JP2015050699A - Network system, brunch router, and control method of the same - Google Patents

Network system, brunch router, and control method of the same Download PDF

Info

Publication number
JP2015050699A
JP2015050699A JP2013182354A JP2013182354A JP2015050699A JP 2015050699 A JP2015050699 A JP 2015050699A JP 2013182354 A JP2013182354 A JP 2013182354A JP 2013182354 A JP2013182354 A JP 2013182354A JP 2015050699 A JP2015050699 A JP 2015050699A
Authority
JP
Japan
Prior art keywords
mpsa
packet
branch
sequence number
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013182354A
Other languages
Japanese (ja)
Other versions
JP6239320B2 (en
Inventor
植木 健
Takeshi Ueki
健 植木
有史 山谷
Yuji Yamatani
有史 山谷
小林 康宏
Yasuhiro Kobayashi
康宏 小林
亮一 井上
Ryoichi Inoue
亮一 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Furukawa Electric Co Ltd
Furukawa Network Solution Corp
Original Assignee
Furukawa Electric Co Ltd
Furukawa Network Solution Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Furukawa Electric Co Ltd, Furukawa Network Solution Corp filed Critical Furukawa Electric Co Ltd
Priority to JP2013182354A priority Critical patent/JP6239320B2/en
Publication of JP2015050699A publication Critical patent/JP2015050699A/en
Application granted granted Critical
Publication of JP6239320B2 publication Critical patent/JP6239320B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To prevent a replay attack in an MPSA which shares a group key.SOLUTION: A gateway has distribution means (MPSA transmission section 15) for distributing MPSA information to a plurality of brunch routers configuring each group. The brunch router has: communication means (packet transmission/reception section 51) for mutually performing coding communication on the basis of the MPSA information; storage means (MPSA table 562) for storing a sequence number window which determines presence/absence of overlapping of sequence numbers imparted to the packet transmitted from another brunch router for each brunch router; determination means (MPSA searching section 561) for referring to the sequence number window stored in the storage means and determining presence/absence of overlapping of the sequence numbers, when receiving the packet from another brunch router; and discard means (MPSA searching section 561) for discarding the packet when it is determined that the sequence numbers are overlapped.

Description

本発明は、ネットワークシステム、ブランチルータ、および、これらの制御方法に関するものである。   The present invention relates to a network system, a branch router, and control methods thereof.

VPN(Virtual Private Network)通信においては、ネットワークのハブ(Hub)となるゲートウェイと、このゲートウェイに接続されたスポーク(Spoke)となる複数のブランチルータによって構成されるHub−and−Spoke型VPNネットワークシステムが存在する。   In VPN (Virtual Private Network) communication, a hub-and-spoke VPN network system including a gateway serving as a network hub and a plurality of branch routers serving as spokes connected to the gateway. Exists.

ところで、このようなHub−and−Spoke型VPNネットワークシステムでは、拠点間通信が必ずゲートウェイを通過することから、例えば、ブランチルータ同士が隣接地にあってもゲートウェイが遠隔地にある場合には伝送遅延が大きくなる。また、全ての通信がゲートウェイを通過することから通信量が大きくなり、ゲートウェイの設備負荷が大きくなるという問題点がある。   By the way, in such a hub-and-spoke VPN network system, communication between bases always passes through a gateway. For example, even when branch routers are adjacent to each other, transmission is performed when the gateway is remote. Delay increases. Further, since all communications pass through the gateway, there is a problem that the communication amount increases and the equipment load of the gateway increases.

そこで、非特許文献1に記載されているように、複数のブランチルータによってグループを構成し、各グループ内における拠点間通信は共通のグループ鍵によってブランチルータ間で直接通信を行い、グループ鍵は、ゲートウェイから各ブランチルータに配布する技術が存在する。   Therefore, as described in Non-Patent Document 1, a group is configured by a plurality of branch routers, and communication between bases within each group is performed directly between branch routers using a common group key. There is a technique for distributing from a gateway to each branch router.

スター型とメッシュ型のハイブリッドIP−VPNアーキテクチャ、電子情報通信学会、信学技報NS2012−20,May/2012Star type and mesh type hybrid IP-VPN architecture, IEICE, IEICE Technical Report NS2012-20, May / 2012

ところで、非特許文献1に開示された技術では、グループを構成する複数のブランチルータはグループ鍵を共用する同じMPSA(Multi-point Security Association)を使用して通信を行うことから、シーケンス番号を個別に管理することが困難なため、リプレイ攻撃に対する防御を行うことが困難であるという問題点がある。   By the way, in the technique disclosed in Non-Patent Document 1, a plurality of branch routers constituting a group communicate using the same MPSA (Multi-point Security Association) sharing a group key. However, it is difficult to protect against replay attacks because it is difficult to manage.

本発明は、以上の点に鑑みてなされたものであり、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能なネットワークシステム、ブランチルータ、および、これらの制御方法を提供することを目的としている。   The present invention has been made in view of the above points, and in a network system sharing a single group key within a group, a network system capable of preventing a replay attack, a branch router, and these It aims to provide a control method.

上記課題を解決するために、本発明は、複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するゲートウェイとを有するネットワークシステムにおいて、前記ゲートウェイは、各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布手段を有し、前記複数のブランチルータは、前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信手段と、他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶する記憶手段と、他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定手段と、前記判定手段によってシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄手段と、を有する、ことを特徴とする。
このような構成によれば、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能となる。 In order to solve the above-described problems, the present invention provides a network system including one or more groups having a plurality of branch routers and a gateway that controls the one or more groups. Distribution means for distributing MPSA (Multi-point Security Association) information to the branch routers of the plurality of branch routers, and the plurality of branch routers mutually encrypt communication based on the MPSA information distributed by the distribution means. A communication means for performing the processing, a storage means for storing for each branch router a sequence number window that is information for determining the presence or absence of duplication of sequence numbers given to packets transmitted from other branch routers, When a packet is received from a branch router, it is stored in the storage means A determination means for determining whether or not there is a sequence number overlap with reference to the sequence number window, and a discarding means for discarding the packet when the determination means determines that the sequence number is duplicated. Features.
According to such a configuration, it is possible to prevent a replay attack in a network system that shares a single group key within a group.

また、本発明の一側面は、前記記憶手段は、通信が発生した場合に、そのブランチルータの前記シーケンス番号ウィンドウを記憶する、ことを特徴とする。
このような構成によれば、通信が発生した場合に初めて情報を記憶するので、必要な記憶領域を少なくすることができる。 Also, one aspect of the present invention is characterized in that the storage means stores the sequence number window of the branch router when communication occurs.
According to such a configuration, information is stored for the first time when communication occurs, so that a necessary storage area can be reduced.

また、本発明の一側面は、前記記憶手段は、他のブランチルータに対してパケットを送信するための共通のシーケンス番号を記憶している、ことを特徴とする。
このような構成によれば、送信時には共通したシーケンス番号を使用することで、必要な記憶領域を少なくすることができる。 One aspect of the present invention is characterized in that the storage means stores a common sequence number for transmitting a packet to another branch router.
According to such a configuration, a necessary storage area can be reduced by using a common sequence number at the time of transmission.

本発明は、複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するゲートウェイとを有するネットワークシステムの制御方法において、前記ゲートウェイは、各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布ステップを有し、前記複数のブランチルータは、前記配布ステップにおいて配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信ステップと、他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶装置に記憶させる記憶ステップと、他のブランチルータからパケットを受信した場合、前記記憶装置に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定ステップと、前記判定ステップにおいてシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄ステップと、を有することを特徴とする。
このような方法によれば、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能となる。 The present invention provides a method for controlling a network system having one or more groups having a plurality of branch routers and a gateway for controlling the one or more groups, wherein the gateway is connected to the plurality of branch routers constituting each group. A distribution step of distributing MPSA (Multi-point Security Association) information to the plurality of branch routers, wherein the plurality of branch routers perform encrypted communication with each other based on the MPSA information distributed in the distribution step; A storage step of storing a sequence number window, which is information for determining whether or not a sequence number assigned to a packet transmitted from another branch router is duplicated, in a storage device for each branch router; and another branch router When a packet is received from the A determination step for determining whether there is a duplication of sequence numbers with reference to the sequence number window, and a discarding step for discarding the packet when it is determined in the determination step that the sequence numbers are duplicated. It is characterized by that.
According to such a method, it becomes possible to prevent a replay attack in a network system that shares a single group key within a group.

また、本発明は、複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するとともに、各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布手段を備えるゲートウェイとを有するネットワークシステムを構成する前記ブランチルータにおいて、前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信手段と、他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶する記憶手段と、他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定手段と、前記判定手段によってシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄手段と、を有することを特徴とする。
このような構成によれば、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能となる。 In addition, the present invention controls one or more groups having a plurality of branch routers, and controls one or more groups, and MPSA (Multi-point Security Association) information for the plurality of branch routers constituting each group. In the branch router constituting a network system having a gateway having a distribution means for distributing the communication means, a communication means for performing encrypted communication with each other based on the MPSA information distributed by the distribution means, and another branch router Storage means for storing, for each branch router, a sequence number window, which is information for determining whether or not the sequence number assigned to the transmitted packet is duplicated, and when storing a packet from another branch router, the storage Refer to the sequence number window stored in the means Te, determination means for determining whether the duplicate sequence numbers, wherein when it is determined that the sequence number is duplicated by the determining means is characterized by having a discarding discarding means the packet.
According to such a configuration, it is possible to prevent a replay attack in a network system that shares a single group key within a group.

また、本発明は、複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するとともに、各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布手段を備えるゲートウェイとを有するネットワークシステムを構成する前記ブランチルータの制御方法において、前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信ステップと、他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶する記憶ステップと、他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定ステップと、前記判定ステップにおいてシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄ステップと、を有することを特徴とする。
このような方法によれば、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能となる。 In addition, the present invention controls one or more groups having a plurality of branch routers, and controls one or more groups, and MPSA (Multi-point Security Association) information for the plurality of branch routers constituting each group. In the control method of the branch router constituting the network system having a gateway having a distribution means for distributing the communication, a communication step for performing encrypted communication with each other based on the MPSA information distributed by the distribution means; When storing a sequence number window, which is information for judging whether there is duplication of sequence numbers given to packets sent from a branch router, for each branch router, and when receiving a packet from another branch router , The sequence number stored in the storage means A determination step for determining whether there is a duplication of sequence numbers with reference to the window; and a discarding step for discarding the packet when it is determined in the determination step that the sequence numbers are duplicated. .
According to such a method, it becomes possible to prevent a replay attack in a network system that shares a single group key within a group.

本発明によれば、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能なネットワークシステム、ブランチルータ、および、これらの制御方法を提供することが可能となる。   According to the present invention, it is possible to provide a network system, a branch router, and a control method thereof that can prevent a replay attack in a network system that shares a single group key within a group. .

本発明の実施形態に係るネットワークシステムの構成例を示す図である。It is a figure which shows the structural example of the network system which concerns on embodiment of this invention. 図1に示す実施形態に記載のゲートウェイとブランチルータの詳細な構成例を示す図である。It is a figure which shows the detailed structural example of the gateway and branch router as described in embodiment shown in FIG. 図2に示すMPSA処理部の詳細な構成例を示す図である。FIG. 3 is a diagram illustrating a detailed configuration example of an MPSA processing unit illustrated in FIG. 2. MPSAの対応関係の一例を示す図である。It is a figure which shows an example of the correspondence of MPSA. 図3に示すMPSAテーブルの一例である。It is an example of the MPSA table shown in FIG. シーケンス番号ウィンドウの動作の一例を説明する図である。It is a figure explaining an example of operation | movement of a sequence number window. IPパケットとESPパケットのフォーマットの一例を示す図である。It is a figure which shows an example of the format of an IP packet and an ESP packet. 図7に示すESPパケットの詳細なフォーマットの一例を示す図である。It is a figure which shows an example of the detailed format of the ESP packet shown in FIG. パケットを受信する際に実行される処理の一例を説明するためのフローチャートである。It is a flowchart for demonstrating an example of the process performed when receiving a packet. パケットを送信する際に実行される処理の一例を説明するためのフローチャートである。It is a flowchart for demonstrating an example of the process performed when transmitting a packet. ブランチルータが再起動された際にゲートウェイで実行される処理の一例を説明するためのフローチャートである。It is a flowchart for demonstrating an example of the process performed by a gateway when a branch router is restarted. ブランチルータが再起動された際にブランチルータで実行される処理の一例を説明するためのフローチャートである。It is a flowchart for demonstrating an example of the process performed by a branch router when a branch router is restarted.

次に、本発明の実施形態について説明する。   Next, an embodiment of the present invention will be described.

(A)実施形態の構成の説明
図1は、本発明の実施形態に係るネットワークシステムの構成例を示す図である。この図に示すように、本発明の実施形態に係るネットワークシステムは、ゲートウェイ10、トランジットネットワーク20、I−IP(Internal-Internet Protocol)ネットワーク30、ブランチルータ50,60、E−IP(External-Internet Protocol)クライアントネットワーク70,80が存在する。なお、ブランチルータ50,60はMPSA(Multi-point Security Association)に基づいて暗号化通信を行う。 (A) Description of Configuration of Embodiment FIG. 1 is a diagram illustrating a configuration example of a network system according to an embodiment of the present invention. As shown in this figure, a network system according to an embodiment of the present invention includes a gateway 10, a transit network 20, an I-IP (Internal-Internet Protocol) network 30, branch routers 50 and 60, an E-IP (External-Internet). Protocol) client networks 70 and 80 exist. The branch routers 50 and 60 perform encrypted communication based on MPSA (Multi-point Security Association).

ここで、ゲートウェイ10は、ブランチルータ50,60との間でIKEv2(Internet Key Exchange Protocol Version 2)により確立される鍵交換用の暗号化通信路であるIKE_SA(Security Association)を介してグループ鍵を配布するとともに、IKEv2により確立されるデータ通信用の暗号化通信路であるCHILD_SAを介して経路情報をBGP(Border Gateway Protocol)によって交換する。この経路情報には、あるブランチルータからMPSAを介して他のブランチルータの配下に存在するE−IPクライアントネットワークに到達するために、どのブランチルータを介するべきかを示す情報が含まれており、詳細についてはRFC5512およびRFC5566で開示されている。   Here, the gateway 10 receives a group key via an IKE_SA (Security Association) that is an encrypted communication path for key exchange established with the branch routers 50 and 60 by IKEv2 (Internet Key Exchange Protocol Version 2). In addition to distribution, route information is exchanged by BGP (Border Gateway Protocol) via CHILD_SA, which is an encrypted communication channel for data communication established by IKEv2. This route information includes information indicating which branch router is to be passed in order to reach an E-IP client network existing under the control of another branch router from a certain branch router via MPSA. Details are disclosed in RFC5512 and RFC5566.

トランジットネットワーク20は、I−IPネットワーク30およびMPSA40のトラフィックを中継するネットワークである。   The transit network 20 is a network that relays traffic of the I-IP network 30 and the MPSA 40.

I−IPネットワーク30は、トランジットネットワーク20の上でCHILD_SAにより設けられた仮想的なネットワークである。E−IPクライアントネットワーク70,80はクライアントの各拠点に設けられた外部のネットワークである。   The I-IP network 30 is a virtual network provided by CHILD_SA on the transit network 20. The E-IP client networks 70 and 80 are external networks provided at each base of the client.

図2は、図1に示すゲートウェイ10およびブランチルータ50,60の構成例を示す図である。図2に示すように、ゲートウェイ10は、パケット送受信部11、SA(Security Association)処理部12、IKE(Internet Key Exchange)処理部13、経路プロトコル処理部14、MPSA送信部15、MPSA管理部16、および、パケット送受信部17を有している。   FIG. 2 is a diagram showing a configuration example of the gateway 10 and the branch routers 50 and 60 shown in FIG. As shown in FIG. 2, the gateway 10 includes a packet transmission / reception unit 11, an SA (Security Association) processing unit 12, an IKE (Internet Key Exchange) processing unit 13, a route protocol processing unit 14, an MPSA transmission unit 15, and an MPSA management unit 16. And a packet transmitting / receiving unit 17.

ここで、パケット送受信部11は、ブランチルータ50,60との間でパケットの送受信を行う。SA処理部12は、ブランチルータ50,60との間でIPsecによる暗号化通信を行う際に、IKE処理部13から通知された認証アルゴリズムや暗号化アルゴリズムに基づくIKE_SAもしくはCHILD_SAによるSA(Security Association)処理を実行する。この結果、ゲートウェイ10は、ブランチルータ50,60との間で暗号化通信によってグループ鍵を配布することができる。   Here, the packet transmission / reception unit 11 transmits and receives packets to and from the branch routers 50 and 60. When performing encrypted communication by IPsec with the branch routers 50 and 60, the SA processing unit 12 performs SA (Security Association) by IKE_SA or CHILD_SA based on the authentication algorithm and encryption algorithm notified from the IKE processing unit 13. Execute the process. As a result, the gateway 10 can distribute the group key between the branch routers 50 and 60 by encrypted communication.

IKE処理部13は、IPsecにより暗号化通信を行う前に、IPsecに必要な暗号化アルゴリズムの決定と暗号鍵の共有を行う処理を実行する。経路プロトコル処理部14は、経路情報テーブルをブランチルータ50,60と交換するための処理を実行する。   The IKE processing unit 13 executes processing for determining an encryption algorithm necessary for IPsec and sharing an encryption key before performing encrypted communication by IPsec. The route protocol processing unit 14 executes processing for exchanging the route information table with the branch routers 50 and 60.

MPSA送信部15は、ブランチルータ50,60に対してグループ鍵を送信する処理を実行する。MPSA管理部16は、ブランチルータ50,60に送信するグループ鍵を管理する処理部である。パケット送受信部17は、ブランチルータ50,60以外のネットワーク機器と接続され、パケットの送受信を行う。   The MPSA transmission unit 15 executes processing for transmitting a group key to the branch routers 50 and 60. The MPSA management unit 16 is a processing unit that manages a group key transmitted to the branch routers 50 and 60. The packet transmitting / receiving unit 17 is connected to a network device other than the branch routers 50 and 60, and transmits and receives packets.

また、ブランチルータ50は、パケット送受信部51、SA処理部52、IKE処理部53、経路プロトコル処理部54、MPSA受信部55、MPSA処理部56、および、パケット送受信部57を有している。   The branch router 50 includes a packet transmission / reception unit 51, an SA processing unit 52, an IKE processing unit 53, a route protocol processing unit 54, an MPSA reception unit 55, an MPSA processing unit 56, and a packet transmission / reception unit 57.

ここで、パケット送受信部51は、ゲートウェイ10およびブランチルータ60との間でパケットの送受信を行う。SA処理部52は、ゲートウェイ10との間でIPsecによる暗号化通信を行う際に、IKE処理部53から通知された認証アルゴリズムや暗号化アルゴリズムに基づくIKE_SAもしくはCHILD_SAによるSA処理を実行する。SA処理の結果、ブランチルータ50は、ゲートウェイ10との間で暗号化通信によってグループ鍵を受け取ることができる。   Here, the packet transmission / reception unit 51 transmits and receives packets between the gateway 10 and the branch router 60. When performing encrypted communication by IPsec with the gateway 10, the SA processing unit 52 executes SA processing by IKE_SA or CHILD_SA based on the authentication algorithm and encryption algorithm notified from the IKE processing unit 53. As a result of the SA processing, the branch router 50 can receive the group key by encrypted communication with the gateway 10.

IKE処理部53は、暗号化通信を行う前に、暗号化通信を行うSA処理部52で必要な暗号化アルゴリズムの決定と暗号鍵の共有を行うための処理を実行する。経路プロトコル処理部54は、経路情報テーブルをゲートウェイ10と交換するための処理を実行する。   The IKE processing unit 53 executes a process for determining a necessary encryption algorithm and sharing an encryption key in the SA processing unit 52 that performs the encrypted communication before performing the encrypted communication. The route protocol processing unit 54 executes processing for exchanging the route information table with the gateway 10.

MPSA受信部55は、ゲートウェイ10から配布されたグループ鍵を受信する処理を実行する。MPSA処理部56は、グループ鍵に基づくSA処理を実行する。MPSA処理部56が扱うパケットはSA処理部52が扱うCHILD_SAと同じESP(Encapsulated Security Payload)を用いることが可能で、ESPのヘッダ部に格納されるSPI(Security Parameter Index)によって何れのSAに属するパケットであるかを識別する。パケット送受信部57は、E−IPクライアントネットワーク70との間でパケットの送受信を行う。   The MPSA receiver 55 executes a process for receiving the group key distributed from the gateway 10. The MPSA processing unit 56 executes SA processing based on the group key. The packet handled by the MPSA processing unit 56 can use the same ESP (Encapsulated Security Payload) as CHILD_SA handled by the SA processing unit 52, and belongs to any SA by the SPI (Security Parameter Index) stored in the header part of the ESP. Identifies whether it is a packet. The packet transmission / reception unit 57 transmits / receives a packet to / from the E-IP client network 70.

ブランチルータ60は、ブランチルータ50と同様の構成とされているので、詳細な説明は省略する。なお、図3では図面を簡略化するためにブランチルータ60とゲートウェイ10との接続は省略しているが、ブランチルータ60はブランチルータ50と同様にゲートウェイ10に接続されている。   Since the branch router 60 has the same configuration as that of the branch router 50, detailed description thereof is omitted. In FIG. 3, the connection between the branch router 60 and the gateway 10 is omitted to simplify the drawing, but the branch router 60 is connected to the gateway 10 like the branch router 50.

図3は、図2に示すMPSA処理部56の詳細な構成を示す図である。なお、MPSA処理部66も同様の構成とされているので、その説明は省略する。   FIG. 3 is a diagram showing a detailed configuration of the MPSA processing unit 56 shown in FIG. Since the MPSA processing unit 66 has the same configuration, the description thereof is omitted.

図3に示すように、MPSA処理部56は、MPSA検索部561、MPSAテーブル562、送信元アドレス検査部563、ESP復号部564、および、MPSA管理部565を有している。   As illustrated in FIG. 3, the MPSA processing unit 56 includes an MPSA search unit 561, an MPSA table 562, a transmission source address check unit 563, an ESP decoding unit 564, and an MPSA management unit 565.

ここで、MPSA検索部561は、ブランチルータ60との間で通信を行う際に、グループ鍵等に関する合意であるMPSAをMPSAテーブル562から検索し、該当するMPSAを取得するとともに、後述するシーケンス番号ウィンドウに基づいてシーケンス番号が重複するパケットを破棄する。MPSAテーブル562は、前述したMPSAおよびシーケンス番号ウィンドウ等の情報を格納するテーブルである。   Here, when communicating with the branch router 60, the MPSA search unit 561 searches the MPSA table 562 for an MPSA that is an agreement regarding a group key and the like, obtains the corresponding MPSA, and a sequence number described later. Discard packets with duplicate sequence numbers based on the window. The MPSA table 562 is a table for storing information such as the above-described MPSA and sequence number window.

送信元アドレス検査部563は、パケットに付与されたIPアドレスの送信元アドレスに基づいて経路情報テーブル59を参照し、パケットの送信元が正当か否かを判定する。   The transmission source address inspection unit 563 refers to the route information table 59 based on the transmission source address of the IP address given to the packet, and determines whether or not the transmission source of the packet is valid.

ESP復号部564は、MPSAテーブル562を参照して、暗号化されているパケットを復号処理する。   The ESP decryption unit 564 refers to the MPSA table 562 and decrypts the encrypted packet.

MPSA登録部565は、他のブランチルータと通信を行う際に、MPSAテーブル562にMPSAおよびシーケンス番号ウィンドウ等の情報を登録・更新する。   The MPSA registration unit 565 registers and updates information such as the MPSA and the sequence number window in the MPSA table 562 when communicating with other branch routers.

経路情報テーブル59は、経路プロトコル処理部54が取得した経路情報を格納し、この経路情報に基づいて、ルーティング処理が実行される。   The route information table 59 stores the route information acquired by the route protocol processing unit 54, and the routing processing is executed based on this route information.

(B)実施形態の動作の説明
つぎに、本発明の実施形態の動作について説明する。以下では、まず、本実施形態の概略の動作について説明した後に、詳細な動作について説明する。 (B) Description of Operation of Embodiment Next, the operation of the embodiment of the present invention will be described. In the following, first, the general operation of this embodiment will be described, and then the detailed operation will be described.

図4は、図1に示すブランチルータ50がn台の他のブランチルータ60−1〜60−nと通信する場合のMPSA、シーケンス番号、および、シーケンス番号ウィンドウの関係を示す図である。図4(A)はブランチルータ50がパケットを送信する場合を示し、図4(B)はブランチルータ50がパケットを受信する場合を示している。   FIG. 4 is a diagram showing the relationship among MPSA, sequence number, and sequence number window when the branch router 50 shown in FIG. 1 communicates with n other branch routers 60-1 to 60-n. 4A shows a case where the branch router 50 transmits a packet, and FIG. 4B shows a case where the branch router 50 receives a packet.

図4(A)に示すように、ブランチルータ50がパケットを送信する場合には、MPSA0に基づいて他のブランチルータ60−1〜60−nとの間でMPSAが設定される。また、ブランチルータ50はパケットを送信する毎に、シーケンス番号をカウントアップし、カウントアップされたシーケンス番号を各パケットに付与して送信する。ブランチルータ60−1〜60−nは、図4(B)に基づいて後述するように、シーケンス番号ウィンドウを通信相手毎に独立して有しており、このシーケンス番号ウィンドウに基づいて受信したパケットの正当性を判断する。   As shown in FIG. 4A, when the branch router 50 transmits a packet, MPSA is set between the other branch routers 60-1 to 60-n based on MPSA0. Each time the branch router 50 transmits a packet, it increments the sequence number, and assigns the counted sequence number to each packet for transmission. As will be described later with reference to FIG. 4B, the branch routers 60-1 to 60-n have a sequence number window independently for each communication partner, and packets received based on this sequence number window. Judging the legitimacy of

図4(B)に示すように、ブランチルータ50がパケットを受信する場合には、MPSA0に基づいて他のブランチルータ60−1〜60−nとの間でMPSAが設定される。また、ブランチルータ50は、通信相手となるブランチルータ60−1〜60−n毎にシーケンス番号ウィンドウを有しており、シーケンス番号ウィンドウを参照して、同じシーケンス番号が付与されたパケットを重複して受信した場合にはそのパケットは不正なパケットであるとして破棄する。   As shown in FIG. 4B, when the branch router 50 receives a packet, an MPSA is set between the other branch routers 60-1 to 60-n based on MPSA0. Further, the branch router 50 has a sequence number window for each of the branch routers 60-1 to 60-n as communication partners, and refers to the sequence number window to duplicate packets with the same sequence number. If it is received, the packet is discarded as an invalid packet.

図5はMPSAテーブル562に格納されている情報の一例を示す図である。図5(A)はブランチルータ50がパケットを送信する場合に参照する情報であり、図5(B)はブランチルータ50がパケットを受信する場合に参照する情報である。図5(A)に示すように、ブランチルータ50がパケットを送信する場合は、対地(ブランチルータ60−1〜60−n)によらず、同じMPSA0を用いるとともに、同じシーケンス番号を用いる。このため、例えば、ブランチルータ60−1にパケットを1つ送信し、続いて、ブランチルータ60−nにパケットを1つ送信する場合、ブランチルータ60−1にはシーケンス番号が、例えば、“1”のパケットが送信され、ブランチルータ60−nにはシーケンス番号が1カウントアップされた“2”のパケットが送信される。なお、シーケンス番号は、例えば、ESPパケットの場合、32bitのビット長を有するデータであり、送信開始時には0とされ、パケットを送信する毎にカウントアップされ、最大値までカウントされた場合には、設定されたポリシーに基づいてMPSAを破棄するか0に戻って同じ動作を繰り返す。なお、図5(A)に示すような対地を特定しないMPSAを、以下、必要に応じて「対地非特定MPSA」と呼ぶ。   FIG. 5 is a diagram illustrating an example of information stored in the MPSA table 562. FIG. 5A is information referred to when the branch router 50 transmits a packet, and FIG. 5B is information referred to when the branch router 50 receives a packet. As shown in FIG. 5A, when the branch router 50 transmits a packet, the same MPSA0 is used and the same sequence number is used regardless of the ground (branch routers 60-1 to 60-n). Therefore, for example, when one packet is transmitted to the branch router 60-1 and then one packet is transmitted to the branch router 60-n, the sequence number is assigned to the branch router 60-1, for example, “1”. "," And the packet "2" with the sequence number incremented by 1 is transmitted to the branch router 60-n. For example, in the case of an ESP packet, the sequence number is data having a bit length of 32 bits, and is set to 0 at the start of transmission. When the packet is transmitted, the sequence number is counted up to the maximum value. Discard MPSA based on the set policy or return to 0 and repeat the same operation. The MPSA that does not specify the ground as shown in FIG. 5A is hereinafter referred to as “ground non-specific MPSA” as necessary.

