JP4107213B2 - パケット判定装置 - Google Patents

パケット判定装置 Download PDF

Info

Publication number
JP4107213B2
JP4107213B2 JP2003347018A JP2003347018A JP4107213B2 JP 4107213 B2 JP4107213 B2 JP 4107213B2 JP 2003347018 A JP2003347018 A JP 2003347018A JP 2003347018 A JP2003347018 A JP 2003347018A JP 4107213 B2 JP4107213 B2 JP 4107213B2
Authority
JP
Japan
Prior art keywords
packet
encrypted
data
esp
field
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003347018A
Other languages
English (en)
Other versions
JP2005117246A (ja
Inventor
正夫 秋元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2003347018A priority Critical patent/JP4107213B2/ja
Priority to EP04023605A priority patent/EP1523149A3/en
Priority to US10/957,699 priority patent/US7434255B2/en
Publication of JP2005117246A publication Critical patent/JP2005117246A/ja
Application granted granted Critical
Publication of JP4107213B2 publication Critical patent/JP4107213B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、パケットに暗号化処理等が施されているかを判定して、そのパケットの盗聴や改竄を防止するためのパケット判定装置に関する。
従来より、例えばインターネット等の公衆ネットワークを利用してパケットを通信するに際には、当該パケットの秘匿性を保持するために、IPsec(IP(Internet Protocol) security protocol)等のトンネリングプロトコルに従った処理を行う通信システムが知られている。この通信システムでは、サーバ側及びクライアント側にVPN(Virtual Private Network)機器を設けて、両者に共通したトンネリング処理を行うことにより、仮想的に閉ざされたネットワーク(VPN)を構築している。
上述のIPsecとしては、暗号ペイロードを作成するためのRFC(Request For Comments)2406にて定義されたESP(IP Encapsulating Security Payload)プロトコルが知られており、このESPプロトコルによって、ESPヘッダに続くペイロードデータを暗号化したり、認証データを使用した送信パケットと受信パケットとの整合性を保証したりしている。
ところで、従来のVPNの通信システムでは、IPヘッダとIPデータグラムとからなるIPパケットをカプセル化する手法として、以下に詳述するトランスポートモード、若しくはトンネルモードの何れかのモードを使用した処理を行ってパケット通信をするようになっている。
前者のトランスポートモードでは、データ送信側において、IPパケットのうち、IPデータグラムを暗号化してESPペイロードを作成し、当該ESPペイロードに続いて認証データを付加して送信する。一方、後者のトンネルモードでは、データ送信側において、IPヘッダ及びIPデータグラムの双方を暗号化してESPペイロードを作成し、当該ESPペイロードに新たなヘッダを付加すると共にESPペイロードに認証データを付加して送信するようになっている。
尚、このESPプロトコルにて使用される暗号化アルゴリズムは、一般的に、暗号化するデータ長の単位が決定されているブロック暗号化であり、当該暗号化するデータ長の単位が8バイト又は16バイトとなっている。したがって、このESPプロトコルにおいては、暗号化処理を施したデータにパディングデータを付加して、暗号化データのデータ長を調整して、当該暗号化データのデータ長を8バイト又は16バイトの倍数とする必要がある。
これに対し、RFC2410にて定義されている暗号化を行わない無暗号アルゴリズムでは、処理対象となるデータのブロック長が1バイトであり、データ長を調整するためのパディングデータの必要が無い。
また、ESPプロトコルにおいて、暗号化データに続いて付加されるメッセージ認証データは、オプションとなっておりデータ長が任意のサイズとなっているが、一般的に、データ長が12バイトのRFC2403にて定義されたHMAC−MD5−96又はRFC2404にて定義されたHMAC−SHA−1−96が使用される。
このような暗号化処理や認証処理を行うVPN機器では、例えばサーバからクライアントにパケットを送信するに際して、当該パケットを監視する監視機能を備えている。この監視機能を使用することにより、VPN機器では、トンネル数やスループット等の統計情報、例えばサーバ−クライアント間の接続又は非接続を示すネゴシエーション情報を取得することにより、クライアントに送信するパケットを監視している。
また、従来において、例えばサーバと接続された内部ネットワークと、インターネット網等を介してクライアントと接続するための外部ネットワークとの間に、パケットのセキュリティを強固とするための暗号ゲートウェイを備えた技術が、下記の特許文献1にて知られている。
この特許文献1に記載された技術では、パケットデータのヘッダ情報を解析して暗号化、復号化、無処理の何れかを選択する暗号化方式が記載されている。
特開平10−327193号公報
しかしながら、上述した従来の技術では、VPN機器にて通信対象となるパケットを監視しているが、クライアントとサーバ間でのVPNセッションが安全な状態、即ちパケットの盗聴などを防ぐために暗号化されているか否かを判定していなかった。
つまり、クライアントとサーバとの間でVPNを構築するためには、サーバ側のVPN機器に正しい処理設定がなされていることが必要となるが、サーバ側のVPN機器に正しい設定がなされてない場合、暗号化されるべきパケットデータが暗号化されずに送信されてしまう可能性があった。また、サーバ側のVPN機器に正しい設定がなされていても、VPN機器内に実装したプログラムデータ等のバグが発生した場合には、暗号化されるべきパケットデータが暗号化されずに送信されてしまう可能性がある。
より具体的に説明すると、サーバ側によってクライアント側に提供するサービス(ファイル転送サービスやWebページ閲覧サービス)に応じて暗号化又は非暗号化を区別している場合や、サーバ側のVPN機器が複数のクライアントと通信可能な状態である場合にクライアントごとに暗号化又は非暗号化を区別している場合に、設定ミスやバグ等によって、本来暗号化してデータ送信をするクライアントに対して非暗号化データを送信してしまう可能性があった。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、パケットの盗聴や改竄などに対するパケットの秘匿性を確実に保持することができるパケット判定装置を提供することを目的とする。
本発明は、セキュリティプロトコルによって、暗号化されたデータにヘッダが付加されたパケットが構成され、そのパケットを通信するネットワークに接続されたパケット判定装置に適用される。
また、本発明に係る他のパケット判定装置では、ネットワークで通信されるパケットを受信すると、ネットワークで通信されるパケットに含まれるヘッダを参照して、前記セキュリティプロトコルに従って暗号化されたフィールドのデータ長を検出し、その検出したデータ長がセキュリティプロトコルに従った暗号化処理のブロック長の倍数でない場合に、暗号化されるべきパケットが暗号化されていない旨の通知をすることにより、上述の課題を解決する。
更に、本発明に係る他のパケット判定装置では、ネットワークで通信されるパケットのうち、セキュリティプロトコルに従って付加されるトレーラを参照して、当該トレーラに含まれたセキュリティプロトコルの上位層プロトコルを示すプロトコル番号が、予め設定したプロトコル番号であると判定した場合に、暗号化されるべきパケットが暗号化されていない旨の検出をすることにより、上述の課題を解決する。
更にまた、本発明に係る他のパケット判定装置では、ネットワークで通信されるパケットのうち、セキュリティプロトコルに従って付加されるトレーラを参照して、当該トレーラに含まれたパディングフィールドのデータ長を示すパディング長が、暗号化されたデータ及びトレーラのデータ長からパディングフィールドを除くトレーラ部分を減算したデータ長よりも小さいと判定した場合に、暗号化されるべきパケットが暗号化されていない旨の検出をすることにより、上述の課題を解決する。
本発明によれば、パケット生成装置により通信するパケットの秘匿性が保持されているかを判定するに際して、暗号化されるべきパケットに含まれるヘッダのうちセキュリティプロトコルに従って作成されたヘッダ、暗号化されたフィールドのデータ長、トレーラを参照して、パケットが暗号化されているかを判定し、暗号化されていないと判定した場合に、暗号化されるべきパケットが暗号化されていない旨の通知や検出をするので、データの盗聴や改竄などに対するパケットの秘匿性を確実に保持することができる。
以下、本発明の実施の形態について図面を参照して説明する。
本発明は、例えば図1や図2に示すように、VPN(Virtual Private Network)が構築されたデータ通信システムに適用される。
[データ通信システムの構成]
まず、図1に示すデータ通信システムについて説明すると、当該システムは、各種のサーバ1から、内部ネットワークN1、サーバ側VPN機器2及び外部ネットワークN2を介して、VPN対応クライアント3にデータを送信するようになっている。本例において、内部ネットワークN1は、IP(Internet Protocol)ベースのローカルエリアネットワークであり、外部ネットワークN2は、公衆で利用可能なIPネットワークである。
サーバ1は、例えばWebサーバ、FTP(File Transfer Protocol)サーバ等からなり、VPN対応クライアント3に送信するアプリケーションデータを生成する。具体的には、サーバ1は、VPN対応クライアント3からデータ送信要求を受けて、当該要求に応じたアプリケーションデータを取得し、内部ネットワークN1を介してサーバ側VPN機器2に送信するようになっている。
サーバ側VPN機器2は、サーバ1から受信したパケットのIPアドレス等を参照して暗号化処理を行うか否かを判定して、暗号化処理を行う必要がない場合にはそのまま外部ネットワークN2に送信する。
一方、サーバ側VPN機器2は、暗号化処理をしてパケットを送信する必要がある場合、VPN対応クライアント3との間でVPNを構築するため、IPパケットに対してトンネリングプロトコルに従った処理を行う。具体的には、サーバ側VPN機器2は、トンネリングプロトコルのうち、ネットワーク層におけるセキュリティプロトコルであるIPsec(IP security protocol)に準拠した処理を行って、VPN対応クライアント3に送信するパケットを作成する。また、サーバ側VPN機器2は、IPsecに含まれるプロトコルのうち、セキュリティプロトコル、例えば暗号ペイロード(ESP:IP Encapsulating Security Payload)を作成するESPプロトコルに従った処理を行う。
このとき、サーバ側VPN機器2では、IPヘッダとIPデータグラムからなるIPパケットをカプセル化するに際して、トンネルモード処理を行う。具体的に説明すると、まずサーバ側VPN機器2は、サーバ1から図3(a)に示すパケットを受信する。そのパケットは、サーバ1が作成したアプリケーションデータ及びTCPヘッダやUDPヘッダ等が格納されたIPデータグラム102と、当該IPデータグラムの先頭に付加されるIPヘッダ101とから構成され、そのヘッダには送信元のサーバ1のアドレスと、宛先のVPN対応クライアント3のアドレスが格納されている。
サーバ側VPN機器2では、サーバ1から当該パケットを受信すると、図3(b)に示すように、IPヘッダ101及びIPデータグラム102に続くESPトレーラとして、パディングフィールド103、パディング長フィールド104、次ヘッダ番号フィールド105を設けるようになっている。
このとき、サーバ側VPN機器2では、IPヘッダ101及びIPデータグラム102、パディングフィールド103、パディング長フィールド104及び次ヘッダ番号フィールド105の合計データ長が予め設定したブロック長(8バイト又は16バイト)の整数倍となるように、パディングフィールド103のデータ長を決定する。また、サーバ側VPN機器2では、パディングフィールド103のデータ長を示す8ビットデータをパディング長フィールド104に格納し、次ヘッダフィールドには、IPを示すプロトコル番号である「4」を格納するようになっている。
更に、サーバ側VPN機器2では、IPヘッダ101及びIPデータグラム102、パディングフィールド103、パディング長フィールド104及び次ヘッダ番号フィールド105からなるデータを暗号化し、ESPペイロードフィールド(セキュリティプロトコルにより暗号化されたフィールド)107に格納するESPペイロードデータを作成する。このとき、サーバ側VPN機器2では、予めVPN対応クライアント3との間で決定された暗号化方式に従った処理を行う。
更にまた、サーバ側VPN機器2では、図3(c)に示すように、ESPペイロードフィールド107の先頭にESPヘッダ106を付加すると共に、当該ESPヘッダフィールド106の先頭にIPヘッダ101を付加し、更にESPペイロードフィールド107に続くフィールドにESP認証データフィールド108を付加する。なお、IPヘッダ101には、送信元のサーバ側VPN機器2のアドレスと宛先のVPN対応クライアント3のアドレスとが格納されている。
このとき、サーバ側VPN機器2では、IPヘッダ101のプロトコル番号フィールドに格納するプロトコル番号を、ESPプロトコルを示す番号「50」に書き換えて、IPヘッダ101に格納する。
また、サーバ側VPN機器2では、ESPヘッダ106として、図4に示すように、セキュリティパラメータインデックスフィールド(SPI)121を付加し、続いて、ESPペイロードフィールド107の先頭にシーケンス番号フィールド122を付加する。セキュリティパラメータインデックス121には、ESPプロトコルを実行するに際してのセキュリティアソシエーションを検索するためのセキュリティパラメータの値が格納される。また、シーケンス番号フィールド122には、同一セッション内にてVPN対応クライアント3にパケットデータを送信する際にインクリメントされるシーケンス番号が格納される。
また、ESP認証データフィールド108には、ESPヘッダフィールド106及びESPペイロードフィールド107に対して認証処理を行うための認証データが格納される。この認証データは、通常12バイトのデータが使用される。なお、ESPプロトコルにおいては、ESP認証データフィールド108を付加するか否かを任意(オプション)としており、認証機能を有効にした場合にのみESPペイロードフィールド107に続いてESP認証データフィールド108を付加するようになっている。
以上、図3〜図4を参照して説明したように、サーバ側VPN機器2では、VPN対応クライアント3にデータを送信するに際して、データをパケット化する。このように処理されたパケットは、VPN対応クライアント3によってIPsecに準じた復号化処理、認証処理が施されることによりサーバ1が生成したアプリケーションデータが取り出される。また、VPN対応クライアント3も、サーバ側VPN機器2と同様に暗号化処理等を行って、サーバ側VPN機器2に送信するパケットを作成する。
また、このデータ通信システムでは、図1に示すように、サーバ側に、サーバ側VPN機器2から外部ネットワークN2に送られるパケットを監視するための暗号パケット判定装置4、当該暗号パケット判定装置4及びサーバ側VPN機器2の処理を管理するための管理端末5を備える。
管理端末5は、例えばサーバ1の管理者等により操作され、サーバ側VPN機器2や暗号パケット判定装置4の処理設定をする。また、この管理端末5は、本来であれば暗号化されてサーバ側VPN機器2からVPN対応クライアント3に送出されるべきパケットが暗号化されていない場合には、例えば警告表示等を行うことによりその旨を提示する。
暗号パケット判定装置4は、サーバ側VPN機器2により通信されるパケットを監視することにより、暗号化されるべきパケットが暗号化されているか否かを判定する。この暗号パケット判定装置4は、その機能的な構成を図5に示すように、外部ネットワークN2と接続された外部ネットワーク側インターフェイス11、内部ネットワークN1と接続された内部ネットワーク側インターフェイス12を備える。
内部ネットワーク側インターフェイス12は、予め内部ネットワークN1に規定された通信プロトコルに従った処理を行うことにより管理端末5との間で通信を行う。また、外部ネットワーク側インターフェイス11は、IPに従った処理を行うことによりサーバ側VPN機器2からVPN対応クライアント3に送られるパケットを検出する。
この暗号パケット判定装置4では、サーバ側VPN機器2により通信されるパケットを選別するための設定情報が管理端末5から内部ネットワーク側インターフェイス12に送られると、当該設定情報をパケットフィルタ条件設定部13に送る。パケットフィルタ条件設定部13は、外部ネットワーク側インターフェイス11により受信したパケットが暗号化されているかを判定する対象となるパケットか否かを選別するパケットフィルタ14の設定を行う。
具体的には、パケットフィルタ条件設定部13は、管理端末5からの設定情報として、送信元IPアドレスや宛先IPアドレス等が送られる。そして、パケットフィルタ条件設定部13は、当該設定情報をキーとしてパケットフィルタ14にフィルタリング処理を行わせる。また、パケットフィルタ条件設定部13は、サーバ1に公開サーバが含まれている場合には、当該公開サーバから外部ネットワークN2に送出するパケットを暗号化する必要がないので、暗号判定の対象とさせないようにパケットフィルタ14のフィルタリング処理を設定する。これにより、パケットフィルタ14は、パケットフィルタ条件設定部13により設定された条件に従ってパケットを破棄する処理又は暗号パケット判定部15に送るフィルタリング処理を行う。
暗号パケット判定部15では、パケットフィルタ14から送られたパケットが、図3〜図4を用いて説明したIPsecに準じた処理が施されることにより暗号化されているか否かを判定する暗号パケット判定処理を行う。暗号パケット判定部15では、暗号化されていない場合には通知部16を制御して、当該通知部16から内部ネットワーク側インターフェイス12を介して管理端末5に、サーバ側VPN機器2からVPN対応クライアント3に送られるパケットが正常に暗号化されていない旨を示す情報を送信させる。なお、この暗号パケット判定部15の暗号パケット判定処理の内容については後述する。
[データ通信システムの別の構成]
次に、図2に示すデータ通信システムについて説明すると、当該システムは、VPN対応サーバ1’から、外部ネットワークN2を介して、VPN対応クライアント3にデータを送信するようになっている。当該VPN対応サーバ1’は、上述したサーバ1とサーバ側VPN機器2との機能を具備しており、VPN対応クライアント3に送信するアプリケーションデータを作成し、そのデータを暗号化する必要がある場合には、その処理を行う。ここで、暗号化処理を行う必要がある場合、VPN対応サーバ1’は、IPヘッダとIPデータグラムからなるIPパケットをカプセル化するに際して、トランスポートモード処理を行うようになっている。
具体的に説明すると、図6(a)に示すように、IPヘッダ101及びIPデータグラム102からなるIPパケットに、パディングフィールド103、パディング長フィールド104及び次ヘッダ番号フィールド105からなるESPトレーラを付加するようになっている(図6(b))。次ヘッダ番号フィールド105には、ESPペイロードデータを復号した際に先頭に現れるヘッダのIPプロトコル番号としてIPヘッダ101に含まれるプロトコルフィールドの8ビットデータがコピーされて格納されており、例えばICMP(Internet Control Message Protocol)を示すプロトコル番号「1」や、TCP(Transmission Control Protocol)を示すプロトコル番号「6」、UDP(User Datagram Protocol)を示すプロトコル番号「17」が格納される。そして、VPN対応サーバ1’では、トンネルモードとは異なり、IPデータグラム102とESPトレーラのみを暗号化してESPペイロードフィールド107に格納する。
また、IPヘッダ101と当該ESPペイロードフィールド107との間にESPヘッダフィールド106を付加し、IPヘッダ101にプロトコル番号「50」を格納して、更に、ESPペイロードフィールド107に続いてESP認証データフィールド108を付加するようになっている(図6(c))。尚、トランスポートモードにおけるIPヘッダ101には、送信元IPアドレスとしてVPN対応サーバ1’のIPアドレスを格納し、宛先IPアドレスとしてVPN対応クライアント3のIPアドレスを格納するようになっている。
以上のように、VPN対応サーバ1’では、VPN対応クライアント3にデータを送信するに際して、データをパケット化する。このように処理されたパケットは、VPN対応クライアント3によってIPsecに準じた復号化処理、認証処理が施されることにより同VPN対応サーバ1’が生成したアプリケーションデータが取り出される。また、VPN対応クライアント3も、VPN対応サーバ1’と同様に暗号化処理等を行って、VPN対応サーバ1’に送信するパケットを作成する。
また、このデータ通信システムでは、図6に示すように、VPN対応サーバ1’から外部ネットワークN2に送られるパケットを監視するための暗号パケット判定装置4と、当該暗号パケット判定装置4の処理を管理するための管理端末5とを備えている。この管理端末5は、内部ネットワークN1を介して暗号パケット判定装置4と接続されており、例えばサーバ1の管理者等により操作され、サーバ側VPN機器2や暗号パケット判定装置4の処理設定をするようになっている。そして、当該管理端末5は、本来であれば暗号化されてVPN対応サーバ1’からVPN対応クライアント3に送出されるべきパケットが暗号化されていない場合に、上述システムと同様にして、警告表示等を行うようになっている。
一方、暗号パケット判定装置4は、VPN対応サーバ1’により通信されるパケットを監視することにより、暗号化されるべきパケットが暗号化されているか否かを判定する。、その機能的な構成は、上述のシステムと略同様であるので(図5参照)、ここでは詳細な説明を省略する。
また、暗号パケット判定部15では、パケットフィルタ14から送られたパケットが、図6、図4を用いて説明したIPsecに準じた処理が施されることにより暗号化されているか否かを判定する暗号パケット判定処理を行うようになっている。そして、暗号パケット判定部15では、暗号化されていない場合には通知部16を制御して、当該通知部16から内部ネットワーク側インターフェイス12を介して管理端末5に、VPN対応サーバ1’からVPN対応クライアント3に送られるパケットが正常に暗号化されていない旨を示す情報を送信させるようになっている。
尚、この暗号パケット判定部15の暗号パケット判定処理の内容については後述する。また、その他の構成については、上述したシステムと同様であるので、ここでは説明を省略する。
[暗号パケット判定処理]
つぎに、上述したように構成されたデータ通信システムにおいて、暗号パケット判定部15による暗号パケット判定処理の処理手順について図7のフローチャートを参照して説明する。
暗号パケット判定装置4では、外部ネットワーク側インターフェイス11によりVPN対応サーバ1’若しくはサーバ側VPN機器2(以下、VPN対応サーバ1’等という)による通信対象となっていたパケットを検出し、パケットフィルタ14から暗号化されるべきパケットを暗号パケット判定部15により入力すると、ステップS1以降の処理を開始する。
先ずステップS1においては、暗号パケット判定部15により、パケットフィルタ14から送られたパケットに、サーバ1にて生成したアプリケーションデータが暗号化されて格納されたESPペイロードフィールド107が含まれているか否かを判定する。このとき、暗号パケット判定部15では、IPヘッダ101に含まれるプロトコル番号フィールドを参照して、当該プロトコル番号フィールドに格納されたプロトコル番号がESPプロトコルによりESPペイロードを作成したことを示す「50」であるか否かを判定する。そして、暗号パケット判定部15では、ESPペイロードフィールド107が含まれているパケットであると判定した場合にはステップS2に処理を進め、ESPペイロードフィールド107が含まれているパケットでないと判定した場合にはステップS11に処理を進める。
ステップS2においては、暗号パケット判定部15により、ESPヘッダフィールド106より後のデータ長(Length)を検出して、ステップS3に処理を進める。すなわち、ステップS2では、ESPペイロードフィールド107及びESP認証データフィールド108のデータ領域を判定対象とする。
ステップS3においては、暗号パケット判定部15により、ステップS2にて検出したデータ長が、8バイトの整数倍のデータ長に12バイトを加算したデータ長であるか否かを判定する。すなわち、暗号パケット判定部15では、ESPプロトコルに従ってIPパケットが8バイトのブロック暗号化が行われることにより、ESPペイロードフィールド107が8バイトの整数倍であってESPペイロードフィールド107に続いて12バイトのESP認証データフィールド108が付加されているか否かを判定する。これにより、暗号パケット判定部15は、ESPペイロードフィールド107に暗号化されたデータが格納されているか否か、ESP認証データフィールド108にESP認証データが格納されているか否かを判定する。
そして、暗号パケット判定部15では、データ長が8バイトの整数倍のデータ長に12バイトを加算したデータ長であると判定した場合には、ESPペイロードフィールド107に暗号化されたデータが格納されており、且つESP認証データフィールド108にESP認証データが格納されていると判定してステップS4に処理を進め、そうでない場合には、ESPペイロードフィールド107及びESP認証データフィールド108のデータ領域を判定対象にしてステップS5に処理を進める。
ステップS4においては、暗号パケット判定部15により、ESPペイロードフィールド107に格納されたESPペイロードを判定対象とするために、ステップS2にて検出したデータ長から、ESP認証データのデータ長(12バイト)を減算して、ステップS6に処理を進める。
ステップS5においては、暗号パケット判定部15により、ステップS2にて検出したデータ長が8バイトの整数倍のデータ長であるか否かを判定することにより、ESP認証データフィールド108にESP認証データが格納されていないが、ESPペイロードフィールド107に暗号化されたデータが格納されているか否かを判定する。すなわち、暗号パケット判定部15では、VPN対応サーバ1’等の設定により認証機能が無効とされている場合にESPペイロードがブロック暗号化されているか否かを判定する。
そして、暗号パケット判定部15では、ESPヘッダフィールド106以降のデータ長が8バイトの整数倍であると判定した場合にはESPペイロードが暗号化されていると判定してステップS6に処理を進め、ESPヘッダフィールド106以降のデータ長が8バイトの整数倍でないと判定した場合には、ESPペイロードフィールド107に格納されているデータが暗号化されていないと判定してステップS11に処理を進める。
次のステップS6及びステップS7においては、暗号パケット判定部15により、処理対象をESPトレーラとし、当該ESPトレーラに含まれる次ヘッダ番号フィールド105及びパディング長フィールド104を使用した処理を行う。
先ずステップS6においては、暗号パケット判定部15により、ESPトレーラの末尾の1バイトのデータを取り出すことにより次ヘッダ番号フィールド105に格納されているプロトコル番号を参照して、当該プロトコル番号が予め設定した値であるか否かを判定する。
ここで、次ヘッダ番号フィールド105には、上述したように、ESPペイロードデータを復号した際に先頭に現れるヘッダのプロトコル番号が格納されている。したがって、暗号パケット判定部15には、次ヘッダ番号フィールド105から取り出したプロトコル番号と照合するプロトコル番号として、ICMPを示すプロトコル番号「1」、IPを示すプロトコル番号「4」、TCPを示すプロトコル番号「6」、UDPを示すプロトコル番号「17」を設定しておく。なお、トランスポートモードのパケットに含まれる次ヘッダ番号フィールド105には、ICMPとTCP又はUDPを示すプロトコル番号が格納され、トンネルモードのパケットに含まれる次ヘッダ番号フィールド105には、IPを示すプロトコル番号が格納される。
そしてステップS6において、暗号パケット判定部15により、次ヘッダ番号フィールド105に格納されているデータが予め設定した値でないと判定した場合には暗号化されたパケットであると判定してステップS8に処理を進め、次ヘッダ番号フィールド105に格納されているデータが予め設定した値であると判定した場合にはステップS7に処理を進める。
ステップS7においては、暗号パケット判定部15により、ESPトレーラの末尾から2バイト目のデータを取り出すことによりパディング長フィールド104に格納されているパディングフィールド103のデータ長(Padding Length)が、ESPペイロードフィールド107のデータ長(Length)から2バイト減算したデータ長よりも小さいか否かを判定する。ここで、パディングフィールド103のデータ長は、暗号化前にはESPペイロードフィールド107のデータ長から2バイト減算したデータ長よりも短い値となり、パディングフィールド103に格納されたデータの暗号化後にはESPペイロードフィールド107のデータ長から2バイト減算したデータ長よりも長くなる場合がある。
したがって、暗号パケット判定部15では、パディングフィールド103に格納されたデータ長が、ESPペイロードフィールド107のデータ長から2バイト減算したデータ長よりも小さくないと判定した場合には、暗号化されていると判定してステップS8に処理を進め、そうでない場合にはステップS9に処理を進める。
ステップS8においては、暗号パケット判定部15により、VPN対応サーバ1’等から送信されるパケットが正常に暗号化されたパケットであると判定したので、管理端末5への通知を行わずに処理を終了する。
一方、ステップS9においては、暗号パケット判定部15により、ステップS1〜ステップS7の処理を行ってもパケットが暗号化されているか否かの判定が未確定であるとし、当該未確定と判定した回数を計数するカウンタ値をインクリメントしてステップS10に処理を進める。
ここで、暗号化されたデータは、ESPペイロードを暗号化するために使用する鍵データの値によって値が異なり、パディング長フィールド104及び次ヘッダ番号フィールド105のデータを用いたステップS6及びステップS7の判定において暗号化されていないと判定する場合がある。したがって、暗号パケット判定部15では、パディング長フィールド104のデータを用いた判定、次ヘッダ番号フィールド105のデータを用いた判定によって暗号化されていると判定されなかった場合には、暗号化されていないとの判定をせずに未確定とする。
次のステップS10においては、暗号パケット判定部15により、ステップS9にてインクリメントしたカウンタ値が、予め設定した所定以上か否かを判定する。
ここで、ステップS6において次ヘッダ番号フィールド105に格納された暗号化データが予め設定した値となる確率は、4/256である。また、ステップS7においてパディング長フィールド104に格納された暗号化データがESPペイロードから2バイト減算した値となる確率は、ESPペイロードのデータ長が258バイトよりも短い場合には(ESPペイロードのデータ長−2)/256となり、ESPペイロードのデータ長が258バイト以上である場合には1となる。
したがって、ステップS6及びステップS7の双方の処理において未確定となる確率は、最大で1/64となり、当該未確定となる確率を考慮してステップS10における所定値を設定しておく。これにより、暗号パケット判定部15では、所定値をnとすると、暗号化されているにも拘わらず、パケットが暗号化されていないと誤判定する確率を1/(64)とする。
また、このステップS10においては、暗号パケット判定部15により、同一セッション内での複数のパケットをVPN対応サーバ1’等から取り込んで、各パケットについてステップS1〜ステップS7の処理を行う。このとき、暗号パケット判定部15では、パケットフィルタ14から送られたパケットから、IPヘッダ101に含まれる宛先アドレス及び送信元アドレス、ESPヘッダフィールド106に含まれるセキュリティパラメータインデックスフィールド121に格納されたデータを取り出し、当該各データが各パケット間で一致した場合に同一セッション内のパケットであると判定する。
そして、暗号パケット判定部15では、同一セッション内の全パケットについて未確定と判定した場合、又はカウンタ値が所定値以上となった場合に、暗号化されていないと判定して、ステップS11の処理を行う。
このステップS11においては、暗号パケット判定部15により、暗号化されるべきパケットが暗号化されていないことを管理端末5に通知するように通知部16を制御して、通知部16から内部ネットワーク側インターフェイス12を介して通知情報を管理端末5に送信する。
[実施形態の効果]
以上詳細に説明したように、本発明を適用したデータ通信システムによれば、暗号化されるべきパケットに含まれるヘッダのうちESPプロトコルに従ってプロトコル番号が変更されたデータを参照して、ESPヘッダフィールド106に続くESPペイロードフィールド107が暗号化されているかを判定し、暗号化されていないと判定した場合に、暗号化されるべきパケットが暗号化されていないことを管理端末5に通知するので、例えばVPN対応サーバ1’等の設定ミスやバグが発生して、暗号化すべきデータが暗号化されずに通信される場合であっても、確実に管理端末5に通知して暗号化処理の再設定等を促すことができ、データの盗聴や改竄などに対するパケットの秘匿性を確実に保持することができる。したがって、このデータ通信システムによれば、VPN対応サーバ1’等の管理者のみならず、VPN対応クライアント3のユーザにとっても、ネットワークセキュリティが確実に実施されているという安心感を与えることができる。
また、このデータ通信システムによれば、ESPヘッダフィールド106以降のデータ長を検出し、当該検出したデータ長がESPプロトコルに従った暗号化処理のブロック長の倍数でない場合に、暗号化されるべきパケットが暗号化されていないことを管理端末5に通知するので、ESPペイロードフィールド107に対する暗号化処理がブロック暗号化であることを利用して、データの盗聴や改竄などに対するパケットの秘匿性を確実に保持することができる。
更に、このデータ通信システムによれば、ESPトレーラの次ヘッダ番号フィールド105を参照して、当該次ヘッダ番号フィールド105に格納されたプロトコル番号が、予め設定したプロトコル番号であると判定した場合に、暗号化されるべきパケットが暗号化されていないことを検出するので、ESPトレーラを暗号化することにより暗号化前のプロトコル番号が変更することを利用して、データの盗聴や改竄などに対するパケットの秘匿性を確実に保持することができる。
更にまた、このデータ通信システムによれば、ESPトレーラのパディング長フィールド104を参照して、当該パディング長フィールド104に格納されたパディングフィールドのデータ長を示すパディング長が、暗号化されたデータ及びトレーラのデータ長からパディングフィールドを除くトレーラ部分(2バイト)を減算したデータ長よりも小さいと判定した場合に、暗号化されるべきパケットが暗号化されていないことを検出するので、パディング長フィールド104のデータが暗号化により変更することを利用して、データの盗聴や改竄などに対するパケットの秘匿性を確実に保持することができる。
更にまた、このデータ通信システムによれば、ステップS6及びステップS7のように、トレーラを参照して暗号化されるべきパケットが暗号化されていないことを判定する処理を複数回に亘って行い、暗号化されていると判定できない未確定と所定回数以上判定した場合には管理端末5に通知するので、ESPトレーラの暗号化により確実に値が変更されているかを判定することができ、データの盗聴や改竄などに対するパケットの秘匿性を確実に保持することができる。
更にまた、このデータ通信システムによれば、暗号化されていないことを判定する必要のあるパケットをパケットフィルタ14により選定するので、サーバ1が公開サーバである場合のように暗号化の必要がないパケットと、暗号化する必要があるパケットとを管理端末5によって設定することができる。
更にまた、このデータ通信システムによれば、先ずESPプロトコルに従って作成されたヘッダを参照して暗号化されていないかを判定し、次にESPプロトコルに従って付加されたヘッダ以降のデータ長を検出して暗号化されるべきパケットが暗号化されていないかを判定し、次にESPプロトコルに従って付加されたトレーラを参照してパケットが暗号化されているかを判定するので、暗号化されたESPペイロードフィールド107の内部を参照する前にESPヘッダやデータ長のみによって暗号化されていないことを判定することができ、暗号化されていないパケットを少ない処理量且つ短時間で検出することができる。また、このデータ通信システムによれば、ESPヘッダやデータ長によって暗号化されていないと判定できない場合であっても、ESPペイロードフィールド107に格納されたデータを参照して、暗号化されているか否かを確実に判定することができ、更にデータの盗聴や改竄などに対するパケットの秘匿性を確実に保持することができる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
すなわち、上述した実施形態では、VPN対応サーバ1’等からVPN対応クライアント3に送信されるパケットについて暗号化されているかを判定する場合について説明したが、VPN対応クライアント3からVPN対応サーバ1’等に送られるパケットについても図7に示した暗号パケット判定処理を行っても良いことは勿論である。
本発明を適用した暗号パケット判定装置を含むデータ通信システムの構成を示すブロック図である。 本発明を適用した暗号パケット判定装置を含むデータ通信システムの他の構成を示すブロック図である。 トンネルモードによってデータを暗号化する処理を説明するための図である。 ESPプロトコルに従って生成されるデータのデータ構造を示す図である。 本発明を適用した暗号パケット判定装置の機能的な構成を示すブロック図である。 トランスポートモードによってデータを暗号化する処理を説明するための図である。 暗号パケット判定部による暗号パケット判定処理の処理手順を示すフローチャートである。
符号の説明
1 サーバ
1’ VPN対応サーバ
2 サーバ側VPN機器
3 VPN対応クライアント
4 暗号パケット判定装置
5 管理端末
11 外部ネットワーク側インターフェイス
12 内部ネットワーク側インターフェイス
13 パケットフィルタ条件設定部
14 パケットフィルタ
15 暗号パケット判定部
16 通知部
101 IPヘッダ
102 IPデータグラム
103 パディングフィールド
104 パディング長フィールド
105 次ヘッダ番号フィールド
106 ESPヘッダフィールド
107 ESPペイロードフィールド
108 ESP認証データフィールド
121 セキュリティパラメータインデックスフィールド
122 シーケンス番号フィールド

Claims (4)

  1. セキュリティプロトコルに従って、暗号化されたデータにヘッダが付加されたパケットが構成され、そのパケットを通信するネットワークに接続されたパケット判定装置において、
    前記ネットワークで通信されるパケットに含まれるヘッダを参照して、前記セキュリティプロトコルに従って暗号化されたフィールドのデータ長を検出し、その検出したデータ長が前記セキュリティプロトコルに従った暗号化処理のブロック長の倍数でない場合に、暗号化されるべきパケットが暗号化されていない旨の通知をするパケット判定装置。
  2. セキュリティプロトコルに従って、暗号化されたデータにヘッダが付加されたパケットが構成され、そのパケットを通信するネットワークに接続されたパケット判定装置において、
    前記ネットワークで通信されるパケットのうち、前記セキュリティプロトコルに従って付加されるトレーラを参照して、当該トレーラに含まれた前記セキュリティプロトコルの上位層プロトコルを示すプロトコル番号が、予め設定したプロトコル番号であると判定した場合に、暗号化されるべきパケットが暗号化されていない旨の検出をするパケット判定装置。
  3. セキュリティプロトコルに従って、暗号化されたデータにヘッダが付加されたパケットが構成され、そのパケットを通信するネットワークに接続されたパケット判定装置において、
    前記ネットワークで通信されるパケットのうち、前記セキュリティプロトコルに従って付加されるトレーラを参照して、当該トレーラに含まれたパディングフィールドのデータ長を示すパディング長が、暗号化されたデータ及びトレーラのデータ長からパディングフィールドを除くトレーラ部分を減算したデータ長よりも小さいと判定した場合に、暗号化されるべきパケットが暗号化されていない旨の検出をするパケット判定装置。
  4. 記トレーラを参照して暗号化されるべきパケットが暗号化されていないことを判定する処理を複数回に亘って行い、暗号化されるべきパケットが暗号化されていないと所定回数以上検出した場合に、暗号化されるべきパケットが暗号化されていない旨の通知をすることを特徴とする請求項又は請求項に記載のパケット判定装置。
JP2003347018A 2003-10-06 2003-10-06 パケット判定装置 Expired - Fee Related JP4107213B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2003347018A JP4107213B2 (ja) 2003-10-06 2003-10-06 パケット判定装置
EP04023605A EP1523149A3 (en) 2003-10-06 2004-10-04 Encryption error monitoring system and method for packet transmission
US10/957,699 US7434255B2 (en) 2003-10-06 2004-10-05 Encryption error monitoring system and method for packet transmission

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003347018A JP4107213B2 (ja) 2003-10-06 2003-10-06 パケット判定装置

Publications (2)

Publication Number Publication Date
JP2005117246A JP2005117246A (ja) 2005-04-28
JP4107213B2 true JP4107213B2 (ja) 2008-06-25

Family

ID=34309178

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003347018A Expired - Fee Related JP4107213B2 (ja) 2003-10-06 2003-10-06 パケット判定装置

Country Status (3)

Country Link
US (1) US7434255B2 (ja)
EP (1) EP1523149A3 (ja)
JP (1) JP4107213B2 (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7778228B2 (en) * 2004-09-16 2010-08-17 The Boeing Company “Wireless ISLAND” mobile LAN-to-LAN tunneling solution
WO2006079139A1 (en) * 2004-10-12 2006-08-03 Canon Kabushiki Kaisha Concurrent ipsec processing system and method
CN100583889C (zh) 2006-03-09 2010-01-20 华为技术有限公司 网络事件协议报文传输方法
US9497205B1 (en) * 2008-05-19 2016-11-15 Emc Corporation Global commonality and network logging
US8726043B2 (en) * 2009-04-29 2014-05-13 Empire Technology Development Llc Securing backing storage data passed through a network
US8799671B2 (en) * 2009-05-06 2014-08-05 Empire Technology Development Llc Techniques for detecting encrypted data
US8924743B2 (en) * 2009-05-06 2014-12-30 Empire Technology Development Llc Securing data caches through encryption
US8601569B2 (en) * 2010-04-09 2013-12-03 International Business Machines Corporation Secure access to a private network through a public wireless network
DE102011078309A1 (de) * 2011-06-29 2013-01-03 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Überwachen eines VPN-Tunnels
US9537899B2 (en) 2012-02-29 2017-01-03 Microsoft Technology Licensing, Llc Dynamic selection of security protocol
US9930066B2 (en) 2013-02-12 2018-03-27 Nicira, Inc. Infrastructure level LAN security
WO2015038142A1 (en) * 2013-09-13 2015-03-19 Siemens Aktiengesellschaft Restricting communications in industrial control
KR101492442B1 (ko) * 2014-01-09 2015-02-24 한국전자통신연구원 패킷 분석 장치 및 방법과 vpn 서버
US10445509B2 (en) 2014-06-30 2019-10-15 Nicira, Inc. Encryption architecture
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US10798073B2 (en) 2016-08-26 2020-10-06 Nicira, Inc. Secure key management protocol for distributed network encryption
US10805082B2 (en) * 2017-06-30 2020-10-13 Futurewei Technologies, Inc. ID-based data plane security for identity-oriented networks
US10686711B2 (en) * 2017-10-25 2020-06-16 ColorTokens, Inc. Enhanced quality of service management for inter-computing system communication
US11587073B1 (en) * 2017-12-15 2023-02-21 Worldpay, Llc Systems and methods for encryption and decryption service for electronic transaction monitoring and reporting
PL425089A1 (pl) * 2018-03-30 2019-10-07 Safecom Spółka Akcyjna Sposób oraz urządzenie do zabezpieczania połączenia internetowego na urządzeniu użytkownika
JP7391496B2 (ja) * 2018-06-11 2023-12-05 大日本印刷株式会社 パケット通信システム
US11616850B1 (en) 2019-08-23 2023-03-28 Fitbit, Inc. Connection management techniques
CN113346980B (zh) * 2021-08-02 2023-08-11 浙江国利信安科技有限公司 用于消息转发的方法、电子设备和计算机存储介质

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996042155A1 (en) * 1995-06-08 1996-12-27 Motorola Inc. Method of encrypting data packets and detecting decryption errors
JPH10327193A (ja) 1997-05-26 1998-12-08 Nec Corp 暗号化方式
US6980658B1 (en) * 1999-09-30 2005-12-27 Qualcomm Incorporated Method and apparatus for encrypting transmissions in a communication system
US20010052072A1 (en) * 2000-01-25 2001-12-13 Stefan Jung Encryption of payload on narrow-band IP links
US6928553B2 (en) * 2001-09-18 2005-08-09 Aastra Technologies Limited Providing internet protocol (IP) security
US8161539B2 (en) * 2002-04-19 2012-04-17 International Business Machines Corporation IPSec network adapter verifier
US7263609B1 (en) * 2003-04-29 2007-08-28 Cisco Technology, Inc. Method and apparatus for packet quarantine processing over a secure connection

Also Published As

Publication number Publication date
EP1523149A3 (en) 2007-09-05
US7434255B2 (en) 2008-10-07
JP2005117246A (ja) 2005-04-28
EP1523149A2 (en) 2005-04-13
US20050102525A1 (en) 2005-05-12

Similar Documents

Publication Publication Date Title
JP4107213B2 (ja) パケット判定装置
US8984268B2 (en) Encrypted record transmission
US6668282B1 (en) System and method to monitor and determine if an active IPSec tunnel has become disabled
US7584505B2 (en) Inspected secure communication protocol
US7660980B2 (en) Establishing secure TCP/IP communications using embedded IDs
US9294506B2 (en) Method and apparatus for security encapsulating IP datagrams
Berger Analysis of current VPN technologies
KR100839941B1 (ko) IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
US20050160269A1 (en) Common security key generation apparatus
CN106487802B (zh) 基于DPD协议的IPSec SA的异常探测方法及装置
US7139679B1 (en) Method and apparatus for cryptographic protection from denial of service attacks
CN110752921A (zh) 一种通信链路安全加固方法
US8386783B2 (en) Communication apparatus and communication method
CN107276996A (zh) 一种日志文件的传输方法及系统
CN110943996B (zh) 一种业务加解密的管理方法、装置及系统
CN113922974A (zh) 一种信息处理方法及系统、前端、服务端、存储介质
Hohendorf et al. Secure End-to-End Transport Over SCTP.
JP2008182649A (ja) 暗号化パケット通信システム
Cisco IPSec Network Security Commands
CN114039812A (zh) 数据传输通道建立方法、装置、计算机设备和存储介质
Cisco Introduction to Cisco IPsec Technology
CN108809888B (zh) 一种基于安全模块的安全网络构建方法和系统
CN113950802A (zh) 用于执行站点到站点通信的网关设备和方法
KR20110087972A (ko) 세션 테이블을 이용한 비정상 트래픽의 차단 방법
EP3131269B1 (en) Method and device for conducting ah authentication on ipsec packet which has gone through nat traversal

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060217

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071211

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080207

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080311

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080324

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110411

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110411

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130411

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees