16」との受信順が入れ替わり、「16」「8」という受信順になってしまうと、従来のパケット受信装置は、後から受信する「8」のパケットが破棄する。これに対して、実施例4によれば、履歴とするシーケンス番号と重複するか、あるいは、履歴となるシーケンス番号の内最も小さい番号よりも小さいかを判定するので、不当なパケット破棄を防止することが可能である。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、その他の実施例にて実施されてもよい。そこで、以下では、その他の実施例について説明する。
[シーケンス最新番号方式によるリプレイ攻撃チェック]
また、例えば、パケット受信装置200にて、受信したパケットに付与されていたシーケンス番号と、最新のシーケンス番号との大小を比較するのみで、リプレイ攻撃チェックを実行してもよい。
具体的には、受信側SA記憶部202は、受信したパケットに付与されていたシーケンス番号の内最新のシーケンス番号のみを優先度ごとに履歴として記憶する。そして、図19に示すように、受信側SA処理部212は、リプレイ攻撃チェックを実行する場合に(ステップS801肯定)、最新のシーケンス番号以下であるかを判定する(ステップS802)。ここで、受信側SA処理部212は、最新のシーケンス番号以下である場合には(ステップS802肯定)、パケットを破棄する(ステップS803)。一方、受信側SA処理部212は、最新のシーケンス番号以下でない場合には(ステップS802否定)、パケットを復元化する(ステップS804)。なお、図19は、シーケンス最新番号方式によるリプレイ攻撃チェック処理の流れを説明するためのフローチャートである。
このように、例えば、送信順と受信順との入れ替えが発生しない環境においては、最新のシーケンス番号のみを用いてリプレイ攻撃チェックを実行することで、リプレイ攻撃チェック実行時の処理負荷を軽減でき、高速・低負荷なリプレイ攻撃チェックを実現することが可能である。
[実施例の組み合わせについて]
例えば、実施例1や2、3にて説明した「シーケンスリスト方式」や「シーケンス独立方式」、「シーケンス鍵共有方式」に加えて、実施例4にて説明した「シーケンス最新番号確認方式」または「シーケンス番号保持方式」を併せて実施してもよい。
[システム構成]
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。例えば、上記した実施例では、SAを自動的に確立する手法について説明したが、本発明はこれに限定されるものではなく、パケット送受信システムを管理する管理者が手動にて確立してもよい。
また、この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(図1〜図19)については、特記する場合を除いて任意に変更することができる。例えば、図18に示す例では、ステップS702とS704とを入れ替えても良い。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、図2に示す例を用いて説明すると、パケット送信装置100とパケット受信装置200とが有する機能を併せて備えるパケット送受信装置としてもよい。
[コンピュータ]
また、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。そこで、以下では、図20を用いて、上記したパケット送信装置100とパケット受信装置200とが有する機能を併せて備えるパケットと同様の機能を有するパケット送受信プログラムを実行するコンピュータの一例を説明する。なお、図20は、実施例1に係るパケット送受信プログラムを実行するコンピュータの一例について説明するための図である。
図20に示すように、コンピュータ3000は、CPU(Central Processing Unit)3010、ROM(Read Only Memory)3011、HDD(Hard Disk Drive)3012、RAM(Random Access Memory)3013をバス3009などで接続して構成されている。
ROM3011には、上記の実施例1で示した送信側終端部111や受信側終端部213、送信側SA処理部112や受信側SA処理部212、送信側IKE処理部113や受信側IKE処理部211と同様の機能を発揮する制御プログラムを備える。つまり、図20に示すように、終端プログラム3011aと、SA処理プログラム3011bと、IKE処理プログラム3011cとが予め記憶されている。なお、これらのプログラム3011a〜3011cについては、図2に示したパケット送信装置100やパケット受信装置200の各部と同様、適宜統合または分離してもよい。
そして、CPU3010が、これらのプログラム3011a〜3011cをROM3011から読み出して実行することにより、図20に示すように、各プログラム3011a〜3011cについては、終端プロセス3010aと、SA処理プロセス3010bと、IKE処理プロセス3010cとして機能するようになる。なお、各プロセス3010a〜3010cは、それぞれ、図2に示した送信側終端部111や受信側終端部213、送信側SA処理部112や受信側SA処理部212、送信側IKE処理部113や受信側IKE処理部211に対応する。
そして、HDD3012には、ポリシテーブル3012aと、SAテーブル3012bとが設けられている。なお、各テーブル3012a〜3012bは、それぞれ、図3に示した送信側ポリシ記憶部101や受信側ポリシ記憶部201、送信側SA記憶部102や受信側SA記憶部202に対応する。
そして、CPU3010は、ポリシテーブル3012aと、SAテーブル3012bとを読み出してRAM3013に格納し、RAM3013に格納されたポリシデータ3013aと、SAデータ3013bと、パケットデータ3013cと、QoSの優先度データ3013dと、シーケンス番号データ3013eとを用いて、パケット送受信プログラムを実行する。
以上の各実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)パケット送信装置とパケット受信装置とを有するパケット送受信システムであって、
前記パケット送信装置は、
異なる通話品質の優先度が設定されたパケットに対して同一の暗号鍵を用いて暗号化する暗号化部と、
前記暗号化部によって暗号化されたパケットに対して、該パケットに設定された通話品質の優先度ごとに異なる一連のシーケンス番号を付与して送信する送信部とを備え、
前記パケット受信装置は、
前記パケット送信装置から受信したパケットに付与されていたシーケンス番号の履歴を優先度ごとに記憶する記憶部と、
前記パケット送信装置からパケットを受信すると、受信したパケットに対して前記送信部によって付与されたシーケンス番号を識別し、受信したパケットに設定された通話品質の優先度に対応付けて前記記憶部に記憶された履歴と照合することで、受信したパケットが既に受信済みかを判定する判定部と
前記判定部によって受信済みではないと判定された場合に、異なる通話品質の優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号する復号部と
を備えたことを特徴とするパケット送受信システム。
(付記2)前記パケット送信装置と前記パケット受信装置とは、異なる通話品質の優先度に対して一つのセキュリティアソシエーションを前記パケット受信装置と確立する第一の確立部を備え、
前記パケット送信装置において、前記第一の確立部は、セキュリティアソシエーションを確立する場合に、前記パケット受信装置に対して、前記パケット送信装置から送信されるパケットに設定される通話品質の優先度を識別する優先度識別情報を送信し、
前記パケット受信装置において、前記第一の確立部は、前記パケット送信装置によって送信された優先度識別情報各々を受信すると、該優先度識別情報を前記記憶部に格納し、該優先度識別情報ごとにシーケンス番号の履歴を記憶するように該記憶部を設定することを特徴とする付記1に記載のパケット送受信システム。
(付記3)前記パケット送信装置と前記パケット受信装置とは、異なる通話品質の優先度に対して一つのセキュリティアソシエーションを確立する第二の確立部を備え、
前記第二の確立部は、前記パケット送信装置からパケットを受信すると、受信したパケットに対して設定された通話品質の優先度を示す優先度識別情報が前記記憶部に格納されているか検索し、格納されていないとの検索結果が得られると、受信したパケットに対して設定された通話品質の優先度を示す優先度識別情報を該記憶部に格納し、該優先度識別情報に対応付けてシーケンス番号の履歴を記憶するように該記憶部を設定することを特徴とする付記1に記載のパケット送受信システム。