図5(B)に示すように、ブランチルータ50がパケットを受信する場合、同じMPSA0を用いるが、シーケンス番号ウィンドウについては対地毎に、すなわち、ブランチルータ60−1〜60−n毎にシーケンス番号ウィンドウを設けて個別に管理する。なお、図5(B)に示すような対地を特定したMPSAを、以下、必要に応じて「対地特定MPSA」と呼ぶ。なお、実際の処理では、最初に「対地非特定MPSA」が設定され、その対地から正当なパケットを受信した場合に、「対地特定MPSA」に設定される。この処理の詳細については、図9を参照して後述する。   As shown in FIG. 5B, when the branch router 50 receives a packet, the same MPSA0 is used, but the sequence number window is set for each ground, that is, for each branch router 60-1 to 60-n. Set up windows and manage them individually. The MPSA that specifies the ground as shown in FIG. 5B is hereinafter referred to as “ground-specific MPSA” as necessary. In actual processing, “ground non-specific MPSA” is set first, and when a legitimate packet is received from the ground, it is set to “ground specific MPSA”. Details of this processing will be described later with reference to FIG.

図6はシーケンス番号ウィンドウの動作を説明するための図である。図6では、16bit分(16パケット分)の情報だけが例として示されている。もちろん、本発明が16bitに限定されるものではなく、リプレイ防御ウィンドウを広げることで無限のbit長に対応する。図6(A)に示すように、初期状態(パケットが届く前の状態)では、シーケンス番号ウィンドウの全てのビットは“0”に設定される。なお、図中の破線の矩形は、リプレイ防御ウィンドウを示し、シーケンス番号ウィンドウではこの範囲の情報のみを管理しており、この範囲内の0のbitもしくはこの範囲より右側に該当するシーケンス番号を持ったパケットのみが受信の対象となり、それ以外のシーケンス番号を持ったパケットは受信しても破棄される。リプレイ防御ウィンドウは、初期状態では、シーケンス番号0に該当するbitを左端とする位置に設定される。   FIG. 6 is a diagram for explaining the operation of the sequence number window. In FIG. 6, only 16 bits (16 packets) of information is shown as an example. Of course, the present invention is not limited to 16 bits, and an infinite bit length is supported by expanding the replay protection window. As shown in FIG. 6A, in the initial state (the state before the packet arrives), all the bits in the sequence number window are set to “0”. The broken-line rectangle in the figure indicates the replay protection window, and the sequence number window manages only information in this range, and has 0 bits in this range or a corresponding sequence number on the right side of this range. Only received packets are subject to reception, and packets with other sequence numbers are discarded even if received. In the initial state, the replay protection window is set at a position where the bit corresponding to the sequence number 0 is the left end.

このような状態において、特定の対地からシーケンス番号が“1”のパケットが届いたとすると、図6(B)に示すように、シーケンス番号ウィンドウのLSB(Least Significant Bit)が“1”に設定される。つぎに、特定の対地からシーケンス番号が“2”のパケットが届いたとすると、図6(C)に示すように、シーケンス番号ウィンドウのLSBから2番目のビットが“1”に設定される。つぎに、シーケンス番号が“3”のパケットが届かずに(例えば、他のブランチルータに送信され)、シーケンス番号が“4”のパケットが届いた場合、図6(D)に示すように、シーケンス番号ウィンドウのLSBから3番目のビットが“0”のままで、シーケンス番号ウィンドウのLSBから4番目のビットが“1”に設定される。このような状態において、図6(E)に示すように、シーケンス番号が“4”の不正なパケットが届いた場合には、シーケンス番号ウィンドウのLSBから4番目のビットは既に“1”に設定されているので、このパケットは不正であるとして破棄される。つぎに、シーケンス番号が“9”のパケットが届いた場合、図6(F)に示すように、リプレイ防御ウィンドウが1bit分だけMSB(Most Significant Bit)側に移動されるとともに、シーケンス番号ウィンドウのLSBから9番目のビットが“1”に設定される。なお、リプレイ防御ウィンドウが移動すると、LSBは範囲から外れるので、例え、シーケンス番号が“1”のパケットがまだ届いていない状態であったとしても、リプレイ防御ウィンドウが移動した後に、シーケンス番号が“1”のパケットが届いたとしても破棄される。なお、更に詳細には、パケット受信時にシーケンス番号ウィンドウにより重複チェックを実施し、重複していないパケットの復号化処理まで成功した場合に該当bitを“1”に設定するとともに必要に応じてリプレイ防御ウィンドウの移動を実施する。   In such a state, if a packet with a sequence number “1” arrives from a specific ground, the LSB (Least Significant Bit) of the sequence number window is set to “1” as shown in FIG. The Next, if a packet having a sequence number “2” arrives from a specific ground, the second bit from the LSB of the sequence number window is set to “1” as shown in FIG. 6C. Next, when the packet with the sequence number “4” arrives without receiving the packet with the sequence number “3” (for example, transmitted to another branch router), as shown in FIG. The third bit from the LSB of the sequence number window remains “0”, and the fourth bit from the LSB of the sequence number window is set to “1”. In this state, as shown in FIG. 6E, when an illegal packet with a sequence number “4” arrives, the fourth bit from the LSB of the sequence number window is already set to “1”. The packet is discarded as invalid. Next, when the packet with the sequence number “9” arrives, the replay protection window is moved to the MSB (Most Significant Bit) side by 1 bit as shown in FIG. The ninth bit from the LSB is set to “1”. Note that when the replay protection window moves, the LSB goes out of range. For example, even if the packet with the sequence number “1” has not yet arrived, the sequence number “ Even if a 1 ″ packet arrives, it is discarded. In more detail, when a packet is received, a duplication check is performed using a sequence number window, and when the decoding process of a non-duplicate packet is successful, the corresponding bit is set to “1” and replay protection is performed as necessary. Perform window movement.

つぎに、より具体的な動作について説明する。まず、ゲートウェイ10とブランチルータ50のIKE処理部13,53の間では、IKE_INIT交換によりIKE_SAで使用する暗号化アルゴリズム(暗号方式や認証方式)が決定され、鍵交換により暗号鍵が共有される。更にIKE_SAを通じ、IPsecでのCHILD_SAを通じた通信で使用される暗号化アルゴリズムが決定され、暗号鍵が共有される。この結果、図1に示すように、ゲートウェイ10とブランチルータ50の間に暗号化トンネルとして、IKEメッセージの交換で使用されるIKE_SAとIPsecでの保護対象となるパケットを送受信するCHILD_SAが形成される。MPSA送信部15は、MPSA管理部16からグループ鍵を受け取り、この暗号化トンネルを介してグループ鍵をブランチルータ50に送信する。ブランチルータ50のMPSA受信部55は、ゲートウェイ10から暗号化アルゴリズムやグループ鍵を受信し、MPSA処理部56に供給する。   Next, a more specific operation will be described. First, between the gateway 10 and the IKE processing units 13 and 53 of the branch router 50, an encryption algorithm (encryption method or authentication method) used in IKE_SA is determined by IKE_INIT exchange, and an encryption key is shared by key exchange. Further, through IKE_SA, an encryption algorithm used in communication through IPsec CHILD_SA is determined, and an encryption key is shared. As a result, as shown in FIG. 1, IKE_SA used for exchanging IKE messages and CHILD_SA for transmitting and receiving packets to be protected by IPsec are formed between the gateway 10 and the branch router 50 as an encrypted tunnel. . The MPSA transmission unit 15 receives the group key from the MPSA management unit 16 and transmits the group key to the branch router 50 via the encrypted tunnel. The MPSA receiving unit 55 of the branch router 50 receives the encryption algorithm and group key from the gateway 10 and supplies them to the MPSA processing unit 56.

同様の処理は、ゲートウェイ10とブランチルータ60の間でも実行され、ブランチルータ60のMPSA受信部65は、ブランチルータ50が受信したものと同じグループ鍵をゲートウェイ10から受信し、MPSA処理部66に供給する。この結果、ブランチルータ50とブランチルータ60が同じグループ鍵を保持することになる。   A similar process is executed between the gateway 10 and the branch router 60, and the MPSA receiving unit 65 of the branch router 60 receives the same group key received by the branch router 50 from the gateway 10 and sends it to the MPSA processing unit 66. Supply. As a result, the branch router 50 and the branch router 60 hold the same group key.

ブランチルータ50とブランチルータ60は、このようにして取得したグループ鍵を用いることで、IPsecでの通信で使用される認証方式や暗号化のパラメータをブランチルータ間で個別に交換することなく、図1に示すように、ブランチルータ50とブランチルータ60の間に暗号化トンネルとなるMPSAが形成され、このMPSAを介して暗号化通信を行うことが可能となる。なお、図4に示すように、ブランチルータ60がn台存在する場合には、前述の場合と同様の処理がゲートウェイ10とブランチルータ60−1〜60−nのそれぞれとの間において実行され、ブランチルータ60−1〜60−nの間で個別にパラメータの受け渡しを行うことなく、これら全てのブランチルータにまたがるMPSAが形成される。   The branch router 50 and the branch router 60 use the group key acquired in this way, so that the authentication method and encryption parameters used in IPsec communication are not exchanged individually between the branch routers. As shown in FIG. 1, an MPSA serving as an encrypted tunnel is formed between the branch router 50 and the branch router 60, and encrypted communication can be performed via the MPSA. As shown in FIG. 4, when there are n branch routers 60, the same processing as described above is executed between the gateway 10 and each of the branch routers 60-1 to 60-n. An MPSA that spans all the branch routers is formed without individually passing parameters between the branch routers 60-1 to 60-n.

このような状態において、例えば、図4に示すブランチルータ50とブランチルータ60−1の間で通信を行う場合を例に挙げて以下に説明する。ブランチルータ50とブランチルータ60−1の間で通信を行う場合には、まず、ゲートウェイ10とこれらのブランチルータとの間でIKE_SAおよびCHILD_SAが形成され、更にゲートウェイ10から各ブランチルータにMPSAで使用する暗号化アルゴリズムやグループ鍵が通知されてMPSAが形成される。この結果、例えばブランチルータ50においては、ブランチルータ50からブランチルータ60−1の送信方向には図4(A)に示す対地非特定のMPSA0が使用され、ブランチルータ60−1からブランチルータ50の受信方向には図4(B)に示す対地特定のMPSA0が使用される。また、ブランチルータ50のMPSAテーブル562には、図5(A)に示す情報(対地非特定MPSA)が、シーケンス番号が初期値“0”の状態で格納されるとともに、図5(B)の1行目に示す対地が60−1に関する情報(対地特定MPSA)が、シーケンス番号ウィンドウが初期値“00000000”の状態で格納され、リプレイ防御ウィンドウ(図示していない)はMSBの位置に設定される。なお、図5(A),(B)では全ての対地に関する情報が格納されているが、実際には通信が開始される際に、初めて情報が生成されて格納されるので、必要な記憶領域の量を減らすことができる。より具体的には、受信したESPパケットの送信元に該当する対地特定MPSAが生成されていなかった場合、シーケンス番号ウィンドウが初期値の状態の仮の対地特定MPSAを生成して受信処理を実施し、ESPパケットの復号化処理が成功して初めて正式な対地特定MPSAとして保持することができる。一方、受信したESPパケットの送信元に該当する対地特定MPSAが生成されていなかった場合であって、復号化処理に失敗したときには不正なパケットとして廃棄するとともに、生成した仮の対地特定MPSAも消去する。   In such a state, for example, a case where communication is performed between the branch router 50 and the branch router 60-1 illustrated in FIG. 4 will be described below as an example. When communication is performed between the branch router 50 and the branch router 60-1, first, IKE_SA and CHILD_SA are formed between the gateway 10 and these branch routers, and are further used by MPSA from the gateway 10 to each branch router. The encryption algorithm and group key to be notified are notified to form the MPSA. As a result, for example, in the branch router 50, the non-grounded MPSA0 shown in FIG. 4A is used in the transmission direction from the branch router 50 to the branch router 60-1, and the branch router 50-1 to the branch router 50 The ground-specific MPSA0 shown in FIG. 4B is used in the receiving direction. In addition, in the MPSA table 562 of the branch router 50, the information (non-ground specific MPSA) shown in FIG. 5A is stored with the sequence number having an initial value “0”, and the information shown in FIG. The information about the ground 60-1 (ground-specific MPSA) shown in the first row is stored with the sequence number window having the initial value “00000000”, and the replay protection window (not shown) is set at the MSB position. The In FIGS. 5A and 5B, information on all the grounds is stored. However, since information is actually generated and stored for the first time when communication is started, a necessary storage area is required. The amount of can be reduced. More specifically, if a ground-specific MPSA corresponding to the transmission source of the received ESP packet has not been generated, a temporary ground-specific MPSA whose sequence number window is in an initial value state is generated and reception processing is performed. Only when the ESP packet decoding process is successful can it be held as an official ground-specific MPSA. On the other hand, if the ground-specific MPSA corresponding to the transmission source of the received ESP packet has not been generated and if the decoding process fails, it is discarded as an invalid packet and the generated temporary ground-specific MPSA is also deleted. To do.

図4(A)に示すように、ブランチルータ50からパケットをブランチルータ60−1に送信する場合には、パケットを1つ送信する毎にシーケンス番号が“1”カウントアップされる。なお、このようなシーケンス番号のカウントアップは、ブランチルータ60−1だけではなく、全てのブランチルータ60−1〜60−nに対して実行される。例えば、ブランチルータ60−1にパケットが送信され、つぎに、ブランチルータ60−2にパケットが送信された場合には、シーケンス番号としては“1”と“2”がそれぞれESPパケット200のESPヘッダ202のシーケンス番号202sとして付与される。このようなESPパケット200を受信したブランチルータ60−1では、後述するような受信処理が実行されてパケットの正当が判定される。   As shown in FIG. 4A, when a packet is transmitted from the branch router 50 to the branch router 60-1, the sequence number is incremented by “1” every time one packet is transmitted. Such sequence number counting is performed not only for the branch router 60-1, but also for all the branch routers 60-1 to 60-n. For example, when a packet is transmitted to the branch router 60-1 and then a packet is transmitted to the branch router 60-2, “1” and “2” are sequence numbers as the ESP header of the ESP packet 200, respectively. 202 is assigned as a sequence number 202s. In the branch router 60-1 that has received such an ESP packet 200, a receiving process as described later is executed to determine the validity of the packet.

図4(B)に示すように、ブランチルータ60−1から送信されたパケットをブランチルータ50が受信する場合、ブランチルータ60−1は、パケットを1つ送信する毎にシーケンス番号を“1”カウントアップする。なお、このようなシーケンス番号のカウントアップは、ブランチルータ50に送信するパケットに対してだけでなく、全てのブランチルータに送信するパケットに対して実行される。例えば、ブランチルータ60−1が、ブランチルータ50にパケットを送信し、つぎに、ブランチルータ60−2にパケットを送信した場合には、シーケンス番号としては“1”と“2”がそれぞれESPパケット200のESPヘッダ202のシーケンス番号202sとして付与される。   As shown in FIG. 4B, when the branch router 50 receives a packet transmitted from the branch router 60-1, the branch router 60-1 sets the sequence number to “1” every time one packet is transmitted. Count up. Note that such sequence number count-up is performed not only for packets transmitted to the branch router 50 but also for packets transmitted to all branch routers. For example, when the branch router 60-1 transmits a packet to the branch router 50 and then transmits a packet to the branch router 60-2, “1” and “2” are the ESP packets as sequence numbers. It is given as a sequence number 202 s of 200 ESP headers 202.

このようなESPパケット200を受信したブランチルータ50は、ESPパケット200のアウターIPヘッダ201に含まれる送信元アドレス201sから対地(ブランチルータ60−1)を特定し、この対地に対応する情報を図5(B)に示す情報から特定する。いまの例では、図5(B)の1行目の情報が特定される。つぎに、ESPパケット200のESPヘッダ202に格納されているシーケンス番号202sが取得され、シーケンス番号ウィンドウの対応するビットが参照される。例えば、シーケンス番号202sが“1”である場合に、シーケンス番号ウィンドウのMSBが“0”であるときにはこのパケットは正当であると判定されて受信される。一方、シーケンス番号ウィンドウのMSBが“1”であるときにはこのパケットは正当でないと判定されて破棄される。   The branch router 50 that has received such an ESP packet 200 identifies the ground (branch router 60-1) from the source address 201s included in the outer IP header 201 of the ESP packet 200, and displays information corresponding to this ground. It specifies from the information shown in 5 (B). In the present example, the information on the first line in FIG. 5B is specified. Next, the sequence number 202s stored in the ESP header 202 of the ESP packet 200 is acquired, and the corresponding bit of the sequence number window is referred to. For example, when the sequence number 202 s is “1” and the MSB of the sequence number window is “0”, this packet is determined to be valid and received. On the other hand, when the MSB of the sequence number window is “1”, it is determined that this packet is not valid and is discarded.

なお、前述のように、ブランチルータ60−1は、ブランチルータ50以外のブランチルータに対してパケットを送信する場合でも、シーケンス番号をカウントアップするので、ブランチルータ50が受信するパケットに付与されているシーケンス番号は、場合によっては飛び飛びの値となる。しかし、その場合でも、リプレイ防御ウィンドウが移動すれば、受信されなかったパケット(他のブランチルータに向けて送信されたパケット)は無視されるので、問題は生じない。   Note that, as described above, even when the branch router 60-1 transmits a packet to a branch router other than the branch router 50, the sequence router counts up, so that the branch router 60-1 is given to the packet received by the branch router 50. The sequence number is a skip value in some cases. However, even in this case, if the replay protection window moves, a packet that has not been received (a packet transmitted toward another branch router) is ignored, and thus no problem occurs.

以上の処理によれば、パケットを送信する場合には複数の対地に対して1つのシーケンス番号を準備し、パケットを受信する場合にはそれぞれの対地に対して1つずつシーケンス番号ウィンドウを準備し、このシーケンス番号ウィンドウに基づいて、パケットの重複を判断するようにした。このため、グループで1つのMPSAを共有するネットワークであっても、リプレイ攻撃を防ぐことが可能になる。また、パケットを受信した場合に初めて対地特定MPSAを設けるようにしたので、記憶領域の使用量を減らすことができる。   According to the above processing, one sequence number is prepared for a plurality of grounds when transmitting a packet, and one sequence number window is prepared for each ground when receiving a packet. Based on this sequence number window, packet duplication is determined. For this reason, even if the network shares one MPSA in the group, it becomes possible to prevent a replay attack. In addition, since the ground-specific MPSA is provided for the first time when a packet is received, the usage amount of the storage area can be reduced.

つぎに、図9,10を参照して、図3に示すMPSA処理部56において実行される処理について説明する。図3では主に、図9のS11からS14を経てS19に至る処理について記している。   Next, processing executed in the MPSA processing unit 56 shown in FIG. 3 will be described with reference to FIGS. FIG. 3 mainly describes processing from S11 to S14 in FIG. 9 to S19.

図9は、パケットを受信した場合に実行される処理の流れを説明するためのフローチャートである。このフローチャートの処理が開始されると、以下のステップが実行される。   FIG. 9 is a flowchart for explaining the flow of processing executed when a packet is received. When the processing of this flowchart is started, the following steps are executed.

ステップS10では、パケット送受信部51は、ESPパケット200を受信する。例えば、パケット送受信部51は、ブランチルータ60−1から送信されたパケットを受信する。   In step S <b> 10, the packet transmission / reception unit 51 receives the ESP packet 200. For example, the packet transmitting / receiving unit 51 receives a packet transmitted from the branch router 60-1.

ステップS11では、MPSA処理部56のMPSA検索部561は、ステップS10で受信したESPパケット200のSPI(Security Parameter Index)および送信元アドレス201sを参照し、MPSAテーブル562から対地特定MPSAを検索する。例えば、ブランチルータ60−1から送信されたESPパケット200を受信した場合には、図5(B)に示す対地が60−1であるMPSAが検索される。   In step S11, the MPSA search unit 561 of the MPSA processing unit 56 refers to the SPI (Security Parameter Index) and the transmission source address 201s of the ESP packet 200 received in step S10, and searches the MPSA table 562 for the ground identification MPSA. For example, when the ESP packet 200 transmitted from the branch router 60-1 is received, the MPSA whose ground shown in FIG. 5B is 60-1 is searched.

ステップS12では、MPSA検索部561は、対地特定MPSAが存在するか否かを判定し、存在する場合(ステップS12:Yes)にはステップS13に進み、それ以外の場合(ステップS12:No)にはステップS14に進む。いまの例では、MPSAテーブル562にブランチルータ60−1に対応する対地特定MPSAが存在する場合にはステップS13に進み、それ以外の場合にはステップS14に進む。   In step S12, the MPSA search unit 561 determines whether or not the ground-specific MPSA exists, and if it exists (step S12: Yes), the process proceeds to step S13, and otherwise (step S12: No). Advances to step S14. In the present example, if the ground-specific MPSA corresponding to the branch router 60-1 exists in the MPSA table 562, the process proceeds to step S13, and otherwise, the process proceeds to step S14.

ステップS13では、対地特定MPSAが存在する場合には、その後の処理を継続する。より詳細には、送信元アドレス検査部563によってアウターIPヘッダ201に含まれる送信元アドレス201sが検査されて正当な送信元からパケットが送信されているか否かが判定される処理については既に対地特定MPSAが存在することで正当な送信元であることは判明しているので省略し、ESP復号部564によってESPパケット200が復号されるとともに対地特定MPSAのシーケンス番号ウィンドウを更新し、MPSA登録部565は対地特定MPSAが登録済みであるためスキップして、復号されて得られたIPパケット100がE−IPクライアントネットワーク70に対して送信される。   In step S13, if the ground identification MPSA exists, the subsequent processing is continued. More specifically, the process of determining the source address 201s included in the outer IP header 201 by the source address inspection unit 563 and determining whether or not a packet is transmitted from a valid source has already been specified for the ground. Since the MPSA is known to be a valid transmission source, it is omitted, and the ESP packet 200 is decoded by the ESP decoding unit 564 and the sequence number window of the ground-specific MPSA is updated, and the MPSA registration unit 565 Since the ground-specific MPSA has already been registered, the IP packet 100 obtained by decoding and skipping is transmitted to the E-IP client network 70.

ステップS14では、MPSA検索部561は、ステップS10で受信したESPパケット200のSPIを参照し、MPSAテーブル562から対地「非」特定MPSAを検索する。なお、この対地非特定MPSAとは、図5(B)に示す対地が特定されていないMPSAであり、例えば、MPSAの種類(例えば、MPSA1)と、空欄とされた対地(例えば、空欄を示す「−」)と、初期値である“0”を有するシーケンス番号ウィンドウとからなる情報である。   In step S14, the MPSA search unit 561 refers to the SPI of the ESP packet 200 received in step S10, and searches the MPSA table 562 for a specific “non” specific MPSA. The ground non-specific MPSA is an MPSA in which the ground shown in FIG. 5B is not specified. For example, the type of MPSA (for example, MPSA1) and a blank ground (for example, blank) are shown. “−”) And a sequence number window having an initial value “0”.

ステップS15では、MPSA検索部561は、対地非特定MPSAが存在するか否かを判定し、存在する場合(ステップS15:Yes)にはステップS17に進み、それ以外の場合(ステップS15:No)にはステップS16に進む。いまの例では、MPSAテーブル562に、前述した対地非特定MPSAが存在する場合にはステップS17に進み、それ以外の場合にはステップS16に進む。ステップS15ではステップS17でESP復号化処理を行う前に、送信元アドレス検査部563によってIPヘッダ201に含まれる送信元アドレス201sが検査されて正当な送信元からのパケットか否かを判定することができる。この判定は粗い判定処理であるため割愛してもよい。   In step S15, the MPSA search unit 561 determines whether or not the non-ground specific MPSA exists, and if it exists (step S15: Yes), the process proceeds to step S17, and otherwise (step S15: No). Then, the process proceeds to step S16. In the present example, if the above-mentioned ground non-specific MPSA exists in the MPSA table 562, the process proceeds to step S17, and otherwise, the process proceeds to step S16. In step S15, before performing the ESP decoding process in step S17, the source address checking unit 563 checks the source address 201s included in the IP header 201 to determine whether the packet is from a valid source. Can do. Since this determination is a rough determination process, it may be omitted.

ステップS16では、MPSA検索部561は、処理対象となっているパケットを廃棄する。   In step S16, the MPSA search unit 561 discards the packet to be processed.

ステップS17では、ESP復号部564は、ESPパケット200を、ステップS15で特定された対地非特定MPSAから生成した仮の対地特定MPSAに基づいて復号化する。この結果、IPパケット100が得られる。   In step S17, the ESP decoding unit 564 decodes the ESP packet 200 based on the temporary ground specific MPSA generated from the ground non-specific MPSA identified in step S15. As a result, the IP packet 100 is obtained.

ステップS18では、ESP復号部564は、復号処理の結果、処理の対象となるパケットが正当なパケットであるか否かを判定し、正当なパケットであると判定した場合(ステップS18:Yes)にはステップS19に進み、それ以外の場合(ステップS18:No)にはステップS16に進んでパケットを破棄する。例えば、復号化が適正に実行できたことにより、正当なパケットであると判定した場合には、ステップS19に進む。   In step S18, the ESP decoding unit 564 determines whether the packet to be processed is a valid packet as a result of the decoding process, and determines that the packet is a valid packet (step S18: Yes). The process proceeds to step S19, and otherwise (step S18: No), the process proceeds to step S16 and the packet is discarded. For example, if it is determined that the packet is a legitimate packet as a result of proper decoding, the process proceeds to step S19.

ステップS19では、MPSA登録部565は、ステップS15で特定した対地非特定MPSAに基づいて生成した仮の対地特定MPSAを正式な対地特定MPSAとして、MPSAテーブル562に登録する。例えば、ブランチルータ60−1からのパケットの場合には、図5(B)の1行目に示す情報であって、シーケンス番号ウィンドウの受信したシーケンス番号に対応したBitが“1”に設定された対地特定MPSAがMPSAテーブル562に登録される。なお、登録が完了すると、これ以降は、対地特定MPSAが存在することになるので、ステップS12でYesと判定されてステップS13の処理が実行されることになる。   In step S19, the MPSA registration unit 565 registers the temporary ground specific MPSA generated based on the ground non-specific MPSA specified in step S15 in the MPSA table 562 as a formal ground specific MPSA. For example, in the case of a packet from the branch router 60-1, the bit corresponding to the received sequence number in the sequence number window is set to “1” in the information shown in the first line of FIG. The ground-specific MPSA is registered in the MPSA table 562. When registration is completed, the ground-specific MPSA is present thereafter, so that the determination at Step S12 is Yes and the process at Step S13 is executed.

ステップS20では、パケット送受信部57は、E−IPクライアントネットワーク70に対してパケットを転送する処理を実行する。   In step S <b> 20, the packet transmitting / receiving unit 57 executes a process of transferring the packet to the E-IP client network 70.

つぎに、図10を参照して、ブランチルータにおいて、パケットを送信する場合に実行される処理について説明する。図10に示すフローチャートの処理が開始される前に、ゲートウェイ10から受信した経路情報とゲートウェイ10から受信した情報であるということに基づき、送信しようとするパケットの送信先アドレス(E−IPクライアントネットワークのアドレス)から、MPSAを介した送信先となるブランチルータ(対地)と、使用すべきMPSAが特定される。図10に示すフローチャートの処理が開始されると、以下のステップが実行される。   Next, with reference to FIG. 10, processing executed when a branch router transmits a packet will be described. Before the processing of the flowchart shown in FIG. 10 is started, the destination address (E-IP client network) of the packet to be transmitted is based on the route information received from the gateway 10 and the information received from the gateway 10. Address), the branch router (ground) serving as the transmission destination via MPSA and the MPSA to be used are specified. When the processing of the flowchart shown in FIG. 10 is started, the following steps are executed.

ステップS30では、MPSA検索部561は、経路情報から特定されたMPSAに適合する対地非特定MPSAをMPSAテーブル562から検索する。詳細には、図5(A)に示す対地非特定MPSAがMPSAテーブル562から検索される。   In step S30, the MPSA search unit 561 searches the MPSA table 562 for a non-ground specific MPSA that matches the MPSA specified from the route information. Specifically, the non-ground specific MPSA shown in FIG. 5A is retrieved from the MPSA table 562.

ステップS31では、MPSA検索部561は、該当する対地非特定MPSAがMPSAテーブル562に存在すると判定した場合(ステップS31:Yes)にはステップS32に進み、それ以外の場合(ステップS31:No)にはステップS33に進む。例えば、図5(A)に示す対地非特定MPSAが存在する場合にはステップS32に進む。   In step S31, the MPSA search unit 561 proceeds to step S32 when it is determined that the corresponding non-ground specific MPSA exists in the MPSA table 562 (step S31: Yes), and otherwise (step S31: No). Advances to step S33. For example, when the ground non-specific MPSA shown in FIG. 5A exists, the process proceeds to step S32.

ステップS32では、MPSA処理部56は処理を継続する。具体的には、MPSA処理部56は、対地非特定MPSAに基づいて暗号化処理を行うとともに、シーケンス番号を付与し、ESPパケットを生成する。同時に対地非特定MPSAのシーケンス番号をカウントアップする。その後、パケット送受信部51に生成したESPパケットを供給する。この結果、パケット送受信部51は、パケットを送信する。   In step S32, the MPSA processing unit 56 continues the process. Specifically, the MPSA processing unit 56 performs an encryption process based on the ground-unspecified MPSA, assigns a sequence number, and generates an ESP packet. At the same time, the sequence number of the non-ground specific MPSA is counted up. Thereafter, the generated ESP packet is supplied to the packet transmitting / receiving unit 51. As a result, the packet transmitting / receiving unit 51 transmits the packet.

ステップS33では、MPSA処理部56は、処理対象としているパケットを破棄する。   In step S33, the MPSA processing unit 56 discards the packet to be processed.

以上の処理によれば、対地非特定MPSAが存在する相手を送信先とするパケットについては送信処理を実行し、存在しないパケットについては破棄することができる。   According to the above processing, it is possible to execute transmission processing for a packet whose destination is a partner for which the non-specific MPSA exists, and discard a packet that does not exist.

(C)変形実施形態の説明
以上の各実施形態は一例であって、本発明が上述したような場合のみに限定されるものでないことはいうまでもない。例えば、図1に示す実施形態では、ブランチルータが2台の場合を示したが、ブランチルータが3台以上存在する場合であっても、本発明を適用することが可能である。また、図1に示す実施形態では、ブランチルータ50,60を有するグループが1つのみの場合を例に挙げて説明したが、2以上のグループが存在し、各グループ内で共通のMPSAを用いて暗号化通信を行う場合に、本発明を適用することも可能である。 (C) Description of Modified Embodiment Each of the above embodiments is an example, and it is needless to say that the present invention is not limited to the case described above. For example, the embodiment shown in FIG. 1 shows the case where there are two branch routers, but the present invention can be applied even when there are three or more branch routers. In the embodiment shown in FIG. 1, the case where there is only one group having the branch routers 50 and 60 has been described as an example. However, two or more groups exist, and a common MPSA is used in each group. The present invention can also be applied when performing encrypted communication.

また、図5に示すMPSAテーブルは一例であって、これ以外の方法でMPSAを管理するようにしてもよい。   The MPSA table shown in FIG. 5 is an example, and MPSA may be managed by other methods.

また、パケットを受信した場合に、対地特定MPSAを生成するようにしたが、ゲートウェイ10から受信した経路情報に基づき、全ての対地特定MPSAを常時有するようにしてもよい。   Further, when a packet is received, the ground-specific MPSA is generated. However, all the ground-specific MPSAs may be always provided based on the route information received from the gateway 10.

また、図6に示すシーケンス番号ウィンドウのビット数およびリプレイ防止ウィンドウのビット数は一例であって、これ以外のビット数であってもよい。   Further, the number of bits of the sequence number window and the number of bits of the replay prevention window shown in FIG. 6 are examples, and other numbers of bits may be used.

また、いずれかのブランチルータが停電や故障によって再起動された場合、そのブランチルータのシーケンス番号が初期化されることから、他のブランチルータとの間で整合性がとれなくなることがある。そこで、図11および図12に示すように、いずれかのブランチルータが再起動された場合、MPSAを再登録するようにしてもよい。より詳細には、図11はゲートウェイ10において実行される処理を示し、また、図12はブランチルータ50,60において実行される処理を示す。図11に示す処理が開始されると以下のステップが実行される。   In addition, when one of the branch routers is restarted due to a power failure or failure, the sequence number of the branch router is initialized, so that consistency with other branch routers may not be achieved. Therefore, as shown in FIGS. 11 and 12, when any branch router is restarted, MPSA may be re-registered. More specifically, FIG. 11 shows processing executed in the gateway 10, and FIG. 12 shows processing executed in the branch routers 50 and 60. When the process shown in FIG. 11 is started, the following steps are executed.

ステップS50では、SA処理部12は、所定のブランチルータ(BR)の正当性が確認されたか否かを判定し、正当性が確認された場合(ステップS50:Yes)にはステップS51に進み、それ以外の場合(ステップS50:No)には処理を終了する。例えば、ブランチルータ50が再起動され、このブランチルータ50から要求がなされた場合において、ブランチルータ50の正当性が確認できた場合にはステップS51に進む。   In step S50, the SA processing unit 12 determines whether or not the validity of the predetermined branch router (BR) is confirmed. If the validity is confirmed (step S50: Yes), the process proceeds to step S51. In other cases (step S50: No), the process ends. For example, when the branch router 50 is restarted and a request is made from the branch router 50, if the legitimacy of the branch router 50 is confirmed, the process proceeds to step S51.

ステップS51では、MPSA管理部16は、ステップS50において正当性が確認されたブランチルータがどのMPSAに属しているかを検索する。例えば、ブランチルータ50の正当性が確認できた場合には、ブランチルータ50の属しているMPSAが特定される。   In step S51, the MPSA management unit 16 searches to which MPSA the branch router whose validity is confirmed in step S50 belongs. For example, when the legitimacy of the branch router 50 can be confirmed, the MPSA to which the branch router 50 belongs is specified.

ステップS52では、SA処理部12は、ステップS51で特定した全てのブランチルータに対して、MPSAの再登録を要求する。例えば、ブランチルータ50の正当性が確認できた場合には、ブランチルータ50の属しているMPSAに含まれる全てのブランチルータ50,60に対して、MPSAの再登録を要求する。   In step S52, the SA processing unit 12 requests MPSA re-registration from all the branch routers identified in step S51. For example, when the legitimacy of the branch router 50 can be confirmed, MPSA re-registration is requested to all the branch routers 50 and 60 included in the MPSA to which the branch router 50 belongs.

つぎに、図11の要求がなされた場合におけるブランチルータの処理について図12を参照して説明する。図12の処理が実行されると以下のステップが実行される。なお、以下では、ブランチルータ60を例に挙げて動作を説明する。   Next, the processing of the branch router when the request of FIG. 11 is made will be described with reference to FIG. When the processing of FIG. 12 is executed, the following steps are executed. In the following, the operation will be described by taking the branch router 60 as an example.

ステップS70では、MPSA処理部66は、ゲートウェイ(GW)10からMPSAの再登録の要求があったか否かを判定し、要求があったと判定した場合(ステップS70:Yes)にはステップS71に進み、それ以外の場合(ステップS70:No)にはステップS71に進む。例えば、ブランチルータ50が再起動された場合には、ステップS53の処理により、ゲートウェイ10から再登録の要求がなされるので、Yesと判定してステップS71に進む。   In step S70, the MPSA processing unit 66 determines whether there is a request for re-registration of MPSA from the gateway (GW) 10, and when it is determined that there is a request (step S70: Yes), the process proceeds to step S71. In other cases (step S70: No), the process proceeds to step S71. For example, when the branch router 50 is restarted, a re-registration request is made from the gateway 10 by the process of step S53, so it is determined Yes and the process proceeds to step S71.

ステップS71では、MPSA処理部56は、MPSAの再登録処理を開始する。   In step S71, the MPSA processing unit 56 starts an MPSA re-registration process.

ステップS72では、MPSA処理部56は、シーケンス番号を含めたMPSAの初期化処理を実行する。なお、MPSAの再登録および初期化処理が実行されると、それまで使用された古いMPSAの他に新たなMPSAが生成されることになるが、MPSA処理部66は、古いMPSAを直ちに削除するのではなく、古いMPSAと新しいMPSAの双方が一時的に併存する状態とし、例えば、再登録から所定の時間が経過するか、または、新たなMPSAによる受信が実行されたことをきっかけとして、古いMPSAを削除することで、パケットを失うことなく、古いMPSAから新しいMPSAへ移行することができる。   In step S72, the MPSA processing unit 56 executes an MPSA initialization process including a sequence number. When MPSA re-registration and initialization processing is executed, a new MPSA is generated in addition to the old MPSA used so far, but the MPSA processing unit 66 immediately deletes the old MPSA. Rather than the old MPSA and the new MPSA coexisting temporarily, for example, when a predetermined time has elapsed since re-registration or the reception by the new MPSA was executed, the old MPSA By deleting the MPSA, it is possible to move from the old MPSA to the new MPSA without losing the packet.

ステップS73では、MPSA処理部56は、ステップS70においてゲートウェイ10からの要求に応答して再登録が終了したことをゲートウェイ10に通知するために、応答処理を実行する。この結果、ゲートウェイ10は、ブランチルータ50において再登録処理が終了したことを知ることができる。   In step S73, the MPSA processing unit 56 executes response processing in order to notify the gateway 10 that re-registration has been completed in response to the request from the gateway 10 in step S70. As a result, the gateway 10 can know that the re-registration process has been completed in the branch router 50.

以上の処理によれば、ブランチルータが再起動された場合であっても、シーケンス番号の整合性を保つことができる。   According to the above processing, sequence number consistency can be maintained even when the branch router is restarted.

なお、前述した図9〜12に示すフローチャートの処理は一例であって、このような処理のみに本発明が限定されるものではない。   Note that the processing of the flowcharts shown in FIGS. 9 to 12 described above is an example, and the present invention is not limited to such processing.

10 ゲートウェイ
11 パケット送受信部
12 SA処理部
13 IKE処理部
14 経路プロトコル処理部
15 MPSA送信部(配布手段)
16 MPSA管理部
20 トランジットネットワーク
30 I−IPネットワーク
40 MPSA
50,60 ブランチルータ
51,61 パケット送受信部(通信手段)
52,62 SA処理部
53,63 IKE処理部
54,64 経路プロトコル処理部
55,65 MPSA受信部
56,66 MPSA処理部
57,67 パケット送受信部
70,80 E−IPクライアントネットワーク
90 トンネル
54,64 経路プロトコル処理部
56,66 MPSA処理部
59,69 経路情報テーブル
561,661 MPSA検索部(判定手段、破棄手段)
562,662 MPSAテーブル(記憶手段)
563,663 送信元アドレス検査部
564,664 ESP復号部
565,665 MPSA登録部 DESCRIPTION OF SYMBOLS 10 Gateway 11 Packet transmission / reception part 12 SA processing part 13 IKE processing part 14 Path | route protocol processing part 15 MPSA transmission part (distribution means)
16 MPSA management unit 20 Transit network 30 I-IP network 40 MPSA
50, 60 Branch router 51, 61 Packet transceiver (communication means)
52, 62 SA processing unit 53, 63 IKE processing unit 54, 64 Route protocol processing unit 55, 65 MPSA reception unit 56, 66 MPSA processing unit 57, 67 Packet transmission / reception unit 70, 80 E-IP client network 90 Tunnel 54, 64 Route protocol processing unit 56, 66 MPSA processing unit 59, 69 Route information table 561, 661 MPSA search unit (determination means, discarding means)
562, 662 MPSA table (storage means)
563, 663 Source address checking unit 564, 664 ESP decoding unit 565, 665 MPSA registration unit

Claims (6)

複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するゲートウェイとを有するネットワークシステムにおいて、
前記ゲートウェイは、
各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布手段を有し、
前記複数のブランチルータは、
前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信手段と、
他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶する記憶手段と、
他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定手段と、
前記判定手段によってシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄手段と、を有する、
ことを特徴とするネットワークシステム。 In a network system having one or more groups having a plurality of branch routers and a gateway for controlling the one or more groups,
The gateway is
Distribution means for distributing MPSA (Multi-point Security Association) information to a plurality of branch routers constituting each group;
The plurality of branch routers are:
Communication means for performing encrypted communication with each other based on the MPSA information distributed by the distribution means;
Storage means for storing, for each branch router, a sequence number window that is information for determining whether or not there is duplication of sequence numbers given to packets transmitted from other branch routers;
When receiving a packet from another branch router, with reference to a sequence number window stored in the storage means, a determination means for determining the presence or absence of duplication of sequence numbers;
A discarding unit that discards the packet when the determination unit determines that the sequence number is duplicated,
A network system characterized by this. 前記記憶手段は、通信が発生した場合に、そのブランチルータの前記シーケンス番号ウィンドウを記憶する、ことを特徴とする請求項1に記載のネットワークシステム。   The network system according to claim 1, wherein the storage unit stores the sequence number window of the branch router when communication occurs. 前記記憶手段は、他のブランチルータに対してパケットを送信するための共通のシーケンス番号を記憶している、ことを特徴とする請求項1または2に記載のネットワークシステム。   The network system according to claim 1, wherein the storage unit stores a common sequence number for transmitting a packet to another branch router. 複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するゲートウェイとを有するネットワークシステムの制御方法において、
前記ゲートウェイは、
各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布ステップを有し、
前記複数のブランチルータは、
前記配布ステップにおいて配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信ステップと、
他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶装置に記憶させる記憶ステップと、
他のブランチルータからパケットを受信した場合、前記記憶装置に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定ステップと、
前記判定ステップにおいてシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄ステップと、を有する、
ことを特徴とするネットワークシステムの制御方法。 In a control method of a network system having one or more groups having a plurality of branch routers and a gateway for controlling the one or more groups,
The gateway is
A distribution step of distributing MPSA (Multi-point Security Association) information to the plurality of branch routers constituting each group;
The plurality of branch routers are:
A communication step for performing encrypted communication with each other based on the MPSA information distributed in the distribution step;
A storage step of storing a sequence number window, which is information for determining whether or not the sequence number assigned to a packet transmitted from another branch router is duplicated, in a storage device for each branch router;
When receiving a packet from another branch router, referring to a sequence number window stored in the storage device, a determination step of determining whether there is a duplication of sequence numbers;
A discarding step of discarding the packet when it is determined that the sequence number is duplicated in the determination step;
A control method for a network system. 複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するとともに、各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布手段を備えるゲートウェイとを有するネットワークシステムを構成する前記ブランチルータにおいて、
前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信手段と、
他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶する記憶手段と、
他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定手段と、
前記判定手段によってシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄手段と、を有する、
ことを特徴とするブランチルータ。 One or more groups having a plurality of branch routers, and distribution means for controlling the one or more groups and distributing MPSA (Multi-point Security Association) information to the plurality of branch routers constituting each group In the branch router constituting a network system having a gateway comprising:
Communication means for performing encrypted communication with each other based on the MPSA information distributed by the distribution means;
Storage means for storing, for each branch router, a sequence number window that is information for determining whether or not there is duplication of sequence numbers given to packets transmitted from other branch routers;
When receiving a packet from another branch router, with reference to a sequence number window stored in the storage means, a determination means for determining the presence or absence of duplication of sequence numbers;
A discarding unit that discards the packet when the determination unit determines that the sequence number is duplicated,
A branch router characterized by that. 複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するとともに、各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布手段を備えるゲートウェイとを有するネットワークシステムを構成する前記ブランチルータの制御方法において、
前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信ステップと、
他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶する記憶ステップと、
他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定ステップと、
前記判定ステップにおいてシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄ステップと、を有する、
ことを特徴とするブランチルータの制御方法。 One or more groups having a plurality of branch routers, and distribution means for controlling the one or more groups and distributing MPSA (Multi-point Security Association) information to the plurality of branch routers constituting each group In the control method of the branch router constituting a network system having a gateway comprising:
A communication step for performing encrypted communication with each other based on the MPSA information distributed by the distribution means;
A storage step of storing, for each branch router, a sequence number window that is information for determining whether or not there is duplication of sequence numbers given to packets transmitted from other branch routers;
When receiving a packet from another branch router, referring to a sequence number window stored in the storage means, a determination step of determining whether there is a duplication of sequence numbers;
A discarding step of discarding the packet when it is determined that the sequence number is duplicated in the determination step;
A branch router control method characterized by the above.
JP2013182354A 2013-09-03 2013-09-03 Network system, branch router, and control method thereof Active JP6239320B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013182354A JP6239320B2 (en) 2013-09-03 2013-09-03 Network system, branch router, and control method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013182354A JP6239320B2 (en) 2013-09-03 2013-09-03 Network system, branch router, and control method thereof

Publications (2)

Publication Number Publication Date
JP2015050699A true JP2015050699A (en) 2015-03-16
JP6239320B2 JP6239320B2 (en) 2017-11-29

Family

ID=52700344

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013182354A Active JP6239320B2 (en) 2013-09-03 2013-09-03 Network system, branch router, and control method thereof

Country Status (1)

Country Link
JP (1) JP6239320B2 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008541504A (en) * 2006-03-14 2008-11-20 ハンジョウ エイチ3シー テクノロジーズ コーポレイション、 リミテッド Multi-unit message sequence number checking method, apparatus and system thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008541504A (en) * 2006-03-14 2008-11-20 ハンジョウ エイチ3シー テクノロジーズ コーポレイション、 リミテッド Multi-unit message sequence number checking method, apparatus and system thereof

Also Published As

Publication number Publication date
JP6239320B2 (en) 2017-11-29

Similar Documents

Publication Publication Date Title
US11075892B2 (en) Fully cloaked network communication model for remediation of traffic analysis based network attacks
US10404588B2 (en) Path maximum transmission unit handling for virtual private networks
US7571463B1 (en) Method an apparatus for providing a scalable and secure network without point to point associations
KR100679882B1 (en) Communication between a private network and a roaming mobile terminal
EP2779589B1 (en) Changing dynamic group VPN member reachability information
JP3730480B2 (en) Gateway device
US7877601B2 (en) Method and system for including security information with a packet
US20050063352A1 (en) Method to provide dynamic Internet Protocol security policy service
CN103188351B (en) IPSec VPN traffic method for processing business and system under IPv6 environment
US20140181967A1 (en) Providing-replay protection in systems using group security associations
JP2009516435A (en) Secure route optimization for mobile networks using multi-key encryption generated addresses
WO2007103338A2 (en) Technique for processing data packets in a communication network
US10798071B2 (en) IPSEC anti-relay window with quality of service
CN1741523B (en) Key exchange protocol method for realizing main machine transferability and multi-home function
Moreira et al. Security mechanisms to protect IEEE 1588 synchronization: State of the art and trends
US20120166792A1 (en) Efficient nemo security with ibe
CN103227742B (en) A kind of method of ipsec tunnel fast processing message
CN113726795A (en) Message forwarding method and device, electronic equipment and readable storage medium
US8514777B1 (en) Method and apparatus for protecting location privacy of a mobile device in a wireless communications network
US8819790B2 (en) Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment
Liyanage et al. Secure hierarchical virtual private LAN services for provider provisioned networks
US11095619B2 (en) Information exchange for secure communication
CN107135226B (en) Transport layer proxy communication method based on socks5
US20220279350A1 (en) Establishing multiple security associations in a connection operation
JP6239320B2 (en) Network system, branch router, and control method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160721

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170705

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170901

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171101

R151 Written notification of patent or utility model registration

Ref document number: 6239320

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350