JP2017098666A - 通信装置,及び暗号化通信の異常検出方法 - Google Patents

通信装置,及び暗号化通信の異常検出方法 Download PDF

Info

Publication number
JP2017098666A
JP2017098666A JP2015226782A JP2015226782A JP2017098666A JP 2017098666 A JP2017098666 A JP 2017098666A JP 2015226782 A JP2015226782 A JP 2015226782A JP 2015226782 A JP2015226782 A JP 2015226782A JP 2017098666 A JP2017098666 A JP 2017098666A
Authority
JP
Japan
Prior art keywords
monitoring
negotiation
packet
ipsec
recovery
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015226782A
Other languages
English (en)
Inventor
勇 福田
Isamu Fukuda
勇 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015226782A priority Critical patent/JP2017098666A/ja
Priority to US15/332,093 priority patent/US20170149743A1/en
Publication of JP2017098666A publication Critical patent/JP2017098666A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】下位レイヤを用いた監視では検出できない暗号化通信の異常を簡易な構成を以て検出可能とする。
【解決手段】通信装置は、対向装置との間で確立される暗号化通信の経路の交渉に使用される交渉情報を記憶した記憶部と、前記経路を送受信されるとともに前記交渉情報を用いて特定される監視対象パケットが所定時間内に受信されない場合に前記暗号化通信の異常を検出する監視部とを含む。
【選択図】図4

Description

本発明は、通信装置,及び暗号化通信の異常検出方法に関する。
ネットワーク層のセキュリティプロトコルの一つとして、Security Architecture for the Internet Protocol(IPsec)がある。IPsecは、暗号化通信技術を用いて
、IPパケット単位でデータの改竄防止や秘匿機能を提供する。IPsecでは、“IPsec_SA(Security Association)”と呼ばれる暗号化経路(トンネル)が、IPsecを終端する装置間で確立される。IPsec_SA(「IPsecトンネル」とも表記)を用いて転送されるパケットは、Encapsulation Security Payload(ESP)により暗号化され且つカプセル化される。
IPsec_SAを自動的に確立するためのプロトコルとして、Internet Key Exchange(IKE)と呼ばれる鍵交換プロトコルが使用される。IKEは、IPsecを終端す
る装置間で、“IKE_SA”と呼ばれるIKE用のトンネルを確立し、IKE_SAを用いてIPsecの暗号鍵の交換、IPsec_SAに係るパラメータ交換などの、IPsec_SAを確立するためのネゴシエーションなどを行う。
従来、IPsecレイヤ、すなわちIPsec_SAは、Dead Peer Detection(DP
D)と呼ばれる死活監視機構を用いて監視される。DPDは、IKE_SAの切断(dead)を以て、IPsecトンネルの切断を検出する。換言すれば、DPDによって、IPsecを終端する装置間の疎通(接続性:Connectivity)が判定される。
また、IPsecの上位レイヤのプロトコルが、IPsecトンネルの定期監視機能を具備する場合もある。例えば、IPsecの上位レイヤのプロトコルであるInternet Control Message Protocol(ICMP)が定期的なping送信を行い(ICMP echo)、応答がない場合にIPsecの障害を検出する。このように、上位レイヤがIPsec_SAを監視する場合もある。
その他、本願に係る背景技術としては、以下に示す特許文献1〜特許文献4に記載された技術がある。
特開2008−205806号公報 特開2012−231368号公報 特開2005−20215号公報 特開2005−253061号公報
DPDは、IKE_SAが正常か否かを以て、IPsecトンネルの異常を間接的に検出するIPsecトンネルの監視方法である。しかし、IKE_SAが正常であっても、IPsec_SAのパラメータが終端装置間で不一致の場合などでは、正常なIPsecトンネルを確立できず、IPsecによる暗号化通信を実行できない。このように、DPDでは、IPsec_SAの異常、及びIPsecトンネルを用いる上位レイヤの通信異常は検出できない。
これに対し、上位レイヤによるIPsecの監視によれば、IPsecトンネルの異常を検出し得る。しかし、上位レイヤでIPsecを監視する方法では、IPsecを終端する装置だけでなく、上位レイヤを終端する装置にも監視のための機能が実装される。このように、上位レイヤによるIPsecの監視は、監視機構の複雑化、煩雑化を招来するともに、実装が困難な場合が少なくなかった。
本発明の一態様は、上述した問題に鑑みなされたものであり、下位レイヤの監視では検出できない暗号化通信の異常を簡易な構成を以て検出可能とする技術を提供することを目的とする。
本発明の一態様は、通信装置である。この通信装置は、対向装置との間で確立される暗号化通信の経路の交渉に使用される交渉情報を記憶した記憶部と、前記経路を送受信されるとともに前記交渉情報を用いて特定される監視対象パケットが所定時間内に受信されない場合に前記暗号化通信の異常を検出する監視部とを含む。
本発明の実施例によれば、下位レイヤを用いた監視では検出できない暗号化通信の異常を簡易な構成を以て検出可能とすることができる。
図1は、移動通信システムの一例を示す図である。 図2は、無線基地局装置の構成例を示す。 図3は、セキュリティゲートウェイとして動作可能な情報処理装置(コンピュータ)の構成例を示す。 図4は、図2及び図3に示した制御部の構成例を模式的に示す。 図5は、メモリに記憶されるSPDのデータ構造例を示す。 図6は、メモリに記憶されるSPDのデータ構造例を示す。 図7は、メモリに記憶されるSPDのデータ構造例を示す。 図8は、監視情報のデータ構造例を示す。 図9は、監視情報のデータ構造例を示す。 図10は、監視情報のデータ構造例を示す。 図11は、監視情報のデータ構造例を示す。 図12は、実施形態に係るプロトコルスタックの説明図である。 図13は、実施形態の動作例を示すシーケンス図である。 図14は、実施形態の動作例を示すシーケンス図である。 図15は、実施形態の動作例を示すシーケンス図である。 図16は、実施形態の動作例を示すシーケンス図である。 図17は、実施形態の動作例を示すシーケンス図である。 図18は、交渉処理(監視側)の例を示すフローチャートである。 図19は、交渉処理(被監視側)の例を示すフローチャートである。 図20は、監視処理の例を示すフローチャートである。 図21は、監視処理の例を示すフローチャートである。 図22は、パケット暗号/復号処理の例を示すフローチャートである。 図23は、復旧方法/復旧状態受信処理の例を示すフローチャートである。 図24は、IKEパケットのフォーマット例を示す。 図25は、交渉パケットとして使用されるIKEパケットのフォーマット例を示す。 図26は、監視開始/監視対象パケットのフォーマット例を示す。 図27は、非暗号化の監視開始/監視対象パケットのフォーマット例を示す。
以下、図面を参照して実施形態について説明する。実施形態の構成は例示であり、実施形態の構成に限定されない。
実施形態では、対向装置(ピア)との間で暗号化通信を行う通信装置について説明する。実施形態では、IPsecを、「暗号化通信」のためのプロトコルの一例として説明する。IPsec_SA(IPsecトンネル)は、「暗号化通信の経路」の一例である。
IPsec_SAは、通信装置と対向装置との間で確立される。通信装置は、対向装置と間で確立される暗号化通信の経路(暗号化通信路)の交渉(ネゴシエーション)に使用される交渉情報を記憶する記憶部を含む。交渉情報は、例えば、IPsecのセキュリティポリシーデータベース(SPD)に登録された情報である。
実施形態では,通信装置は、暗号化通信の経路(IPsec_SA)を送受信されるとともに上記交渉情報を用いて特定される監視対象パケットが所定時間内に受信されない場合に暗号化通信の異常を検出する監視部を含む。
実施形態におけるSPDは、IPsec_SAの仕様を対向装置との間で交渉するための情報に加えて、IPsec_SAの監視条件を示す情報と、IPsec_SAの障害からの復旧方法を示す情報とを含む。監視条件を示す情報は「監視対象パケットの交渉用情報」の一例であり、復旧方法を示す情報は「復旧方法の交渉用情報」の一例である。
実施形態では、IPsecを終端する装置間で、IPsec_SAを確立する交渉において、IPsec_SAの異常を検出するために監視する監視対象パケットについての交渉を行う。交渉用のメッセージには、IPsec_SA(暗号化通信路)の確立交渉に使用される第1情報に加えて、暗号化通信路の監視に係る交渉に使用される第2情報が含められる。復旧方法の交渉用の情報(第3情報)を交渉用のメッセージに含めることもできる。このようなメッセージが対向装置へ送信される。対向装置からは、対向装置が選択した監視対象パケットや復旧方法を示す情報を含む応答メッセージが送信される。
交渉(メッセージ交換)の結果、IPsec_SA(IPsecトンネル)が確立される。さらに、IPsecトンネルの異常を検出するための監視対象パケットが監視される。監視対象パケットの監視によって、IPsecの上位レイヤ(例えば、ICMP,GTP等)のパケットの疎通状況(パケットの送受信状況)が監視される。そして、監視結果から異常が検出された場合には、交渉によって決定された復旧方法に基づく処理が行われる。復旧方法の実施によって、IPsecレイヤの障害を起因とする、IPsecより上位レイヤの通信異常を解消することができる。
実施形態では、SPDに、IPsec_SAの監視条件の候補及び復旧方法の候補が複数個登録される。IPsec_SAの確立時にIPsec_SAを終端する装置(機器)間で行われる交渉において、監視条件、又は監視条件及び復旧方法の交渉が行われる。
なお、交渉において、複数の復旧方法が決定される場合がある。この場合、複数の復旧方法が復旧状態に基づき段階的に使用される。すなわち、或る復旧方法で復旧されないときに、他の復旧方法が実施される。復旧方法の変更は復旧状態を管理し、復旧方法の使用結果に応じて、復旧状態を更新し、次の復旧方法の実施へ段階を進めることでなされても
良い。復旧状態は、不揮発性記憶媒体に記憶し、機器やIPsecがリセットされても初期値に戻らないように管理されるのが好ましい。
上記したように、SPDには、事前にIPsecの監視条件と、復旧方法とが登録される。例えば、監視は、IPsecを用いて送受信されるパケットについて、或る種別のパケットの受信を契機に、当該パケットの応答パケットが所定期間内に受信されることを監視する。或る種別のパケットは、「監視開始パケット」と呼ばれ、或る種別のパケットの応答パケットは「監視対象パケット」と呼ばれる。
例えば、IPsecを用いて送受信されるICMPパケット,SCTPパケット,GTPパケットなどを、上位レイヤのパケットとして例示できる。また、エコー要求(echo request)と呼ばれる,応答を要求するメッセージを含むパケットを、監視開始パケットに設定できる。エコー要求のパケットの応答パケットが監視対象パケットとして監視される。応答パケットは、エコーリプライ(echo reply)パケット、或いはリプライパケットと呼ばれる。
監視開始パケット(echoパケット)の受信を契機に所定時間の計時が開始される。所定時間は、例えば監視タイマで計時される。監視タイマの満了(タイムアウト)前に、監視対象パケット(replyパケット)が受信されれば、上位レイヤの通信は正常である。これに対し、監視対象パケットが受信されることなく監視タイマが満了した場合には、上位レイヤの通信が異常と判定される(異常が検出される)。この場合、交渉にて予め合意された復旧方法が実施され、通信の復旧が試行される。
監視条件は、例えば、以下を採用することができる。例えば、「監視開始パケット」及び「監視対象パケット」のそれぞれは、対象IPアドレス、プロトコル、ポート番号、上位レイヤの識別情報の少なくとも1つを用いて規定できる。
パケットを特定するためのパラメータ(「特定情報」の一例)は、IPsec_SAの確立交渉においてパケット(トラフィック)の特定に使用されるパラメータ(特定情報)と共通の情報が使用される。これによって、IPsec_SA確立のためにSPDに登録される情報を有効活用でき、情報管理の簡易化が図られる。
また、監視条件として、監視の開始条件(例えば、監視開始パケットの受信)、終了条件(監視対象パケットの受信,監視停止パケットの受信,監視タイマの満了など)、監視の周期などが定められる。
復旧方法として、単数又は複数の復旧方法が規定される。複数の復旧方法が規定される場合、各復旧方法に優先順位が定められる。復旧方法としては、IPsecのリキー,IPsec_SAの再確立,IPsec機能のリセット,通信装置及び対向装置の少なくとも一方のリセットなどが挙げられる。監視側と被監視側の一方が復旧方法の実行主体となることができる。監視側とは、監視対象パケットの受信側を指し、被監視側とは監視対象パケットの送信側を指す。
実施形態で行われるおおよその手順として、以下が行われる。
(1)IPsec_SAの確立時にIKEパケットを用いたメッセージによるネゴシエーション(交渉)で、IPsec_SAの監視条件、及び復旧方法の情報を、IPsec_SAを終端する装置間で共有する。このとき、IPsecのイニシエータとレスポンダの双方がサポートする復旧方法が共有(合意)されることで、両者間の互換性、すなわち、復旧方法の実行が保証される。
(2)SPDに登録されたIPsec_SAの監視条件における監視開始パケットの受信が検出された場合に、監視タイマが起動され、監視対象パケットが監視タイマの満了前に受信されているかを監視する。このとき、定期的に監視対象パケットの受信が行われているかを監視しても良い。
IKE_SAが確立しているにも拘わらず(IPsecトンネルの切断中は監視タイマが停止される)、監視対象パケットが到達しない(受信されない)場合には、IPsecレイヤの異常(上位レイヤの通信異常)と判定される。このとき、交渉により決定された復旧方法の一つが試行される。2以上の復旧方法が決定されている場合には、優先順位に従って2以上の復旧方法の一つが試行される。
なお、実施が決定された2以上の復旧方法が実施されても異常からの復旧がなされない場合には、異常(障害)の発生を保守者に通知することが可能である。このようにして、IPsecの異常の潜在化が回避される。以下、実施形態の構成の詳細を説明する。
<移動通信システムの構成例>
図1は、移動通信システムの一例を示す図である。移動通信システムは、例えば、Long
Term Evolution(LTE)に適合又は準拠する。但し、LTE以外の無線通信規格に準
拠していても良い。LTE以外の無線通信規格は、例えば、Wideband Code Division Multiple Access(W−CDMA)や、Global System for Mobile communications(GSM
(登録商標))である。但し、これらに限定されない。また、無線通信規格は、無線LAN(wireless Local Area Network: IEEE802.11シリーズ、或いはWi-Fi)であっても良い。
図1に示す例では、移動通信システムは、無線端末(User Equipment(UE):以下「端末」と表記)1と無線通信する無線基地局(eNB:以下「基地局」と表記)2と、セキュリティゲートウェイ(secGW)3とを含む。移動通信システムは、さらに、secGW3と接続されたサービングゲートウェイ(S−GW)5及びMobility Management Entity(MME)4とを含む。基地局2及びsecGW3のそれぞれは、「通信装置」、「対向装置」の一例である。
LTE網は、コア網8と無線網とを含む。無線網は基地局2で形成される。S−GW5およびMME4はコア網8を形成するノードである。コア網8は、コア網8を形成するノードとして、さらにパケットデータネットワークゲートウェイ(P−GW)6を含む。P−GW6は、S−GW5と接続される。
secGW3は、無線網(基地局2)とコア網8との間に配置されている。secGW3は、1以上設けることができる。図1の例では、二つのsecGW3(secGW#1,secGW#2)が例示されている。
LTE網を利用した通信を所望する端末1は、基地局2と無線接続するとともに、LTE網への接続要求を基地局2を介してMME4へ送る。MME4は、端末1の位置登録処理を行うとともに、端末1がLTE網を通じてユーザパケットを送受信する通信路(パス、「ベアラ」とも呼ばれる)の設定を制御する。
ベアラは、S−GW5と基地局2との間に設定される。また、基地局2と端末1との間には無線ベアラが設定される。また、基地局2とS−GW5との間のベアラは、S−GW5とP−GW6との間に設定されたベアラと接続される。P−GW6は、端末1の通信相手が接続された外部網(図示せず、例えば、インターネットなど)とのゲートウェイである。P−GW6は、端末1からのパケットを外部網へ送り出したり、外部網から端末1宛
のパケットを受信してS−GW5に転送したりする。
別の観点で説明すると、基地局2とMME4との間には、制御プレーン(Cプレーン)の通信路(パス)が設定される。一方、基地局2とS−GW5(P−GW6)との間には、ユーザプレーン(Uプレーン)の通信路(パス(ベアラ))が設定される。secGW3は、基地局2とS−GW5との間、及び基地局2とMME4との間に介在する。secGW3は、基地局2との間でIKEに基づく鍵交換用のコネクションを確立する。このようなコネクションは、SA(Security Association)と呼ばれる。
以下、IKEに基づき確立されるSAを、「IKE_SA」と表記する。また、secGW3は、基地局2との間で、Cプレーンのパス及びUプレーンのパスそれぞれに対応するIPsecのコネクション(「IPsec_SA」又は「IPsecトンネル」と表記する)を確立する。IPsecトンネルを通過するパケットは、ESPにより暗号化される。IPsec_SA(IPsecトンネル)は、「暗号化通信の経路」の一例である。
基地局2は、Cプレーン及びUプレーンの各通信に係るプロトコル(IPsecより上位レイヤのプロトコル)を終端するプロトコル終端部21と、IPsecに基づくパケット(データグラム)の暗号化又は復号を行うIPsec部22とを有している。さらに、基地局2は、セキュリティポリシーデータベース(SPD)23を有している。一方、secGW3も、IPsec部22に対応するIPsec部31と、SPD32とを有している。
SPDは、セキュリティポリシー(SP)の集合である。各SPは、参照されるパケット中のデータ(パラメータ:「セレクタ」と呼ばれる)と、セレクタの内容に応じて行う処理内容(例えば、「暗号化」、「復号」、「何もしない」、「破棄」)とから定義される。
例えば、基地局2のIPsec部22は、MME4又はS−GW5宛のパケット中のセレクタと、SPD23とを参照し、パケットに対する処理を決定する。例えば、処理が「暗号化」であれば、例えば、ESP(Encapsulated Security Payload)に基づきパケッ
トのペイロードを暗号化し、ESPヘッダ及びリモートIPヘッダでパケットをカプセル化し、IPsec_SAへ送出する。
secGW3のIPsec部31は、基地局2からのカプセル化パケット中のセレクタと、SPD32とを用いて、パケットに対する処理、例えば、パケットの復号を行い、デカプセル化されたパケットを宛先(MME4、或いはS−GW5)へ転送する。上記は上り方向の説明であるが、下り方向でも同様の処理が行われる。なお、図1の例では、上りと下りとで共通のIPsecトンネルがあるように図示されているが、実際は、上りと下りとで異なるIPsecトンネルが確立される。
SPD23、SPD32のそれぞれは、記憶装置(例えばメモリ204)に記憶される。記憶装置は、「交渉用情報を記憶した記憶部」の一例である。なお、IPsecに係る監視方法が適用される一例として、図1に示した移動通信システムを挙げた。但し、実施形態に係る監視方法及び復旧方法は、2点間でIPsecを用いた通信が行われる区間を有する通信装置間に広く適用可能である。すなわち、移動通信システム以外のネットワークに広く適用可能である。
<無線基地局の装置構成の例>
図2は、基地局2として適用可能な無線基地局20の構成例を示す。無線基地局20(以下「基地局20」)は、伝送路インタフェース部201と、制御部202と、ベースバ
ンド(BB)部と、無線(RF:Radio Frequency)部206と、アンテナ207とを含
んでいる。制御部202は、プロセッサ203と、メモリ204とを含んでいる。
伝送路インタフェース部201は、LANやWANのような伝送路の回線を収容するとともに、伝送路を介してsecGW3と接続される。伝送路インタフェース部201は、伝送路に対するパケットの送受信処理を司る。伝送路インタフェース部201として、LANカード、或いはネットワークインタフェースカード(NIC)と呼ばれる通信デバイスや回路チップセットを適用できる。
ベースバンド部205(BB部205)は、データとベースバンド信号との変換処理を行う。ベースバンド信号から変換されたデータは、制御部202に供給される。データの変換によって得られたベースバンド信号は、無線部206へ送られる。
無線部206は、無線信号とベースバンド信号との間の変換処理や、無線信号の増幅処理などを行う。無線部206は、BB部205からのベースバンド信号を無線信号に変換し、増幅する。増幅された無線信号は、アンテナ207から放射され、端末1で受信される。また、無線部206は、アンテナ207で受信された端末1からの無線信号を、低雑音増幅し、ベースバンド信号に変換して、BB部205へ送る。
制御部202は、上述したように、プロセッサ203と、プロセッサ203と接続されたメモリ204とを含む。メモリ204は、主記憶装置と、補助記憶装置とを含むことができる。
主記憶装置は、例えば、プログラムの展開領域,データの記憶領域(バッファ領域),プロセッサの作業領域として使用される。主記憶装置は、例えばRandom Access Memory(RAM)、或いはRAMとRead Only Memory(ROM)との組み合わせである。ROMは、プログラム(ファームウェア)及びプログラムの実行時に使用されるデータを記憶する。
補助記憶装置は、プログラム及びデータの記憶領域として使用される。補助記憶装置は、例えば、ハードディスクドライブ(HDD),Solid State Drive(SSD),フラッシ
ュメモリ,Electrically Erasable Programmable Read-Only Memory(EEPROM)などの、不揮発性記憶媒体である。
プロセッサ203は、例えば、少なくとも1つのCentral Processing Unit(CPU)
である。但し、プロセッサ203は、複数のCPU、或いは、複数のコアを備えるCPUで形成されても良い。また、プロセッサ203は、複数種類のプロセッサの組み合わせで形成されても良い。組み合わせは、例えば、CPUとDigital Signal Processor(DSP)との組み合わせである。
プロセッサ203は、補助記憶装置やROMに記憶されたプログラムを主記憶装置(RAM)にロードして実行する。これによって、プロセッサ203は、基地局20としての様々な機能を発揮することができる。例えば、プロセッサ203は、プログラムの実行によって、上述した上位レイヤのプロトコル終端部21と、IPsec部22とを発揮する。なお、プロセッサ203によって発揮される機能は、システムLSIや、ハードウェアによって発揮されるようにしても良い。
システムLSIは、プロセッサとの周辺回路とが1つのチップ上に実装されたデバイスである。ハードウェアは、例えば、電気回路、電子回路、半導体デバイス、これらの組み合わせで形成される。半導体デバイスは、Field Programmable Gate Array(FPGA)
のようなプログラマブルロジックデバイス(PLD)や、集積回路(IC,LSI,Applic
ation Specific Integrated Circuit(ASIC)など)を含む。
制御部202,プロセッサ203のそれぞれは、「監視部」,「復旧部」,「交渉部」の一例である。メモリ204は、「記憶部」の一例である。例えば、メモリ204を形成する補助記憶装置は、後述する「復旧状態」を記憶する不揮発性記憶媒体として使用される。
<secGWの装置構成の例>
図3は、secGWとして動作可能な情報処理装置(コンピュータ)30の構成例を示す図である。図3において、情報処理装置30は、第1伝送路インタフェース部301と、第2伝送路インタフェース部302と、制御部303とを含む。第1伝送路インタフェース部301は、基地局2と接続された伝送路を収容する。第2伝送路インタフェース部302は、コア網8のMME4及びS−GW5のそれぞれと接続された伝送路を収容する。第1伝送路インタフェース部301,第2伝送路インタフェース部302として、上述
したLANカードやNICを適用することができる。
制御部303は、制御部202と同様に、プロセッサ203と、プロセッサ203に接続されたメモリ204を含む。情報処理装置30が備えるプロセッサ203及びメモリ204として、上述した基地局20が備えるプロセッサ203及びメモリ204と同様のものを適用することができる。
制御部303,プロセッサ203のそれぞれは、「監視部」,「復旧部」,「交渉部」の一例である。メモリ204は、「記憶部」の一例である。例えば、メモリ204を形成する補助記憶装置は、「復旧状態」を記憶する不揮発性記憶媒体として使用され得る。
<制御部の構成例>
図4は、図2に示した制御部202、及び図3に示した制御部303の構成例を模式的に示す。プロセッサ203は、プログラムを実行することによって、制御部202,303として動作する。すなわち、プロセッサ203は、セレクタ(SW)41,暗号化/復
号部42,監視管理部43,鍵交換部44,監視条件交渉部45,及び復旧管理部46として動作することができる。
但し、基地局20のプロセッサ203は、さらに、上位レイヤ処理部47としても動作する。メモリ204には、SPD情報204aと、SA情報204bと、監視情報204cとが記憶される。なお、セレクタ(SW)41として、プロセッサ203とは別のハードウェアが用意されても良い。
基地局20に備えられた制御部202では、上位レイヤ処理部47(プロセッサ203)は、BB部205と接続される。また、基地局20に備えられたセレクタ41(プロセッサ203)は、伝送路インタフェース部201と接続される(図2参照)。これに対し、情報処理装置30に備えられた制御部303では、セレクタ41(プロセッサ203)が第1伝送路インタフェース部301及び第2伝送路インタフェース部302に接続される(図3参照)。
なお、監視管理部43は、「監視部」の一例である。監視条件交渉部45は、「交渉部」の一例である。復旧管理部46は、「復旧部」の一例である。
セレクタ41は、伝送路インタフェース部201,第1伝送路インタフェース部301,第2伝送路インタフェース部302のそれぞれから入力されるパケット(信号)のプロトコル種別を判定し、対応する処理に振り分ける。例えば、セレクタ41は、プロトコル種
別がESPであるかIKEであるかを判定する。プロトコル種別がESPである場合には、パケットは暗号化/復号部42に渡される。一方、プロトコル種別がIKEである場合には、パケットは、鍵交換部44に渡される。なお、セレクタ41は、パケットの宛先に応じて、伝送路インタフェース部201,第1伝送路インタフェース部301,第2伝送路インタフェース部302の何れかへパケットを出力する。
暗号化/復号部42は、パケットの暗号化及び復号を行う。具体的には、暗号化/復号部42は、パケット分析を行い、パケットに対応するSPD及びIPsec_SAを検索する。検索に際しては、メモリ204のSPD情報204a,SA情報204bが参照さ
れる。また、暗号化/復号部42は、ESPパケットの復号、及び、ESPに基づく平文パケットの暗号化を行う。また、暗号化/復号部42は、監視開始対象パケット,監視対
象パケットの受信時に、監視管理部43を動作させる。
鍵交換部44は、暗号化鍵の交換を行う。具体的には、鍵交換部44は、鍵交換プロトコル(IKE)の終端処理を行い、secGW3との間で鍵交換(IKE_SAの確立、及びIPsec_SAの交渉)を行う。IPsec_SA確立用のIKEパケットには、監視条件の交渉用情報(「監視対象パケットの交渉用情報」の一例)と、復旧方法の交渉用情報とが含まれる。
監視条件交渉部45,復旧管理部46は、IPsec_SAの確立用のIKEパケット(交渉パケット)の受信を契機に動作を開始することができる。監視条件交渉部45は、監視条件を管理する。監視条件交渉部45は、SPDに追加された監視条件、復旧方法の候補を元に、IKEパケットに付与する交渉パラメータ(提案)を設定する。監視条件交渉部45は、交渉結果を元に、対向装置から応答があった監視条件と復旧方法とを監視情報203cに反映する。
監視管理部43は、IPsec_SAの監視を管理する。すなわち、監視管理部43は、監視開始パケットの受信時に監視タイマを起動する。また、監視管理部43は、監視対象パケットの受信時に、監視タイマを再起動する。また、監視管理部43は、監視タイマのタイムアウト時に、復旧管理部46を動作させる。さらに、監視管理部43は、監視状態の更新を行う。
復旧管理部46は、異常が検出されたIPsec_SAの復旧処理を行う。復旧管理部46は、復旧状態(エスカレーション度)に応じた復旧処理を行う。復旧管理部46は、対向装置を制御する場合にはIKEパケットパラメータの設定を行い、鍵交換部44を起動し、IKEパケットの疎通(送受信)を行う。復旧管理部46は、対向装置から復旧用のIKEパケット(復旧方法の指示)を受信した場合には、当該指示に従った復旧方法で復旧処理を行う。さらに、復旧管理部46は、復旧状態の更新を行い、実施する復旧方法を切り替える。
上位レイヤ処理部47は、無線通信の為の信号変換を行う。上位レイヤ処理部47は、IPsecの上位レイヤにあるプロトコルを終端する。上位レイヤのプロトコルは、例えば、Internet Control Message Protocol(ICMP),Stream Control Transmission Protocol(SCTP),或いは、GPRS Tunneling Protocol for User Plane(GTP−U
)である。但し、上位レイヤのプロトコルはこれらに制限されない。上位レイヤ処理部47が備えられる装置毎に、当該装置が終端する上位レイヤのプロトコルは異なる場合がある。
<データ構造>
<<SPD>>
図5,図6,図7は、メモリ204に記憶されるSPD204aのデータ構造例を示す。SPD204aには、固定のパラメータ(情報)が登録される。SPD204aは、従来のIPsec_SAの確立に使用される情報要素に加え、監視条件及び復旧方法の情報要素が登録されている。監視条件及び復旧方法の各情報要素は、監視条件及び復旧方法のそれぞれについての複数の提案(「プロポーザル」と呼ばれる:「候補」の一例)を含む。複数の提案(候補)の中から、交渉先(レスポンダ)が対応可能な提案(監視条件、復旧方法)が採用(選択)される。
交渉パケットに含まれる監視条件には、複数の監視開始パケット及び監視対象パケットの候補を含めることができる。複数の監視開始及び監視対象パケットについて合意された場合には、複数の監視開始及び監視対象パケットを用いた監視が並列に実行される。一方、異常が検出された場合に、合意された複数の復旧方法の一つが優先順位に従って行われる。
図5,図6,図7に示すように、SPD204aは、種別(SPD番号:SPD#1〜#x(xは1以上の整数))に対応する、ポリシー情報,1以上の監視条件1〜n(nは1以上の整数),1以上の復旧方法1〜m(mは1以上の整数)が登録される。監視条件1〜nは、「複数の監視対象パケットの候補」の一例であり、復旧方法1〜mは、「複数の復旧方法の候補」の一例である。
ポリシー情報としては、図5に示すように、セレクタと、暗号の有無と、暗号アルゴリズムと、セキュリティGW(secGW)の情報などが登録される。
監視条件としては、図5,図6に示したように、監視条件番号毎に、監視開始パケット,監視対象パケット,監視停止パケット,復旧方法を特定する情報が登録される。監視開始パケットを特定する情報項目は、例えば、IPアドレス範囲,プロトコル,ポート,タイプ及びコード情報(UDP/TCP/ICMPなど)、詳細タイプ(GTPタイプ)の情報,詳細情報(相対アドレス,コードなど)を含む。さらに、監視開始パケットを特定する情報に関連づけて監視タイマ値が登録されている。監視タイマ値は、監視開始パケットの受信時に計時される所定時間を定義する。
監視対象パケット及び監視停止パケットのそれぞれを特定する情報項目は、監視開始パケットと同様に、IPアドレス範囲,プロトコル,ポート,タイプ及びコード情報、詳細タイプの情報,並びに詳細情報を含む。監視停止パケットは、その受信を契機に監視を停止するパケットである。このように、情報項目が共通化される(共通の情報項目を使う)ことで、管理対象の情報量の減少、情報を扱うアルゴリズムの共通化を図ることができ、構成の簡易化、処理負荷上昇の抑制を図ることができる。復旧方法としては、監視対象パケットに基づく異常の検出時に採り得る復旧方法を特定する情報が登録される。
図7に示すように、復旧方法としては、復旧方法番号に対応づけて、複数の復旧方法の候補が優先順位の順序で登録される。例えば、1回目の復旧方法の一例として、以下が登録されている。
・IPsecのリキー,
・IPsecの再接続,
・IPsec機能リセット(監視側),
・IPsec機能リセット(非監視側),
・装置リセット(監視側),
・装置リセット(非監視側),
・装置切り替え(監視側),
・装置切り替え(非監視側),
・保守者通知
<<SA>>
図4に示したSA204bとしては、IPsec_SAの確立のネゴシエーションにて合意したIPsecに係る情報(パラメータ含む)が登録される。SA204bに登録されるIPsec_SAの情報は、基地局2とsecGW3とで共有される。
<<監視情報>>
図8,図9,図10,図11は、監視情報204cのデータ構造例を示す。監視情報204cには、SPD204aに登録されたIPsec_SAの確立,監視条件,及び復旧方法に係る情報のうち、これらの交渉においてIPsec_SAの終端装置間(ピア間)で合意された(共有)した情報が登録される。
但し、図10に示すように、復旧状態を示す情報として、「通常」→「復旧1」→「復旧2」→・・・「復旧m」を示す情報が格納される。この復旧状態を示す状態に応じた復旧方法が選択され、実施される。なお、復旧状態を示す情報は、復旧状態の更新指示を受けて更新される。
<プロトコルスタック>
図12は、実施形態に係るプロトコルスタックの説明図である。図12の例では、基地局(eNB)と対向ノードとの間で、上位レイヤがGTPであるパケットの送受信が行われる。GTPパケットのプロトコルスタックは、GTP(L5),UDP/ICMP(L4),IP(L3)である。
このようなGTPパケットが、secGW3と基地局2との間のIPsec_SA(ESP)で暗号化される。IPsec_SAの下位には、IKE_SAが位置する。IKE_SAでは、IPsec_SAの交渉,DPD,SA削除要求,復旧方法指示/復旧状態更新指示,監視条件/復旧方法が、IKEパケットを用いて送受信される。IKEパケットは、IKE_SAを用いて暗号化される。
IKE_SAの下位には、IKE(L5),UDP(L4),IP(L3),イーサネット(登録商標)(L2)が位置する。これらは非暗号化領域である。
<動作例>
図13,図14,図15,図16,図17は、実施形態の動作例を示すシーケンス図である。図13〜図17に示す動作例を用いて、実施形態に係る異常検出方法、復旧方法について説明する。
<<(1)監視条件・復旧方法の交渉>>
図13は、監視条件・復旧方法の交渉に係る動作例を示す。基地局(eNB)2は、プロトコル終端部21と、IPsec部22とを含む。プロトコル終端部21及びIPsec部22は、例えば、プログラムを実行することによって得られるプロセッサ203の機能である。
基地局2のIPsec部22は、secGW3に対し、IKE_SAの交渉に係るメッセージ(UDP/IKE INITメッセージ)を送信する。secGW3は、UDP/IKE INITメッセージを、基地局2に返す(図13<1>参照)。これによって、IKE_SAが確立される。
IKE_SAが確立されると、IPsec部22は、IPsec_SAの交渉用のメッセージを含むパケット(交渉パケット)を、secGW3へ送る(図13<2>)。IPsec_SAの交渉用のメッセージとして、例えば、IPsecにおけるUDP/IKE_AUTHメッセージ、又はCREATE_CHILD_SAメッセージが使用される。
なお、動作例におけるIKEは、IKEv2(IKEバージョン2)が適用されている。IKEv2では、IPsec_SAは、CHILD_SAと呼ばれる。もっとも、IKEv2の代わりにIKEv1が適用されても良い。IKEv1では、IKE_SAは、ISAKMP(Internet Security Association and Key Management Protocol)_SAと
呼ばれる。
交渉パケットには、IPsec_SAの交渉に係る提案パラメータ(プロポーザル)だけでなく、監視条件及び復旧方法の提案パラメータが含まれる。例えば、提案パラメータは次の通りである。
監視条件
・提案1:監視条件1
・提案2:監視条件2
復旧方法
・提案1:IPsec再確立(監視側)
・提案2:IPsec部リセット(監視側)
・提案3:IPsec部リセット(非監視側)
・提案4:装置リセット(監視側)
・提案5:装置リセット(非監視側)
secGW3は、交渉パケットを受信すると、IPsec_SAの交渉に係る提案パラメータを用いて、IPsec確立処理を実行する。また、secGW3は、監視条件及び復旧方法の提案パラメータのうち、secGW3がサポート可能な提案を抽出し、監視情報203cに登録する。secGW3は、監視情報203cに登録した提案を含む応答メッセージを基地局2へ送信する(図13<3>)。
例えば、被監視対象のsecGW3は、装置リセットをサポートしていない。このため、secGW3の監視情報204cに登録された監視条件及び復旧方法は以下の通りとなる。
監視条件
・提案1:監視条件1
・提案2:監視条件2
復旧方法
・提案1:IPsec再確立(監視側)
・提案2:IPsec部リセット(監視側)
・提案3:IPsec部リセット(非監視側)
・提案4:装置リセット(監視側)
基地局2のIPsec部22は、応答メッセージ受信によってIPsec_SAの確立を完了するとともに、応答結果を元に、対向装置(secGW3)で実行可能な監視条件及び復旧方法の提案を、監視情報204cに記憶する。これによって、IPsec_SA,監視条件及び復旧方法が、基地局2とsecGW3との間で共有される。
なお、応答メッセージ中の対向装置の応答結果において、対向装置(レスポンダ)が全ての提案をNGとする応答がなされていても、監視側(イニシエータ)で実施可能な監視条件及び復旧方法は、監視情報204cに記憶され、監視及び復旧方法が行われる。
<<(2)監視開始〜正常監視>>
図14は、監視開始から正常監視の動作例を示すシーケンス図である。図14において、基地局2のプロトコル終端部21は、交渉にて決定した監視開始パケットを受信すると
、監視状態を「監視」に遷移させる(図14<1>)。監視開始パケットは、例えば、GTP/GTP echo Requestである。さらに、プロトコル終端部21は、監視開始パケットの受信を契機に監視タイマの計時をスタートさせる(図14<2>)。
IPsec部22は、監視開始パケットに対するIPsecの暗号化を行うことで生成した暗号化パケット(ESP/GTP/GTP echo Request)をsecGW3へ送る(図14<3>)。
secGW3は、暗号化パケットの復号を行い、得られた元の監視対象パケット(GTP/GTP echo Request)をコア網8へ送る(図14<4>)。コア網8(MME4及びS−GW5の一方、例えばMME4)は、監視開始パケットの応答パケット(GTP/GTP echo Reply)を送信する(図14<5>)。応答パケットは、secGW3で暗号化され、暗号化応答パケット(ESP/GTP/GTP echo Reply)が、基地局2へ送信される(図14<6>)。
基地局2のIPsec部22は、受信された暗号化応答パケットが監視対象パケットであるので、監視対象パケットの受信を契機に監視タイマのリスタートさせる(図14<7>)。暗号化応答パケットは復号され、元の応答パケット(GTP/GTP echo Reply)がプロトコル終端部21へ送られる。
基地局2のIPsec部22から監視開始パケット(ESP/GTP/GTP echo Request)がsecGW3へ送られ(図14<8>)。監視開始パケットの応答パケットである監視対象パケット(ESP/GTP/GTP echo Reply)がsecGW3から受信される(図14<9>)。基地局2のIPsec部22は、監視対象パケットの受信を契機に監視タイマのリスタートさせる(図14<10>)。このように、基地局2のIPsec部22は、監視開始パケット(echo request)の受信を契機に監視タイマの計時を開始し、監視対象パケット(echo reply)が受信される毎に監視タイマをリスタートする。これによって、監視対象パケットが監視される。
<<(3)1回目の異常検出時の復旧動作>>
図15は、図14<10>の動作の続きを示す。監視タイマがリスタートされた後に、secGW3へ監視開始パケット(ESP/GTP/GTP echo Request)がsecGW3へ送られたが、IPsec_SAに何らかの異常が生じたと仮定する。そして、監視開始パケットの復号が正常に行われず、監視開始パケットが破棄されたと仮定する。この場合、コア網8のMME4は、監視対象パケット(replyパケット)を送信できない。よって、監視タイマがタイムアウトになる。
すると、基地局2のIPsec部22は、IPsec_SAの切断と判定する。監視情報204cの復旧状態「通常」を「復旧1」に遷移させて、復旧1に対応する復旧方法「IPsec再確立(監視側)」を行う。すなわち、IPsec部22は、secGW3に対し、IPsec_SAの切断要求メッセージ(UDP/IKE INFORMATIONAL(DELETE))を送信する(図15<11>)。
secGW3は、切断要求メッセージを受けて、監視条件1の復旧状態を復旧1に遷移させる。また、secGW3は、切断要求メッセージの応答メッセージを返す(図15<12>)。その後、基地局2とsecGW3とは、IPsec_SAの再確立の手順(メッセージ交換)を行い、IPsec_SAを再確立する(図15<13>)。
<<(4)2回目の異常検出時の復旧動作>>
図16は、図15<3>以降の動作を示している。監視開始パケット(echo Request)が受信された場合には、基地局2のIPsec部22は、監視タイマの計時を開始する(図16<14>)。
監視タイマの満了前に、監視対象パケット(echo reply)が受信されない場合には、IPsec部22は、復旧状態を現在の「復旧1」から次の「復旧2」へ遷移させる(図16<15>)。また、IPsec部22は、「復旧2」に対応する復旧方法の指示を含むメッセージ(UDP/IKE INFORMATIONAL(IPsec機能リセット))をsecGW3へ送信する(図15<16>)。
secGW3は、復旧方法の指示のメッセージに従って、復旧状態を「復旧2」に遷移させるとともに、復旧2に対応する復旧方法であるIPsec機能リセットを実施する(図16<17>)。
secGW3は、復旧方法の指示のメッセージに対する応答メッセージを基地局2に送信する(図16<18>)。基地局2のIPsec部22は、IPsec機能のリセットを行う(図16<19>)。但し、復旧状態のリセットは行われない。
<<(5)復旧成功時の動作>>
図17は、図16<19>以降の動作を示している。図17において、IPsec機能のリセットを契機に、基地局2とsecGW3との間で、IKE_SA及びIPsec_SAの再確立に係る交渉が行われ、IKE_SA及びIPsec_SAが確立される(図17<20>)。このとき、これまでに説明したように、監視条件及び復旧方法の交渉及び合意も行われる。
その後は、基地局2において、監視開始パケットの受信を契機に、監視タイマの計時が開始される(図17<21>)。また、基地局2において監視対象パケットが受信されると、IPsec部22は、復旧状態を「復旧2」から「通常」へ更新する(図17<22>)。IPsec部22は、復旧状態の更新指示のメッセージをsecGW3へ送信する(図17<23>)。secGW3は、復旧状態の更新指示のメッセージに従って、復旧状態を「復旧2」から「通常」に更新する(図17<24>)。
<処理例>
次に、基地局2及びsecGW3の処理例を、フローチャートを用いて説明する。以下に説明する図18〜図23の各フローチャートの処理は、例えば、プロセッサ203がプログラムを実行することによって行われる。
<<交渉処理(監視側)>>
図18は、交渉処理(監視側)の例を示すフローチャートである。図18の処理は、例えば、IPsecにおけるイニシエータとしての処理を行う制御部202(303)として動作するプロセッサ203によって行われる。但し、レスポンダが監視側となる場合もあり得る。図18の処理は、例えば、電源投入によって開始される。
01の処理では、プロセッサ203は、復旧状態を「通常」に設定する。IPsec機能のリセット時に復旧状態が初期化されないように、電源投入時に初期化が行われる。
02の処理では、プロセッサ203は、IPsec_SA交渉用のIKEパケット(交渉パケット)を生成する。交渉パケットは、IPsec_SAの確立に係る提案(プロポーザル)を含む。
03の処理では、プロセッサ203は、メモリ204に記憶されたSPD204a中の監視条件と復旧方法の提案(プロポーザル)を交渉パケットに含める。04の処理では、プロセッサ203は、交渉パケットを対向装置(レスポンダ)へ送信する。交渉パケットの送信後、プロセッサ203は、所定時間(待ちタイマの待ち時間)、応答パケットの応答待ち状態になる。応答パケットは、交渉パケットの応答用のIKEパケットである。
05の処理では、プロセッサ203は、所定時間経過前(待ちタイマの満了前)に応答パケットが受信されたか否かを判定する。応答が受信された場合には(05のYes)、処理が06の処理に進む。これに対し、応答が受信されない場合には(05のNo)、処理が02に戻る。なお、応答が受信されない場合は、交渉失敗の扱いとなり、応答が受信された場合が、交渉成功の扱いとなる。
06の処理では、プロセッサ203は、応答に含まれる応答結果、すなわち、対向装置が合意した(提案から対向装置が選択した)、IPsec_SA,監視条件,及び復旧方法に係る情報をメモリ204の監視情報204cに反映(登録)する。
07の処理では、プロセッサ203は、復旧方法が「被監視側」か否かを判定する。すなわち、プロセッサ203は、プロセッサ203が備えられた装置が属する側が復旧方法において「被監視側」か否かを判定する。例えば、IPsecのイニシエータが監視側となり、レスポンダが被監視側となるように予め設定される。この場合、07の判定は、自装置がイニシエータかレスポンダのいずれであるかを以て行うことができる。復旧方法が被監視側である場合には(07のYes)、処理が09に進む。復旧方法が被監視側でない場合には(07のNo)、処理が08に進む。
08の処理では、プロセッサ203は、監視情報204c中の復旧方法に、SPD204a上の復旧方法を設定する。08の処理は、プロセッサ203が備えられた装置が監視側である場合の扱いである。
09の処理では、プロセッサ203は、応答の復旧方法が被監視側で未サポートか否かを判定する。復旧方法がサポートされていない場合には(09のNo)、処理が08に進む。復旧方法がサポートされている場合には(09のYes)、処理が11に進む。09の処理は、プロセッサ203が備えられた装置が被監視側である場合の扱いである。
なお、図18に図示する破線10は、07,08,及び09の各処理が、SPD204aに登録された復旧方法の要素数と同じ回数繰り返されることを示す。全ての復旧方法の要素に係る07〜09の処理が終了すると、処理が11に進む。
11の処理では、プロセッサ203は、IPsec_SAが切断されたか否か(異常が発生したか否か)を判定する。IPsecが切断された場合には(11のYes)、処理が02に戻り、IPsec_SAの再確立に係る交渉が行われる。
<<交渉処理(被監視側)>>
図19は、交渉処理(被監視側)の例を示すフローチャートである。図19の処理は、例えば、IPsecにおけるレスポンダとしての処理を行う制御部202(303)として動作するプロセッサ203によって行われる。但し、イニシエータが被監視側となる場合もあり得る。図19の処理は、例えば、電源投入によって開始される。
101の処理では、プロセッサ203は、復旧状態を「通常」に設定する。102の処理では、プロセッサ203は、対向装置(イニシエータ)から、IPsec_SAの交渉用のIKEパケット(交渉パケット)が受信されたか否かを判定する。交渉パケットが受
信された場合には(102のYes)、処理が103に進む。
103の処理では、プロセッサ203は、交渉パケットの応答用のIKEパケット(応答パケット)を生成する。104の処理では、プロセッサ203は、交渉パケット中の監視条件及び復旧方法のうち、レスポンダで対応不可能な(NGの)監視条件及び復旧方法を除外した結果を、応答パラメータとして応答パケットに含める。このようにして、監視側からの提案のうち、被監視側が合意可能な監視条件及び復旧方法が選択される。
105の処理では、プロセッサ203は、メモリ204の監視情報204cに応答結果(応答パラメータ)を反映(登録)する。106の処理では、プロセッサ203は、対向装置に応答パケットを送信する。
107の処理では、プロセッサ203は、IPsec_SAの監視により、IPsec_SAが切断されたか否か(異常があるか否か)を判定する。IPsec_SAが切断された場合には(107のYes)、処理が102に戻り、IPsec_SAの再確立に係る交渉が行われる。
<<監視処理(監視側/被監視側)>>
図20及び図21は、監視処理の例を示すフローチャートである。監視処理の内容は、監視側と被監視側とで同内容にすることができる。但し、両者が異なっていても良い。図20及び図21の処理は、例えば、制御部202(303)として動作するプロセッサ203によって行われる。図20及び図21の処理は、例えば、IPsec_SAの確立を契機に開始される。
201の処理では、プロセッサ203は、受信されたパケットに対する暗号/復号処理を行う。IPsec_SAの終端処理のうち、IPsecの暗号化パケットを送信する装置は、パケット暗号/復号処理として、ESPを用いたパケットの暗号化及びカプセル化処理を行う。一方、IPsecの暗号化パケットを受信する装置は、パケット暗号/復号処理として、暗号化パケットのデカプセル及び復号を行う。
図22は、パケット暗号/復号処理(サブルーチン)の例を示すフローチャートである。301の処理において、プロセッサ203は、受信されたパケットが暗号化パケット(ESPに基づき暗号化及びカプセル化されたパケット:ESPパケット)か否かを判定する。暗号化パケットであれば(301のYes)、処理が302に進み、そうでなければ(301のNo)、処理が308に進む。
302の処理では、プロセッサ203は、暗号化パケットの分析を行い、暗号化パケットのIPアドレス(送信元及び宛先の少なくとも一方)と、SPI(Security Parameter
Index)とを得る。SPIは、自身の所属するSAを示す32ビットのID情報である。
303の処理では、プロセッサ203は、302で得たIPアドレス及びSPIを用いて、メモリ204のSA204bから暗号化パケットに係るIPsec_SAを検索する。304の処理では、プロセッサ203は、暗号化パケットのESPシーケンス番号をチェックする。
305の処理では、プロセッサ203は、暗号化パケットの復号処理(デカプセル及び復号)を行う。306の処理では、プロセッサ203は、デカプセルされたパケットの分析を行う。分析によって、パケットのIPアドレス,プロトコル,ポート番号,タイプ,コードなどの、パケットに含まれたパラメータを得る。307では、プロセッサ203は、306の処理で得たパラメータを用いてSPD204aを検索する。
308の処理では、プロセッサ203は、パケットの分析を行う。分析によって、パケットのIPアドレス,プロトコル,ポート番号,タイプ,コードなどの、パケットに含まれたパラメータを得る。309の処理では、308で得たパラメータを用いてSPD204aを得る。
310の処理では、プロセッサ203は、IPsec_SAを検索する。311では、プロセッサ203は、ESPシーケンス番号を更新する。312では、プロセッサ203は、ESPに基づきパケットを暗号化及びカプセル化する。
処理は、図19の202にリターン(復帰)し、プロセッサ203は、受信されたパケットが監視開始パケットか否かを判定する。当該処理は、パケットから得られたパラメータが、監視情報204cに含まれた監視条件を満たすか否かを以て判定される。パケットが監視開始パケットであれば(202のYes)、処理が203に進み、そうでなければ(202のNo)、処理が210に進む。
203の処理では、プロセッサ203は、監視タイマを起動する。その後、パケットが受信されると、プロセッサ203は、パケット暗号/復号処理(図22参照)を行う(204の処理)。205の処理では、プロセッサ203は、受信されたパケットが監視対象パケットか否かを判定する。パケットが監視対象パケットであれば(205のYes)、処理が206に進み、そうでなければ(205のNo)、処理が201に戻る。
206の処理では、プロセッサ203は、監視情報204cを参照し、復旧状態が「通常」か否かを判定する。このとき、復旧状態が「通常」であれば(206のYes)、処理が209に進み、そうでなければ(206のNo)、処理が207に進む。
207の処理では、プロセッサ203は、復旧状態を「通常」に更新する。208の処理では、プロセッサ203は、IKEパケットを用いて、更新された復旧状態を対向装置に通知する(復旧状態の更新指示)。209の処理では、プロセッサ203は、監視タイマを再起動する。
210の処理では、プロセッサ203は、受信されたパケットが監視停止パケットか否かを判定する。パケットが監視停止パケットであれば(210のYes)、処理が211に進み、そうでなければ(210のNo)、処理が212へ進む。211の処理では、プロセッサ203は、監視タイマを停止させて、処理を201に戻す。
212の処理では、プロセッサ203は、監視タイマがタイムアウト(満了)しているか否かを判定する。監視タイマがタイムアウト(満了)している場合には(212のYes)、処理が213に進む。これに対し、監視タイマがタイムアウト(満了)していない場合には(212のNo)、処理が204に戻り、次のパケット受信が待機される。なお、監視停止パケットの設定はオプションであり、監視停止パケットが定義されていない場合、210及び211の処理は省略される。
213の処理では、プロセッサ203は、復旧状態の更新処理を行う。これまでに説明したように、復旧状態は、「通常」を初期値とし、213の処理が行われる場合に、「復旧1」→「復旧2」→…と、一段階ずつ遷移(エスカレーション)する。
214の処理では、プロセッサ203は、IKEパケットを用いて、復旧状態の更新指示を対向装置に通知する。215の処理では、プロセッサ203は、監視情報204cに含まれた「復旧方法」から、復旧状態に対応する復旧方法を読み出す。
216の処理では、プロセッサ203は、復旧方法が監視側で行われるか否かを判定する。復旧方法が監視側で行われる場合には(216のYes)、処理が217へ進む。復旧方法が被監視側で行われる場合には(216のNo)、処理が219へ進む。
217の処理では、プロセッサ203は、復旧方法が「切替」で、且つ冗長装置が切替不可か否か(復旧方法が実施不可能か)を判定する。復旧方法が「切替」で、且つ冗長装置が切替不可の場合には(217のYes)、処理が201に戻る。これに対し、復旧方法が「切替」で且つ冗長装置が切替不可でない場合には(217のNo)、処理が218に進む。218の処理では、プロセッサ203は、復旧方法を実施する。その後、処理が201へ戻る。
219の処理では、プロセッサ203は、復旧方法が「切替」で、且つ冗長装置が切替不可か否か(復旧方法が実施不可能か)を判定する。復旧方法が「切替」で、且つ冗長装置が切替不可の場合には(219のYes)、処理が201に戻る。これに対し、復旧方法が「切替」で且つ冗長装置が切替不可でない場合には(219のNo)、処理が220に進む。220の処理では、プロセッサ203は、IKEパケットを用いて復旧方法を対向装置(監視側)に指示する。これにより、監視側で、復旧方法が実施される。その後、処理が201へ戻る。
<<復旧方法/復旧状態受信処理>>
図23は、復旧方法/復旧状態受信処理の例を示すフローチャートである。図23の処理は、例えば、制御部202(303)として動作するプロセッサ203によって行われる。
401の処理において、プロセッサ203は、復旧方法の指示が受信されたか否かを判定する。復旧方法の指示が受信された場合には(401のYes)、処理が402に進み、そうでない場合には(401のNo)、処理が403に進む。402の処理において、プロセッサ203は、監視情報204cの「復旧方法」から、復旧状態に対応する復旧方法を実施する。
403の処理において、プロセッサ203は、復旧状態の更新指示が受信されたか否かを判定する。復旧状態の更新指示が受信された場合には(403のYes)、処理が404に進み、そうでない場合には(403のNo)、処理が401に戻る。404の処理において、プロセッサ203は、監視情報204cの「復旧方法」を更新する。すなわち、プロセッサ203は、復旧方法の内容を一段階進める。
<メッセージ(パケット)の説明>
次に、実施形態にて使用されるメッセージ(パケット)のフォーマット例について説明する。
<<IKEパケット>>
図24は、IKEパケットのフォーマット例を示す。IKEパケットは、レイヤ5(L5:セッション層)のデータとして、IKEヘッダ及びIKEペイロード1,2,…,n−1,n(nは正の整数)に対し、User Datagram Protocol(UDP)ヘッダ(L4)と、IPヘッダ(L3)とが付与されている。図24の(1)は、非暗号化領域であることを示す。
<<IKEパケット(交渉パケット)>>
図25は、交渉パケット、すなわちIPsec_SA確立メッセージとして使用されるIKEパケットのフォーマット例を示す。図25に示すように、フォーマット自体は、図
24に示したIKEパケットと同様である。但し、図25の(2)で示すIKEのペイロード部分は、IKEの鍵で暗号化された暗号化領域である。一方、図25の(1)で示すヘッダ部分は、非暗号化領域である。
なお、IPsec_SA削除要求のメッセージ,DPDメッセージ,監視条件の交渉パケット,復旧方法の指示のメッセージ,及び復旧状態の更新指示のメッセージも、IPsec_SA確立メッセージと同じフォーマットを有する。
<<監視開始/監視対象パケット>>
図26は、監視開始/監視対象パケットのフォーマット例を示す。図26の例では、上位レイヤの例として、GTP(General Packet Radio System Tunneling Protocol)を示す。
図26において、監視開始/監視対象パケットは、(2)で示す暗号化領域と、(1)で示す非暗号化領域とを含む。暗号化領域は、IPヘッダ,UDPヘッダ,GTPヘッダ,GTPペイロード,ESPトレイラを含む。非暗号化領域は、IPヘッダ,ESPヘッダ,ESPトレイラを含む。
図27は、非暗号化の監視開始/監視対象パケットのフォーマット例を示す。図27の例では、監視開始パケットは、GTP echo requestパケットであり、監視対象パケットは、GTP echo replyパケットである。
<実施形態の効果>
従来技術であるDPDは、IKE_SAが確立している状態では、以下を要因とするユーザバケットの疎通異常を検出できない。
・自装置と対向装置とのSPD(Security Policy Database)の検索論理(ユーザパケットと適用するSPDとの関連づけ)の不一致
・IPsec_SAの暗号鍵の不一致
・IPsec_SAによる暗号処理の異常
・IPsec_SAのライフタイマ満了によるSAの使用不可
・Encapsulated Security Payload(ESP)ヘッダ内の拡張シーケンス番号における、
上位シーケンス番号の不一致
実施形態では、IKE_SAが確立しているが、IPsec_SA(暗号化トンネル)に異常があり、この異常に起因する上位レイヤのパケットの送受信の異常(上位レイヤの通信異常)を検出することができる。さらに、異常の検出時に、所定の復旧方法を行い、異常(障害)状態からの復旧を図ることができる。これによって、ネットワークの障害からの早期復旧、ネットワークの安定運用を図ることができる。
このため、実施形態では、IPsec_SAの交渉用の情報(SPD204a)に監視条件及び復旧方法を予め記憶し、IPsec_SAの交渉とともに、監視条件及び復旧方法の交渉をも行う。これによって、IPsec(暗号化通信)を行う装置の負荷を上昇させることなく、暗号化通信の異常を検出することが可能となる。但し、監視条件及び復旧方法のうちの監視条件のみが、交渉パケットに含められることはあり得る。
換言すれば、本来、SPDにある、パケットの特定用パラメータ(IPアドレス,ポート番号,プロトコル,タイプなど)などを用いて監視条件を定義し、IPsec_SAの交渉とともに監視条件の交渉が行われる。交渉の結果に従い、上位レイヤのパケットの送受信状況(疎通)が監視される。このような、簡易な構成の追加によって、IKE_SAが正常に確立している場合には検出できないIPsec_SAの異常を検出できる。すな
わち、下位レイヤを用いた監視では検出できない暗号化通信の異常を簡易な構成を以て検出可能となる。さらに、実施形態では、復旧方法を交渉し、異常検出時に復旧方法に基づく処理を実行することもできる。
また、監視側が被監視側(対向装置)に対して、監視条件及び復旧方法について複数の提案(候補)を提示し、対向装置が提案の選択結果を応答する。これによって、対向装置で行うことが可能な異常検出及び復旧方法を採ることができる。
また、実施形態では、IPsecの主体(イニシエータ,レスポンダの一方)となる装置が有するSPDに監視条件、復旧方法が設定される。これによって、保守者は、SPDを用いて、汎用的に監視条件、復旧方法を設定することができる。
また、実施形態に係る監視の導入にあたっては、上位レイヤ(GTP,SCTP,ICMPなど)の動作を変更することなく、IPsecレイヤを含む上位レイヤの疎通(接続性:Connectivity)の正常性を監視することができる。
IPsecが適用される場合には、SPDでIPsecを適用するIPアドレス、プロトコル、アルゴリズムなどが指定される。実施形態では、上位レイヤの信号条件(監視開始パケット,監視対象パケット,監視停止パケット)を、IPアドレス,プロトコル,タイプのような、IPsecのフロー乃至トラフィックの特定情報と同じ情報を用いて特定することができる。したがって、IPsec_SAの確立、監視条件、復旧方法のそれぞれに関して、パラメータを一元管理できる。また、設定方法も統一可能であり、既存装置への適用が容易になると想定される。
また、実施形態では、監視開始パケット及び監視対象パケットを対向装置とのIPsec_SAの確立に係る交渉用情報とあわせて指定する。これによって、交渉の手間を低減でき、問題の潜在化防止および誤検出を防止することができる。
また、実施形態では、複数の復旧方法が容易され、一つの復旧方法が段階的に使用される。このため、復旧方法の使用により発生する影響が抑えられるように、復旧方法を選択及び使用することができる。なお、対向装置が提案に係る復旧方法(候補)の全てを具備していない場合であっても、従来のIPsec機能が有する動作を用いた復旧を試行できる。このため、監視側装置の適用で、復旧を行うことができる。
また、対向装置が提案に係る復旧方法の一部しか対応しない場合でも、対応可能な復旧方法を用いることができる。また、監視開始、監視対象パケットの条件を詳細に指定することができ、上位レイヤの特性に合わせた監視を、SPDに対するパラメータ変更で行うことができる。
また、実施形態では、監視停止パケットを設定できる。これによって、非監視状態において、上位レイヤの動作に異常が発生した場合に、下位レイヤ(IPsec)の異常と誤検出することを回避できる。
また、実施形態では、復旧状態を不揮発記憶媒体に記憶することができる。これによって、装置自体のリセットを伴う復旧方法が実施された場合でも、復旧状態を維持したままで、次の候補の復旧方法を試行できる。よって、多様な復旧パターンに対応できる。
また、IPsecの経路が冗長構成を有する場合に、片方のIPsec装置および経路が要因の場合の障害も復旧させることができる。また、無線基地局装置などに組み込まれたIPsec機能に適用することで、安定した無線通信のネットワークシステムを維持す
ることができる。以上説明した実施形態の構成は、適宜組み合わせることができる。
1・・・端末
2・・・基地局(通信装置)
3・・・セキュリティゲートウェイ(対向装置)
4・・・MME
5・・・サービングゲートウェイ
6・・・パケットデータネットワークゲートウェイ
20・・・無線基地局装置
21・・・プロトコル終端部
22,31・・・IPsec部
23・・・SPD
30・・・情報処理装置
41・・・セレクタ
42・・・暗号化/復号部
43・・・監視管理部
44・・・鍵交換部
45・・・監視条件交渉部
46・・・復旧管理部
47・・・上位レイヤ処理部
201・・・伝送路インタフェース部
202,303・・・制御部
203・・・プロセッサ
204・・・メモリ
205・・・ベースバンド部
206・・・無線部
301・・・第1伝送路インタフェース部
302・・・第2伝送路インタフェース部

Claims (9)

  1. 対向装置との間で確立される暗号化通信の経路の交渉に使用される交渉情報を記憶した記憶部と、
    前記経路を送受信されるとともに前記交渉情報を用いて特定される監視対象パケットが所定時間内に受信されない場合に前記暗号化通信の異常を検出する監視部と
    を含む通信装置。
  2. 前記暗号化通信の異常が検出された場合に、前記交渉情報を用いて特定される復旧方法に基づく処理を行う復旧部と、
    をさらに含む請求項1に記載の通信装置。
  3. 前記経路の交渉用のメッセージに、前記交渉情報に含まれた、監視対象パケットの交渉用情報を含めて前記対向装置に送信するとともに、前記経路の交渉の結果と前記監視対象パケットの交渉結果とを含む応答メッセージを受信する交渉部をさらに含み、
    前記監視部は、前記監視対象パケットの交渉結果に基づき決定された監視対象パケットを監視する
    請求項1又は2に記載の通信装置。
  4. 前記経路の確立交渉のメッセージに、前記交渉情報にそれぞれ含まれた、監視対象パケットの交渉用情報と、復旧方法の交渉用情報とを含めて対向装置に送信するとともに、前記経路の交渉結果と、前記監視対象パケットの交渉結果と、前記復旧方法の交渉結果とを含む応答メッセージを受信する交渉部をさらに含み、
    前記監視部は、前記監視対象パケットの交渉結果に基づき決定された監視対象パケットを監視し、
    前記復旧部は、前記復旧方法の交渉結果に基づき決定された復旧方法に基づく処理を行う
    請求項1又は2に記載の通信装置。
  5. 前記監視対象パケットの交渉用情報は、複数の監視対象パケットの候補を含み、
    前記監視部は、前記複数の監視対象パケットの候補から前記対向装置によって選択された少なくとも1つの監視対象パケットを監視する
    請求項3又は4に記載の通信装置。
  6. 前記復旧方法の交渉用情報は、複数の復旧方法の候補を含み、
    前記監視部は、前記複数の復旧方法の候補から前記対向装置によって選択された少なくとも1つの復旧方法に基づく処理を行う
    請求項4に記載の通信装置。
  7. 前記記憶部に記憶された前記交渉情報は、共通の情報項目を用いて規定された、前記暗号化通信の対象のパケットの特定情報と、前記監視対象パケットの特定情報とを含む
    請求項1から6の何れか1項に記載の通信装置。
  8. 前記復旧部は、前記対向装置との交渉において決定された複数の復旧方法のうち、不揮発性記憶媒体に記憶された復旧状態に対応する復旧方法に基づく処理を行う
    請求項2から7の何れか1項に記載の通信装置。
  9. 対向装置との間で確立される暗号化通信の経路の交渉に使用される交渉情報を記憶し、
    前記経路を送受信されるとともに前記交渉情報を用いて特定される監視対象パケットが所定時間に受信されない場合に前記暗号化通信の異常を検出する
    ことを含む通信装置の異常検出方法。
JP2015226782A 2015-11-19 2015-11-19 通信装置,及び暗号化通信の異常検出方法 Pending JP2017098666A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015226782A JP2017098666A (ja) 2015-11-19 2015-11-19 通信装置,及び暗号化通信の異常検出方法
US15/332,093 US20170149743A1 (en) 2015-11-19 2016-10-24 Communication apparatus and method for detecting abnormality of encryption communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015226782A JP2017098666A (ja) 2015-11-19 2015-11-19 通信装置,及び暗号化通信の異常検出方法

Publications (1)

Publication Number Publication Date
JP2017098666A true JP2017098666A (ja) 2017-06-01

Family

ID=58721374

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015226782A Pending JP2017098666A (ja) 2015-11-19 2015-11-19 通信装置,及び暗号化通信の異常検出方法

Country Status (2)

Country Link
US (1) US20170149743A1 (ja)
JP (1) JP2017098666A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10812980B2 (en) 2016-10-10 2020-10-20 Huawei Technologies Co., Ltd. Communication method, security node network element, and terminal

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11418952B2 (en) * 2018-01-11 2022-08-16 Telefonaktiebolaget Lm Ericsson (Publ) Optimized PDCP handling in integrated access backhaul (IAB) networks
EP3518489A1 (de) * 2018-01-26 2019-07-31 Siemens Aktiengesellschaft Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
US10924513B1 (en) * 2018-03-30 2021-02-16 NortonLifeLock Inc. Action detection and network security policy enforcement based on wireless-transmission interference patterns
US10999253B2 (en) * 2018-07-26 2021-05-04 Juniper Networks, Inc. Maintaining internet protocol security tunnels
US11283784B2 (en) * 2018-09-25 2022-03-22 ColorTokens, Inc. Peer to peer communication in ad-hoc and cloaked networks
CN111327394B (zh) * 2018-12-17 2022-10-11 北京华为数字技术有限公司 一种报文发送方法及装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6668282B1 (en) * 2000-08-02 2003-12-23 International Business Machines Corporation System and method to monitor and determine if an active IPSec tunnel has become disabled
JP2005020215A (ja) * 2003-06-25 2005-01-20 Hitachi Ltd セキュア通信における障害復旧方法及びシステム
TW200529623A (en) * 2004-01-14 2005-09-01 Nec Corp Communication encryption method, communication encryption system, terminal device, DNS server and program
EP1562346A1 (en) * 2004-02-06 2005-08-10 Matsushita Electric Industrial Co., Ltd. Method and system for reliably disconnecting IPSec security associations
JP4013920B2 (ja) * 2004-06-02 2007-11-28 日本電気株式会社 通信システム、通信装置及びその動作制御方法並びにプログラム
US8141126B2 (en) * 2007-01-24 2012-03-20 International Business Machines Corporation Selective IPsec security association recovery
JP4774375B2 (ja) * 2007-02-20 2011-09-14 株式会社リコー ネットワーク通信機器
US8423767B2 (en) * 2007-06-13 2013-04-16 Cisco Technology, Inc. Security association verification and recovery

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10812980B2 (en) 2016-10-10 2020-10-20 Huawei Technologies Co., Ltd. Communication method, security node network element, and terminal

Also Published As

Publication number Publication date
US20170149743A1 (en) 2017-05-25

Similar Documents

Publication Publication Date Title
JP2017098666A (ja) 通信装置,及び暗号化通信の異常検出方法
US11277391B2 (en) Packet sending method and apparatus
US11038846B2 (en) Internet protocol security tunnel maintenance method, apparatus, and system
US8243687B2 (en) Secure and seamless WAN-LAN roaming
US9094864B2 (en) Architecture for WLAN offload in a wireless device
US9027111B2 (en) Relay node authentication method, apparatus, and system
US9226142B2 (en) Mobile communication system, communication control method, and radio base station
US10897509B2 (en) Dynamic detection of inactive virtual private network clients
US9774580B2 (en) Mesh network with personal pre-shared keys
EP2007078A1 (en) Header size reduction of data packets
US20140205096A1 (en) Un-ciphered network operation solution
JP2018537912A5 (ja)
US20160080424A1 (en) Apparatus and method for reestablishing a security association used for communication between communication devices
US20120207116A1 (en) Wimax r6 management protocol
JP2009200689A (ja) 通信システム及び通信処理方法並びにノード
JP5576559B2 (ja) アクセス層セキュリティアルゴリズムの保護方法及びアクセス層セキュリティアルゴリズムの保護システム
JP5464232B2 (ja) セキュア通信システム及び通信装置
US8670387B2 (en) WiMAX R6 control architecture
US20210058773A1 (en) Transfer/cloning of security context
JP5408372B2 (ja) 暗号化実施制御システム
WO2018119559A1 (zh) 一种通信接口故障的处理方法和装置
KR101447858B1 (ko) IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템
JP2011170157A (ja) Ipsec通信装置、ipsec通信方法、およびipsec通信システム
Alshalan MobiVPN: Towards a Reliable and Efficient Mobile VPN
CN114553633A (zh) 隧道协商方法及装置