JP4107213B2 - パケット判定装置 - Google Patents
パケット判定装置 Download PDFInfo
- Publication number
- JP4107213B2 JP4107213B2 JP2003347018A JP2003347018A JP4107213B2 JP 4107213 B2 JP4107213 B2 JP 4107213B2 JP 2003347018 A JP2003347018 A JP 2003347018A JP 2003347018 A JP2003347018 A JP 2003347018A JP 4107213 B2 JP4107213 B2 JP 4107213B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- encrypted
- data
- esp
- field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 38
- 238000012545 processing Methods 0.000 description 45
- 238000004891 communication Methods 0.000 description 26
- 230000005540 biological transmission Effects 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 7
- 230000005641 tunneling Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
まず、図1に示すデータ通信システムについて説明すると、当該システムは、各種のサーバ1から、内部ネットワークN1、サーバ側VPN機器2及び外部ネットワークN2を介して、VPN対応クライアント3にデータを送信するようになっている。本例において、内部ネットワークN1は、IP(Internet Protocol)ベースのローカルエリアネットワークであり、外部ネットワークN2は、公衆で利用可能なIPネットワークである。
次に、図2に示すデータ通信システムについて説明すると、当該システムは、VPN対応サーバ1’から、外部ネットワークN2を介して、VPN対応クライアント3にデータを送信するようになっている。当該VPN対応サーバ1’は、上述したサーバ1とサーバ側VPN機器2との機能を具備しており、VPN対応クライアント3に送信するアプリケーションデータを作成し、そのデータを暗号化する必要がある場合には、その処理を行う。ここで、暗号化処理を行う必要がある場合、VPN対応サーバ1’は、IPヘッダとIPデータグラムからなるIPパケットをカプセル化するに際して、トランスポートモード処理を行うようになっている。
つぎに、上述したように構成されたデータ通信システムにおいて、暗号パケット判定部15による暗号パケット判定処理の処理手順について図7のフローチャートを参照して説明する。
以上詳細に説明したように、本発明を適用したデータ通信システムによれば、暗号化されるべきパケットに含まれるヘッダのうちESPプロトコルに従ってプロトコル番号が変更されたデータを参照して、ESPヘッダフィールド106に続くESPペイロードフィールド107が暗号化されているかを判定し、暗号化されていないと判定した場合に、暗号化されるべきパケットが暗号化されていないことを管理端末5に通知するので、例えばVPN対応サーバ1’等の設定ミスやバグが発生して、暗号化すべきデータが暗号化されずに通信される場合であっても、確実に管理端末5に通知して暗号化処理の再設定等を促すことができ、データの盗聴や改竄などに対するパケットの秘匿性を確実に保持することができる。したがって、このデータ通信システムによれば、VPN対応サーバ1’等の管理者のみならず、VPN対応クライアント3のユーザにとっても、ネットワークセキュリティが確実に実施されているという安心感を与えることができる。
1’ VPN対応サーバ
2 サーバ側VPN機器
3 VPN対応クライアント
4 暗号パケット判定装置
5 管理端末
11 外部ネットワーク側インターフェイス
12 内部ネットワーク側インターフェイス
13 パケットフィルタ条件設定部
14 パケットフィルタ
15 暗号パケット判定部
16 通知部
101 IPヘッダ
102 IPデータグラム
103 パディングフィールド
104 パディング長フィールド
105 次ヘッダ番号フィールド
106 ESPヘッダフィールド
107 ESPペイロードフィールド
108 ESP認証データフィールド
121 セキュリティパラメータインデックスフィールド
122 シーケンス番号フィールド
Claims (4)
- セキュリティプロトコルに従って、暗号化されたデータにヘッダが付加されたパケットが構成され、そのパケットを通信するネットワークに接続されたパケット判定装置において、
前記ネットワークで通信されるパケットに含まれるヘッダを参照して、前記セキュリティプロトコルに従って暗号化されたフィールドのデータ長を検出し、その検出したデータ長が前記セキュリティプロトコルに従った暗号化処理のブロック長の倍数でない場合に、暗号化されるべきパケットが暗号化されていない旨の通知をするパケット判定装置。 - セキュリティプロトコルに従って、暗号化されたデータにヘッダが付加されたパケットが構成され、そのパケットを通信するネットワークに接続されたパケット判定装置において、
前記ネットワークで通信されるパケットのうち、前記セキュリティプロトコルに従って付加されるトレーラを参照して、当該トレーラに含まれた前記セキュリティプロトコルの上位層プロトコルを示すプロトコル番号が、予め設定したプロトコル番号であると判定した場合に、暗号化されるべきパケットが暗号化されていない旨の検出をするパケット判定装置。 - セキュリティプロトコルに従って、暗号化されたデータにヘッダが付加されたパケットが構成され、そのパケットを通信するネットワークに接続されたパケット判定装置において、
前記ネットワークで通信されるパケットのうち、前記セキュリティプロトコルに従って付加されるトレーラを参照して、当該トレーラに含まれたパディングフィールドのデータ長を示すパディング長が、暗号化されたデータ及びトレーラのデータ長からパディングフィールドを除くトレーラ部分を減算したデータ長よりも小さいと判定した場合に、暗号化されるべきパケットが暗号化されていない旨の検出をするパケット判定装置。 - 前記トレーラを参照して暗号化されるべきパケットが暗号化されていないことを判定する処理を複数回に亘って行い、暗号化されるべきパケットが暗号化されていないと所定回数以上検出した場合に、暗号化されるべきパケットが暗号化されていない旨の通知をすることを特徴とする請求項2又は請求項3に記載のパケット判定装置。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003347018A JP4107213B2 (ja) | 2003-10-06 | 2003-10-06 | パケット判定装置 |
EP04023605A EP1523149A3 (en) | 2003-10-06 | 2004-10-04 | Encryption error monitoring system and method for packet transmission |
US10/957,699 US7434255B2 (en) | 2003-10-06 | 2004-10-05 | Encryption error monitoring system and method for packet transmission |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003347018A JP4107213B2 (ja) | 2003-10-06 | 2003-10-06 | パケット判定装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005117246A JP2005117246A (ja) | 2005-04-28 |
JP4107213B2 true JP4107213B2 (ja) | 2008-06-25 |
Family
ID=34309178
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003347018A Expired - Fee Related JP4107213B2 (ja) | 2003-10-06 | 2003-10-06 | パケット判定装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US7434255B2 (ja) |
EP (1) | EP1523149A3 (ja) |
JP (1) | JP4107213B2 (ja) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7778228B2 (en) * | 2004-09-16 | 2010-08-17 | The Boeing Company | “Wireless ISLAND” mobile LAN-to-LAN tunneling solution |
WO2006079139A1 (en) * | 2004-10-12 | 2006-08-03 | Canon Kabushiki Kaisha | Concurrent ipsec processing system and method |
CN100583889C (zh) | 2006-03-09 | 2010-01-20 | 华为技术有限公司 | 网络事件协议报文传输方法 |
US9497205B1 (en) * | 2008-05-19 | 2016-11-15 | Emc Corporation | Global commonality and network logging |
US8726043B2 (en) * | 2009-04-29 | 2014-05-13 | Empire Technology Development Llc | Securing backing storage data passed through a network |
US8799671B2 (en) * | 2009-05-06 | 2014-08-05 | Empire Technology Development Llc | Techniques for detecting encrypted data |
US8924743B2 (en) * | 2009-05-06 | 2014-12-30 | Empire Technology Development Llc | Securing data caches through encryption |
US8601569B2 (en) * | 2010-04-09 | 2013-12-03 | International Business Machines Corporation | Secure access to a private network through a public wireless network |
DE102011078309A1 (de) * | 2011-06-29 | 2013-01-03 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Überwachen eines VPN-Tunnels |
US9537899B2 (en) | 2012-02-29 | 2017-01-03 | Microsoft Technology Licensing, Llc | Dynamic selection of security protocol |
US9930066B2 (en) | 2013-02-12 | 2018-03-27 | Nicira, Inc. | Infrastructure level LAN security |
WO2015038142A1 (en) * | 2013-09-13 | 2015-03-19 | Siemens Aktiengesellschaft | Restricting communications in industrial control |
KR101492442B1 (ko) * | 2014-01-09 | 2015-02-24 | 한국전자통신연구원 | 패킷 분석 장치 및 방법과 vpn 서버 |
US10445509B2 (en) | 2014-06-30 | 2019-10-15 | Nicira, Inc. | Encryption architecture |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US10798073B2 (en) | 2016-08-26 | 2020-10-06 | Nicira, Inc. | Secure key management protocol for distributed network encryption |
US10805082B2 (en) * | 2017-06-30 | 2020-10-13 | Futurewei Technologies, Inc. | ID-based data plane security for identity-oriented networks |
US10686711B2 (en) * | 2017-10-25 | 2020-06-16 | ColorTokens, Inc. | Enhanced quality of service management for inter-computing system communication |
US11587073B1 (en) * | 2017-12-15 | 2023-02-21 | Worldpay, Llc | Systems and methods for encryption and decryption service for electronic transaction monitoring and reporting |
PL425089A1 (pl) * | 2018-03-30 | 2019-10-07 | Safecom Spółka Akcyjna | Sposób oraz urządzenie do zabezpieczania połączenia internetowego na urządzeniu użytkownika |
JP7391496B2 (ja) * | 2018-06-11 | 2023-12-05 | 大日本印刷株式会社 | パケット通信システム |
US11616850B1 (en) | 2019-08-23 | 2023-03-28 | Fitbit, Inc. | Connection management techniques |
CN113346980B (zh) * | 2021-08-02 | 2023-08-11 | 浙江国利信安科技有限公司 | 用于消息转发的方法、电子设备和计算机存储介质 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996042155A1 (en) * | 1995-06-08 | 1996-12-27 | Motorola Inc. | Method of encrypting data packets and detecting decryption errors |
JPH10327193A (ja) | 1997-05-26 | 1998-12-08 | Nec Corp | 暗号化方式 |
US6980658B1 (en) * | 1999-09-30 | 2005-12-27 | Qualcomm Incorporated | Method and apparatus for encrypting transmissions in a communication system |
US20010052072A1 (en) * | 2000-01-25 | 2001-12-13 | Stefan Jung | Encryption of payload on narrow-band IP links |
US6928553B2 (en) * | 2001-09-18 | 2005-08-09 | Aastra Technologies Limited | Providing internet protocol (IP) security |
US8161539B2 (en) * | 2002-04-19 | 2012-04-17 | International Business Machines Corporation | IPSec network adapter verifier |
US7263609B1 (en) * | 2003-04-29 | 2007-08-28 | Cisco Technology, Inc. | Method and apparatus for packet quarantine processing over a secure connection |
-
2003
- 2003-10-06 JP JP2003347018A patent/JP4107213B2/ja not_active Expired - Fee Related
-
2004
- 2004-10-04 EP EP04023605A patent/EP1523149A3/en not_active Withdrawn
- 2004-10-05 US US10/957,699 patent/US7434255B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
EP1523149A3 (en) | 2007-09-05 |
US7434255B2 (en) | 2008-10-07 |
JP2005117246A (ja) | 2005-04-28 |
EP1523149A2 (en) | 2005-04-13 |
US20050102525A1 (en) | 2005-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4107213B2 (ja) | パケット判定装置 | |
US8984268B2 (en) | Encrypted record transmission | |
US6668282B1 (en) | System and method to monitor and determine if an active IPSec tunnel has become disabled | |
US7584505B2 (en) | Inspected secure communication protocol | |
US7660980B2 (en) | Establishing secure TCP/IP communications using embedded IDs | |
US9294506B2 (en) | Method and apparatus for security encapsulating IP datagrams | |
Berger | Analysis of current VPN technologies | |
KR100839941B1 (ko) | IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법 | |
US20050160269A1 (en) | Common security key generation apparatus | |
CN106487802B (zh) | 基于DPD协议的IPSec SA的异常探测方法及装置 | |
US7139679B1 (en) | Method and apparatus for cryptographic protection from denial of service attacks | |
CN110752921A (zh) | 一种通信链路安全加固方法 | |
US8386783B2 (en) | Communication apparatus and communication method | |
CN107276996A (zh) | 一种日志文件的传输方法及系统 | |
CN110943996B (zh) | 一种业务加解密的管理方法、装置及系统 | |
CN113922974A (zh) | 一种信息处理方法及系统、前端、服务端、存储介质 | |
Hohendorf et al. | Secure End-to-End Transport Over SCTP. | |
JP2008182649A (ja) | 暗号化パケット通信システム | |
Cisco | IPSec Network Security Commands | |
CN114039812A (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
Cisco | Introduction to Cisco IPsec Technology | |
CN108809888B (zh) | 一种基于安全模块的安全网络构建方法和系统 | |
CN113950802A (zh) | 用于执行站点到站点通信的网关设备和方法 | |
KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
EP3131269B1 (en) | Method and device for conducting ah authentication on ipsec packet which has gone through nat traversal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060217 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071206 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071211 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080207 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080311 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080324 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110411 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110411 Year of fee payment: 3 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130411 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |