JP2012220975A - Network management system, management device, management target device, network management method, and computer program - Google Patents
Network management system, management device, management target device, network management method, and computer program Download PDFInfo
- Publication number
- JP2012220975A JP2012220975A JP2011082541A JP2011082541A JP2012220975A JP 2012220975 A JP2012220975 A JP 2012220975A JP 2011082541 A JP2011082541 A JP 2011082541A JP 2011082541 A JP2011082541 A JP 2011082541A JP 2012220975 A JP2012220975 A JP 2012220975A
- Authority
- JP
- Japan
- Prior art keywords
- message
- authentication
- snmp
- varbind
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワーク管理プロトコルの技術に関する。 The present invention relates to a network management protocol technology.
ネットワーク管理プロトコルとして、広く使用されているSNMP(Simple Network Management Protocol)v1、SNMPv2cでは、認証用の識別情報(コミュニティ名)が、暗号化されていない原文のままネットワーク上を流れる。このため、第三者によってSNMPメッセージを盗聴されると、不正に取得されたコミュニティ名によって管理対象装置の情報を不正に取得、または設定されてしまう問題があった。特に、装置に対する不正な設定は、サービスをダウンさせてしまうなど深刻な問題を引き起こす可能性があり、重要な問題である。 In SNMP (Simple Network Management Protocol) v1 and SNMPv2c, which are widely used as network management protocols, authentication identification information (community name) flows over the network as an unencrypted original. For this reason, when an SNMP message is wiretapped by a third party, there is a problem that information on the management target device is illegally acquired or set by an illegally acquired community name. In particular, an incorrect setting for the apparatus is an important problem because it may cause a serious problem such as bringing down the service.
SNMPv1、v2cに対して、セキュリティを向上させる方法がいくつか考えられている。例えば、特許文献1に開示された技術では、コミュニティ名、もしくは、SNMPメッセージ全体を暗号化している。また、特許文献2に開示された技術では、コミュニティ名を動的に生成することで、一度使用したコミュニティ名を何度も使用できないようにしている。また、SNMPv3では、プロトコルとして認証機能を強化し、かつSNMPメッセージの暗号化を具備するようになった。
Several methods for improving security are considered for SNMPv1 and v2c. For example, in the technique disclosed in
なお、SNMPv1は、RFC1155〜1157、SNMPv2cは、RFC1901、3416、SNMPv3は、RFC3411〜3418で標準化されている。 SNMPv1 is standardized by RFC1155 to 1157, SNMPv2c is standardized by RFC1901, 3416, and SNMPv3 is standardized by RFC3411-3418.
しかしながら、上述した特許文献1に開示された技術では、コミュニティ名、もしくは、SNMPメッセージ全体を暗号化しているため、運用時に発生した問題を解決する場合、可読性が悪化するという問題がある。
また、特許文献2に開示された技術では、動的に生成されたコミュニティ名が原文のままネットワーク上を流れるため、コミュニティ名が盗聴されると、不正な操作が可能となってしまうという問題がある。また、管理装置は、管理対象装置が動的に生成したコミュニティ名を要求・取得する必要があり、そのためのネットワークトラヒックが増加してしまうという問題がある。
However, in the technique disclosed in
In addition, in the technique disclosed in
また、SNMPv3では、従来のSNMPv1、v2cと比較して、仕様が複雑になっており、プロトコル処理に時間がかかるという問題がある。また、SNMPv3とSNMPv1、v2cとでは、全体のフレームワークや、パケットフォーマットも異なり、互換性がない。ゆえに、既存のSNMPv1、v2c処理機能を活用できないため、SNMPv3の導入にはコストがかかるという問題がある。 In addition, SNMPv3 has a problem in that the specifications are complicated and protocol processing takes time compared to conventional SNMPv1 and v2c. Also, SNMPv3 and SNMPv1, v2c are not compatible because the overall framework and packet format are different. Therefore, since existing SNMPv1 and v2c processing functions cannot be utilized, there is a problem that introduction of SNMPv3 is costly.
上記事情に鑑み、本発明は、盗聴によって認証用識別情報が第三者に知られた場合でも、管理対象装置への不正な設定を防ぐことを可能とする技術を提供することを目的としている。 In view of the above circumstances, an object of the present invention is to provide a technique that can prevent unauthorized setting of a management target device even when authentication identification information is known to a third party by wiretapping. .
本発明の一態様は、ネットワーク管理プロトコルとしてSNMPを用いて、管理装置と管理対象装置とがネットワークを介して、SNMPメッセージを送受信するネットワーク管理システムであって、前記管理装置は、共通鍵を用いて、SETリクエストのメッセージ認証情報を算出し、該メッセージ認証情報を含む認証用VarBindを作成し、該認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成処理部と、前記SNMPメッセージ生成処理部で作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信部とを備え、前記管理対象装置は、前記管理装置からのパケットを受信するパケット受信部と、前記パケットがSETリクエストであれば、認証用VarBindの有無を調べ、無ければ前記パケットを廃棄するSNMPメッセージ解析処理部と、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュと、前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が前記メッセージ認証情報キャッシュ内に存在するか調べ、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、前記SNMPメッセージ解析処理部に異常終了を返す認証MIBモジュールと、を備える。 One aspect of the present invention is a network management system in which SNMP is used as a network management protocol, and a management apparatus and a management target apparatus transmit and receive an SNMP message via a network. The management apparatus uses a common key. The message authentication information of the SET request is calculated, an authentication VarBind including the message authentication information is generated, and an SNMP message including the authentication VarBind is generated; and the SNMP message generation processing unit A packet transmission unit configured to generate and transmit a packet from the generated SNMP message and a destination address, wherein the management target device receives a packet from the management device, and the packet is a SET request. For example, VarBin for authentication If there is an SNMP message analysis processing unit that discards the packet if there is not, a message authentication information cache in which message authentication information already used for authentication is stored, and the authentication VarBind, the authentication If the message authentication information in the VarBind for use exists in the message authentication information cache, and if the message authentication information exists in the message authentication information cache, it is determined as a replay attack, and the SNMP message analysis processing unit An authentication MIB module that returns an abnormal termination to
本発明の一態様は、ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理対象装置とSNMPメッセージを送受信する管理装置であって、共通鍵を用いて、SETリクエストのメッセージ認証情報を算出し、該メッセージ認証情報を含む認証用VarBindを作成し、該認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成処理部と、前記SNMPメッセージ生成処理部で作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信部と、を備える。 One aspect of the present invention is a management device that transmits and receives SNMP messages to and from a management target device via a network using SNMP as a network management protocol, and calculates message authentication information of a SET request using a common key The authentication VarBind including the message authentication information is generated, the SNMP message generation processing unit for generating the SNMP message including the authentication VarBind, the SNMP message generated by the SNMP message generation processing unit, and the packet from the destination address A packet transmission unit for generating and transmitting
本発明の一態様は、ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理装置とSNMPメッセージを送受信する管理対象装置であって、前記管理装置からのパケットを受信するパケット受信部と、前記パケットがSETリクエストであれば、認証用VarBindの有無を調べ、無ければ前記パケットを廃棄するSNMPメッセージ解析処理部と、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュと、前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が前記メッセージ認証情報キャッシュ内に存在するか調べ、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、前記SNMPメッセージ解析処理部に異常終了を返す認証MIBモジュールと、を備える。 One aspect of the present invention is a management target device that transmits and receives an SNMP message to and from a management device via a network using SNMP as a network management protocol, and a packet reception unit that receives a packet from the management device; If the packet is a SET request, the presence or absence of an authentication VarBind is checked. If not, the SNMP message analysis processing unit discards the packet; a message authentication information cache in which message authentication information already used for authentication is stored; When there is the authentication VarBind, it is checked whether the message authentication information in the authentication VarBind is present in the message authentication information cache, and when the message authentication information is present in the message authentication information cache, Judged as a replay attack And an authentication MIB module returns an abnormal termination serial SNMP message analyzing unit.