(付記4)前記パケット送信装置と前記パケット受信装置とは、異なる通話品質の優先度ごとに異なるセキュリティアソシエーションを確立する第三の確立部を備え、
前記第三の確立部は、セキュリティアソシエーションを確立する場合に、セキュリティアソシエーションを確立する通話品質の優先度とは異なる通話品質の優先度についてセキュリティアソシエーションが既に確立されているかを判定し、確立されていると判定した場合に、既に確立されているセキュリティアソシエーションにて用いられる情報を共有するセキュリティアソシエーションを確立することを特徴とする付記1に記載のパケット送受信システム。
(付記5)前記記憶部は、優先度ごとに、前記パケット送信装置から受信したパケットに付与されていたシーケンス番号を所定の数履歴として記憶し、
前記判定部は、受信したパケットに対して付与されたシーケンス番号と前記記憶部に記憶された履歴とを照合する場合に、受信したパケットに付与されたシーケンス番号について、履歴に含まれるシーケンス番号と重複せず、履歴に含まれるシーケンス番号の内最小の番号よりも小さい番号ではないかを照合することで、パケットが受信済みではないかを判定することを特徴とする付記1〜4の内いずれか一つに記載のパケット送受信システム。
(付記6)前記記憶部は、受信したパケットに付与されていたシーケンス番号の内最新のシーケンス番号のみを優先度ごとに履歴として記憶することを特徴とする付記1〜4の内いずれか一つに記載のパケット送受信システム。
(付記7)パケットを送信する場合に、異なる通話品質の優先度が設定されたパケットに対して同一の暗号鍵を用いて該パケットを暗号化する暗号化部と、
前記暗号化部によって暗号化されたパケットに対して、該パケットに設定された通話品質の優先度ごとに異なる一連のシーケンス番号を付与して送信する送信部とを備え、
パケットを受信する場合に、
受信したパケットに付与されていたシーケンス番号の履歴を優先度ごとに記憶する記憶部と、
パケットを受信すると、受信したパケットに対して前記送信部によって付与されたシーケンス番号を識別し、受信したパケットに設定された通話品質の優先度に対応付けて前記記憶部に記憶された履歴と照合することで、受信したパケットが既に受信済みかを判定する判定部と
前記判定部によって受信済みではないと判定された場合に、異なる通話品質の優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号する復号部と
を備えたことを特徴とするパケット送受信装置。
(付記8)パケット送信装置とパケット受信装置とを有するパケット送受信方法であって、
パケットを送信する場合に、異なる通話品質の優先度が設定されたパケットに対して同一の暗号鍵を用いて該パケットを暗号化する暗号化ステップと、
前記暗号化ステップによって暗号化されたパケットに対して、該パケットに設定された通話品質の優先度ごとに異なる一連のシーケンス番号を付与して送信する送信ステップと含み、
パケットを受信する場合に、受信したパケットに対して前記送信テップ部によって付与されたシーケンス番号を識別し、前記パケット送信装置から受信したパケットに付与されていたシーケンス番号の履歴を優先度ごとに記憶する記憶部に記憶された履歴の内受信したパケットに設定された通話品質の優先度に対応付けられた履歴と照合することで、受信したパケットが既に受信済みかを判定する判定ステップと
前記判定ステップによって受信済みではないと判定された場合に、異なる通話品質の優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号する復号ステップと
を含んだことを特徴とするパケット送受信方法。
100 パケット送信装置
101 送信側ポリシ記憶部
102 送信側SA記憶部
111 送信側終端部
112 送信側SA処理部
113 送信側IKE処理部
200 パケット受信装置
201 受信側ポリシ記憶部
202 受信側SA記憶部
211 受信側IKE処理部
212 受信側SA処理部
213 受信側終端部

Claims (7)

  1. パケット送信装置とパケット受信装置とを有するパケット送受信システムであって、
    前記パケット送信装置は、
    異なる通話品質の優先度が設定されたパケットに対して同一の暗号鍵を用いて暗号化する暗号化部と、
    前記暗号化部によって暗号化されたパケットに対して、該パケットに設定された通話品質の優先度ごとに異なる一連のシーケンス番号を付与して送信する送信部とを備え、
    前記パケット受信装置は、
    前記パケット送信装置から受信したパケットに付与されていたシーケンス番号の履歴を優先度ごとに記憶する記憶部と、
    前記パケット送信装置からパケットを受信すると、受信したパケットに対して前記送信部によって付与されたシーケンス番号を識別し、受信したパケットに設定された通話品質の優先度に対応付けて前記記憶部に記憶された履歴と照合することで、受信したパケットが既に受信済みかを判定する判定部と
    前記判定部によって受信済みではないと判定された場合に、異なる通話品質の優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号する復号部と
    を備えたことを特徴とするパケット送受信システム。
  2. 前記パケット送信装置と前記パケット受信装置とは、異なる通話品質の優先度に対して一つのセキュリティアソシエーションを前記パケット受信装置と確立する第一の確立部を備え、
    前記パケット送信装置において、前記第一の確立部は、セキュリティアソシエーションを確立する場合に、前記パケット受信装置に対して、前記パケット送信装置から送信されるパケットに設定される通話品質の優先度を識別する優先度識別情報を送信し、
    前記パケット受信装置において、前記第一の確立部は、前記パケット送信装置によって送信された優先度識別情報各々を受信すると、該優先度識別情報を前記記憶部に格納し、該優先度識別情報ごとにシーケンス番号の履歴を記憶するように該記憶部を設定することを特徴とする請求項1に記載のパケット送受信システム。
  3. 前記パケット送信装置と前記パケット受信装置とは、異なる通話品質の優先度に対して一つのセキュリティアソシエーションを確立する第二の確立部を備え、
    前記第二の確立部は、前記パケット送信装置からパケットを受信すると、受信したパケットに対して設定された通話品質の優先度を示す優先度識別情報が前記記憶部に格納されているか検索し、格納されていないとの検索結果が得られると、受信したパケットに対して設定された通話品質の優先度を示す優先度識別情報を該記憶部に格納し、該優先度識別情報に対応付けてシーケンス番号の履歴を記憶するように該記憶部を設定することを特徴とする請求項1に記載のパケット送受信システム。
  4. 前記パケット送信装置と前記パケット受信装置とは、異なる通話品質の優先度ごとに異なるセキュリティアソシエーションを確立する第三の確立部を備え、
    前記第三の確立部は、セキュリティアソシエーションを確立する場合に、セキュリティアソシエーションを確立する通話品質の優先度とは異なる通話品質の優先度についてセキュリティアソシエーションが既に確立されているかを判定し、確立されていると判定した場合に、既に確立されているセキュリティアソシエーションにて用いられる情報を共有するセキュリティアソシエーションを確立することを特徴とする請求項1に記載のパケット送受信システム。
  5. 前記記憶部は、優先度ごとに、前記パケット送信装置から受信したパケットに付与されていたシーケンス番号を所定の数履歴として記憶し、
    前記判定部は、受信したパケットに対して付与されたシーケンス番号と前記記憶部に記憶された履歴とを照合する場合に、受信したパケットに付与されたシーケンス番号について、履歴に含まれるシーケンス番号と重複せず、履歴に含まれるシーケンス番号の内最小の番号よりも小さい番号ではないかを照合することで、パケットが受信済みではないかを判定することを特徴とする請求項1〜4のいずれか一つに記載のパケット送受信システム。
  6. パケットを送信する場合に、異なる通話品質の優先度が設定されたパケットに対して同一の暗号鍵を用いて該パケットを暗号化する暗号化部と、
    前記暗号化部によって暗号化されたパケットに対して、該パケットに設定された通話品質の優先度ごとに異なる一連のシーケンス番号を付与して送信する送信部とを備え、
    パケットを受信する場合に、
    受信したパケットに付与されていたシーケンス番号の履歴を優先度ごとに記憶する記憶部と、
    パケットを受信する場合に、受信したパケットに対して前記送信部によって付与されたシーケンス番号を識別し、受信したパケットに設定された通話品質の優先度に対応付けて前記記憶部に記憶された履歴と照合することで、受信したパケットが既に受信済みかを判定する判定部と
    前記判定部によって受信済みではないと判定された場合に、異なる通話品質の優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号する復号部と
    を備えたことを特徴とするパケット送受信装置。
  7. パケット送信装置とパケット受信装置とを有するパケット送受信方法であって、
    パケットを送信する場合に、異なる通話品質の優先度が設定されたパケットに対して同一の暗号鍵を用いて該パケットを暗号化する暗号化ステップと、
    前記暗号化ステップによって暗号化されたパケットに対して、該パケットに設定された通話品質の優先度ごとに異なる一連のシーケンス番号を付与して送信する送信ステップと含み、
    パケットを受信する場合に、受信したパケットに対して前記送信テップ部によって付与されたシーケンス番号を識別し、前記パケット送信装置から受信したパケットに付与されていたシーケンス番号の履歴を優先度ごとに記憶する記憶部に記憶された履歴の内受信したパケットに設定された通話品質の優先度に対応付けられた履歴と照合することで、受信したパケットが既に受信済みかを判定する判定ステップと
    前記判定ステップによって受信済みではないと判定された場合に、異なる通話品質の優先度が設定されたパケットに対して同一の復号鍵を用いてパケットを復号する復号ステップと
    を含んだことを特徴とするパケット送受信方法。
JP2009124731A 2009-05-22 2009-05-22 パケット送受信システム、パケット送受信装置、および、パケット送受信方法 Expired - Fee Related JP5246034B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2009124731A JP5246034B2 (ja) 2009-05-22 2009-05-22 パケット送受信システム、パケット送受信装置、および、パケット送受信方法
US12/783,724 US20100296395A1 (en) 2009-05-22 2010-05-20 Packet transmission system, packet transmission apparatus, and packet transmission method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009124731A JP5246034B2 (ja) 2009-05-22 2009-05-22 パケット送受信システム、パケット送受信装置、および、パケット送受信方法

Publications (2)

Publication Number Publication Date
JP2010273225A true JP2010273225A (ja) 2010-12-02
JP5246034B2 JP5246034B2 (ja) 2013-07-24

Family

ID=43124496

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009124731A Expired - Fee Related JP5246034B2 (ja) 2009-05-22 2009-05-22 パケット送受信システム、パケット送受信装置、および、パケット送受信方法

Country Status (2)

Country Link
US (1) US20100296395A1 (ja)
JP (1) JP5246034B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012147435A (ja) * 2011-01-12 2012-08-02 Ixia パケットシーケンス番号のトラッキング
WO2014007172A1 (ja) * 2012-07-02 2014-01-09 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法及び移動局
WO2014196181A1 (ja) * 2013-06-04 2014-12-11 三菱電機株式会社 データ認証装置、及びデータ認証方法
JPWO2020246145A1 (ja) * 2019-06-04 2020-12-10

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10735453B2 (en) 2013-11-13 2020-08-04 Verizon Patent And Licensing Inc. Network traffic filtering and routing for threat analysis
US9516049B2 (en) * 2013-11-13 2016-12-06 ProtectWise, Inc. Packet capture and network traffic replay
JP2015115765A (ja) * 2013-12-11 2015-06-22 富士通株式会社 パケット伝送装置、およびパケット伝送システム
JPWO2016068316A1 (ja) * 2014-10-31 2017-08-10 日本電気株式会社 無線基地局、パケット送信装置、無線端末、制御方法、及びプログラム
US10798071B2 (en) * 2017-07-31 2020-10-06 Cisco Technology, Inc. IPSEC anti-relay window with quality of service
US11032203B2 (en) * 2019-04-26 2021-06-08 Juniper Networks, Inc. Providing predictable quality of service traffic steering

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005260520A (ja) * 2004-03-11 2005-09-22 Nec Corp リプライ・アタックエラー検出方法および装置
JP2006005425A (ja) * 2004-06-15 2006-01-05 Matsushita Electric Ind Co Ltd 暗号化パケットの受信方法ならびに受信処理装置
US20070115812A1 (en) * 2005-11-22 2007-05-24 Silver Peak Systems, Inc. Sequence numbers for multiple quality of service levels
JP2010187327A (ja) * 2009-02-13 2010-08-26 Sii Network Systems Kk パケット通信装置、パケット通信方法及びパケット通信プログラム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6341277B1 (en) * 1998-11-17 2002-01-22 International Business Machines Corporation System and method for performance complex heterogeneous database queries using a single SQL expression
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
JP4290967B2 (ja) * 2002-11-26 2009-07-08 Necインフロンティア株式会社 無線LANネットワークQoS制御システム、基地局、端末、QoS制御方法およびプログラム
JP4188774B2 (ja) * 2003-08-14 2008-11-26 株式会社エヌ・ティ・ティ・ドコモ フレーム送受信システム、フレーム送信装置、フレーム受信装置、及びフレーム送受信方法
US7536723B1 (en) * 2004-02-11 2009-05-19 Airtight Networks, Inc. Automated method and system for monitoring local area computer networks for unauthorized wireless access
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
US7818786B2 (en) * 2005-08-19 2010-10-19 Electronics And Telecommunications Research Institute Apparatus and method for managing session state
US20080220880A1 (en) * 2005-09-07 2008-09-11 Bally Gaming, Inc. Trusted Cabinet Identification System
US20070165638A1 (en) * 2006-01-13 2007-07-19 Cisco Technology, Inc. System and method for routing data over an internet protocol security network
US7936772B2 (en) * 2007-07-13 2011-05-03 International Business Machines Corporation Enhancement of end-to-end network QoS
US8191133B2 (en) * 2007-12-17 2012-05-29 Avaya Inc. Anti-replay protection with quality of services (QoS) queues
US7944854B2 (en) * 2008-01-04 2011-05-17 Cisco Technology, Inc. IP security within multi-topology routing
US20100208609A1 (en) * 2009-02-13 2010-08-19 Qualcomm Incorporated Dynamic mapping of quality of service traffic
JP5392034B2 (ja) * 2009-12-01 2014-01-22 富士通株式会社 通信装置および通信方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005260520A (ja) * 2004-03-11 2005-09-22 Nec Corp リプライ・アタックエラー検出方法および装置
JP2006005425A (ja) * 2004-06-15 2006-01-05 Matsushita Electric Ind Co Ltd 暗号化パケットの受信方法ならびに受信処理装置
US20070115812A1 (en) * 2005-11-22 2007-05-24 Silver Peak Systems, Inc. Sequence numbers for multiple quality of service levels
JP2010187327A (ja) * 2009-02-13 2010-08-26 Sii Network Systems Kk パケット通信装置、パケット通信方法及びパケット通信プログラム

