JP2012220975A - Network management system, management device, management target device, network management method, and computer program - Google Patents

Network management system, management device, management target device, network management method, and computer program Download PDF

Info

Publication number
JP2012220975A
JP2012220975A JP2011082541A JP2011082541A JP2012220975A JP 2012220975 A JP2012220975 A JP 2012220975A JP 2011082541 A JP2011082541 A JP 2011082541A JP 2011082541 A JP2011082541 A JP 2011082541A JP 2012220975 A JP2012220975 A JP 2012220975A
Authority
JP
Japan
Prior art keywords
message
authentication
snmp
varbind
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2011082541A
Other languages
Japanese (ja)
Inventor
Ryota Yushina
亮太 油科
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011082541A priority Critical patent/JP2012220975A/en
Publication of JP2012220975A publication Critical patent/JP2012220975A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To protect a management target device from illegal setting even when a third person acquires authentication identification information by interception.SOLUTION: An SNMP v1 and an SNMP v2c are used as network management protocols. A management device calculates message authentication information of a SET request by using a common key and creates authentication VarBind including the message authentication information to transmit an SNMP message including the authentication VarBind. On receiving a SET request, a management target device verifies whether the SET request includes the authentication VarBind, when the SET request does not include the authentication VarBind, the management target device discards packets, and when the SET request includes the authentication VarBind, the management target device examines whether message authentication information included in the authentication VarBind exists already in a message authentication information cache, and if it exists, the management target device determines that it is replay attack and returns abnormal termination.

Description

本発明は、ネットワーク管理プロトコルの技術に関する。   The present invention relates to a network management protocol technology.

ネットワーク管理プロトコルとして、広く使用されているSNMP(Simple Network Management Protocol)v1、SNMPv2cでは、認証用の識別情報(コミュニティ名)が、暗号化されていない原文のままネットワーク上を流れる。このため、第三者によってSNMPメッセージを盗聴されると、不正に取得されたコミュニティ名によって管理対象装置の情報を不正に取得、または設定されてしまう問題があった。特に、装置に対する不正な設定は、サービスをダウンさせてしまうなど深刻な問題を引き起こす可能性があり、重要な問題である。   In SNMP (Simple Network Management Protocol) v1 and SNMPv2c, which are widely used as network management protocols, authentication identification information (community name) flows over the network as an unencrypted original. For this reason, when an SNMP message is wiretapped by a third party, there is a problem that information on the management target device is illegally acquired or set by an illegally acquired community name. In particular, an incorrect setting for the apparatus is an important problem because it may cause a serious problem such as bringing down the service.

SNMPv1、v2cに対して、セキュリティを向上させる方法がいくつか考えられている。例えば、特許文献1に開示された技術では、コミュニティ名、もしくは、SNMPメッセージ全体を暗号化している。また、特許文献2に開示された技術では、コミュニティ名を動的に生成することで、一度使用したコミュニティ名を何度も使用できないようにしている。また、SNMPv3では、プロトコルとして認証機能を強化し、かつSNMPメッセージの暗号化を具備するようになった。   Several methods for improving security are considered for SNMPv1 and v2c. For example, in the technique disclosed in Patent Document 1, the community name or the entire SNMP message is encrypted. Further, in the technique disclosed in Patent Document 2, a community name is dynamically generated so that a community name once used cannot be used many times. In SNMPv3, an authentication function is strengthened as a protocol and SNMP message encryption is provided.

なお、SNMPv1は、RFC1155〜1157、SNMPv2cは、RFC1901、3416、SNMPv3は、RFC3411〜3418で標準化されている。   SNMPv1 is standardized by RFC1155 to 1157, SNMPv2c is standardized by RFC1901, 3416, and SNMPv3 is standardized by RFC3411-3418.

特開2003−122650号公報JP 2003-122650 A 特開2003−316672号公報JP 2003-316672-A

しかしながら、上述した特許文献1に開示された技術では、コミュニティ名、もしくは、SNMPメッセージ全体を暗号化しているため、運用時に発生した問題を解決する場合、可読性が悪化するという問題がある。
また、特許文献2に開示された技術では、動的に生成されたコミュニティ名が原文のままネットワーク上を流れるため、コミュニティ名が盗聴されると、不正な操作が可能となってしまうという問題がある。また、管理装置は、管理対象装置が動的に生成したコミュニティ名を要求・取得する必要があり、そのためのネットワークトラヒックが増加してしまうという問題がある。 However, in the technique disclosed in Patent Document 1 described above, since the community name or the entire SNMP message is encrypted, there is a problem that readability deteriorates when a problem that occurs during operation is solved.
In addition, in the technique disclosed in Patent Document 2, since the dynamically generated community name flows on the network as the original text, if the community name is wiretapped, an illegal operation becomes possible. is there. In addition, the management device needs to request / acquire the community name dynamically generated by the management target device, and there is a problem that the network traffic is increased.

また、SNMPv3では、従来のSNMPv1、v2cと比較して、仕様が複雑になっており、プロトコル処理に時間がかかるという問題がある。また、SNMPv3とSNMPv1、v2cとでは、全体のフレームワークや、パケットフォーマットも異なり、互換性がない。ゆえに、既存のSNMPv1、v2c処理機能を活用できないため、SNMPv3の導入にはコストがかかるという問題がある。   In addition, SNMPv3 has a problem in that the specifications are complicated and protocol processing takes time compared to conventional SNMPv1 and v2c. Also, SNMPv3 and SNMPv1, v2c are not compatible because the overall framework and packet format are different. Therefore, since existing SNMPv1 and v2c processing functions cannot be utilized, there is a problem that introduction of SNMPv3 is costly.

上記事情に鑑み、本発明は、盗聴によって認証用識別情報が第三者に知られた場合でも、管理対象装置への不正な設定を防ぐことを可能とする技術を提供することを目的としている。   In view of the above circumstances, an object of the present invention is to provide a technique that can prevent unauthorized setting of a management target device even when authentication identification information is known to a third party by wiretapping. .

本発明の一態様は、ネットワーク管理プロトコルとしてSNMPを用いて、管理装置と管理対象装置とがネットワークを介して、SNMPメッセージを送受信するネットワーク管理システムであって、前記管理装置は、共通鍵を用いて、SETリクエストのメッセージ認証情報を算出し、該メッセージ認証情報を含む認証用VarBindを作成し、該認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成処理部と、前記SNMPメッセージ生成処理部で作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信部とを備え、前記管理対象装置は、前記管理装置からのパケットを受信するパケット受信部と、前記パケットがSETリクエストであれば、認証用VarBindの有無を調べ、無ければ前記パケットを廃棄するSNMPメッセージ解析処理部と、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュと、前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が前記メッセージ認証情報キャッシュ内に存在するか調べ、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、前記SNMPメッセージ解析処理部に異常終了を返す認証MIBモジュールと、を備える。   One aspect of the present invention is a network management system in which SNMP is used as a network management protocol, and a management apparatus and a management target apparatus transmit and receive an SNMP message via a network. The management apparatus uses a common key. The message authentication information of the SET request is calculated, an authentication VarBind including the message authentication information is generated, and an SNMP message including the authentication VarBind is generated; and the SNMP message generation processing unit A packet transmission unit configured to generate and transmit a packet from the generated SNMP message and a destination address, wherein the management target device receives a packet from the management device, and the packet is a SET request. For example, VarBin for authentication If there is an SNMP message analysis processing unit that discards the packet if there is not, a message authentication information cache in which message authentication information already used for authentication is stored, and the authentication VarBind, the authentication If the message authentication information in the VarBind for use exists in the message authentication information cache, and if the message authentication information exists in the message authentication information cache, it is determined as a replay attack, and the SNMP message analysis processing unit An authentication MIB module that returns an abnormal termination to

本発明の一態様は、ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理対象装置とSNMPメッセージを送受信する管理装置であって、共通鍵を用いて、SETリクエストのメッセージ認証情報を算出し、該メッセージ認証情報を含む認証用VarBindを作成し、該認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成処理部と、前記SNMPメッセージ生成処理部で作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信部と、を備える。   One aspect of the present invention is a management device that transmits and receives SNMP messages to and from a management target device via a network using SNMP as a network management protocol, and calculates message authentication information of a SET request using a common key The authentication VarBind including the message authentication information is generated, the SNMP message generation processing unit for generating the SNMP message including the authentication VarBind, the SNMP message generated by the SNMP message generation processing unit, and the packet from the destination address A packet transmission unit for generating and transmitting

本発明の一態様は、ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理装置とSNMPメッセージを送受信する管理対象装置であって、前記管理装置からのパケットを受信するパケット受信部と、前記パケットがSETリクエストであれば、認証用VarBindの有無を調べ、無ければ前記パケットを廃棄するSNMPメッセージ解析処理部と、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュと、前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が前記メッセージ認証情報キャッシュ内に存在するか調べ、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、前記SNMPメッセージ解析処理部に異常終了を返す認証MIBモジュールと、を備える。   One aspect of the present invention is a management target device that transmits and receives an SNMP message to and from a management device via a network using SNMP as a network management protocol, and a packet reception unit that receives a packet from the management device; If the packet is a SET request, the presence or absence of an authentication VarBind is checked. If not, the SNMP message analysis processing unit discards the packet; a message authentication information cache in which message authentication information already used for authentication is stored; When there is the authentication VarBind, it is checked whether the message authentication information in the authentication VarBind is present in the message authentication information cache, and when the message authentication information is present in the message authentication information cache, Judged as a replay attack And an authentication MIB module returns an abnormal termination serial SNMP message analyzing unit.

本発明の一態様は、ネットワーク管理プロトコルとしてSNMPv1、SNMPv2cを用いて、管理装置と管理対象装置とがネットワークを介して、SNMPメッセージを送受信するネットワーク管理方法であって、前記管理装置が、共通鍵を用いて、SETリクエストのメッセージ認証情報を算出する第1の算出ステップと、前記管理装置が、前記メッセージ認証情報を含む認証用VarBindを作成する作成ステップと、前記管理装置が、前記認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成ステップと、前記管理装置が、前記SNMPメッセージ生成ステップで作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信ステップと、前記管理対象装置が、前記管理装置からのパケットを受信するパケット受信ステップと、前記管理対象装置が、前記パケットがSETリクエストであれば、認証用VarBindの有無を調べる有無調査ステップと、前記管理対象装置が、前記認証用VarBindが無い場合には、前記パケットを廃棄する廃棄ステップと、前記管理対象装置が、前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュ内に存在するか調べる第1のメッセージ認証情報調査ステップと、前記管理対象装置が、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、異常終了を返す第1の異常終了ステップと、を有する。   One aspect of the present invention is a network management method in which SNMPv1 and SNMPv2c are used as a network management protocol, and a management apparatus and a management target apparatus transmit and receive an SNMP message via a network. The first calculation step of calculating the message authentication information of the SET request using, the creation step of creating the authentication VarBind including the message authentication information by the management device, and the management device of the authentication VarBind An SNMP message generating step for generating an SNMP message including: a packet transmitting step for generating and transmitting a packet from the SNMP message generated at the SNMP message generating step and a destination address by the management device; and ,in front A packet receiving step for receiving a packet from the management device; a step for checking whether or not the management target device has an authentication VarBind if the packet is a SET request; and If there is no packet, a discard step for discarding the packet; and if the managed device has the authentication VarBind, the message authentication information in the authentication VarBind is already used for authentication. A first message authentication information checking step for checking whether the information exists in the stored message authentication information cache; and if the message management information exists in the message authentication information cache, The first abnormal end that determines an attack and returns an abnormal end Has a step, a.

本発明の一態様は、ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理対象装置とSNMPメッセージを送受信する管理装置のコンピュータに対し、共通鍵を用いて、SETリクエストのメッセージ認証情報を算出する算出ステップと、前記メッセージ認証情報を含む認証用VarBindを作成する作成ステップと、前記認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成ステップと、前記SNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信ステップと、を実行させるためのコンピュータプログラムである。   According to one aspect of the present invention, message authentication information of a SET request is transmitted using a common key to a computer of a management apparatus that transmits and receives SNMP messages to and from a management target apparatus via a network using SNMP as a network management protocol. A calculation step for calculating, a creation step for creating an authentication VarBind including the message authentication information, an SNMP message generation step for creating an SNMP message including the authentication VarBind, and a packet from the SNMP message and a destination address And a packet transmission step for transmitting the program.

本発明の一態様は、ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理装置とSNMPメッセージを送受信する管理対象装置のコンピュータに対し、前記管理装置からのパケットを受信するパケット受信ステップと、前記パケットがSETリクエストであれば、認証用VarBindの有無を調べる有無調査ステップと、前記認証用VarBindが無い場合には、前記パケットを廃棄する廃棄ステップと、前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュ内に存在するか調べる第1のメッセージ認証情報調査ステップと、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、異常終了を返す第1の異常終了ステップと、を実行させるためのコンピュータプログラムである。   One aspect of the present invention is a packet receiving step of receiving a packet from the management apparatus to a computer of a management target apparatus that transmits and receives an SNMP message to and from the management apparatus via the network using SNMP as a network management protocol. If the packet is a SET request, the presence / absence checking step for checking the presence / absence of the authentication VarBind, the discarding step for discarding the packet if the authentication VarBind is not present, and the authentication VarBind A first message authentication information investigation step for checking whether the message authentication information in the authentication VarBind exists in a message authentication information cache in which the message authentication information already used for authentication is stored; and the message authentication information Message acknowledge When present in the information in the cache, it is determined that replay attack is a computer program for executing a first abnormal termination step of returning an abnormal termination, the.

本発明により、盗聴によって認証用識別情報が第三者に知られた場合でも、管理対象装置への不正な設定を防ぐことが可能となる。   According to the present invention, even when the identification information for authentication is known to a third party by eavesdropping, it is possible to prevent an unauthorized setting to the management target device.

本発明の第一実施形態によるネットワーク管理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the network management system by 1st embodiment of this invention. 本発明の第二実施形態によるネットワーク管理システムの全体構成を示したブロック図である。It is the block diagram which showed the whole structure of the network management system by 2nd embodiment of this invention. パケットの構成を示す概念図である。It is a conceptual diagram which shows the structure of a packet. SNMPメッセージの構成を示す概念図である。It is a conceptual diagram which shows the structure of an SNMP message. PDUの構成を示す概念図である。It is a conceptual diagram which shows the structure of PDU. VarBindの構成を示す概念図である。It is a conceptual diagram which shows the structure of VarBind. 第二実施形態による管理装置100の機能的構成を示すブロック図である。It is a block diagram which shows the functional structure of the management apparatus 100 by 2nd embodiment. 第二実施形態による、管理装置100内に具備する共通鍵テーブル141の一例を示す概念図である。It is a conceptual diagram which shows an example of the common key table 141 with which the management apparatus 100 is equipped by 2nd embodiment. 第二実施形態による管理対象装置200の機能的構成を示すブロック図である。It is a block diagram which shows the functional structure of the management object apparatus 200 by 2nd embodiment. 第二実施形態による、管理対象装置200が備える共通鍵テーブル242の一例を示す概念図である。It is a conceptual diagram which shows an example of the common key table 242 with which the management object apparatus 200 with 2nd embodiment is provided. 第二実施形態による管理装置100がSNMPメッセージを送信するまでの動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement until the management apparatus 100 by 2nd embodiment transmits an SNMP message. 第二実施形態による管理対象装置200が管理装置100から受信したSNMPメッセージを処理する動作を説明するためのフローチャートである。10 is a flowchart for explaining an operation of a management target device 200 according to the second embodiment processing an SNMP message received from the management device 100. 第二実施形態による、認証MIBモジュール241の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the authentication MIB module 241 by 2nd embodiment.

まず、ネットワーク管理システムの概略について説明する。ネットワーク管理システムは、SNMPv1やSNMPv2cのエージェント機能を具備する装置に対する設定用SNMPメッセージ(SETリクエスト)に関して、SNMPのプロトコル処理部分の改変を小さく留めた上で、セキュリティを向上させる。具体的には、ネットワーク管理システムでは、セキュリティ向上のために以下の事項が実現される。   First, an outline of the network management system will be described. The network management system improves the security of the setting SNMP message (SET request) for the device having the SNMPv1 or SNMPv2c agent function, while keeping the modification of the SNMP protocol processing part small. Specifically, in the network management system, the following items are realized to improve security.

(a)従来のコミュニティ名による認証方法に加え、SNMPメッセージのMAC(Message Authentication Code)による認証を使用する。なお、コミュニティ名とは、SNMPが管理するネットワークシステムの範囲を表す識別情報であり、認証に用いられる識別情報(認証用識別情報)でもある。
(b)上記(a)における認証において、MACの性質上、SNMPメッセージの改ざんを検知できる。
(c)リプレイ攻撃に備え、認証済みMACのキャッシュを用意することで、同一MACのSNMPメッセージは受け付けないようにする。 (A) In addition to the authentication method based on the conventional community name, authentication based on the MAC (Message Authentication Code) of the SNMP message is used. The community name is identification information indicating the range of the network system managed by SNMP, and is also identification information (authentication identification information) used for authentication.
(B) In the authentication in (a) above, it is possible to detect alteration of the SNMP message due to the nature of the MAC.
(C) In preparation for a replay attack, an authenticated MAC cache is prepared so that SNMP messages of the same MAC are not accepted.

[第一実施形態]
図1は、第一実施形態によるネットワーク管理システムの構成を示すブロック図である。図1において、管理装置100と管理対象装置200は、互いに共通する秘密鍵(共通鍵)101を保持する。管理対象装置200は、認証MIB(Management Information Base)モジュール241を持ち、認証用OID(Object IDentifer)を持ったインタフェースを具備する。通常、認証MIBモジュール241は、SNMPのプロトコル処理部(図示略)とは独立している。また、第一実施形態では、認証はSNMPv1/SNMPv2cの機能のみで実現している。また、対向装置に設定したい内容を含むSETリクエストのパケットに認証情報を含んでいる。 [First embodiment]
FIG. 1 is a block diagram showing a configuration of a network management system according to the first embodiment. In FIG. 1, a management apparatus 100 and a management target apparatus 200 hold a secret key (common key) 101 that is common to each other. The management target device 200 includes an authentication MIB (Management Information Base) module 241 and includes an interface having an authentication OID (Object IDentifer). Normally, the authentication MIB module 241 is independent of the SNMP protocol processing unit (not shown). Moreover, in 1st embodiment, authentication is implement | achieved only by the function of SNMPv1 / SNMPv2c. Further, the authentication information is included in the packet of the SET request including the contents to be set in the opposite apparatus.

管理装置100は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、管理プログラムを実行する。管理装置100の機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。管理プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。
管理対象装置200は、バスで接続されたCPUやメモリや補助記憶装置などを備え、管理対象プログラムを実行する。管理対象装置200の機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。管理対象プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。 The management device 100 includes a CPU (Central Processing Unit), a memory, an auxiliary storage device, and the like connected by a bus, and executes a management program. All or part of the functions of the management apparatus 100 may be realized by using hardware such as an application specific integrated circuit (ASIC), a programmable logic device (PLD), or a field programmable gate array (FPGA). The management program may be recorded on a computer-readable recording medium. The computer-readable recording medium is, for example, a portable medium such as a flexible disk, a magneto-optical disk, a ROM, a CD-ROM, or a storage device such as a hard disk built in the computer system.
The management target device 200 includes a CPU, a memory, an auxiliary storage device, and the like connected by a bus, and executes a management target program. All or some of the functions of the management target device 200 may be realized by using hardware such as ASIC, PLD, or FPGA. The management target program may be recorded on a computer-readable recording medium.

管理装置100は、共通鍵101を使用して、コミュニティ名11及びその他VarBind(Variable-Bindings)13の組み合わせを含むSETリクエストから、SETリクエストのMAC(Message Authentication Code:メッセージ認証符号)を計算する。MACは、メッセージ認証情報の一例である。また、管理装置100は、コミュニティ名11と、VarBind(Variable-Bindings、OIDとそのOIDのオブジェクトに設定したい値のペア)として、認証用VarBind(認証用OIDと算出したMACのペア)12と、その他VarBind13とを含めた認証付SETリクエスト10を作成して、管理対象装置200に送信する。   The management apparatus 100 uses the common key 101 to calculate a MAC (Message Authentication Code) of the SET request from the SET request including the combination of the community name 11 and other VarBinds (Variable-Bindings) 13. The MAC is an example of message authentication information. In addition, the management apparatus 100 includes a community name 11, VarBind (Variable-Bindings, a pair of OID and a value to be set in the object of the OID), an authentication VarBind (a pair of the authentication OID and the calculated MAC) 12, In addition, an authenticated SET request 10 including VarBind 13 is created and transmitted to the management target device 200.

上記により、SETリクエスト10が第三者に盗聴され、コミュニティ名11が知られても、第三者は共通鍵101を知らないため、正しいMACを計算することができず、認証可能な認証付SETリクエストを作成できない。
続いて、以下の処理により、リプレイ攻撃を防ぐことが可能となっている。
管理対象装置200内のSNMPメッセージ解析処理部230は、受信した認証付SETリクエスト10内のVarBindに、認証用VarBind12が含まれているかを調べ、含まれていない場合には、SETリクエストである判別して廃棄し、含まれている場合には、認証用VarBind12を認証MIBモジュール241で処理する。 As described above, even if the SET request 10 is eavesdropped by a third party and the community name 11 is known, the third party does not know the common key 101 and therefore cannot calculate the correct MAC, and can be authenticated. Unable to create a SET request.
Subsequently, a replay attack can be prevented by the following processing.
The SNMP message analysis processing unit 230 in the managed device 200 checks whether or not the VarBind in the received authentication-added SET request 10 includes the authentication VarBind 12 and, if not included, determines that the request is a SET request. If the authentication VarBind 12 is included, the authentication MIB module 241 processes the authentication VarBind 12.

認証MIBモジュール241は、認証用VarBind12内のMACがMACキャッシュ243に含まれているかを調べる。MACキャッシュ243は、既に認証で使用したMACが記憶されている。SNMPの仕様上、SNMPメッセージ内のリクエストIDは、メッセージ毎に異なるため、MACは常に異なる。   The authentication MIB module 241 checks whether the MAC in the authentication VarBind 12 is included in the MAC cache 243. The MAC cache 243 stores a MAC that has already been used for authentication. Due to the SNMP specification, the request ID in the SNMP message is different for each message, so the MAC is always different.

したがって、認証用VarBind12内のMACがMACキャッシュ243に含まれていた場合には、SNMPメッセージ解析処理部230に異常終了を返す。このように、第三者が認証付SETリクエスト10を盗聴し、変更無しで再送しても、MACキャッシュ243による検査でSETリクエストは失敗する。   Therefore, when the MAC in the authentication VarBind 12 is included in the MAC cache 243, an abnormal termination is returned to the SNMP message analysis processing unit 230. In this way, even if a third party sniffs the authenticated SET request 10 and resends it without change, the SET request fails in the inspection by the MAC cache 243.

続いて、以下の処理により、認証付SETリクエスト10の認証を行う。
受信した認証付SETリクエスト10のMACを共通鍵101で算出して、認証用VarBind12内のMACと比較する。双方のMACが一致した場合には、SNMPメッセージ解析処理部230に正常終了を返す(認証完了)。これに対して、双方のMACが一致しなかった場合には、SNMP解析処理部230に異常終了を返す(認証失敗)。 Subsequently, the authenticated SET request 10 is authenticated by the following processing.
The MAC of the received SET request with authentication 10 is calculated with the common key 101 and compared with the MAC in the authentication VarBind 12. If both MACs match, a normal end is returned to the SNMP message analysis processing unit 230 (authentication complete). On the other hand, if both MACs do not match, an abnormal termination is returned to the SNMP analysis processing unit 230 (authentication failure).

SNMPの仕様上、SNMPメッセージ解析処理部230は、MIBモジュールのうち、どれか一つでも異常終了を返せば、SETリクエスト全体をエラーとしてSET処理を無効にする。そのため、上述したように、認証MIBモジュール241が異常終了を返すことで、装置への設定を失敗させることができる。
上述した第一実施形態によれば、盗聴によってコミュニティ名が第三者に知られた場合でも、管理対象装置への不正な設定を防ぐことができる。 In accordance with the SNMP specification, if any one of the MIB modules returns an abnormal termination, the SNMP message analysis processing unit 230 invalidates the SET processing with the entire SET request as an error. Therefore, as described above, the authentication MIB module 241 returns an abnormal end, so that the setting to the apparatus can be failed.
According to the first embodiment described above, even when the community name is known to a third party by eavesdropping, it is possible to prevent an unauthorized setting to the management target device.

[第二実施形態]
図2は、本発明の第二実施形態によるネットワーク管理システムの全体構成を示したブロック図である。図2において、ネットワーク管理システムは、1つの管理装置100と3つの管理対象装置200−1〜200−3(以下、総称して管理対象装置200ともいう)と、ネットワーク300とを備える。図2では、管理装置100を1つとしているが複数あってもよい。また、管理対象装置200−1〜200−3も3つとしているが4つ以上であってもよい。 [Second Embodiment]
FIG. 2 is a block diagram showing the overall configuration of the network management system according to the second embodiment of the present invention. In FIG. 2, the network management system includes one management device 100, three management target devices 200-1 to 200-3 (hereinafter also collectively referred to as a management target device 200), and a network 300. In FIG. 2, one management apparatus 100 is provided, but a plurality of management apparatuses 100 may be provided. Moreover, although the number of the management target devices 200-1 to 200-3 is three, it may be four or more.

管理装置100は、ネットワーク300を介して、管理対象装置200−1〜200−3の監視、及び設定を行う。管理対象装置200−1〜200−3は、管理装置100からの指示に基づき、自身が保有する情報をネットワーク300を介して、管理装置100に通知する。また、管理対象装置200−1〜200−3は、管理装置100からの指示に基づき、自身が保有する情報を更新して自身の動作を変更する。   The management apparatus 100 performs monitoring and setting of the management target apparatuses 200-1 to 200-3 via the network 300. The management target devices 200-1 to 200-3 notify the management device 100 of information held by the management target devices 200-1 to 200-3 via the network 300 based on an instruction from the management device 100. In addition, the management target devices 200-1 to 200-3 update their own information and change their operations based on an instruction from the management device 100.

ここで、管理対象装置200−1〜200−3として、例えば、ルータ、スイッチングハブ、パーソナルコンピュータ、プリンタ、テレビなどがある。ネットワーク300は、例えば、LAN(Local Area Network)などである。   Here, examples of the management target devices 200-1 to 200-3 include a router, a switching hub, a personal computer, a printer, and a television. The network 300 is, for example, a local area network (LAN).

管理装置100と管理対象装置200−1〜200−3との間の管理情報(例えば、MIB)のやりとりには、ネットワーク管理プロトコルとして標準化されたSNMPが用いられる。SNMPは、ネットワークに接続された装置をネットワーク経由で監視したり、設定したりするためのプロトコルである。管理装置100と管理対象装置200−1〜200−3との間は、パケットの送受信によって管理情報のやり取りが行われる。   SNMP standardized as a network management protocol is used for exchanging management information (for example, MIB) between the management apparatus 100 and the management target apparatuses 200-1 to 200-3. SNMP is a protocol for monitoring and setting a device connected to a network via the network. Management information is exchanged between the management apparatus 100 and the management target apparatuses 200-1 to 200-3 by transmitting and receiving packets.

図3は、パケットの構成を示す概念図である。図3において、パケット240には、送信元アドレス251と、あて先アドレス252と、SNMPメッセージ253が含まれている。送信元アドレス251は、パケット240を送信した装置のアドレスである。あて先アドレス252は、パケット240の送信先のアドレスである。例えば、IPネットワークでは、パケット240は、IPパケット、送信元アドレス251は、送信元IPアドレス、あて先アドレス252は、あて先IPアドレスである。
SNMPメッセージ253の詳細は、RFC1157、1901、3417で規定されている。以下、本発明で必要な部分のみを説明する。 FIG. 3 is a conceptual diagram showing a packet configuration. In FIG. 3, a packet 240 includes a transmission source address 251, a destination address 252, and an SNMP message 253. The transmission source address 251 is an address of a device that has transmitted the packet 240. The destination address 252 is a destination address of the packet 240. For example, in an IP network, the packet 240 is an IP packet, the source address 251 is a source IP address, and the destination address 252 is a destination IP address.
Details of the SNMP message 253 are defined in RFC1157, 1901, and 3417. Only the parts necessary for the present invention will be described below.

図4は、SNMPメッセージの構成を示す概念図である。図4において、SNMPメッセージ253は、バージョンヘッダ261、コミュニティ名262、PDU(Protocol Data Unit)263で構成される。バージョンヘッダ261は、SNMPのバージョンを表し、SNMPv1であれば数値“0”、SNMPv2cであれば数値“1”である。   FIG. 4 is a conceptual diagram showing the structure of the SNMP message. In FIG. 4, the SNMP message 253 includes a version header 261, a community name 262, and a PDU (Protocol Data Unit) 263. The version header 261 represents the SNMP version, and is a numerical value “0” for SNMPv1 and a numerical value “1” for SNMPv2c.

コミュニティ名262は、ネットワーク管理者のみが知る識別情報で、管理装置100、及び管理対象装置200にそれぞれ設定されている。管理対象装置200は、コミュニティ名262を照合して、SNMPメッセージが正当なネットワーク管理者からであるか否かを判断する。コミュニティ名262は、例えば、文字列で“public”や、“private”などである。
なお、本実施形態は、SNMPv1、v2cのセキュリティを向上するためのものだが、SNMPのバージョンは、“0”、“1”以外でもよい。 The community name 262 is identification information known only by the network administrator, and is set in the management apparatus 100 and the management target apparatus 200, respectively. The managed device 200 checks the community name 262 and determines whether the SNMP message is from a valid network administrator. The community name 262 is, for example, a character string such as “public” or “private”.
Although this embodiment is intended to improve the security of SNMPv1 and v2c, the SNMP version may be other than “0” or “1”.

図5は、PDUの構成を示す概念図である。PDU263は、PDU種別271、リクエストID272、エラーステータス、エラーインデクス、複数個のVarBind273、…で構成される。PDU種別271は、管理装置100が管理対象装置200に対する制御の種類を指定するために使われるフィールドである。PDU種別271は、管理対象装置200が管理装置100から受け取った制御に対する応答であることを伝えるためにも用いられる。設定の場合には、SETを指定し、応答の場合には、RESPONSEを指定する。SETのSNMPメッセージをSETリクエストという。RESPONSEのSNMPメッセージをレスポンスという。   FIG. 5 is a conceptual diagram showing the structure of a PDU. The PDU 263 includes a PDU type 271, a request ID 272, an error status, an error index, and a plurality of VarBinds 273. The PDU type 271 is a field used for the management apparatus 100 to specify the type of control for the management target apparatus 200. The PDU type 271 is also used to notify that the management target device 200 is a response to the control received from the management device 100. In the case of setting, SET is designated, and in the case of response, RESPONSE is designated. The SNMP message of SET is called a SET request. A RESPONSE SNMP message is called a response.

リクエストID272は、管理装置100が管理対象装置200に送信したSNMPメッセージ253に対する、管理対象装置200から管理装置100へのレスポンスを区別するための識別子で整数値である。例えば、SNMPメッセージ作成のたびに基準値からインクリメントしても良いし、毎回乱数でも良い。
VarBind273は、操作したいOIDとそのOIDのオブジェクトに設定したい値のペアにしたものである。VarBind273は、PDU263内に複数あってもよい。 The request ID 272 is an identifier for distinguishing a response from the management target device 200 to the management device 100 with respect to the SNMP message 253 transmitted from the management device 100 to the management target device 200. The request ID 272 is an integer value. For example, it may be incremented from the reference value every time an SNMP message is created, or may be a random number every time.
VarBind 273 is a pair of an OID to be operated and a value to be set to an object of the OID. There may be a plurality of VarBinds 273 in the PDU 263.

図6は、VarBindの構成を示す概念図である。VarBind273は、OID281と、設定値282で構成される。OID281は、管理対象装置200が持つ管理情報毎の識別IDである。設定値282は、SETリクエストのとき、OID281に設定したい値を指定するために用いる。   FIG. 6 is a conceptual diagram showing the configuration of VarBind. The VarBind 273 includes an OID 281 and a setting value 282. The OID 281 is an identification ID for each piece of management information that the management target device 200 has. The set value 282 is used to specify a value to be set in the OID 281 at the time of a SET request.

OID281とその設定値282の仕様は、RFCなどで定義された標準MIBや、ベンダー独自のMIBがある。例えば、RFC3418で定義されているSNMPv2−MIBでは、OID“.1.3.6.1.2.1.1.6(sysLocation)”は、管理対象装置200の物理的な設置場所情報のOIDであり、設定値には256文字未満の文字列(例えば、“Chiba”など)を使用するように定義されている。   The specifications of the OID 281 and its set value 282 include a standard MIB defined by RFC or the like and a vendor-specific MIB. For example, in the SNMPv2-MIB defined in RFC3418, the OID “1.3.3.6.1.2.1.1.6 (sysLocation)” is the OID of the physical installation location information of the management target device 200. The setting value is defined to use a character string of less than 256 characters (for example, “Ciba”).

図7は、第二実施形態による管理装置100の機能的構成を示すブロック図である。なお、図1に対応する部分には同一の符号を付けて説明を省略する。図7において、管理装置100は、パケット送受信部110と、SNMPメッセージ生成処理部120と、SNMPメッセージ解析処理部130と、不揮発性装置140と、不揮発性装置140内に記憶している共通鍵テーブル141とを備える。   FIG. 7 is a block diagram showing a functional configuration of the management apparatus 100 according to the second embodiment. It should be noted that portions corresponding to those in FIG. 7, the management device 100 includes a packet transmission / reception unit 110, an SNMP message generation processing unit 120, an SNMP message analysis processing unit 130, a non-volatile device 140, and a common key table stored in the non-volatile device 140. 141.

共通鍵テーブル141は、ネットワーク300上の管理対象装置200のアドレスと対応させた共通鍵101を記憶する。パケット送受信部110は、SNMPメッセージ生成処理部120から受け取ったSNMPメッセージ253とあて先アドレスとからパケット240を作成して送信する。また、パケット送受信部110は、管理対象装置200から受信したパケット240をSNMPメッセージ解析処理部130に処理させる。   The common key table 141 stores the common key 101 associated with the address of the management target device 200 on the network 300. The packet transmitting / receiving unit 110 creates and transmits a packet 240 from the SNMP message 253 received from the SNMP message generation processing unit 120 and the destination address. Further, the packet transmission / reception unit 110 causes the SNMP message analysis processing unit 130 to process the packet 240 received from the management target device 200.

SNMPメッセージ生成処理部120は、SNMPメッセージ253を作成してパケット送受信部6110に処理させる機能を持つ。但し、認証付SETリクエスト作成時は、共通鍵テーブル141から取得した共通鍵101でSETリクエストのMACを求め、認証用VarBindを作成して、SNMPメッセージ253に付与する機能を持つ。   The SNMP message generation processing unit 120 has a function of creating an SNMP message 253 and causing the packet transmission / reception unit 6110 to process it. However, when a SET request with authentication is created, the MAC of the SET request is obtained with the common key 101 acquired from the common key table 141, an authentication VarBind is created, and the SNMP message 253 is given.

MACは、例えば、HMAC(Keyed-Hashing for MAC)を使用する。ハッシュ関数は、SHA1(Secure Hash Algorithm1)や、MD5(Message Digest algorithm 5)などを使用する。HMACは、RFC2104、SHA1は、FIPS180−1、MD5は、RFC1321で標準化されている。
SNMPメッセージ解析処理部130は、パケット送受信部110から受け取った内容を管理者に通知する。 As the MAC, for example, HMAC (Keyed-Hashing for MAC) is used. As the hash function, SHA1 (Secure Hash Algorithm 1), MD5 (Message Digest algorithm 5), or the like is used. HMAC is standardized by RFC2104, SHA1 is standardized by FIPS180-1, and MD5 is standardized by RFC1321.
The SNMP message analysis processing unit 130 notifies the administrator of the content received from the packet transmission / reception unit 110.

図8は、第二実施形態による、管理装置100内に具備する共通鍵テーブル141の一例を示す概念図である。共通鍵テーブル141内の共通鍵101は、各アドレスに対する認証付SETリクエストを作成する場合に求めるMACに使用する鍵である。例えば、アドレスが“ADDR1”である装置(ここでは、管理対象装置200のこと)に対するSETリクエストのMAC算出に使用する共通鍵101は、“CK(1)”である。共通鍵CK(1)、CK(2)、・・・、CK(n)は、すべて同じでも良い。なお、共通鍵テーブル141では、管理装置100自身のアドレスに対する共通鍵も管理できる。共通鍵テーブル141では、アドレスを“ADDRM”、共通鍵を“CK(M)”で表している。   FIG. 8 is a conceptual diagram showing an example of the common key table 141 provided in the management apparatus 100 according to the second embodiment. The common key 101 in the common key table 141 is a key used for the MAC to be obtained when creating an authenticated SET request for each address. For example, the common key 101 used for the MAC calculation of the SET request for the device having the address “ADDR1” (here, the management target device 200) is “CK (1)”. The common keys CK (1), CK (2),..., CK (n) may all be the same. The common key table 141 can also manage a common key for the address of the management apparatus 100 itself. In the common key table 141, the address is represented by “ADDRM” and the common key is represented by “CK (M)”.

図9は、第二実施形態による管理対象装置200の機能的構成を示すブロック図である。図9において、管理対象装置200は、パケット送受信部210と、SNMPメッセージ生成処理部220と、SNMPメッセージ解析処理部230と、不揮発性装置250と、不揮発性装置250内に記憶している共通鍵テーブル242と、記憶装置260と、記憶装置260内に記憶しているMACキャッシュ243と、MIBモジュール231とを備える。MIBモジュール231は、通常、複数存在し、その中の1つとして認証MIBモジュール241を備える。   FIG. 9 is a block diagram illustrating a functional configuration of the management target device 200 according to the second embodiment. 9, the management target device 200 includes a packet transmission / reception unit 210, an SNMP message generation processing unit 220, an SNMP message analysis processing unit 230, a nonvolatile device 250, and a common key stored in the nonvolatile device 250. A table 242, a storage device 260, a MAC cache 243 stored in the storage device 260, and a MIB module 231 are provided. There are usually a plurality of MIB modules 231, and an authentication MIB module 241 is provided as one of them.

共通鍵テーブル242は、ネットワーク300上の管理装置100のアドレスと対応させた共通鍵を記憶する。パケット送受信部210は、SNMPメッセージ生成処理部220から受け取ったSNMPメッセージとあて先アドレスとからパケットを作成して送信する。また、パケット送受信部210は、受信したパケットをSNMPメッセージ解析処理部230に処理させる。   The common key table 242 stores a common key associated with the address of the management apparatus 100 on the network 300. The packet transmitting / receiving unit 210 creates and transmits a packet from the SNMP message received from the SNMP message generation processing unit 220 and the destination address. Further, the packet transmission / reception unit 210 causes the SNMP message analysis processing unit 230 to process the received packet.

SNMPメッセージ解析処理部230は、パケットがSETリクエスト(SETリクエストまたは認証付SETリクエスト)であれば、認証用VarBindの有無を調べ、無ければパケットを廃棄する。一方、認証用VarBindがある場合には、SNMPメッセージ内の各VarBindに対応しているMIBモジュール231にパケットを処理させ、その応答を待つ。特に、認証用VarBindの場合には、認証MIBモジュール241にパケットを処理させる。   If the packet is a SET request (SET request or SET request with authentication), the SNMP message analysis processing unit 230 checks whether or not there is an authentication VarBind, and if not, discards the packet. On the other hand, if there is an authentication VarBind, the MIB module 231 corresponding to each VarBind in the SNMP message processes the packet and waits for a response. In particular, in the case of authentication VarBind, the authentication MIB module 241 processes the packet.

例えば、VarBindのOIDが“.1.3.6.1.2.1.1.6”の場合には、SNMPv2−MIBモジュールに処理させ、VarBindのOIDが認証用OIDの場合(VarBindが認証用VarBindの場合)には、認証MIBモジュール241に処理させる。   For example, when the VarBind OID is “1.3.3.6.1.2.1.1.6”, the SNMPv2-MIB module is processed. When the VarBind OID is an authentication OID (VarBind is authenticated) In the case of VarBind for use), the authentication MIB module 241 is caused to process.

SNMPメッセージ解析処理部230は、各MIBモジュール231からの応答を受け取り、全て正常終了であれば解析結果を正常とする。各MIBモジュール231のうち、一つ以上のMIBモジュールから異常終了を受け取ると、解析結果を異常とする。   The SNMP message analysis processing unit 230 receives a response from each MIB module 231 and sets the analysis result to be normal if all are normally completed. When an abnormal end is received from one or more MIB modules of each MIB module 231, the analysis result is abnormal.

SNMPの仕様上(RFC1157,3416)、解析結果が異常の場合、SNMPメッセージ解析処理部230は、SNMPメッセージによる処理を無効にしなければならない。例えば、OID“.1.3.6.1.2.1.1.6”は、256文字未満の文字列を指定する必要がある。このため、SETリクエストの中が、このOIDに対して256文字以上の文字列の設定を要求するVarBindを持つと、SNMPv2−MIBモジュールは、異常終了をSNMPメッセージ解析処理部230に返す。異常終了を受け取ったSNMPメッセージ解析処理部230は、他のVarBindの設定内容を無効にする。   In the specification of SNMP (RFC 1157, 3416), when the analysis result is abnormal, the SNMP message analysis processing unit 230 must invalidate the processing by the SNMP message. For example, it is necessary to specify a character string of less than 256 characters for OID “1.3.3.6.1.2.1.1.6”. For this reason, if the SET request has a VarBind requesting the setting of a character string of 256 characters or more for this OID, the SNMPv2-MIB module returns an abnormal end to the SNMP message analysis processing unit 230. The SNMP message analysis processing unit 230 that has received the abnormal termination invalidates the setting contents of other VarBinds.

SNMPメッセージ解析処理部230は、解析結果と、レスポンス生成に必要な情報(例えば、各VarBindや、異常終了したVarBindの位置など)と、パケット内の送信元アドレス(管理装置100のアドレス)をあて先アドレスとして、SNMPメッセージ生成処理部220に処理させる。   The SNMP message analysis processing unit 230 addresses the analysis result, information necessary for generating a response (for example, the position of each VarBind or the abnormally terminated VarBind), and the transmission source address (address of the management apparatus 100) in the packet. As an address, the SNMP message generation processing unit 220 processes the address.

MIBモジュール231は、SNMPメッセージ解析処理部230から受け取ったVarBindを定義に従って処理し、その結果をSNMPメッセージ解析処理部230に返す。MIBモジュール231の動作仕様は、RFCなどで定義された個々のMIB定義に従う。例えば、OID“.1.3.6.1.2.1.1.6”の動作は、RFC3418に、IPの情報を管理するIP−MIBは、RFC4293、LLDPの管理情報LLDP−MIBは、IEEE802.1AB−2005等に定義されている。   The MIB module 231 processes the VarBind received from the SNMP message analysis processing unit 230 according to the definition, and returns the result to the SNMP message analysis processing unit 230. The operation specifications of the MIB module 231 conform to individual MIB definitions defined by RFC or the like. For example, in the operation of OID “1.3.3.6.1.2.1.1.6”, RFC3418 is an IP-MIB that manages IP information, RFC4293, and LLDP management information LLDP-MIB is It is defined in IEEE802.1AB-2005 and the like.

認証MIBモジュール241は、SNMPメッセージ解析処理部230から受け取ったパケットがSETリクエスト(SETリクエストまたは認証付SETリクエスト)以外の場合には何もしないで、SNMPメッセージ解析処理部230に正常終了を返す。一方、認証MIBモジュール241は、SNMPメッセージ解析処理部230から受け取ったパケットが認証付SETリクエストの場合には、認証用VarBind内の設定値(MAC−Mとする)がMACキャッシュ243内に含まれているか検査する。   If the packet received from the SNMP message analysis processing unit 230 is other than a SET request (SET request or SET request with authentication), the authentication MIB module 241 returns normal termination to the SNMP message analysis processing unit 230. On the other hand, when the packet received from the SNMP message analysis processing unit 230 is an authenticated SET request, the authentication MIB module 241 includes the setting value (MAC-M) in the authentication VarBind in the MAC cache 243. Check if it is.

認証MIBモジュール241は、MAC−MがMACキャッシュ243内に含まれていた場合には、リプレイ攻撃と考え、SNMPメッセージ解析処理230に異常終了を返す。一方、認証MIBモジュール241は、MAC−MがMACキャッシュ243内に含まれていなかった場合には、共通鍵テーブル242を参照して、受信したパケットの送信元アドレスに対応する共通鍵101を用いて、認証用VarBindを除いたSNMPメッセージのMACを、管理装置100と同じ方法で算出する(このMACをMAC−1とする)。   If the MAC-M is included in the MAC cache 243, the authentication MIB module 241 considers it as a replay attack and returns an abnormal end to the SNMP message analysis process 230. On the other hand, when the MAC-M is not included in the MAC cache 243, the authentication MIB module 241 uses the common key 101 corresponding to the transmission source address of the received packet with reference to the common key table 242. Then, the MAC of the SNMP message excluding the authentication VarBind is calculated by the same method as that of the management apparatus 100 (this MAC is defined as MAC-1).

認証MIBモジュール241は、MAC−MとMAC−1とが一致するか調べ、MAC−1とMAC−Mとが不一致の場合には、SNMPメッセージが改ざんされたと判断して、SNMPメッセージ解析処理部230に異常終了を返す。一方、認証MIBモジュール241は、MAC−1とMAC−Mとが一致すれば、SNMPメッセージが改ざんされておらず、管理装置100からの正当なSNMPメッセージであると判断し、MACキャッシュ243にMAC−1を追加して、SNMPメッセージ解析処理部230に正常終了を返す。   The authentication MIB module 241 checks whether MAC-M and MAC-1 match. If MAC-1 and MAC-M do not match, the authentication MIB module 241 determines that the SNMP message has been tampered with, and the SNMP message analysis processing unit An abnormal end is returned to 230. On the other hand, if the MAC-1 and MAC-M match, the authentication MIB module 241 determines that the SNMP message has not been tampered with and is a legitimate SNMP message from the management apparatus 100, and stores the MAC cache 243 in the MAC cache 243. -1 is added and normal termination is returned to the SNMP message analysis processing unit 230.

図10は、第二実施形態による、管理対象装置200が備える共通鍵テーブル242の一例を示す概念図である。共通鍵テーブル242における、共通鍵101は、各アドレスに対するMACを算出するために使用する鍵である。例えば、図10では、アドレスが“ADDRM”である装置(ここでは管理装置100のこと)に対して、MACの算出に使用する共通鍵は、“CK(M)”である。共通鍵CK(1)、CK(2)、…、CK(n)は、すべて同じでも良い。なお、共通鍵テーブル242では、管理対象装置200自身のアドレスに対する共通鍵も管理できる。図10では、アドレスを“ADDR1”、共通鍵を“CK(1)”で表している。
管理装置100のアドレスが“ADDRM”、管理対象装置200のアドレスが“ADDR1”であれば、管理装置100内の共通鍵テーブル141の“CK(1)”と管理対象装置200内の共通鍵テーブル242の“CK(M)”は同じものである。 FIG. 10 is a conceptual diagram illustrating an example of the common key table 242 included in the management target device 200 according to the second embodiment. The common key 101 in the common key table 242 is a key used to calculate the MAC for each address. For example, in FIG. 10, for a device whose address is “ADDRM” (here, the management device 100), the common key used for calculating the MAC is “CK (M)”. The common keys CK (1), CK (2),..., CK (n) may all be the same. The common key table 242 can also manage a common key for the address of the management target device 200 itself. In FIG. 10, the address is represented by “ADDR1”, and the common key is represented by “CK (1)”.
If the address of the management device 100 is “ADDRM” and the address of the management target device 200 is “ADDR1”, “CK (1)” in the common key table 141 in the management device 100 and the common key table in the management target device 200. “CK (M)” of 242 is the same.

MACキャッシュ243は、認証MIBモジュール241が認証に成功したMACの履歴を記憶している。該MACの履歴は、認証MIBモジュール241が新たに認証するとき、認証用VarBind内のMACが過去に認証で使用したMACと一致するかを検索するために用いられる。MACキャッシュ243は、どのような実装でも良い。例えば、管理対象装置200が再開するまで記憶してもよいし、保存後一定時間が経ったMACは削除するようにしてもよいし、あらかじめMACキャッシュ243のサイズを決めて、空きサイズが不足すれば、古いMACを削除するようにしてもよい。なお、記憶装置260は、不揮発性、揮発性どちらでも良い。   The MAC cache 243 stores a history of MACs that have been successfully authenticated by the authentication MIB module 241. When the authentication MIB module 241 newly authenticates, the history of the MAC is used to search whether the MAC in the authentication VarBind matches the MAC used in the past in the authentication. The MAC cache 243 may be implemented in any way. For example, it may be stored until the management target device 200 is restarted, a MAC that has been stored for a certain period of time may be deleted, or the size of the MAC cache 243 may be determined in advance and the available size may be insufficient. For example, the old MAC may be deleted. Note that the storage device 260 may be either nonvolatile or volatile.

SNMPメッセージ生成処理部220は、SNMPメッセージ解析処理部230から解析結果、レスポンス生成に必要な情報、あて先アドレス(管理装置100のアドレス)を受け取り、レスポンスを作成して、レスポンスとあて先アドレスとをパケット送受信部210に処理させる。   The SNMP message generation processing unit 220 receives an analysis result, information necessary for response generation, and a destination address (address of the management apparatus 100) from the SNMP message analysis processing unit 230, creates a response, and sends the response and the destination address to the packet. The transmission / reception unit 210 performs processing.

次に、第二実施形態によるネットワーク管理システムの動作について説明する。
図11は、第二実施形態による管理装置100がSNMPメッセージを送信するまでの動作を説明するためのフローチャートである。まず、管理装置100において、管理者による操作、あるいは定期的な情報収集に基づいて、SNMPメッセージ生成処理部120に対して、管理対象装置200に対するSNMPメッセージの作成を要求する(ステップS101)。 Next, the operation of the network management system according to the second embodiment will be described.
FIG. 11 is a flowchart for explaining an operation until the management apparatus 100 according to the second embodiment transmits an SNMP message. First, the management device 100 requests the SNMP message generation processing unit 120 to create an SNMP message for the management target device 200 based on an operation by the administrator or periodic information collection (step S101).

次に、管理者は、管理対象装置200のアドレス、バージョン261、コミュニティ名262、PDU種別271、VarBind273を、SNMPメッセージ生成処理部120に与える。SNMPメッセージ生成処理部120は、適当な乱数などをリクエストID272にしてSNMPメッセージI110を作成する(ステップS102)。リクエストID272は、他のSNMPメッセージのリクエストIDと異なれば何でも良い。   Next, the administrator gives the address, version 261, community name 262, PDU type 271 and VarBind 273 of the management target device 200 to the SNMP message generation processing unit 120. The SNMP message generation processing unit 120 creates an SNMP message I110 using an appropriate random number or the like as the request ID 272 (step S102). The request ID 272 may be anything as long as it is different from the request IDs of other SNMP messages.

次に、SNMPメッセージ生成処理部120は、作成したSNMPメッセージI110のPDU種別271がSETか否かを検査する(ステップS103)。そして、SETの場合には(ステップS103のYES)、SNMPメッセージ生成処理部120は、認証用VarBindの作成処理を行う(ステップS104〜S107へ進む)。一方、SETでは無い場合には(ステップS103のNO)、何もせず、パケット作成の準備をする(ステップS108へ進む)。   Next, the SNMP message generation processing unit 120 checks whether or not the PDU type 271 of the created SNMP message I110 is SET (step S103). Then, in the case of SET (YES in step S103), the SNMP message generation processing unit 120 performs an authentication VarBind creation process (proceeds to steps S104 to S107). On the other hand, if it is not a SET (NO in step S103), nothing is done and preparations for packet creation are made (proceed to step S108).

まず、PDU種別271がSETである場合について説明する。SNMPメッセージ生成処理部120は、共通鍵テーブル141から、管理者が指定した管理装置200のアドレスに対応する共通鍵I101を取得する(ステップS104)。例えば、共通鍵テーブル141において、管理対象装置200のアドレスが“ADDR1”であれば、取得する共通鍵I101は“CK(1)”である。   First, a case where the PDU type 271 is SET will be described. The SNMP message generation processing unit 120 acquires the common key I101 corresponding to the address of the management device 200 designated by the administrator from the common key table 141 (step S104). For example, in the common key table 141, if the address of the management target device 200 is “ADDR1”, the common key I101 to be acquired is “CK (1)”.

次に、SNMPメッセージ生成処理部120は、取得した共通鍵I101“CK(1)”で、ステップS102で作成したSNMPメッセージI110のMACを計算する(ステップS105)。次に、SNMPメッセージ生成処理部120は、求めたMACと認証用OIDとで認証用VarBindを作成する(ステップS106)。その後、SNMPメッセージ生成処理部120は、作成した認証用VarBindを、ステップS102で作成したSNMPメッセージI110に付け加え、認証付SNMPメッセージI111を作成する(ステップS107)。   Next, the SNMP message generation processing unit 120 calculates the MAC of the SNMP message I110 created in step S102 using the acquired common key I101 “CK (1)” (step S105). Next, the SNMP message generation processing unit 120 creates an authentication VarBind with the obtained MAC and authentication OID (step S106). Thereafter, the SNMP message generation processing unit 120 adds the created authentication VarBind to the SNMP message I110 created in step S102 to create an authenticated SNMP message I111 (step S107).

次に、PDU種別271がSETでは無い場合(ステップS103のNO)、あるいは、上記ステップS107が終了すると、SNMPメッセージ生成処理部120は、管理者から受け取った管理対象装置200のアドレスをあて先アドレスにして、SNMPメッセージをパケット送受信部110に供給してパケット作成を要求する(ステップS108)。   Next, when the PDU type 271 is not SET (NO in step S103) or when step S107 is completed, the SNMP message generation processing unit 120 sets the address of the management target device 200 received from the administrator as the destination address. Then, an SNMP message is supplied to the packet transmitting / receiving unit 110 to request packet creation (step S108).

パケット送受信部110に処理させるSNMPメッセージは、ステップS103でNOだった場合には、SNMPメッセージI110、ステップS103でYESだった場合には、SNMPメッセージI111になる。   The SNMP message to be processed by the packet transmitting / receiving unit 110 is the SNMP message I110 if NO in step S103, and the SNMP message I111 if YES in step S103.

パケット送受信部110は、管理装置100のアドレスを送信元アドレスとして、SNMPメッセージ生成処理部120から受け取ったSNMPメッセージ(I110またはI111)と、あて先アドレスとからパケットI112を作成する(ステップS109)。パケット送受信部110は、パケットI112を管理対象装置200に送信する(ステップS110)。   The packet transmission / reception unit 110 creates a packet I112 from the SNMP message (I110 or I111) received from the SNMP message generation processing unit 120 and the destination address using the address of the management apparatus 100 as a transmission source address (step S109). The packet transmitting / receiving unit 110 transmits the packet I112 to the management target device 200 (step S110).

次に、図12は、第二実施形態による管理対象装置200が管理装置100から受信したSNMPメッセージを処理する動作を説明するためのフローチャートである。まず、パケット送受信部210は、管理装置100から受信したパケットI112を受信し、SNMPメッセージ解析処理部230に処理させる(ステップS201)。次に、SNMPメッセージ解析処理部230は、パケット受信部210から受け取ったパケットI112のPDU種別がSETか否かを調べる(ステップS202)。   Next, FIG. 12 is a flowchart for explaining an operation in which the management target device 200 according to the second embodiment processes an SNMP message received from the management device 100. First, the packet transmission / reception unit 210 receives the packet I112 received from the management apparatus 100 and causes the SNMP message analysis processing unit 230 to process it (step S201). Next, the SNMP message analysis processing unit 230 checks whether or not the PDU type of the packet I112 received from the packet reception unit 210 is SET (step S202).

そして、PDU種別がSETだった場合には(ステップS202のYES)、パケットI112中のVarBindに認証用VarBindがあるか否かを調べる(ステップS203)。そして、VarBindに認証用VarBindがない場合には(ステップS203のNO)、パケットI112を廃棄する(ステップS204)。   If the PDU type is SET (YES in step S202), it is checked whether or not there is an authentication VarBind in the VarBind in the packet I112 (step S203). If there is no authentication VarBind in VarBind (NO in step S203), the packet I112 is discarded (step S204).

一方、PDU種別がSETではなかった場合(ステップS202のNO)、もしくは、認証用VarBindがあった場合には(ステップS203のYES)、SNMPメッセージ解析処理部230は、各VarBindに対応したMIBモジュール231にパケットI112を処理させ、結果を待つ(ステップS205)。特に、認証用VarBindは、認証MIBモジュール241にパケットI112を処理させ、処理の結果を待つ。なお、認証MIBモジュール241の動作については後述する。   On the other hand, if the PDU type is not SET (NO in step S202), or if there is an authentication VarBind (YES in step S203), the SNMP message analysis processing unit 230 uses the MIB module corresponding to each VarBind. 231 causes the packet I112 to be processed and waits for the result (step S205). In particular, the authentication VarBind causes the authentication MIB module 241 to process the packet I112 and waits for the processing result. The operation of the authentication MIB module 241 will be described later.

次に、SNMPメッセージ解析処理部230は、異常終了を返したMIBモジュールがあるかを調べる(ステップS206)。調べる対象は、MIBモジュール231と認証MIBモジュール241である。そして、異常終了を返したMIBモジュールがない場合には(ステップS206のNO)、解析結果(正常終了)と、レスポンス作成に必要な情報と、あて先アドレス(パケットI112の送信元アドレス)とを、SNMPメッセージ生成処理部220に処理させるべく、正常終了用のレスポンスの作成を要求する(ステップS207)。   Next, the SNMP message analysis processing unit 230 checks whether there is a MIB module that has returned abnormal termination (step S206). The objects to be examined are the MIB module 231 and the authentication MIB module 241. If there is no MIB module that returned an abnormal end (NO in step S206), the analysis result (normal end), information necessary for creating the response, and the destination address (source address of the packet I112) In order to be processed by the SNMP message generation processing unit 220, a request for creating a response for normal termination is issued (step S207).

一方、異常終了を返したMIBモジュールがあった場合には(ステップS206のYES)は、SNMPの仕様(RFC1157,3416)に従って、SNMPメッセージによる処理を無効にする(ステップS208)。SNMPメッセージ解析処理部230は、解析結果(異常終了)、レスポンス生成に必要な情報(例えば、各VarBindや異常終了したVarBindの位置など)と、あて先アドレス(パケットI112の送信元アドレス)とを、SNMPメッセージ生成処理部220に処理させるべく、異常終了用のレスポンスの作成を要求する(ステップS209)。   On the other hand, if there is an MIB module that returns an abnormal end (YES in step S206), the processing based on the SNMP message is invalidated (step S208) in accordance with the SNMP specifications (RFC 1157, 3416). The SNMP message analysis processing unit 230 receives the analysis result (abnormal end), information necessary for generating a response (for example, the location of each VarBind or the abnormally ended VarBind), and the destination address (source address of the packet I112). In order to cause the SNMP message generation processing unit 220 to process, a request for creating a response for abnormal termination is requested (step S209).

異常終了、正常終了いずれの場合も、SNMPメッセージ生成処理部220は、SNMPメッセージ解析処理部230から受け取った解析結果(正常終了または異常終了)、レスポンス情報からレスポンスを作成する(ステップS210)。SNMPメッセージ生成処理部8220は、作成したレスポンスをあて先アドレスと共にパケット送受信部8210に供給し、パケット作成を要求する(ステップS211)。   In both cases of abnormal termination and normal termination, the SNMP message generation processing unit 220 creates a response from the analysis result (normal termination or abnormal termination) received from the SNMP message analysis processing unit 230 and response information (step S210). The SNMP message generation processing unit 8220 supplies the created response together with the destination address to the packet transmitting / receiving unit 8210, and requests packet creation (step S211).

パケット送受信部210は、管理対象装置200のアドレスを送信元アドレスとして、SNMPメッセージ生成処理部220から受け取ったレスポンスと、あて先アドレスとからパケットを作成する(ステップS212)。パケット送受信部210は、作成したパケットを管理装置100に送信する(ステップS213)。   The packet transmission / reception unit 210 creates a packet from the response received from the SNMP message generation processing unit 220 and the destination address using the address of the management target device 200 as the transmission source address (step S212). The packet transmitting / receiving unit 210 transmits the created packet to the management apparatus 100 (step S213).

図13は、第二実施形態による、認証MIBモジュール241の動作を説明するためのフローチャートである。認証MIBモジュール241は、SNMPメッセージ解析処理部230からパケットI112を受け取る(S301)。次に、認証MIBモジュール241は、SNMPメッセージ解析処理部230から受け取ったパケットI112のPDU種別がSETか否かを調べる(ステップS302)。そして、PDU種別がSETではない場合には(ステップS302のNO)、SNMPメッセージ解析処理部230に正常終了を返す(ステップS303)。   FIG. 13 is a flowchart for explaining the operation of the authentication MIB module 241 according to the second embodiment. The authentication MIB module 241 receives the packet I112 from the SNMP message analysis processing unit 230 (S301). Next, the authentication MIB module 241 checks whether or not the PDU type of the packet I112 received from the SNMP message analysis processing unit 230 is SET (step S302). If the PDU type is not SET (NO in step S302), a normal end is returned to the SNMP message analysis processing unit 230 (step S303).

一方、PDU種別がSETである場合には(ステップS302のYES)、認証MIBモジュール241は、パケットI112から認証用VarBind内の設定値(MAC−Mとする)を取り出し、MACキャッシュ243に同じ値がないか検索する(ステップS304)。次に、認証MIBモジュール241は、MAC−MがMACキャッシュ243内に含まれているかを調べる(ステップS305)。   On the other hand, when the PDU type is SET (YES in step S302), the authentication MIB module 241 extracts the setting value (referred to as MAC-M) in the authentication VarBind from the packet I112 and stores the same value in the MAC cache 243. It is searched whether there is any (step S304). Next, the authentication MIB module 241 checks whether the MAC-M is included in the MAC cache 243 (step S305).

そして、MAC−MがMACキャッシュ243内に含まれている場合には(ステップS305のYES)、認証MIBモジュール241は、SNMPメッセージ解析処理部230に異常終了を返す(ステップS306)。   When MAC-M is included in the MAC cache 243 (YES in step S305), the authentication MIB module 241 returns an abnormal end to the SNMP message analysis processing unit 230 (step S306).

一方、MAC−MがMACキャッシュ243内に含まれていない場合には(ステップS305のNO)、認証MIBモジュール241は、共通鍵テーブル242を参照して、パケットI112の送信元アドレスに対応する共通鍵I101を取得する(ステップS307)。例えば、共通鍵テーブル242において、パケットI112の送信元アドレスが“ADDRM”であれば、共通鍵I101は“CK(M)”である。   On the other hand, when the MAC-M is not included in the MAC cache 243 (NO in step S305), the authentication MIB module 241 refers to the common key table 242, and corresponds to the transmission source address of the packet I112. The key I101 is acquired (step S307). For example, in the common key table 242, if the transmission source address of the packet I112 is “ADDRM”, the common key I101 is “CK (M)”.

次に、認証MIBモジュール241は、パケットI112から、認証用VarBindを除いたSNMPメッセージI111を取り出す(ステップS308)。次に、共通鍵I101を使ってSNMPメッセージI111のMACを計算する(ステップS309)。これをMAC−1とする。MACは、管理装置100と同じ方法(S105)で算出する。   Next, the authentication MIB module 241 extracts the SNMP message I111 excluding the authentication VarBind from the packet I112 (step S308). Next, the MAC of the SNMP message I111 is calculated using the common key I101 (step S309). This is referred to as MAC-1. The MAC is calculated by the same method as that of the management apparatus 100 (S105).

次に、認証MIBモジュール241は、MAC−MとMAC−1とが一致するかを調べる(ステップS310)。そして、MAC−MとMAC−1とが一致しない場合には(ステップS310のNO)は、SNMPメッセージ解析処理部230に異常終了を返す(ステップS311)。一方、MAC−MとMAC−1とが一致した場合には(ステップS310のYES)、MACキャッシュ243にMAC−1を登録する(ステップS312)。そして、SNMPメッセージ解析処理部230に正常終了を返す(ステップS313)。
以上のようにして、認証MIBモジュール241は、SNMPメッセージ解析処理部230に異常終了か、正常終了を返す。 Next, the authentication MIB module 241 checks whether MAC-M and MAC-1 match (step S310). If MAC-M and MAC-1 do not match (NO in step S310), an abnormal termination is returned to the SNMP message analysis processing unit 230 (step S311). On the other hand, when MAC-M and MAC-1 match (YES in step S310), MAC-1 is registered in the MAC cache 243 (step S312). Then, normal termination is returned to the SNMP message analysis processing unit 230 (step S313).
As described above, the authentication MIB module 241 returns abnormal termination or normal termination to the SNMP message analysis processing unit 230.

上述した第二実施形態によれば、以下の効果が得られる。
(1)管理装置100がSETリクエストに認証用VarBindを付与すること、
(2)管理対象装置200内のSNMPメッセージ解析処理部230が受信したSNMPメッセージ内に認証用VarBindが存在するかを検査すること、
(3)認証MIBモジュール241において、認証用VarBind内の設定値(MAC)と同じMACがMACキャッシュ243に含まれるか検査すること、
(4)認証MIBモジュール241が再計算したMACと認証用VarBind内の設定値(MAC)とが一致するかを検査すること、
(5)MAC認証処理の大部分を、SNMPのプロトコル処理とは独立した認証MIBモジュール241で実現すること、
により、以下の効果を奏する。 According to the second embodiment described above, the following effects can be obtained.
(1) The management apparatus 100 gives an authentication VarBind to the SET request,
(2) Checking whether there is an authentication VarBind in the SNMP message received by the SNMP message analysis processing unit 230 in the management target device 200;
(3) In the authentication MIB module 241, checking whether the same MAC as the setting value (MAC) in the authentication VarBind is included in the MAC cache 243;
(4) Checking whether the MAC recalculated by the authentication MIB module 241 matches the setting value (MAC) in the authentication VarBind,
(5) Realizing most of the MAC authentication processing with the authentication MIB module 241 independent of the SNMP protocol processing;
Thus, the following effects can be obtained.

上記(1)、(2)、(4)より、管理対象装置200に対するSETリクエストにおいてMACによる認証を行える。これにより、盗聴によってコミュニティ名が第三者に知られても不正なSETリクエストによって管理対象装置200に設定することを防ぐことができる。
上記(1)、(2)、(4)より、管理対象装置200に対するSETリクエストにおいてのMACによる認証で、第三者によるSETリクエストの改ざんを検知できる。 From (1), (2), and (4) above, MAC authentication can be performed in the SET request to the management target device 200. Thereby, even if the community name is known to a third party by eavesdropping, it is possible to prevent the management target device 200 from being set by an unauthorized SET request.
From (1), (2), and (4) above, it is possible to detect falsification of the SET request by a third party by MAC authentication in the SET request for the management target device 200.

上記(1)、(2)、(3)より、同じMACのSETリクエストを受け付けないようになる。これにより、過去に認証できたSETリクエストと同じSETリクエストを第三者が管理対象装置200に送ったとしても、管理対象装置200は、その設定を受け付けないようにできる。
上記(5)より、MACによる認証で失敗したとき(同じMACがMACキャッシュ243内にあった場合、MACが不一致の場合)、認証が失敗したことをレスポンスで管理装置100に通知できる。 From the above (1), (2), and (3), the same MAC SET request is not accepted. Thereby, even if a third party sends the same SET request as the SET request that could be authenticated in the past to the management target device 200, the management target device 200 can not accept the setting.
From (5) above, when the authentication by the MAC fails (when the same MAC is in the MAC cache 243, the MAC does not match), the management apparatus 100 can be notified by a response that the authentication has failed.

上記(5)より、管理対象装置200のSNMPプロトコル処理実装の改修をほとんど必要とせず、他のプロトコル処理実装に置き換えたとしても、容易に移植できる。
なお、上述した第一、第二実施形態では、認証にMACを使用したが、公開鍵・秘密鍵によるデジタル署名も使用できる。 From (5) above, the SNMP protocol processing implementation of the management target apparatus 200 is hardly required to be modified, and even if it is replaced with another protocol processing implementation, it can be easily transplanted.
In the first and second embodiments described above, MAC is used for authentication, but a digital signature using a public key / private key can also be used.

また、上述した第一、第二実施形態では、SETリクエストの認証のみであったが、管理対象装置200が自発的に管理装置100へ通知するTRAP、INFORMリクエストについても応用できる。
そのためには、管理対象装置200のSNMPメッセージ生成処理部220が、管理装置100のように、TRAP、INFORMリクエストのSNMPメッセージの認証用VarBindを、SNMPメッセージに付与して管理装置100に送信するようにする。一方、管理装置100は、受信したTRAP、INFORMリクエストを、管理対象装置200のSNMPメッセージ解析処理部230、認証MIBモジュール241と同様に認証処理行う必要がある。 In the first and second embodiments described above, only SET request authentication is performed, but the present invention can also be applied to TRAP and INFORMATION requests that the management target device 200 voluntarily notifies the management device 100 of.
For this purpose, the SNMP message generation processing unit 220 of the management target device 200 adds the authentication VarBind for the SNMP message of the TRAP and the INFORM request to the SNMP message and transmits the SNMP message to the management device 100 as in the management device 100. To. On the other hand, the management apparatus 100 needs to perform authentication processing on the received TRAP and INFORM requests in the same manner as the SNMP message analysis processing unit 230 and the authentication MIB module 241 of the management target apparatus 200.

また、例えば、特許文献1の技術と組み合わせて、暗号化と本発明による認証とでの運用も可能である。さらに、特許文献2の技術と組み合わせて、動的なコミュニティ名と本発明による認証とでの運用も可能である。   Further, for example, in combination with the technique of Patent Document 1, it is possible to operate with encryption and authentication according to the present invention. Further, in combination with the technique of Patent Document 2, it is possible to operate with a dynamic community name and authentication according to the present invention.

以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。   The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes designs and the like that do not depart from the gist of the present invention.

10…認証付SETリクエスト, 11…コミュニティ名, 12…認証用VarBind, 13…その他VarBind, 100…管理装置, 101…共通鍵, 110…パケット送受信部, 120…SNMPメッセージ生成処理部, 130…SNMPメッセージ解析処理部, 140…不揮発性記憶, 200,200−1〜200−3…管理対象装置, 210…パケット送受信部, 220…SNMPメッセージ生成処理部, 230…SNMPメッセージ解析処理部, 231…MIBモジュール, 240…パケット, 241…認証MIBモジュール, 242…共通鍵テーブル, 243…MACキャッシュ, 250…不揮発性装置, 251…あて先アドレス, 252…送信元アドレス, 253…SNMPメッセージ, 261…バージョンヘッダ, 262…コミュニティ名, 263…PDU, 271…PDU種別, 272…リクエストID, 273…VarBind   DESCRIPTION OF SYMBOLS 10 ... SET request with authentication, 11 ... Community name, 12 ... VarBind for authentication, 13 ... Other VarBind, 100 ... Management device, 101 ... Common key, 110 ... Packet transmission / reception unit, 120 ... SNMP message generation processing unit, 130 ... SNMP Message analysis processing unit, 140 ... non-volatile memory, 200, 200-1 to 200-3 ... managed device, 210 ... packet transmission / reception unit, 220 ... SNMP message generation processing unit, 230 ... SNMP message analysis processing unit, 231 ... MIB Module, 240 ... packet, 241 ... authentication MIB module, 242 ... common key table, 243 ... MAC cache, 250 ... non-volatile device, 251 ... destination address, 252 ... source address, 253 ... SNMP message, 261 ... Version header, 262 ... Community name, 263 ... PDU, 271 ... PDU type, 272 ... Request ID, 273 ... VarBind

Claims (9)

ネットワーク管理プロトコルとしてSNMPを用いて、管理装置と管理対象装置とがネットワークを介して、SNMPメッセージを送受信するネットワーク管理システムであって、
前記管理装置は、
共通鍵を用いて、SETリクエストのメッセージ認証情報を算出し、該メッセージ認証情報を含む認証用VarBindを作成し、該認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成処理部と、
前記SNMPメッセージ生成処理部で作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信部と
を備え、
前記管理対象装置は、
前記管理装置からのパケットを受信するパケット受信部と、
前記パケットがSETリクエストであれば、認証用VarBindの有無を調べ、無ければ前記パケットを廃棄するSNMPメッセージ解析処理部と、
既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュと、
前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が前記メッセージ認証情報キャッシュ内に存在するか調べ、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、前記SNMPメッセージ解析処理部に異常終了を返す認証MIBモジュールと
を備えるネットワーク管理システム。 A network management system in which SNMP is used as a network management protocol, and a management apparatus and a management target apparatus transmit and receive an SNMP message via a network.
The management device
An SNMP message generation processing unit that calculates message authentication information of the SET request using the common key, creates an authentication VarBind including the message authentication information, and creates an SNMP message including the authentication VarBind;
A packet transmission unit that creates and transmits a packet from the SNMP message created by the SNMP message generation processing unit and a destination address;
The managed device is:
A packet receiver for receiving packets from the management device;
If the packet is a SET request, an SNMP message analysis processing unit that checks whether or not there is an authentication VarBind, and if not, discards the packet;
A message authentication information cache in which the message authentication information already used for authentication is stored;
When there is the authentication VarBind, it is checked whether the message authentication information in the authentication VarBind is present in the message authentication information cache, and when the message authentication information is present in the message authentication information cache, A network management system comprising: an authentication MIB module that determines a replay attack and returns an abnormal end to the SNMP message analysis processing unit. 前記認証MIBモジュールは、
前記メッセージ認証情報が前記メッセージ認証情報キャッシュ内に含まれていなかった場合には、受信したパケットの送信元アドレスに対応する共通鍵を用いて、認証用VarBindを除いたSNMPメッセージのメッセージ認証情報を算出し、
前記認証用VarBindに含まれていたメッセージ認証情報と前記MIBモジュールが算出したメッセージ認証情報とが一致するか調べ、両者が不一致の場合には、SNMPメッセージが改ざんされたと判断して、前記SNMPメッセージ解析処理部に異常終了を返し、
両者が一致した場合には、前記SNMPメッセージが改ざんされておらず、前記管理装置からの正当なSNMPメッセージであると判断し、前記メッセージ認証情報キャッシュに前記メッセージ認証情報を追加して、前記SNMPメッセージ解析処理部に正常終了を返す請求項1に記載のネットワーク管理システム。 The authentication MIB module is:
When the message authentication information is not included in the message authentication information cache, the message authentication information of the SNMP message excluding the authentication VarBind is obtained using a common key corresponding to the source address of the received packet. Calculate
It is checked whether the message authentication information included in the authentication VarBind matches the message authentication information calculated by the MIB module. If they do not match, it is determined that the SNMP message has been tampered with, and the SNMP message Return abnormal termination to the analysis processing unit,
If they match, it is determined that the SNMP message has not been tampered with and is a legitimate SNMP message from the management device, the message authentication information is added to the message authentication information cache, and the SNMP message is added. The network management system according to claim 1, wherein normal termination is returned to the message analysis processing unit. 前記認証MIBモジュールは、前記SNMPメッセージ解析処理部から受け取ったパケットがSETリクエスト以外の場合には何もしないで、前記SNMPメッセージ解析処理部に正常終了を返す請求項1又は2に記載のネットワーク管理システム。   3. The network management according to claim 1, wherein the authentication MIB module does nothing when the packet received from the SNMP message analysis processing unit is other than a SET request, and returns a normal end to the SNMP message analysis processing unit. system. 前記SNMPメッセージ解析処理部は、いずれか一つでも異常終了を返せば、SETリクエスト全体をエラーとしてSET処理を無効にする請求項1〜3のいずれかに記載のネットワーク管理システム。   The network management system according to claim 1, wherein if any one of the SNMP message analysis processing units returns an abnormal end, the entire SET request is regarded as an error and the SET processing is invalidated. ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理対象装置とSNMPメッセージを送受信する管理装置であって、
共通鍵を用いて、SETリクエストのメッセージ認証情報を算出し、該メッセージ認証情報を含む認証用VarBindを作成し、該認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成処理部と、
前記SNMPメッセージ生成処理部で作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信部と
を備える管理装置。 A management device that uses SNMP as a network management protocol and transmits / receives an SNMP message to / from a management target device via a network,
An SNMP message generation processing unit that calculates message authentication information of the SET request using the common key, creates an authentication VarBind including the message authentication information, and creates an SNMP message including the authentication VarBind;
A management apparatus comprising: a packet transmission unit that creates and transmits a packet from an SNMP message created by the SNMP message generation processing unit and a destination address. ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理装置とSNMPメッセージを送受信する管理対象装置であって、
前記管理装置からのパケットを受信するパケット受信部と、
前記パケットがSETリクエストであれば、認証用VarBindの有無を調べ、無ければ前記パケットを廃棄するSNMPメッセージ解析処理部と、
既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュと、
前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が前記メッセージ認証情報キャッシュ内に存在するか調べ、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、前記SNMPメッセージ解析処理部に異常終了を返す認証MIBモジュールと
を備える管理対象装置。 A management target device that transmits and receives SNMP messages to and from a management device via a network using SNMP as a network management protocol,
A packet receiver for receiving packets from the management device;
If the packet is a SET request, an SNMP message analysis processing unit that checks whether or not there is an authentication VarBind, and if not, discards the packet;
A message authentication information cache in which the message authentication information already used for authentication is stored;
When there is the authentication VarBind, it is checked whether the message authentication information in the authentication VarBind is present in the message authentication information cache, and when the message authentication information is present in the message authentication information cache, A managed device comprising: an authentication MIB module that determines a replay attack and returns an abnormal termination to the SNMP message analysis processing unit. ネットワーク管理プロトコルとしてSNMPv1、SNMPv2cを用いて、管理装置と管理対象装置とがネットワークを介して、SNMPメッセージを送受信するネットワーク管理方法であって、
前記管理装置が、共通鍵を用いて、SETリクエストのメッセージ認証情報を算出する第1の算出ステップと、
前記管理装置が、前記メッセージ認証情報を含む認証用VarBindを作成する作成ステップと、
前記管理装置が、前記認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成ステップと、
前記管理装置が、前記SNMPメッセージ生成ステップで作成したSNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信ステップと、
前記管理対象装置が、前記管理装置からのパケットを受信するパケット受信ステップと、
前記管理対象装置が、前記パケットがSETリクエストであれば、認証用VarBindの有無を調べる有無調査ステップと、
前記管理対象装置が、前記認証用VarBindが無い場合には、前記パケットを廃棄する廃棄ステップと、
前記管理対象装置が、前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュ内に存在するか調べる第1のメッセージ認証情報調査ステップと、
前記管理対象装置が、前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、異常終了を返す第1の異常終了ステップと
を有するネットワーク管理方法。 A network management method in which SNMPv1 and SNMPv2c are used as a network management protocol, and a management apparatus and a management target apparatus transmit and receive an SNMP message via a network,
A first calculation step in which the management device calculates message authentication information of a SET request using a common key;
A creation step in which the management apparatus creates an authentication VarBind including the message authentication information;
An SNMP message generating step in which the management device creates an SNMP message including the authentication VarBind;
A packet transmission step in which the management device creates and transmits a packet from the SNMP message and the destination address created in the SNMP message generation step;
A packet receiving step in which the management target device receives a packet from the management device;
If the managed device is a SET request, the presence / absence checking step for checking the presence / absence of an authentication VarBind,
If the managed device does not have the authentication VarBind, a discard step for discarding the packet;
If the managed device has the authentication VarBind, does the message authentication information in the authentication VarBind exist in the message authentication information cache in which the message authentication information already used for authentication is stored? A first message authentication information checking step to check;
A network management method, comprising: a first abnormal termination step in which the managed device determines that the message authentication information is in a message authentication information cache and determines that it is a replay attack and returns an abnormal termination. ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理対象装置とSNMPメッセージを送受信する管理装置のコンピュータに対し、
共通鍵を用いて、SETリクエストのメッセージ認証情報を算出する算出ステップと、
前記メッセージ認証情報を含む認証用VarBindを作成する作成ステップと、
前記認証用VarBindを含むSNMPメッセージを作成するSNMPメッセージ生成ステップと、
前記SNMPメッセージとあて先アドレスとからパケットを作成して送信するパケット送信ステップと、
を実行させるためのコンピュータプログラム。 Using SNMP as a network management protocol, for a computer of a management device that transmits and receives SNMP messages to and from a management target device via a network,
A calculation step of calculating message authentication information of the SET request using the common key;
A creation step of creating an authentication VarBind including the message authentication information;
An SNMP message generating step for generating an SNMP message including the authentication VarBind;
A packet transmission step of creating and transmitting a packet from the SNMP message and a destination address;
A computer program for running. ネットワーク管理プロトコルとしてSNMPを用いて、ネットワークを介して、管理装置とSNMPメッセージを送受信する管理対象装置のコンピュータに対し、
前記管理装置からのパケットを受信するパケット受信ステップと、
前記パケットがSETリクエストであれば、認証用VarBindの有無を調べる有無調査ステップと、
前記認証用VarBindが無い場合には、前記パケットを廃棄する廃棄ステップと、
前記認証用VarBindがある場合には、前記認証用VarBind内の前記メッセージ認証情報が、既に認証で使用したメッセージ認証情報が記憶されているメッセージ認証情報キャッシュ内に存在するか調べる第1のメッセージ認証情報調査ステップと、
前記メッセージ認証情報がメッセージ認証情報キャッシュ内に存在する場合には、リプレイ攻撃と判定し、異常終了を返す第1の異常終了ステップと、
を実行させるためのコンピュータプログラム。 Using SNMP as a network management protocol, for a managed device computer that sends and receives SNMP messages to and from a management device over a network,
A packet receiving step for receiving a packet from the management device;
If the packet is a SET request, the presence / absence investigation step for examining the presence / absence of the authentication VarBind,
A discard step for discarding the packet if the authentication VarBind is absent;
When there is the authentication VarBind, the first message authentication for checking whether the message authentication information in the authentication VarBind exists in the message authentication information cache in which the message authentication information already used in the authentication is stored. Information research step,
If the message authentication information is present in the message authentication information cache, a first abnormal termination step of determining a replay attack and returning an abnormal termination;
A computer program for running.
JP2011082541A 2011-04-04 2011-04-04 Network management system, management device, management target device, network management method, and computer program Withdrawn JP2012220975A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011082541A JP2012220975A (en) 2011-04-04 2011-04-04 Network management system, management device, management target device, network management method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011082541A JP2012220975A (en) 2011-04-04 2011-04-04 Network management system, management device, management target device, network management method, and computer program

Publications (1)

Publication Number Publication Date
JP2012220975A true JP2012220975A (en) 2012-11-12

Family

ID=47272478

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011082541A Withdrawn JP2012220975A (en) 2011-04-04 2011-04-04 Network management system, management device, management target device, network management method, and computer program

Country Status (1)

Country Link
JP (1) JP2012220975A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107454018A (en) * 2017-08-25 2017-12-08 锐捷网络股份有限公司 The abnormal processing method and processing device of packet buffer manager

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107454018A (en) * 2017-08-25 2017-12-08 锐捷网络股份有限公司 The abnormal processing method and processing device of packet buffer manager
CN107454018B (en) * 2017-08-25 2020-01-21 锐捷网络股份有限公司 Method and device for processing exception of message cache manager

Similar Documents

Publication Publication Date Title
US6886102B1 (en) System and method for protecting a computer network against denial of service attacks
US6971028B1 (en) System and method for tracking the source of a computer attack
EP1212682B1 (en) System and method for quickly authenticating messages using sequence numbers
US20200358764A1 (en) System and method for generating symmetric key to implement media access control security check
CN106034104B (en) Verification method, device and system for network application access
US8024488B2 (en) Methods and apparatus to validate configuration of computerized devices
Vanhoef et al. Practical verification of WPA-TKIP vulnerabilities
Galvin et al. Security protocols for version 2 of the simple network management protocol (SNMPv2)
WO2018177385A1 (en) Data transmission method, apparatus and device
KR20150135032A (en) System and method for updating secret key using physical unclonable function
Waters User-based security model for SNMPv2
US10122755B2 (en) Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node
US8850576B2 (en) Methods for inspecting security certificates by network security devices to detect and prevent the use of invalid certificates
EP3442195B1 (en) Reliable and secure parsing of packets
US20100242112A1 (en) System and method for protecting network resources from denial of service attacks
Galvin et al. SNMP Security Protocols
Cho et al. Secure open fronthaul interface for 5G networks
JP2012220975A (en) Network management system, management device, management target device, network management method, and computer program
Kahya et al. Formal analysis of PKM using scyther tool
CN110401646B (en) CGA parameter detection method and device in IPv6 secure neighbor discovery transition environment
CN114978519A (en) Message sending method, signature information generation method and device
EP2442519A1 (en) Method and system for authenticating network device
Chrabaszcz et al. Fast re-authentication of mobile devices with EAP Re-authentication Protocol (ERP)
Galvin et al. RFC1446: Security Protocols for version 2 of the Simple Network Management Protocol (SNMPv2)
EP3087714B1 (en) A method and apparatus for detecting that an attacker has sent one or more messages to a receiver node

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20140701