本発明の一態様は、ネットワーク管理プロトコルとしてSNMPv1、SNMPv2cを用いて、管理装置と管理対象装置とがネットワークを介して、SNMPメッセージを送受信するネットワーク管理方法であって、前記管理装置が、共通鍵を用いて、SETリクエストのメッセージ認証情報を算出する第1の算出ステップと、前記管理装置が、前記メッセージ認証情報を含む認証用VarBindを作成する作成ステップと、前記管理装置が、前記認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成ステップと、前記管理装置が、前記SNMPメッセージ生成ステップで作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信ステップと、前記管理対象装置が、前記管理装置からのパケットを受信するパケット受信ステップと、前記管理対象装置が、前記パケットがSETリクエストであれば、認証用VarBindの有無を調べる有無調査ステップと、前記管理対象装置が、前記認証用VarBindが無い場合には、前記パケットを廃棄する廃棄ステップと、前記管理対象装置が、前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュ内に存在するか調べる第1のメッセージ認証情報調査ステップと、前記管理対象装置が、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、異常終了を返す第1の異常終了ステップと、を有する。 One aspect of the present invention is a network management method in which SNMPv1 and SNMPv2c are used as a network management protocol, and a management apparatus and a management target apparatus transmit and receive an SNMP message via a network. The first calculation step of calculating the message authentication information of the SET request using, the creation step of creating the authentication VarBind including the message authentication information by the management device, and the management device of the authentication VarBind An SNMP message generating step for generating an SNMP message including: a packet transmitting step for generating and transmitting a packet from the SNMP message generated at the SNMP message generating step and a destination address by the management device; and ,in front A packet receiving step for receiving a packet from the management device; a step for checking whether or not the management target device has an authentication VarBind if the packet is a SET request; and If there is no packet, a discard step for discarding the packet; and if the managed device has the authentication VarBind, the message authentication information in the authentication VarBind is already used for authentication. A first message authentication information checking step for checking whether the information exists in the stored message authentication information cache; and if the message management information exists in the message authentication information cache, The first abnormal end that determines an attack and returns an abnormal end Has a step, a.
本発明の一態様は、ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理対象装置とSNMPメッセージを送受信する管理装置のコンピュータに対し、共通鍵を用いて、SETリクエストのメッセージ認証情報を算出する算出ステップと、前記メッセージ認証情報を含む認証用VarBindを作成する作成ステップと、前記認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成ステップと、前記SNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信ステップと、を実行させるためのコンピュータプログラムである。 According to one aspect of the present invention, message authentication information of a SET request is transmitted using a common key to a computer of a management apparatus that transmits and receives SNMP messages to and from a management target apparatus via a network using SNMP as a network management protocol. A calculation step for calculating, a creation step for creating an authentication VarBind including the message authentication information, an SNMP message generation step for creating an SNMP message including the authentication VarBind, and a packet from the SNMP message and a destination address And a packet transmission step for transmitting the program.
本発明の一態様は、ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理装置とSNMPメッセージを送受信する管理対象装置のコンピュータに対し、前記管理装置からのパケットを受信するパケット受信ステップと、前記パケットがSETリクエストであれば、認証用VarBindの有無を調べる有無調査ステップと、前記認証用VarBindが無い場合には、前記パケットを廃棄する廃棄ステップと、前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュ内に存在するか調べる第1のメッセージ認証情報調査ステップと、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、異常終了を返す第1の異常終了ステップと、を実行させるためのコンピュータプログラムである。 One aspect of the present invention is a packet receiving step of receiving a packet from the management apparatus to a computer of a management target apparatus that transmits and receives an SNMP message to and from the management apparatus via the network using SNMP as a network management protocol. If the packet is a SET request, the presence / absence checking step for checking the presence / absence of the authentication VarBind, the discarding step for discarding the packet if the authentication VarBind is not present, and the authentication VarBind A first message authentication information investigation step for checking whether the message authentication information in the authentication VarBind exists in a message authentication information cache in which the message authentication information already used for authentication is stored; and the message authentication information Message acknowledge When present in the information in the cache, it is determined that replay attack is a computer program for executing a first abnormal termination step of returning an abnormal termination, the.
本発明により、盗聴によって認証用識別情報が第三者に知られた場合でも、管理対象装置への不正な設定を防ぐことが可能となる。 According to the present invention, even when the identification information for authentication is known to a third party by eavesdropping, it is possible to prevent an unauthorized setting to the management target device.
まず、ネットワーク管理システムの概略について説明する。ネットワーク管理システムは、SNMPv1やSNMPv2cのエージェント機能を具備する装置に対する設定用SNMPメッセージ(SETリクエスト)に関して、SNMPのプロトコル処理部分の改変を小さく留めた上で、セキュリティを向上させる。具体的には、ネットワーク管理システムでは、セキュリティ向上のために以下の事項が実現される。 First, an outline of the network management system will be described. The network management system improves the security of the setting SNMP message (SET request) for the device having the SNMPv1 or SNMPv2c agent function, while keeping the modification of the SNMP protocol processing part small. Specifically, in the network management system, the following items are realized to improve security.
(a)従来のコミュニティ名による認証方法に加え、SNMPメッセージのMAC(Message Authentication Code)による認証を使用する。なお、コミュニティ名とは、SNMPが管理するネットワークシステムの範囲を表す識別情報であり、認証に用いられる識別情報(認証用識別情報)でもある。
(b)上記(a)における認証において、MACの性質上、SNMPメッセージの改ざんを検知できる。
(c)リプレイ攻撃に備え、認証済みMACのキャッシュを用意することで、同一MACのSNMPメッセージは受け付けないようにする。
(A) In addition to the authentication method based on the conventional community name, authentication based on the MAC (Message Authentication Code) of the SNMP message is used. The community name is identification information indicating the range of the network system managed by SNMP, and is also identification information (authentication identification information) used for authentication.
(B) In the authentication in (a) above, it is possible to detect alteration of the SNMP message due to the nature of the MAC.
(C) In preparation for a replay attack, an authenticated MAC cache is prepared so that SNMP messages of the same MAC are not accepted.
[第一実施形態]
図1は、第一実施形態によるネットワーク管理システムの構成を示すブロック図である。図1において、管理装置100と管理対象装置200は、互いに共通する秘密鍵(共通鍵)101を保持する。管理対象装置200は、認証MIB(Management Information Base)モジュール241を持ち、認証用OID(Object IDentifer)を持ったインタフェースを具備する。通常、認証MIBモジュール241は、SNMPのプロトコル処理部(図示略)とは独立している。また、第一実施形態では、認証はSNMPv1/SNMPv2cの機能のみで実現している。また、対向装置に設定したい内容を含むSETリクエストのパケットに認証情報を含んでいる。
[First embodiment]
FIG. 1 is a block diagram showing a configuration of a network management system according to the first embodiment. In FIG. 1, a
管理装置100は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、管理プログラムを実行する。管理装置100の機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。管理プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。
管理対象装置200は、バスで接続されたCPUやメモリや補助記憶装置などを備え、管理対象プログラムを実行する。管理対象装置200の機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。管理対象プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。
The
The
管理装置100は、共通鍵101を使用して、コミュニティ名11及びその他VarBind(Variable-Bindings)13の組み合わせを含むSETリクエストから、SETリクエストのMAC(Message Authentication Code:メッセージ認証符号)を計算する。MACは、メッセージ認証情報の一例である。また、管理装置100は、コミュニティ名11と、VarBind(Variable-Bindings、OIDとそのOIDのオブジェクトに設定したい値のペア)として、認証用VarBind(認証用OIDと算出したMACのペア)12と、その他VarBind13とを含めた認証付SETリクエスト10を作成して、管理対象装置200に送信する。
The
上記により、SETリクエスト10が第三者に盗聴され、コミュニティ名11が知られても、第三者は共通鍵101を知らないため、正しいMACを計算することができず、認証可能な認証付SETリクエストを作成できない。
続いて、以下の処理により、リプレイ攻撃を防ぐことが可能となっている。
管理対象装置200内のSNMPメッセージ解析処理部230は、受信した認証付SETリクエスト10内のVarBindに、認証用VarBind12が含まれているかを調べ、含まれていない場合には、SETリクエストである判別して廃棄し、含まれている場合には、認証用VarBind12を認証MIBモジュール241で処理する。
As described above, even if the
Subsequently, a replay attack can be prevented by the following processing.
The SNMP message
認証MIBモジュール241は、認証用VarBind12内のMACがMACキャッシュ243に含まれているかを調べる。MACキャッシュ243は、既に認証で使用したMACが記憶されている。SNMPの仕様上、SNMPメッセージ内のリクエストIDは、メッセージ毎に異なるため、MACは常に異なる。
The
したがって、認証用VarBind12内のMACがMACキャッシュ243に含まれていた場合には、SNMPメッセージ解析処理部230に異常終了を返す。このように、第三者が認証付SETリクエスト10を盗聴し、変更無しで再送しても、MACキャッシュ243による検査でSETリクエストは失敗する。
Therefore, when the MAC in the
続いて、以下の処理により、認証付SETリクエスト10の認証を行う。
受信した認証付SETリクエスト10のMACを共通鍵101で算出して、認証用VarBind12内のMACと比較する。双方のMACが一致した場合には、SNMPメッセージ解析処理部230に正常終了を返す(認証完了)。これに対して、双方のMACが一致しなかった場合には、SNMP解析処理部230に異常終了を返す(認証失敗)。
Subsequently, the authenticated
The MAC of the received SET request with
SNMPの仕様上、SNMPメッセージ解析処理部230は、MIBモジュールのうち、どれか一つでも異常終了を返せば、SETリクエスト全体をエラーとしてSET処理を無効にする。そのため、上述したように、認証MIBモジュール241が異常終了を返すことで、装置への設定を失敗させることができる。
上述した第一実施形態によれば、盗聴によってコミュニティ名が第三者に知られた場合でも、管理対象装置への不正な設定を防ぐことができる。
In accordance with the SNMP specification, if any one of the MIB modules returns an abnormal termination, the SNMP message
According to the first embodiment described above, even when the community name is known to a third party by eavesdropping, it is possible to prevent an unauthorized setting to the management target device.
[第二実施形態]
図2は、本発明の第二実施形態によるネットワーク管理システムの全体構成を示したブロック図である。図2において、ネットワーク管理システムは、1つの管理装置100と3つの管理対象装置200−1〜200−3(以下、総称して管理対象装置200ともいう)と、ネットワーク300とを備える。図2では、管理装置100を1つとしているが複数あってもよい。また、管理対象装置200−1〜200−3も3つとしているが4つ以上であってもよい。
[Second Embodiment]
FIG. 2 is a block diagram showing the overall configuration of the network management system according to the second embodiment of the present invention. In FIG. 2, the network management system includes one
管理装置100は、ネットワーク300を介して、管理対象装置200−1〜200−3の監視、及び設定を行う。管理対象装置200−1〜200−3は、管理装置100からの指示に基づき、自身が保有する情報をネットワーク300を介して、管理装置100に通知する。また、管理対象装置200−1〜200−3は、管理装置100からの指示に基づき、自身が保有する情報を更新して自身の動作を変更する。
The
ここで、管理対象装置200−1〜200−3として、例えば、ルータ、スイッチングハブ、パーソナルコンピュータ、プリンタ、テレビなどがある。ネットワーク300は、例えば、LAN(Local Area Network)などである。
Here, examples of the management target devices 200-1 to 200-3 include a router, a switching hub, a personal computer, a printer, and a television. The
管理装置100と管理対象装置200−1〜200−3との間の管理情報(例えば、MIB)のやりとりには、ネットワーク管理プロトコルとして標準化されたSNMPが用いられる。SNMPは、ネットワークに接続された装置をネットワーク経由で監視したり、設定したりするためのプロトコルである。管理装置100と管理対象装置200−1〜200−3との間は、パケットの送受信によって管理情報のやり取りが行われる。
SNMP standardized as a network management protocol is used for exchanging management information (for example, MIB) between the
図3は、パケットの構成を示す概念図である。図3において、パケット240には、送信元アドレス251と、あて先アドレス252と、SNMPメッセージ253が含まれている。送信元アドレス251は、パケット240を送信した装置のアドレスである。あて先アドレス252は、パケット240の送信先のアドレスである。例えば、IPネットワークでは、パケット240は、IPパケット、送信元アドレス251は、送信元IPアドレス、あて先アドレス252は、あて先IPアドレスである。
SNMPメッセージ253の詳細は、RFC1157、1901、3417で規定されている。以下、本発明で必要な部分のみを説明する。
FIG. 3 is a conceptual diagram showing a packet configuration. In FIG. 3, a
Details of the
図4は、SNMPメッセージの構成を示す概念図である。図4において、SNMPメッセージ253は、バージョンヘッダ261、コミュニティ名262、PDU(Protocol Data Unit)263で構成される。バージョンヘッダ261は、SNMPのバージョンを表し、SNMPv1であれば数値“0”、SNMPv2cであれば数値“1”である。
FIG. 4 is a conceptual diagram showing the structure of the SNMP message. In FIG. 4, the
コミュニティ名262は、ネットワーク管理者のみが知る識別情報で、管理装置100、及び管理対象装置200にそれぞれ設定されている。管理対象装置200は、コミュニティ名262を照合して、SNMPメッセージが正当なネットワーク管理者からであるか否かを判断する。コミュニティ名262は、例えば、文字列で“public”や、“private”などである。
なお、本実施形態は、SNMPv1、v2cのセキュリティを向上するためのものだが、SNMPのバージョンは、“0”、“1”以外でもよい。
The
Although this embodiment is intended to improve the security of SNMPv1 and v2c, the SNMP version may be other than “0” or “1”.
図5は、PDUの構成を示す概念図である。PDU263は、PDU種別271、リクエストID272、エラーステータス、エラーインデクス、複数個のVarBind273、…で構成される。PDU種別271は、管理装置100が管理対象装置200に対する制御の種類を指定するために使われるフィールドである。PDU種別271は、管理対象装置200が管理装置100から受け取った制御に対する応答であることを伝えるためにも用いられる。設定の場合には、SETを指定し、応答の場合には、RESPONSEを指定する。SETのSNMPメッセージをSETリクエストという。RESPONSEのSNMPメッセージをレスポンスという。
FIG. 5 is a conceptual diagram showing the structure of a PDU. The
リクエストID272は、管理装置100が管理対象装置200に送信したSNMPメッセージ253に対する、管理対象装置200から管理装置100へのレスポンスを区別するための識別子で整数値である。例えば、SNMPメッセージ作成のたびに基準値からインクリメントしても良いし、毎回乱数でも良い。
VarBind273は、操作したいOIDとそのOIDのオブジェクトに設定したい値のペアにしたものである。VarBind273は、PDU263内に複数あってもよい。
The
図6は、VarBindの構成を示す概念図である。VarBind273は、OID281と、設定値282で構成される。OID281は、管理対象装置200が持つ管理情報毎の識別IDである。設定値282は、SETリクエストのとき、OID281に設定したい値を指定するために用いる。
FIG. 6 is a conceptual diagram showing the configuration of VarBind. The
OID281とその設定値282の仕様は、RFCなどで定義された標準MIBや、ベンダー独自のMIBがある。例えば、RFC3418で定義されているSNMPv2−MIBでは、OID“.1.3.6.1.2.1.1.6(sysLocation)”は、管理対象装置200の物理的な設置場所情報のOIDであり、設定値には256文字未満の文字列(例えば、“Chiba”など)を使用するように定義されている。
The specifications of the
図7は、第二実施形態による管理装置100の機能的構成を示すブロック図である。なお、図1に対応する部分には同一の符号を付けて説明を省略する。図7において、管理装置100は、パケット送受信部110と、SNMPメッセージ生成処理部120と、SNMPメッセージ解析処理部130と、不揮発性装置140と、不揮発性装置140内に記憶している共通鍵テーブル141とを備える。
FIG. 7 is a block diagram showing a functional configuration of the
共通鍵テーブル141は、ネットワーク300上の管理対象装置200のアドレスと対応させた共通鍵101を記憶する。パケット送受信部110は、SNMPメッセージ生成処理部120から受け取ったSNMPメッセージ253とあて先アドレスとからパケット240を作成して送信する。また、パケット送受信部110は、管理対象装置200から受信したパケット240をSNMPメッセージ解析処理部130に処理させる。
The common key table 141 stores the
SNMPメッセージ生成処理部120は、SNMPメッセージ253を作成してパケット送受信部6110に処理させる機能を持つ。但し、認証付SETリクエスト作成時は、共通鍵テーブル141から取得した共通鍵101でSETリクエストのMACを求め、認証用VarBindを作成して、SNMPメッセージ253に付与する機能を持つ。
The SNMP message
MACは、例えば、HMAC(Keyed-Hashing for MAC)を使用する。ハッシュ関数は、SHA1(Secure Hash Algorithm1)や、MD5(Message Digest algorithm 5)などを使用する。HMACは、RFC2104、SHA1は、FIPS180−1、MD5は、RFC1321で標準化されている。
SNMPメッセージ解析処理部130は、パケット送受信部110から受け取った内容を管理者に通知する。
As the MAC, for example, HMAC (Keyed-Hashing for MAC) is used. As the hash function, SHA1 (Secure Hash Algorithm 1), MD5 (Message Digest algorithm 5), or the like is used. HMAC is standardized by RFC2104, SHA1 is standardized by FIPS180-1, and MD5 is standardized by RFC1321.
The SNMP message
図8は、第二実施形態による、管理装置100内に具備する共通鍵テーブル141の一例を示す概念図である。共通鍵テーブル141内の共通鍵101は、各アドレスに対する認証付SETリクエストを作成する場合に求めるMACに使用する鍵である。例えば、アドレスが“ADDR1”である装置(ここでは、管理対象装置200のこと)に対するSETリクエストのMAC算出に使用する共通鍵101は、“CK(1)”である。共通鍵CK(1)、CK(2)、・・・、CK(n)は、すべて同じでも良い。なお、共通鍵テーブル141では、管理装置100自身のアドレスに対する共通鍵も管理できる。共通鍵テーブル141では、アドレスを“ADDRM”、共通鍵を“CK(M)”で表している。
FIG. 8 is a conceptual diagram showing an example of the common key table 141 provided in the
図9は、第二実施形態による管理対象装置200の機能的構成を示すブロック図である。図9において、管理対象装置200は、パケット送受信部210と、SNMPメッセージ生成処理部220と、SNMPメッセージ解析処理部230と、不揮発性装置250と、不揮発性装置250内に記憶している共通鍵テーブル242と、記憶装置260と、記憶装置260内に記憶しているMACキャッシュ243と、MIBモジュール231とを備える。MIBモジュール231は、通常、複数存在し、その中の1つとして認証MIBモジュール241を備える。
FIG. 9 is a block diagram illustrating a functional configuration of the
共通鍵テーブル242は、ネットワーク300上の管理装置100のアドレスと対応させた共通鍵を記憶する。パケット送受信部210は、SNMPメッセージ生成処理部220から受け取ったSNMPメッセージとあて先アドレスとからパケットを作成して送信する。また、パケット送受信部210は、受信したパケットをSNMPメッセージ解析処理部230に処理させる。
The common key table 242 stores a common key associated with the address of the
SNMPメッセージ解析処理部230は、パケットがSETリクエスト(SETリクエストまたは認証付SETリクエスト)であれば、認証用VarBindの有無を調べ、無ければパケットを廃棄する。一方、認証用VarBindがある場合には、SNMPメッセージ内の各VarBindに対応しているMIBモジュール231にパケットを処理させ、その応答を待つ。特に、認証用VarBindの場合には、認証MIBモジュール241にパケットを処理させる。
If the packet is a SET request (SET request or SET request with authentication), the SNMP message
例えば、VarBindのOIDが“.1.3.6.1.2.1.1.6”の場合には、SNMPv2−MIBモジュールに処理させ、VarBindのOIDが認証用OIDの場合(VarBindが認証用VarBindの場合)には、認証MIBモジュール241に処理させる。
For example, when the VarBind OID is “1.3.3.6.1.2.1.1.6”, the SNMPv2-MIB module is processed. When the VarBind OID is an authentication OID (VarBind is authenticated) In the case of VarBind for use), the
SNMPメッセージ解析処理部230は、各MIBモジュール231からの応答を受け取り、全て正常終了であれば解析結果を正常とする。各MIBモジュール231のうち、一つ以上のMIBモジュールから異常終了を受け取ると、解析結果を異常とする。
The SNMP message
SNMPの仕様上(RFC1157,3416)、解析結果が異常の場合、SNMPメッセージ解析処理部230は、SNMPメッセージによる処理を無効にしなければならない。例えば、OID“.1.3.6.1.2.1.1.6”は、256文字未満の文字列を指定する必要がある。このため、SETリクエストの中が、このOIDに対して256文字以上の文字列の設定を要求するVarBindを持つと、SNMPv2−MIBモジュールは、異常終了をSNMPメッセージ解析処理部230に返す。異常終了を受け取ったSNMPメッセージ解析処理部230は、他のVarBindの設定内容を無効にする。
In the specification of SNMP (RFC 1157, 3416), when the analysis result is abnormal, the SNMP message
SNMPメッセージ解析処理部230は、解析結果と、レスポンス生成に必要な情報(例えば、各VarBindや、異常終了したVarBindの位置など)と、パケット内の送信元アドレス(管理装置100のアドレス)をあて先アドレスとして、SNMPメッセージ生成処理部220に処理させる。
The SNMP message
MIBモジュール231は、SNMPメッセージ解析処理部230から受け取ったVarBindを定義に従って処理し、その結果をSNMPメッセージ解析処理部230に返す。MIBモジュール231の動作仕様は、RFCなどで定義された個々のMIB定義に従う。例えば、OID“.1.3.6.1.2.1.1.6”の動作は、RFC3418に、IPの情報を管理するIP−MIBは、RFC4293、LLDPの管理情報LLDP−MIBは、IEEE802.1AB−2005等に定義されている。
The
認証MIBモジュール241は、SNMPメッセージ解析処理部230から受け取ったパケットがSETリクエスト(SETリクエストまたは認証付SETリクエスト)以外の場合には何もしないで、SNMPメッセージ解析処理部230に正常終了を返す。一方、認証MIBモジュール241は、SNMPメッセージ解析処理部230から受け取ったパケットが認証付SETリクエストの場合には、認証用VarBind内の設定値(MAC−Mとする)がMACキャッシュ243内に含まれているか検査する。
If the packet received from the SNMP message
認証MIBモジュール241は、MAC−MがMACキャッシュ243内に含まれていた場合には、リプレイ攻撃と考え、SNMPメッセージ解析処理230に異常終了を返す。一方、認証MIBモジュール241は、MAC−MがMACキャッシュ243内に含まれていなかった場合には、共通鍵テーブル242を参照して、受信したパケットの送信元アドレスに対応する共通鍵101を用いて、認証用VarBindを除いたSNMPメッセージのMACを、管理装置100と同じ方法で算出する(このMACをMAC−1とする)。
If the MAC-M is included in the
認証MIBモジュール241は、MAC−MとMAC−1とが一致するか調べ、MAC−1とMAC−Mとが不一致の場合には、SNMPメッセージが改ざんされたと判断して、SNMPメッセージ解析処理部230に異常終了を返す。一方、認証MIBモジュール241は、MAC−1とMAC−Mとが一致すれば、SNMPメッセージが改ざんされておらず、管理装置100からの正当なSNMPメッセージであると判断し、MACキャッシュ243にMAC−1を追加して、SNMPメッセージ解析処理部230に正常終了を返す。
The
図10は、第二実施形態による、管理対象装置200が備える共通鍵テーブル242の一例を示す概念図である。共通鍵テーブル242における、共通鍵101は、各アドレスに対するMACを算出するために使用する鍵である。例えば、図10では、アドレスが“ADDRM”である装置(ここでは管理装置100のこと)に対して、MACの算出に使用する共通鍵は、“CK(M)”である。共通鍵CK(1)、CK(2)、…、CK(n)は、すべて同じでも良い。なお、共通鍵テーブル242では、管理対象装置200自身のアドレスに対する共通鍵も管理できる。図10では、アドレスを“ADDR1”、共通鍵を“CK(1)”で表している。
管理装置100のアドレスが“ADDRM”、管理対象装置200のアドレスが“ADDR1”であれば、管理装置100内の共通鍵テーブル141の“CK(1)”と管理対象装置200内の共通鍵テーブル242の“CK(M)”は同じものである。
FIG. 10 is a conceptual diagram illustrating an example of the common key table 242 included in the
If the address of the
MACキャッシュ243は、認証MIBモジュール241が認証に成功したMACの履歴を記憶している。該MACの履歴は、認証MIBモジュール241が新たに認証するとき、認証用VarBind内のMACが過去に認証で使用したMACと一致するかを検索するために用いられる。MACキャッシュ243は、どのような実装でも良い。例えば、管理対象装置200が再開するまで記憶してもよいし、保存後一定時間が経ったMACは削除するようにしてもよいし、あらかじめMACキャッシュ243のサイズを決めて、空きサイズが不足すれば、古いMACを削除するようにしてもよい。なお、記憶装置260は、不揮発性、揮発性どちらでも良い。
The
SNMPメッセージ生成処理部220は、SNMPメッセージ解析処理部230から解析結果、レスポンス生成に必要な情報、あて先アドレス(管理装置100のアドレス)を受け取り、レスポンスを作成して、レスポンスとあて先アドレスとをパケット送受信部210に処理させる。
The SNMP message
次に、第二実施形態によるネットワーク管理システムの動作について説明する。
図11は、第二実施形態による管理装置100がSNMPメッセージを送信するまでの動作を説明するためのフローチャートである。まず、管理装置100において、管理者による操作、あるいは定期的な情報収集に基づいて、SNMPメッセージ生成処理部120に対して、管理対象装置200に対するSNMPメッセージの作成を要求する(ステップS101)。
Next, the operation of the network management system according to the second embodiment will be described.
FIG. 11 is a flowchart for explaining an operation until the
次に、管理者は、管理対象装置200のアドレス、バージョン261、コミュニティ名262、PDU種別271、VarBind273を、SNMPメッセージ生成処理部120に与える。SNMPメッセージ生成処理部120は、適当な乱数などをリクエストID272にしてSNMPメッセージI110を作成する(ステップS102)。リクエストID272は、他のSNMPメッセージのリクエストIDと異なれば何でも良い。
Next, the administrator gives the address,
次に、SNMPメッセージ生成処理部120は、作成したSNMPメッセージI110のPDU種別271がSETか否かを検査する(ステップS103)。そして、SETの場合には(ステップS103のYES)、SNMPメッセージ生成処理部120は、認証用VarBindの作成処理を行う(ステップS104〜S107へ進む)。一方、SETでは無い場合には(ステップS103のNO)、何もせず、パケット作成の準備をする(ステップS108へ進む)。
Next, the SNMP message
まず、PDU種別271がSETである場合について説明する。SNMPメッセージ生成処理部120は、共通鍵テーブル141から、管理者が指定した管理装置200のアドレスに対応する共通鍵I101を取得する(ステップS104)。例えば、共通鍵テーブル141において、管理対象装置200のアドレスが“ADDR1”であれば、取得する共通鍵I101は“CK(1)”である。
First, a case where the
次に、SNMPメッセージ生成処理部120は、取得した共通鍵I101“CK(1)”で、ステップS102で作成したSNMPメッセージI110のMACを計算する(ステップS105)。次に、SNMPメッセージ生成処理部120は、求めたMACと認証用OIDとで認証用VarBindを作成する(ステップS106)。その後、SNMPメッセージ生成処理部120は、作成した認証用VarBindを、ステップS102で作成したSNMPメッセージI110に付け加え、認証付SNMPメッセージI111を作成する(ステップS107)。
Next, the SNMP message
次に、PDU種別271がSETでは無い場合(ステップS103のNO)、あるいは、上記ステップS107が終了すると、SNMPメッセージ生成処理部120は、管理者から受け取った管理対象装置200のアドレスをあて先アドレスにして、SNMPメッセージをパケット送受信部110に供給してパケット作成を要求する(ステップS108)。
Next, when the
パケット送受信部110に処理させるSNMPメッセージは、ステップS103でNOだった場合には、SNMPメッセージI110、ステップS103でYESだった場合には、SNMPメッセージI111になる。
The SNMP message to be processed by the packet transmitting / receiving
パケット送受信部110は、管理装置100のアドレスを送信元アドレスとして、SNMPメッセージ生成処理部120から受け取ったSNMPメッセージ(I110またはI111)と、あて先アドレスとからパケットI112を作成する(ステップS109)。パケット送受信部110は、パケットI112を管理対象装置200に送信する(ステップS110)。
The packet transmission /
次に、図12は、第二実施形態による管理対象装置200が管理装置100から受信したSNMPメッセージを処理する動作を説明するためのフローチャートである。まず、パケット送受信部210は、管理装置100から受信したパケットI112を受信し、SNMPメッセージ解析処理部230に処理させる(ステップS201)。次に、SNMPメッセージ解析処理部230は、パケット受信部210から受け取ったパケットI112のPDU種別がSETか否かを調べる(ステップS202)。
Next, FIG. 12 is a flowchart for explaining an operation in which the
そして、PDU種別がSETだった場合には(ステップS202のYES)、パケットI112中のVarBindに認証用VarBindがあるか否かを調べる(ステップS203)。そして、VarBindに認証用VarBindがない場合には(ステップS203のNO)、パケットI112を廃棄する(ステップS204)。 If the PDU type is SET (YES in step S202), it is checked whether or not there is an authentication VarBind in the VarBind in the packet I112 (step S203). If there is no authentication VarBind in VarBind (NO in step S203), the packet I112 is discarded (step S204).
一方、PDU種別がSETではなかった場合(ステップS202のNO)、もしくは、認証用VarBindがあった場合には(ステップS203のYES)、SNMPメッセージ解析処理部230は、各VarBindに対応したMIBモジュール231にパケットI112を処理させ、結果を待つ(ステップS205)。特に、認証用VarBindは、認証MIBモジュール241にパケットI112を処理させ、処理の結果を待つ。なお、認証MIBモジュール241の動作については後述する。
On the other hand, if the PDU type is not SET (NO in step S202), or if there is an authentication VarBind (YES in step S203), the SNMP message
次に、SNMPメッセージ解析処理部230は、異常終了を返したMIBモジュールがあるかを調べる(ステップS206)。調べる対象は、MIBモジュール231と認証MIBモジュール241である。そして、異常終了を返したMIBモジュールがない場合には(ステップS206のNO)、解析結果(正常終了)と、レスポンス作成に必要な情報と、あて先アドレス(パケットI112の送信元アドレス)とを、SNMPメッセージ生成処理部220に処理させるべく、正常終了用のレスポンスの作成を要求する(ステップS207)。
Next, the SNMP message
一方、異常終了を返したMIBモジュールがあった場合には(ステップS206のYES)は、SNMPの仕様(RFC1157,3416)に従って、SNMPメッセージによる処理を無効にする(ステップS208)。SNMPメッセージ解析処理部230は、解析結果(異常終了)、レスポンス生成に必要な情報(例えば、各VarBindや異常終了したVarBindの位置など)と、あて先アドレス(パケットI112の送信元アドレス)とを、SNMPメッセージ生成処理部220に処理させるべく、異常終了用のレスポンスの作成を要求する(ステップS209)。
On the other hand, if there is an MIB module that returns an abnormal end (YES in step S206), the processing based on the SNMP message is invalidated (step S208) in accordance with the SNMP specifications (RFC 1157, 3416). The SNMP message
異常終了、正常終了いずれの場合も、SNMPメッセージ生成処理部220は、SNMPメッセージ解析処理部230から受け取った解析結果(正常終了または異常終了)、レスポンス情報からレスポンスを作成する(ステップS210)。SNMPメッセージ生成処理部8220は、作成したレスポンスをあて先アドレスと共にパケット送受信部8210に供給し、パケット作成を要求する(ステップS211)。
In both cases of abnormal termination and normal termination, the SNMP message
パケット送受信部210は、管理対象装置200のアドレスを送信元アドレスとして、SNMPメッセージ生成処理部220から受け取ったレスポンスと、あて先アドレスとからパケットを作成する(ステップS212)。パケット送受信部210は、作成したパケットを管理装置100に送信する(ステップS213)。
The packet transmission /
図13は、第二実施形態による、認証MIBモジュール241の動作を説明するためのフローチャートである。認証MIBモジュール241は、SNMPメッセージ解析処理部230からパケットI112を受け取る(S301)。次に、認証MIBモジュール241は、SNMPメッセージ解析処理部230から受け取ったパケットI112のPDU種別がSETか否かを調べる(ステップS302)。そして、PDU種別がSETではない場合には(ステップS302のNO)、SNMPメッセージ解析処理部230に正常終了を返す(ステップS303)。
FIG. 13 is a flowchart for explaining the operation of the
一方、PDU種別がSETである場合には(ステップS302のYES)、認証MIBモジュール241は、パケットI112から認証用VarBind内の設定値(MAC−Mとする)を取り出し、MACキャッシュ243に同じ値がないか検索する(ステップS304)。次に、認証MIBモジュール241は、MAC−MがMACキャッシュ243内に含まれているかを調べる(ステップS305)。
On the other hand, when the PDU type is SET (YES in step S302), the
そして、MAC−MがMACキャッシュ243内に含まれている場合には(ステップS305のYES)、認証MIBモジュール241は、SNMPメッセージ解析処理部230に異常終了を返す(ステップS306)。
When MAC-M is included in the MAC cache 243 (YES in step S305), the
一方、MAC−MがMACキャッシュ243内に含まれていない場合には(ステップS305のNO)、認証MIBモジュール241は、共通鍵テーブル242を参照して、パケットI112の送信元アドレスに対応する共通鍵I101を取得する(ステップS307)。例えば、共通鍵テーブル242において、パケットI112の送信元アドレスが“ADDRM”であれば、共通鍵I101は“CK(M)”である。
On the other hand, when the MAC-M is not included in the MAC cache 243 (NO in step S305), the
次に、認証MIBモジュール241は、パケットI112から、認証用VarBindを除いたSNMPメッセージI111を取り出す(ステップS308)。次に、共通鍵I101を使ってSNMPメッセージI111のMACを計算する(ステップS309)。これをMAC−1とする。MACは、管理装置100と同じ方法(S105)で算出する。
Next, the
次に、認証MIBモジュール241は、MAC−MとMAC−1とが一致するかを調べる(ステップS310)。そして、MAC−MとMAC−1とが一致しない場合には(ステップS310のNO)は、SNMPメッセージ解析処理部230に異常終了を返す(ステップS311)。一方、MAC−MとMAC−1とが一致した場合には(ステップS310のYES)、MACキャッシュ243にMAC−1を登録する(ステップS312)。そして、SNMPメッセージ解析処理部230に正常終了を返す(ステップS313)。
以上のようにして、認証MIBモジュール241は、SNMPメッセージ解析処理部230に異常終了か、正常終了を返す。
Next, the
As described above, the
上述した第二実施形態によれば、以下の効果が得られる。
(1)管理装置100がSETリクエストに認証用VarBindを付与すること、
(2)管理対象装置200内のSNMPメッセージ解析処理部230が受信したSNMPメッセージ内に認証用VarBindが存在するかを検査すること、
(3)認証MIBモジュール241において、認証用VarBind内の設定値(MAC)と同じMACがMACキャッシュ243に含まれるか検査すること、
(4)認証MIBモジュール241が再計算したMACと認証用VarBind内の設定値(MAC)とが一致するかを検査すること、
(5)MAC認証処理の大部分を、SNMPのプロトコル処理とは独立した認証MIBモジュール241で実現すること、
により、以下の効果を奏する。
According to the second embodiment described above, the following effects can be obtained.
(1) The
(2) Checking whether there is an authentication VarBind in the SNMP message received by the SNMP message
(3) In the
(4) Checking whether the MAC recalculated by the
(5) Realizing most of the MAC authentication processing with the
Thus, the following effects can be obtained.
上記(1)、(2)、(4)より、管理対象装置200に対するSETリクエストにおいてMACによる認証を行える。これにより、盗聴によってコミュニティ名が第三者に知られても不正なSETリクエストによって管理対象装置200に設定することを防ぐことができる。
上記(1)、(2)、(4)より、管理対象装置200に対するSETリクエストにおいてのMACによる認証で、第三者によるSETリクエストの改ざんを検知できる。
From (1), (2), and (4) above, MAC authentication can be performed in the SET request to the
From (1), (2), and (4) above, it is possible to detect falsification of the SET request by a third party by MAC authentication in the SET request for the
上記(1)、(2)、(3)より、同じMACのSETリクエストを受け付けないようになる。これにより、過去に認証できたSETリクエストと同じSETリクエストを第三者が管理対象装置200に送ったとしても、管理対象装置200は、その設定を受け付けないようにできる。
上記(5)より、MACによる認証で失敗したとき(同じMACがMACキャッシュ243内にあった場合、MACが不一致の場合)、認証が失敗したことをレスポンスで管理装置100に通知できる。
From the above (1), (2), and (3), the same MAC SET request is not accepted. Thereby, even if a third party sends the same SET request as the SET request that could be authenticated in the past to the
From (5) above, when the authentication by the MAC fails (when the same MAC is in the
上記(5)より、管理対象装置200のSNMPプロトコル処理実装の改修をほとんど必要とせず、他のプロトコル処理実装に置き換えたとしても、容易に移植できる。
なお、上述した第一、第二実施形態では、認証にMACを使用したが、公開鍵・秘密鍵によるデジタル署名も使用できる。
From (5) above, the SNMP protocol processing implementation of the
In the first and second embodiments described above, MAC is used for authentication, but a digital signature using a public key / private key can also be used.
また、上述した第一、第二実施形態では、SETリクエストの認証のみであったが、管理対象装置200が自発的に管理装置100へ通知するTRAP、INFORMリクエストについても応用できる。
そのためには、管理対象装置200のSNMPメッセージ生成処理部220が、管理装置100のように、TRAP、INFORMリクエストのSNMPメッセージの認証用VarBindを、SNMPメッセージに付与して管理装置100に送信するようにする。一方、管理装置100は、受信したTRAP、INFORMリクエストを、管理対象装置200のSNMPメッセージ解析処理部230、認証MIBモジュール241と同様に認証処理行う必要がある。
In the first and second embodiments described above, only SET request authentication is performed, but the present invention can also be applied to TRAP and INFORMATION requests that the
For this purpose, the SNMP message
また、例えば、特許文献1の技術と組み合わせて、暗号化と本発明による認証とでの運用も可能である。さらに、特許文献2の技術と組み合わせて、動的なコミュニティ名と本発明による認証とでの運用も可能である。
Further, for example, in combination with the technique of
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。 The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes designs and the like that do not depart from the gist of the present invention.
10…認証付SETリクエスト, 11…コミュニティ名, 12…認証用VarBind, 13…その他VarBind, 100…管理装置, 101…共通鍵, 110…パケット送受信部, 120…SNMPメッセージ生成処理部, 130…SNMPメッセージ解析処理部, 140…不揮発性記憶, 200,200−1〜200−3…管理対象装置, 210…パケット送受信部, 220…SNMPメッセージ生成処理部, 230…SNMPメッセージ解析処理部, 231…MIBモジュール, 240…パケット, 241…認証MIBモジュール, 242…共通鍵テーブル, 243…MACキャッシュ, 250…不揮発性装置, 251…あて先アドレス, 252…送信元アドレス, 253…SNMPメッセージ, 261…バージョンヘッダ, 262…コミュニティ名, 263…PDU, 271…PDU種別, 272…リクエストID, 273…VarBind
DESCRIPTION OF
Claims (9)
前記管理装置は、
共通鍵を用いて、SETリクエストのメッセージ認証情報を算出し、該メッセージ認証情報を含む認証用VarBindを作成し、該認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成処理部と、
前記SNMPメッセージ生成処理部で作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信部と
を備え、
前記管理対象装置は、
前記管理装置からのパケットを受信するパケット受信部と、
前記パケットがSETリクエストであれば、認証用VarBindの有無を調べ、無ければ前記パケットを廃棄するSNMPメッセージ解析処理部と、
既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュと、
前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が前記メッセージ認証情報キャッシュ内に存在するか調べ、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、前記SNMPメッセージ解析処理部に異常終了を返す認証MIBモジュールと
を備えるネットワーク管理システム。 A network management system in which SNMP is used as a network management protocol, and a management apparatus and a management target apparatus transmit and receive an SNMP message via a network.
The management device
An SNMP message generation processing unit that calculates message authentication information of the SET request using the common key, creates an authentication VarBind including the message authentication information, and creates an SNMP message including the authentication VarBind;
A packet transmission unit that creates and transmits a packet from the SNMP message created by the SNMP message generation processing unit and a destination address;
The managed device is:
A packet receiver for receiving packets from the management device;
If the packet is a SET request, an SNMP message analysis processing unit that checks whether or not there is an authentication VarBind, and if not, discards the packet;
A message authentication information cache in which the message authentication information already used for authentication is stored;
When there is the authentication VarBind, it is checked whether the message authentication information in the authentication VarBind is present in the message authentication information cache, and when the message authentication information is present in the message authentication information cache, A network management system comprising: an authentication MIB module that determines a replay attack and returns an abnormal end to the SNMP message analysis processing unit.
前記メッセージ認証情報が前記メッセージ認証情報キャッシュ内に含まれていなかった場合には、受信したパケットの送信元アドレスに対応する共通鍵を用いて、認証用VarBindを除いたSNMPメッセージのメッセージ認証情報を算出し、
前記認証用VarBindに含まれていたメッセージ認証情報と前記MIBモジュールが算出したメッセージ認証情報とが一致するか調べ、両者が不一致の場合には、SNMPメッセージが改ざんされたと判断して、前記SNMPメッセージ解析処理部に異常終了を返し、
両者が一致した場合には、前記SNMPメッセージが改ざんされておらず、前記管理装置からの正当なSNMPメッセージであると判断し、前記メッセージ認証情報キャッシュに前記メッセージ認証情報を追加して、前記SNMPメッセージ解析処理部に正常終了を返す請求項1に記載のネットワーク管理システム。 The authentication MIB module is:
When the message authentication information is not included in the message authentication information cache, the message authentication information of the SNMP message excluding the authentication VarBind is obtained using a common key corresponding to the source address of the received packet. Calculate
It is checked whether the message authentication information included in the authentication VarBind matches the message authentication information calculated by the MIB module. If they do not match, it is determined that the SNMP message has been tampered with, and the SNMP message Return abnormal termination to the analysis processing unit,
If they match, it is determined that the SNMP message has not been tampered with and is a legitimate SNMP message from the management device, the message authentication information is added to the message authentication information cache, and the SNMP message is added. The network management system according to claim 1, wherein normal termination is returned to the message analysis processing unit.
共通鍵を用いて、SETリクエストのメッセージ認証情報を算出し、該メッセージ認証情報を含む認証用VarBindを作成し、該認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成処理部と、
前記SNMPメッセージ生成処理部で作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信部と
を備える管理装置。 A management device that uses SNMP as a network management protocol and transmits / receives an SNMP message to / from a management target device via a network,
An SNMP message generation processing unit that calculates message authentication information of the SET request using the common key, creates an authentication VarBind including the message authentication information, and creates an SNMP message including the authentication VarBind;
A management apparatus comprising: a packet transmission unit that creates and transmits a packet from an SNMP message created by the SNMP message generation processing unit and a destination address.
前記管理装置からのパケットを受信するパケット受信部と、
前記パケットがSETリクエストであれば、認証用VarBindの有無を調べ、無ければ前記パケットを廃棄するSNMPメッセージ解析処理部と、
既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュと、
前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が前記メッセージ認証情報キャッシュ内に存在するか調べ、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、前記SNMPメッセージ解析処理部に異常終了を返す認証MIBモジュールと
を備える管理対象装置。 A management target device that transmits and receives SNMP messages to and from a management device via a network using SNMP as a network management protocol,
A packet receiver for receiving packets from the management device;
If the packet is a SET request, an SNMP message analysis processing unit that checks whether or not there is an authentication VarBind, and if not, discards the packet;
A message authentication information cache in which the message authentication information already used for authentication is stored;
When there is the authentication VarBind, it is checked whether the message authentication information in the authentication VarBind is present in the message authentication information cache, and when the message authentication information is present in the message authentication information cache, A managed device comprising: an authentication MIB module that determines a replay attack and returns an abnormal termination to the SNMP message analysis processing unit.
前記管理装置が、共通鍵を用いて、SETリクエストのメッセージ認証情報を算出する第1の算出ステップと、
前記管理装置が、前記メッセージ認証情報を含む認証用VarBindを作成する作成ステップと、
前記管理装置が、前記認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成ステップと、
前記管理装置が、前記SNMPメッセージ生成ステップで作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信ステップと、
前記管理対象装置が、前記管理装置からのパケットを受信するパケット受信ステップと、
前記管理対象装置が、前記パケットがSETリクエストであれば、認証用VarBindの有無を調べる有無調査ステップと、
前記管理対象装置が、前記認証用VarBindが無い場合には、前記パケットを廃棄する廃棄ステップと、
前記管理対象装置が、前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュ内に存在するか調べる第1のメッセージ認証情報調査ステップと、
前記管理対象装置が、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、異常終了を返す第1の異常終了ステップと
を有するネットワーク管理方法。 A network management method in which SNMPv1 and SNMPv2c are used as a network management protocol, and a management apparatus and a management target apparatus transmit and receive an SNMP message via a network,
A first calculation step in which the management device calculates message authentication information of a SET request using a common key;
A creation step in which the management apparatus creates an authentication VarBind including the message authentication information;
An SNMP message generating step in which the management device creates an SNMP message including the authentication VarBind;
A packet transmission step in which the management device creates and transmits a packet from the SNMP message and the destination address created in the SNMP message generation step;
A packet receiving step in which the management target device receives a packet from the management device;
If the managed device is a SET request, the presence / absence checking step for checking the presence / absence of an authentication VarBind,
If the managed device does not have the authentication VarBind, a discard step for discarding the packet;
If the managed device has the authentication VarBind, does the message authentication information in the authentication VarBind exist in the message authentication information cache in which the message authentication information already used for authentication is stored? A first message authentication information checking step to check;
A network management method, comprising: a first abnormal termination step in which the managed device determines that the message authentication information is in a message authentication information cache and determines that it is a replay attack and returns an abnormal termination.
共通鍵を用いて、SETリクエストのメッセージ認証情報を算出する算出ステップと、
前記メッセージ認証情報を含む認証用VarBindを作成する作成ステップと、
前記認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成ステップと、
前記SNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信ステップと、
を実行させるためのコンピュータプログラム。 Using SNMP as a network management protocol, for a computer of a management device that transmits and receives SNMP messages to and from a management target device via a network,
A calculation step of calculating message authentication information of the SET request using the common key;
A creation step of creating an authentication VarBind including the message authentication information;
An SNMP message generating step for generating an SNMP message including the authentication VarBind;
A packet transmission step of creating and transmitting a packet from the SNMP message and a destination address;
A computer program for running.
前記管理装置からのパケットを受信するパケット受信ステップと、
前記パケットがSETリクエストであれば、認証用VarBindの有無を調べる有無調査ステップと、
前記認証用VarBindが無い場合には、前記パケットを廃棄する廃棄ステップと、
前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュ内に存在するか調べる第1のメッセージ認証情報調査ステップと、
前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、異常終了を返す第1の異常終了ステップと、
を実行させるためのコンピュータプログラム。 Using SNMP as a network management protocol, for a managed device computer that sends and receives SNMP messages to and from a management device over a network,
A packet receiving step for receiving a packet from the management device;
If the packet is a SET request, the presence / absence investigation step for examining the presence / absence of the authentication VarBind,
A discard step for discarding the packet if the authentication VarBind is absent;
When there is the authentication VarBind, the first message authentication for checking whether the message authentication information in the authentication VarBind exists in the message authentication information cache in which the message authentication information already used in the authentication is stored. Information research step,
If the message authentication information is present in the message authentication information cache, a first abnormal termination step of determining a replay attack and returning an abnormal termination;
A computer program for running.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011082541A JP2012220975A (en) | 2011-04-04 | 2011-04-04 | Network management system, management device, management target device, network management method, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011082541A JP2012220975A (en) | 2011-04-04 | 2011-04-04 | Network management system, management device, management target device, network management method, and computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2012220975A true JP2012220975A (en) | 2012-11-12 |
Family
ID=47272478
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011082541A Withdrawn JP2012220975A (en) | 2011-04-04 | 2011-04-04 | Network management system, management device, management target device, network management method, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2012220975A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107454018A (en) * | 2017-08-25 | 2017-12-08 | 锐捷网络股份有限公司 | The abnormal processing method and processing device of packet buffer manager |
-
2011
- 2011-04-04 JP JP2011082541A patent/JP2012220975A/en not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107454018A (en) * | 2017-08-25 | 2017-12-08 | 锐捷网络股份有限公司 | The abnormal processing method and processing device of packet buffer manager |
CN107454018B (en) * | 2017-08-25 | 2020-01-21 | 锐捷网络股份有限公司 | Method and device for processing exception of message cache manager |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6886102B1 (en) | System and method for protecting a computer network against denial of service attacks | |
US6971028B1 (en) | System and method for tracking the source of a computer attack | |
EP1212682B1 (en) | System and method for quickly authenticating messages using sequence numbers | |
US20200358764A1 (en) | System and method for generating symmetric key to implement media access control security check | |
CN106034104B (en) | Verification method, device and system for network application access | |
US8024488B2 (en) | Methods and apparatus to validate configuration of computerized devices | |
Vanhoef et al. | Practical verification of WPA-TKIP vulnerabilities | |
Galvin et al. | Security protocols for version 2 of the simple network management protocol (SNMPv2) | |
WO2018177385A1 (en) | Data transmission method, apparatus and device | |
KR20150135032A (en) | System and method for updating secret key using physical unclonable function | |
Waters | User-based security model for SNMPv2 | |
US10122755B2 (en) | Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node | |
US8850576B2 (en) | Methods for inspecting security certificates by network security devices to detect and prevent the use of invalid certificates | |
EP3442195B1 (en) | Reliable and secure parsing of packets | |
US20100242112A1 (en) | System and method for protecting network resources from denial of service attacks | |
Galvin et al. | SNMP Security Protocols | |
Cho et al. | Secure open fronthaul interface for 5G networks | |
JP2012220975A (en) | Network management system, management device, management target device, network management method, and computer program | |
Kahya et al. | Formal analysis of PKM using scyther tool | |
CN110401646B (en) | CGA parameter detection method and device in IPv6 secure neighbor discovery transition environment | |
CN114978519A (en) | Message sending method, signature information generation method and device | |
EP2442519A1 (en) | Method and system for authenticating network device | |
Chrabaszcz et al. | Fast re-authentication of mobile devices with EAP Re-authentication Protocol (ERP) | |
Galvin et al. | RFC1446: Security Protocols for version 2 of the Simple Network Management Protocol (SNMPv2) | |
EP3087714B1 (en) | A method and apparatus for detecting that an attacker has sent one or more messages to a receiver node |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20140701 |