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012147435A (ja) * 2011-01-12 2012-08-02 Ixia パケットシーケンス番号のトラッキング
WO2014007172A1 (ja) * 2012-07-02 2014-01-09 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法及び移動局
JP2014011735A (ja) * 2012-07-02 2014-01-20 Ntt Docomo Inc 移動通信方法及び移動局
WO2014196181A1 (ja) * 2013-06-04 2014-12-11 三菱電機株式会社 データ認証装置、及びデータ認証方法
JP6065113B2 (ja) * 2013-06-04 2017-01-25 三菱電機株式会社 データ認証装置、及びデータ認証方法
JPWO2014196181A1 (ja) * 2013-06-04 2017-02-23 三菱電機株式会社 データ認証装置、及びデータ認証方法
US9705679B2 (en) 2013-06-04 2017-07-11 Mitsubishi Electric Corporation Data authentication device and data authentication method
JPWO2020246145A1 (ja) * 2019-06-04 2020-12-10
JP7226543B2 (ja) 2019-06-04 2023-02-21 株式会社デンソー 電子制御装置および通信システム
US11916904B2 (en) 2019-06-04 2024-02-27 Denso Corporation Electronic control unit and communication system

Also Published As

Publication number Publication date
US20100296395A1 (en) 2010-11-25
JP5246034B2 (ja) 2013-07-24

Similar Documents

Publication Publication Date Title
JP5246034B2 (ja) パケット送受信システム、パケット送受信装置、および、パケット送受信方法
US9461975B2 (en) Method and system for traffic engineering in secured networks
JP4707992B2 (ja) 暗号化通信システム
US20070165638A1 (en) System and method for routing data over an internet protocol security network
JP2015515210A (ja) 盗聴に対するIPsec通信のパフォーマンス及びセキュリティの向上
US11509639B2 (en) IPsec anti-replay window with quality of service
CN105516062B (zh) 一种实现L2TP over IPsec接入的方法
CN111133427A (zh) 生成和分析网络配置文件数据
US9319878B2 (en) Streaming alignment of key stream to unaligned data stream
CN109905310B (zh) 数据传输方法、装置、电子设备
US10158610B2 (en) Secure application communication system
US10015208B2 (en) Single proxies in secure communication using service function chaining
US20130339727A1 (en) WAN Optimization Without Required User Configuration for WAN Secured VDI Traffic
JP4933286B2 (ja) 暗号化パケット通信システム
Hohendorf et al. Secure End-to-End Transport Over SCTP.
US11595367B2 (en) Selectively disclosing content of data center interconnect encrypted links
US20050144352A1 (en) System and method for protecting network resources from denial of service attacks
CN107547478B (zh) 报文传输方法、装置及系统
JP2005065004A (ja) 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム
EP3131269B1 (en) Method and device for conducting ah authentication on ipsec packet which has gone through nat traversal
JP7020769B2 (ja) 通信装置および通信方法
JP5832396B2 (ja) IPsec装置およびIPsec通信方法
CN105792097A (zh) 信息发送端、接收端及信息传输系统
KR101594897B1 (ko) 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템
KR20160123102A (ko) Vpn 보호 장치 및 그 동작 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130312

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130325

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160419

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees