JP4260658B2 - Vpn装置および不正検知システム - Google Patents
Vpn装置および不正検知システム Download PDFInfo
- Publication number
- JP4260658B2 JP4260658B2 JP2004071196A JP2004071196A JP4260658B2 JP 4260658 B2 JP4260658 B2 JP 4260658B2 JP 2004071196 A JP2004071196 A JP 2004071196A JP 2004071196 A JP2004071196 A JP 2004071196A JP 4260658 B2 JP4260658 B2 JP 4260658B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- fraud detection
- vpn
- encryption
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
この発明は、IPsec(IP Security)技術により構成された仮想私設ネットワーク(Virtual Private Network,以下、VPNという)で不正侵入検知を行うVPN装置と、公衆ネットワークや共有ネットワークなどの広域ネットワークにおいて不正パケットを検知するために適用される侵入検知装置(Intrusion Detection System,IDS装置ともいう)装置または侵入検知防御装置(Intrusion Detection Protection,IDP装置ともいう)をVPNに適用した不正検知システムに関するものであり、特に、パケットが暗号化されてIPsecトンネリングする際のパケットの不正検知を行うVPN装置と、暗号化パケットが通過する位置に設置され、暗号化パケットの不正検知を行うIDS装置またはIDP装置を備える不正検知システムに関するものである。
IDS装置やIDP装置に代表される不正検知技術は、不正なパケットであるか否かの分析をパケット内のデータに基づいて実施しており、シグネチャー処理やログ解析処理などのさまざまな分析処理を用いて不正なパケットを検出し、悪意のあるユーザからの不正パケットを排除するものである。一方で、パケットを暗号化して公衆ネットワークなどを仮想的な専用線として使用するVPNを構築するサービスが提供されている。
ところで、従来のIDS装置またはIDP装置(以下、これらの装置をまとめて不正検知装置という)では、分析処理はパケット内のデータに基づいているため、VPN環境のようにパケットが暗号化され、トンネリングされるような場合では、全く分析処理ができなかった(たとえば、非特許文献1参照)。
また、たとえば外部ネットワークに接続された社内ネットワークを有する企業において、社内からの悪意のある不正アクセスが無いわけではなく、また悪意がなくともウィルスに感染したパーソナルコンピュータを社内ネットワークに接続してしまう場合も少なくはない。この社内ネットワークが外部の他のネットワークとVPNで結ばれているような環境下でネットワーク型不正検知装置を利用したい場合は、暗号化されたパケットが復号後に通過するネットワーク上にネットワーク型不正検知装置を設置する必要がある。
丸山龍一郎,"[特集]不正浸入対策最前線(後編)〜侵入検知システムでのトータルセキュリティの構築〜",[online],2001年9月15日,2003年11月18日,インターネット<URL:http://www.atmarkit.co.jp/fsecurity/special/07ids/ids01c.html>
しかしながら、上記のように外部のネットワークとVPNで接続されたローカルなネットワーク環境下で、暗号化パケットの復号後に通過するローカルなネットワーク上に不正検知装置を配置して不正を検知したとしても、送信元の情報として送信元IP(Internet Protocol)アドレスのみしかわからないという問題点があった。また、パケットの復号後に不正を検知してパケットを廃棄したとしても、そこまで流れてきているトラヒックはそのまま公衆ネットワークなどの外部ネットワークを介し、ローカルなネットワークの入り口まで通過している。そのため、不正パケットによるネットワークにかかる負荷を削減できないという問題点もあった。
この発明は、上記に鑑みてなされたもので、IPsecによるVPNサービスを利用しているユーザの暗号化パケットに対しても、悪意あるユーザの不正パケットを検出し、排除することができるVPN装置を得ることを目的としている。また、VPN装置と連携して動作することで、VPNの暗号化されたトラヒックが通過する公衆ネットワーク上においても不正を検知できる不正検知装置を備える不正検知システムを得ることも目的としている。
上記目的を達成するため、この発明にかかるVPN装置は、広域ネットワークに接続される複数のプライベートネットワーク間で通信されるデータを暗号化して前記広域ネットワーク内に仮想的な専用線を構築して通信を行うために、前記広域ネットワークと前記プライベートネットワークとの間に配置され、他のVPN装置との間で確立される仮想的な論理経路で暗号化通信を行うための暗号化/復号化情報を含む暗号情報を格納する暗号情報格納手段と、前記プライベートネットワークから受信した平文パケットを、前記暗号情報を用いて暗号化パケットに変換して前記広域ネットワークに送信する暗号化処理手段と、前記広域ネットワークから受信した暗号化パケットを、前記暗号情報を用いて復号して平文パケットに変換して前記プライベートネットワークに送信する復号処理手段と、を備えるVPN装置において、前記復号処理手段によって復号された前記平文パケットが不正パケットか否かを判定し、不正パケットである場合にその不正パケットの送信に使用される仮想的な論理経路を特定する不正検出情報を含む制御パケットを送信元である前記他のVPN装置に送信する不正検知処理手段を備え、前記暗号化処理手段は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路による送信処理を制御する送信処理制御機能を備えることを特徴とする。
この発明によれば、VPN装置内で不正アクセスを検知することができるため、送信元IPアドレスのみではなく、IPsec機能で実現されるSA単位での不正を検知することができるという効果を有する。また、VPN通信を行っている対向のVPN装置と連携することで、SA単位でのトラヒック制御が可能になるという効果を有する。
以下に添付図面を参照して、この発明にかかるVPN装置および不正検知システムの好適な実施の形態を詳細に説明する。
実施の形態1.
図1は、この発明にかかるVPN装置が適用されるネットワークシステムの構成を示す概略図である。この発明にかかるVPN装置が適用されるネットワークシステムは、端末装置11を有するユーザネットワーク10と、端末装置21を有するユーザネットワーク20と、公衆ネットワーク30とが接続された構成を有する。ユーザネットワーク10,20と公衆ネットワーク30との境界には、VPNを用いて通信を行うVPN装置12,22がそれぞれ設けられている。ユーザネットワーク10,20内の端末装置11,21は、公衆ネットワーク30上においてVPN装置12とVPN装置22とを接続するVPNトンネル31を介して通信を行う。
図1は、この発明にかかるVPN装置が適用されるネットワークシステムの構成を示す概略図である。この発明にかかるVPN装置が適用されるネットワークシステムは、端末装置11を有するユーザネットワーク10と、端末装置21を有するユーザネットワーク20と、公衆ネットワーク30とが接続された構成を有する。ユーザネットワーク10,20と公衆ネットワーク30との境界には、VPNを用いて通信を行うVPN装置12,22がそれぞれ設けられている。ユーザネットワーク10,20内の端末装置11,21は、公衆ネットワーク30上においてVPN装置12とVPN装置22とを接続するVPNトンネル31を介して通信を行う。
ユーザネットワーク10,20は、たとえばイーサネット(登録商標)、IEEE(Institute of Electrical and Electronics Engineers)802.3/802.2標準、IEE802.3/SNAP(SubNetwork Access Protocol)、イーサネット(登録商標)(PADつき)、SDH(Synchronuos Digital Hierarchy)/SONET(Synchronous Optical NETwork)(PPP(Point to Point Protocol))、フレームリレー、FDDI(Fiber-Distributed Data Interface)、ATM(Asynchronous Transfer Mode)などで構成されるネットワークである。ユーザネットワーク10,20は、自ネットワークにおいて各ノード装置が通信可能であるとともに、VPN装置12,22を用いて公衆ネットワーク30をVPNサービスとして利用することで、ユーザネットワーク10内の各ノード装置と、ユーザネットワーク20内の各ノード装置とが通信可能となる。
公衆ネットワーク30は、ユーザネットワーク10,20以外にも複数のユーザネットワークを収容しており、VPN装置12,22によりユーザネットワーク10,20間のトラヒックを暗号化して、他のユーザネットワークから隔離している。図1においては、VPN装置12からVPN装置22に公衆ネットワーク30内で通信可能なIPsecによる暗号化パケットを転送する、VPNトンネル31のみを示している。なお、この公衆ネットワーク30は、公衆ネットワークや共有ネットワークなどを含む広域ネットワークを意味しているものとする。
VPN装置12,22は、ユーザネットワーク10,20内の端末装置11,21が他のユーザネットワークの端末装置との間で暗号化通信を行うとともに、VPNを介して送信されるIPパケット(以下、単にパケットという)の不正を検知するための装置であり、暗号化通信を行う必要のあるユーザネットワーク10,20に設置される。図2は、この発明にかかるVPN装置の構成を模式的に示すブロック図である。このVPN装置12,22は、受信処理部51、認証処理部52、暗号情報格納部53、暗号化処理部54、復号処理部55、不正検知処理部56、送信処理部57および制御部58を備えて構成される。
受信処理部51は、入力ポートから入力されたパケットを受信し、受信したパケットの種類を判別して、認証処理部52、復号処理部55、暗号化処理部54のいずれかにそのパケットを渡す機能を有する。たとえば、ユーザネットワーク10,20側から受信した平文のパケットは暗号化処理部54へ渡し、他のVPN装置からの平文の認証パケットまたは不正検知通知の制御パケットは認証処理部52へ渡し、VPNトンネル31からの暗号化パケットは復号処理部55に渡す。
認証処理部52は、他のVPN装置と認証パケットによる交渉を行い、仮想的な通信経路であるSA(Security Association)に対応したVPNトンネルで使用される暗号情報を取得して、暗号情報格納部に格納する機能を有する。また、他のVPN装置からの不正検知通知の制御パケットを受信した場合には、暗号化処理部54に対して該当するSAの通信を停止するよう通知する機能も有する。
暗号情報格納部53は、認証処理部52によって取得された暗号情報を格納する。この暗号情報は暗号化/復号化処理に必要な暗号化情報や復号化情報を含み、SAごとに格納される。この暗号情報格納部53に格納される暗号情報は、復号処理部55による復号処理時や暗号化処理部54による暗号化処理時に呼び出されて利用される。
暗号化処理部54は、ユーザネットワーク側から受信した平文のパケットを、暗号情報格納部53を参照して送信先の端末装置が属するユーザネットワークのVPN装置との間のSAに対応する暗号化情報に基づいて暗号化処理を行う機能を有する。暗号化された暗号化パケットは送信処理部57に出力される。図3は、ユーザネットワークから受信する通常のパケット(平文パケット)のフレーム構成の一例を示す図である。通常のパケットは、データを格納するペイロード部分と、ペイロード部分を送信する宛て先や送信元などの情報を含むIPヘッダと、から構成される。また、図4は、公衆ネットワーク側から受信するデータパケットであるIPsecでカプセル化された暗号化パケットのフレーム構成の一例を示す図である。暗号化パケットは、暗号化された元のパケットと、元のパケットを暗号化する際に付されるIPsecヘッダと、そしてIPsecヘッダと暗号化された元のパケットを図3のペイロードとしてこのペイロードを送信するためのIPヘッダと、から構成される。IPsecヘッダは、元のパケットを暗号化するセキュリティプロトコルを示すものであり、用いるプロトコルの種類によってその内容が異なる。暗号化処理部54では、図3に示される通常のパケットを、図4に示される暗号化パケットへと変換する。また、暗号化処理部54では、認証処理部52からのSAの通信の停止の指示を受けると、該当するSAを利用した暗号化パケットの送出を停止する機能も有する。
復号処理部55は、他のVPN装置から受信した暗号化パケットを、暗号情報格納部53を参照して受信したSAに対応する復号化情報に基づいて復号処理する機能を有する。復号処理されたパケットは不正検知処理部56に出力される。復号処理部55では、図4に示される暗号化パケットを、図3に示される通常のパケットへと変換する。
不正検知処理部56は、復号処理部55によって復号処理されたパケットのデータやログ情報を分析し、受信したデータパケットが不正なパケットか正常なパケットかを判断する機能を有する。受信したパケットが正常なパケットの場合には、そのパケットは送信処理部57へ出力される。また、受信したパケットが不正なパケットの場合には、そのパケットを廃棄するとともに、その不正なパケットの送信元のVPN装置に対して不正を検出したことを通知する制御パケットを作成して、送信処理部57へ出力する。図5は、不正検知通知の制御パケットのフレーム構成の一例を示す図である。この図に示されるように、不正検知通知の制御パケットは、不正なパケットの送信元IPアドレスと宛て先IPアドレスを含む不正パケット情報とその不正パケットに関する暗号化情報と復号化情報の組合せからなるアクセスリスト情報を含む不正検出情報と、IPヘッダから構成される。ここで、アクセスリスト情報は、不正なパケットの送信元IPアドレスと宛て先IPアドレスとともに、不正なパケットが送信されるSA情報を特定するものである。また、IPヘッダには、不正なパケットを送信した端末装置が存在するユーザネットワークを収容するVPN装置を宛て先とするIPアドレスと、自VPN装置を送信元とするIPアドレスが格納される。
送信処理部57は、認証処理部52からの認証パケットや復号処理部55で復号処理された正常なパケット、暗号化処理部54で暗号化された暗号化パケットをそれぞれの宛て先に送信する機能を有する。また、制御部58は、以上の各処理部による処理を制御する。
なお、上記の暗号化処理部54と復号処理部55によって行われる暗号化/復号化の方式については任意の方式のものを用いることができる。また、不正検知処理部56によって行われる不正を検知する方式も任意の方式のもの、たとえば従来の不正検知装置で使用されている方式のものを用いることができる。
つぎに、このような構成を有するVPN装置の動作処理の手順について図6〜図7のフローチャートを参照しながら説明する。ここでは、図1のユーザネットワーク10の端末装置11からユーザネットワーク20の端末装置21に対してパケットを送信する場合を例に挙げて、ユーザネットワーク10,20のそれぞれに接続されるVPN装置12,22の動作について説明する。
まず、ユーザネットワーク10内の端末装置11は、端末装置21宛てのパケットをユーザネットワーク10上に送信する(ステップS11)。ここでは、宛先IPアドレスには、送信先である端末装置21のIPアドレスが設定され、送信元IPアドレスには、パケットを送信する端末装置11のIPアドレスが設定されるものとする。また、このとき端末装置11から送出される送信パケットの構成は図3に示されるものとなる。
VPN装置12の受信処理部51は、ユーザネットワーク10を介して端末装置11が送信したパケットを受信する(ステップS12)。受信処理部51は、受信したパケットのIPヘッダに含まれる情報から、ユーザネットワーク10からの平文のユーザパケットであるのか、公衆ネットワーク30からの暗号化パケットであるのかを判断し、暗号化パケットであれば復号処理部55に、ユーザパケットであれば暗号化処理部54に送信する。ここでは、ユーザネットワーク10からのユーザパケットであるので、暗号化処理部54へ送信する。
VPN装置12の暗号化処理部54は、受信したパケットのIPヘッダに含まれる情報からSAを識別して、当該SAに対応する暗号情報格納部53に格納される暗号情報を用いて、パケットの暗号化を行い(ステップS13)、送信処理部57へ送信する。このとき暗号化処理部54によって暗号化された送信パケットの構成は図4に示されるものとなる。
VPN装置12の送信処理部57は暗号化パケット内のIPヘッダに存在する宛て先IPアドレスを参照し、対応する宛て先に向けて送信する(ステップS14)。ここでは、暗号化パケットのIPヘッダ内の宛て先IPアドレスはVPN装置22となる。
VPN装置22の受信処理部51は、公衆ネットワーク30上に形成されたVPNトンネル31から、VPN装置12からの暗号化パケットを受信する(ステップS15)。受信処理部51は、受信したパケットのIPヘッダに含まれる情報から、公衆ネットワーク30側から受信した暗号化パケットであることを判断し、復号処理部55へ渡す。
復号処理部55では、受信した暗号化パケットのIPヘッダに含まれる情報から、VPN装置12のどのSAに所属する端末からのパケットなのかを判断し、暗号情報格納部53に保持されている当該SAに対応する復号化情報を利用して、暗号化パケットを復号する(ステップS16)。そして、復号した平文のパケットを、SAを示す情報と共に不正検知処理部56へ送信する。
不正検知処理部56は、受信した復号化後の生データの内容を分析して、不正アクセスのパケットか否かを判定する(ステップS17)。判定の結果、安全なパケットである、すなわち不正アクセスのパケットでない場合(ステップS17でNoの場合)には、送信処理部57へ復号化後の平文のパケットを送信する。そして、送信処理部57は、受信したパケットの宛て先情報に従って、宛て先の端末装置へ送信する(ステップS19)。この場合には、宛て先IPアドレスが端末装置21のアドレスなので、ユーザネットワーク20へ送信する。以上で、ユーザネットワーク10内の端末装置11から送信される情報に不正アクセスのパケットがない場合のVPN装置22による処理が終了する。
一方、ステップS17での不正アクセスのパケットか否かの判定の結果、不正アクセスのパケットであると判定した場合(ステップS17でYesの場合)には、不正検知処理部56は、そのパケットを廃棄する(ステップS20)とともに、送信元のVPN装置12に、受信したパケットの送信元の端末装置11が不正アクセスを行う端末装置であることを示す不正検知のための制御パケットを作成し、送信処理部57から公衆ネットワークに対して送信する(ステップS21)。このときVPN装置22によって送信される不正検知通知のための制御パケットの構成は図5に示されるものとなる。
VPN装置12の受信処理部51は、公衆ネットワーク30側から不正検知通知の制御パケットを受信すると(ステップS22)、暗号化処理部54へ通知する。暗号化処理部54は、制御パケット内の不正検出情報のアクセスリストに従って、対応するSAの送信処理を停止し(ステップS23)、ユーザネットワーク10内の端末装置11から送信される情報に不正アクセスのパケットがある場合のVPN装置12,22による処理が終了する。
このようにして、公衆ネットワーク30を介したVPNトンネリングサービスを利用して、端末装置11から端末装置21への通信が行なわれる際に、VPN装置22が不正を検出した送信元端末装置が所属するVPN装置12からVPN装置22へのSAを利用した通信を停止することができる。その結果、不正アクセスパケットが存在する場合でも、その不正アクセスを検知して、不正アクセスを未然に防ぐことができる。なお、上記の説明では、端末装置11から端末装置21へのVPNトンネリングサービスを利用した通信の場合を例に挙げて説明したが、端末装置21から端末装置11へのVPNトンネリングサービス通信の場合は、VPN装置22が上述したVPN装置12の動作を行い、VPN装置12が上述したVPN装置22の動作を行なうこととなり、基本的な動作処理の手順が同じであるので、その説明は省略する。
なお、上述した説明では、不正アクセスパケットを検知した暗号化処理部54はSA単位で暗号化パケットの送信を制御しているが、送信元IPアドレス単位に制御を行ってもよい。
また、VPNトンネリングサービスでは、VPN装置12,22間であらかじめ、認証処理部52によって暗号情報の交渉を行う。たとえば、図1のネットワークシステム構成の場合、VPN装置12,22のそれぞれの認証処理部52の間で交渉のための認証パケットがやり取りされ、各SAに対応する暗号情報が交渉される。しかしながら、このときVPN以外のネットワークに所属する悪意のあるユーザから、交渉用の認証パケットを利用して、VPN装置12,22が攻撃される虞がある。そこで、上述したVPN装置12,22において、VPNの外部から攻撃された場合に対応したVPN装置12,22の処理の流れについて説明する。
図2に示される構成を有するVPN装置12,22の場合、不正検知処理部56は、認証パケットを受信処理部51から受け、その不正検知処理を行った後に認証処理部52に渡すように構成すればよい。つまり、受信処理部51は、暗号化のための交渉時に使用される認証パケットを受信した場合には、その認証パケットを不正検知処理部56に渡し、不正検知処理部56は、受信した認証パケットの不正検知を行い、不正アクセスパケットでない正常の認証パケットの場合には認証処理部52にその認証パケットを渡し、不正アクセスパケットである場合には認証処理部52に渡さずに廃棄するようにすればよい。これにより、復号後のパケットで不正を検出した場合に、該当するSAの通信が停止される。
また、他の例として、不正検知処理部56は、認証パケットを受信処理部51からの受信パケットと、復号処理部55によって復号処理されたパケットについて、不正検知処理を行うように構成してもよい。つまり、受信処理部51は、受信した認証パケットを不正検知処理部56に渡し、不正検知処理部56は、受信した認証パケットの不正検知を行い、不正アクセスパケットでない正常の認証パケットの場合には認証処理部52にその認証パケットを渡し、不正アクセスパケットである場合には認証処理部52に渡さずに廃棄する。また、不正検知処理部56は、認証処理部52から復号処理部55に渡され、復号処理部55で復号された平文のパケットの不正検知処理を行い、不正アクセスパケットでない正常の認証パケットの場合には送信処理部57にその認証パケットを渡し、不正アクセスパケットである場合には送信処理部57に渡さずに廃棄する。これにより、復号後のパケットで不正を検出した場合に、該当するSAの通信が停止される。
以上説明したように、不正検知処理部56が不正検知処理を行うタイミングを調整することによって、たとえば、ユーザネットワーク10の端末装置11から、送信元アドレスをVPN装置12としてVPN装置22に対して攻撃が行われた場合に、VPN装置22内の不正検知処理部56でその不正を検知することで、認証処理を行わず、VPN装置のCPU(Central Processing Unit)の負荷を高めるような攻撃を回避することができる。
この実施の形態1によれば、ユーザネットワーク10,20に属する端末装置11,21がVPNを利用した通信を行う際に、ユーザネットワーク10,20が公衆ネットワーク30と接続する位置に不正検知を行う機能を備えるVPN装置12,22を備え、暗号化されたパケットに対して復号化後に不正検知処理を行い、対向側のVPN装置と連携して動作を行うので、VPNの利用者内に悪意のあるユーザが存在した場合でも、不正アクセスを行った送信元IPアドレスだけでなく、IPsec機能で実現されるSA単位での不正を検知することができるとともに、SA毎や送信元IPアドレス単位に制御を行うことができる。また、管理サーバを経由したトラヒック制御ではないため、不正なアクセスに対して迅速に対応することができる。また、暗号化のための交渉時に使用されるパケットを利用した攻撃の不正検知を行うことができ、そのパケットが不正アクセスパケットである場合にはそのパケットを用いた認証処理を行うことなく、VPN装置12,22を未然に攻撃から守ることができる。
実施の形態2.
図8は、この発明にかかるVPN装置の実施の形態2の構成を模式的に示すブロック図である。このVPN装置12,22は、実施の形態1の図2の暗号化処理部54が、平文パケットの暗号化処理を行うとともに、不正検知のための制御パケットを受信した場合に、不正アクセスパケットの送信元に対応するSAの帯域を制御する機能を有する暗号化処理・帯域制御部54aに置き換わった構成を有する。この暗号化処理・帯域制御部54aによって、不正アクセスパケットを送信するSAからの送信トラヒックが抑制される。なお、不正アクセスパケットを送信するSAの帯域をどのくらい制御するかは任意に定めることができる。
図8は、この発明にかかるVPN装置の実施の形態2の構成を模式的に示すブロック図である。このVPN装置12,22は、実施の形態1の図2の暗号化処理部54が、平文パケットの暗号化処理を行うとともに、不正検知のための制御パケットを受信した場合に、不正アクセスパケットの送信元に対応するSAの帯域を制御する機能を有する暗号化処理・帯域制御部54aに置き換わった構成を有する。この暗号化処理・帯域制御部54aによって、不正アクセスパケットを送信するSAからの送信トラヒックが抑制される。なお、不正アクセスパケットを送信するSAの帯域をどのくらい制御するかは任意に定めることができる。
この実施の形態2によるVPN装置12,22の動作処理の手順は、実施の形態1の図6〜図7で説明した手順のステップS23において、対応するSAの帯域を抑制する点を除いて同様であるので、その説明を省略する。
また、VPNトンネリングサービスでは、VPN装置12,22間であらかじめ、認証処理部52によって暗号情報の交渉を行う。たとえば、図1のネットワークシステム構成の場合、VPN装置12,22のそれぞれの認証処理部52の間で交渉のための認証パケットがやり取りされ、各SAに対応する暗号情報が交渉される。しかしながら、このときVPN以外のネットワークに所属する悪意のあるユーザから、交渉用の認証パケットを利用して、VPN装置12,22が攻撃される虞がある。そこで、上述したVPN装置12,22において、VPNの外部から攻撃された場合に対応したVPN装置12,22の処理の流れについて説明する。
図8に示される構成を有するVPN装置12,22の場合にも、上記の実施の形態1の場合と同様に、不正検知処理部56は、認証パケットを受信処理部51からの受信パケットと、復号処理部55によって復号処理されたパケットについて、不正検知処理を行うように構成すればよい。これにより、復号したパケットが不正である場合に、その不正パケットが検知され、暗号化処理・帯域制御部54aによって、該当するSAの通信トラヒックが絞られる。
以上説明したように、不正検知処理部56が不正検知処理を行うタイミングを調整することによって、たとえば、ユーザネットワーク10の端末装置11から、送信元アドレスをVPN装置12としてVPN装置22に対して攻撃が行われた場合に、VPN装置22内の不正検知処理部56でその不正を検知することで、認証処理を行わず、VPN装置のCPUの負荷を高めるような攻撃を回避することができる。
この実施の形態2によれば、VPN装置12,22に帯域制御機能を持たせるように構成したので、不正なパケットを送信するSAからの送信トラヒックを抑制し、不正アクセスによる処理の影響を抑えることができるという効果を有する。また、暗号化のための交渉時に使用されるパケットを利用した攻撃の不正検知を行うことができ、そのパケットが不正アクセスパケットである場合にはそのパケットを用いた認証処理を行うことなく、VPN装置12,22を未然に攻撃から守ることができる。
実施の形態3.
実施の形態2では、不正アクセスパケットを送信するSAの帯域を抑制する場合を例に挙げたが、実施の形態1のように不正アクセスパケットを送信するSAによる通信を停止させるか、その帯域を絞るかを選択できるように構成してもよい。図9は、この発明にかかるVPN装置の実施の形態3の構成を模式的に示すブロック図である。このVPN装置12,22は、図8の暗号化処理・帯域制御部54aが、平文パケットの暗号化処理を行うとともに、不正検知のための制御パケットを受信した場合に、VPN装置12,22が保持するSAの情報とユーザネットワークの規模などの情報に基づいて、その不正アクセスパケットを送信するSAの通信を停止するか、帯域を絞るかを選択して実行する機能を有する暗号化処理・送信制御部54bに置き換わった構成を有する。この暗号化処理・送信制御部54bによって、たとえば、不正アクセスパケットが規模の小さいユーザネットワークに属する端末装置からのものである場合には、対応するSAの通信が停止され、逆に、不正アクセスパケットが規模の大きいユーザネットワークに属する端末装置からのものである場合には、対応するSAの帯域が抑制される。
実施の形態2では、不正アクセスパケットを送信するSAの帯域を抑制する場合を例に挙げたが、実施の形態1のように不正アクセスパケットを送信するSAによる通信を停止させるか、その帯域を絞るかを選択できるように構成してもよい。図9は、この発明にかかるVPN装置の実施の形態3の構成を模式的に示すブロック図である。このVPN装置12,22は、図8の暗号化処理・帯域制御部54aが、平文パケットの暗号化処理を行うとともに、不正検知のための制御パケットを受信した場合に、VPN装置12,22が保持するSAの情報とユーザネットワークの規模などの情報に基づいて、その不正アクセスパケットを送信するSAの通信を停止するか、帯域を絞るかを選択して実行する機能を有する暗号化処理・送信制御部54bに置き換わった構成を有する。この暗号化処理・送信制御部54bによって、たとえば、不正アクセスパケットが規模の小さいユーザネットワークに属する端末装置からのものである場合には、対応するSAの通信が停止され、逆に、不正アクセスパケットが規模の大きいユーザネットワークに属する端末装置からのものである場合には、対応するSAの帯域が抑制される。
この図9に示されるVPN装置12,22の動作処理の手順も、上述した実施の形態1の図6〜図7での動作処理や上述した実施の形態2のVPN装置12,22の動作処理と同様であるので、その説明を省略する。
また、VPNトンネリングサービスでは、VPN装置12,22間であらかじめ、認証処理部52によって暗号情報の交渉を行う。たとえば、図1のネットワークシステム構成の場合、VPN装置12,22のそれぞれの認証処理部52の間で交渉のための認証パケットがやり取りされ、各SAに対応する暗号情報が交渉される。しかしながら、このときVPN以外のネットワークに所属する悪意のあるユーザから、交渉用の認証パケットを利用して、VPN装置12,22が攻撃される虞がある。そこで、上述したVPN装置12,22において、VPNの外部から攻撃された場合に対応したVPN装置12,22の処理の流れについて説明する。
図9に示されるVPN装置12,22の場合にも、上記の実施の形態1の場合と同様に、不正検知処理部56は、認証パケットを受信処理部51からの受信パケットと、復号処理部55によって復号処理されたパケットについて、不正検知処理を行うように構成すればよい。これにより、復号したパケットが不正である場合に、その不正パケットが検知され、暗号化処理・送信制御部54bによって、該当するSAが所属するユーザネットワークの規模に応じて該当するSAの通信が停止され、またはトラヒックが絞られる。
このように、不正検知処理部56が不正検知処理を行うタイミングを調整することによって、たとえば、ユーザネットワーク10の端末装置11から、送信元アドレスをVPN装置12としてVPN装置22に対して攻撃が行われた場合に、VPN装置22内の不正検知処理部56でその不正を検知することで、認証処理を行わず、VPN装置のCPUの負荷を高めるような攻撃を回避することができる。
この実施の形態3によれば、不正アクセスパケットを送信するSAの通信を停止するか、帯域を抑制するかの切り替えを行うことができるので、SAの情報やユーザネットワークの規模などの情報に基づいて不正アクセスパケットの送信が検出されたSAに対する処置を任意に行うことができるという効果も有する。また、暗号化のための交渉時に使用されるパケットを利用した攻撃の不正検知を行うことができ、そのパケットが不正アクセスパケットである場合にはそのパケットを用いた認証処理を行うことなく、VPN装置12,22を未然に攻撃から守ることができる。
実施の形態4.
つぎに、実施の形態1〜3のVPN装置と、公衆ネットワーク内にこの発明による不正検知装置が配置された不正検知システムの実施の形態について説明する。
つぎに、実施の形態1〜3のVPN装置と、公衆ネットワーク内にこの発明による不正検知装置が配置された不正検知システムの実施の形態について説明する。
図10は、この発明にかかる不正検知システムの実施の形態4の構成の一例を概略的に示す図である。この不正検知システムは、実施の形態1の図1の公衆ネットワーク30に形成されるVPNトンネル31内に不正検知装置32を備える構成を有している。
VPN装置12,22は、実施の形態1〜3で説明したVPN装置12,22の不正検知処理部56が、不正検知のための制御パケットに、復号化処理や暗号化処理に必要な暗号方式や暗号キーを含む暗号情報も含めて送信する点が異なる以外は、実施の形態1〜3で説明したVPN装置と同様であるので、その詳細な説明を省略する。
図11は、この実施の形態3のVPN装置によって送信される、不正検知を通知するための制御パケットの構成の一例を模式的に示す図である。この制御パケットは、実施の形態1の図5の制御パケットにおいて、不正アクセスパケットを送信しているSAで使用される暗号方式やその暗号キーを含む暗号情報をさらに有する構成となっている。この暗号情報には、暗号化パケットを復号処理する際に利用される復号処理プログラムや、復号処理された平文パケットを暗号処理する際に利用される暗号化処理プログラムを含むものでもよい。
図12は、この発明にかかる不正検知システムで使用される不正検知装置の概略構成を模式的に示すブロック図である。不正検知装置32は、公衆ネットワーク30に接続されるVPN装置12,22から送信される不正検知通知のための制御パケットを通過する位置に配置され、受信処理部71、暗号情報格納部72、パケット格納部73、復号処理部74、不正検知処理部75、送信処理部76および制御部77を備えて構成される。
受信処理部71は、入力ポートから入力されたパケットを受信し、受信したパケットがVPN装置12,22から不正検知通知のための制御パケットである場合には、その制御パケットに含まれる不正検出情報と暗号情報とを暗号情報格納部72に格納する機能を有する。また、通過するパケットが、暗号情報格納部72中のSAに該当する場合には、そのパケットを復号処理部74へと渡すとともに、パケット格納部73へと蓄積する機能を有する。通過するパケットが、暗号情報格納部72中のSAに該当しない場合には、そのまま送信処理部76へと渡す。
暗号情報格納部72は、VPN装置12,22からの不正検知通知のための制御パケットに含まれる不正検出情報と暗号情報を格納する。不正検出情報は、不正アクセスパケットが送信されるSAに関する情報であり、送信元IPアドレス、宛て先IPアドレス、アクセスリスト情報などを含んで構成される。暗号情報には、そのSAで使用される暗号方式や暗号キーまたは不正アクセスパケットを復号処理するための復号化プログラムが含まれる。この暗号化情報はSAごとに格納され、復号処理部74による復号処理時に呼び出されて利用される。パケット格納部73は、受信処理部71から渡される暗号情報格納部72中のSAに該当する暗号化パケットを一時的に保持する。
復号処理部74は、VPN装置12,22からの暗号化パケットのうち暗号情報格納部72に保持されているSAに該当する暗号化パケットを受けると、その暗号化パケットの複製を作成し、暗号情報格納部72から該当するSAの暗号情報を抽出し、その中の復号化情報を用いて復号処理する機能を有する。復号処理した平文のパケットは、不正検知処理部75へ渡される。
不正検知処理部75は、復号処理部74によって復号処理された生パケットデータについて、パケットのデータやログ情報を分析し、不正なパケットか正常なパケットかを判定し、その結果を送信処理部76に出力する機能を有する。
送信処理部76は、不正検知処理部75による判定結果を用いて、パケット格納部73に格納されるパケットの送信または廃棄を行う。具体的には、安全なパケットである通知を受けた場合には、パケット格納部73に蓄積していた対応する暗号化パケットを送信し、不正なパケットである通知を受けた場合には、パケット格納部73に蓄積していた対応する暗号化パケットを廃棄する処理を行う。また、制御部77は、これらの処理部の制御を行う。
なお、この実施の形態4においても、VPN装置12,22や不正検知装置32における暗号化方式や不正検知方式については限定されるものではなく、任意の方式を使用することができる。また、不正検知装置32の復号処理部74では、受信処理部71で受信したパケットを複製したものを復号化して不正検知処理部75に渡すようにしているが、受信処理部71で受信したパケットをそのまま復号化して不正検知処理部75に渡し、不正検知処理部75で正常(安全)なパケットであると判定された場合には、暗号情報格納部72に格納される暗号化情報または暗号化処理プログラムを用いて暗号化処理を行って後に送信処理部76から送信するようにしてもよい。
つぎに、この実施の形態4における不正検知装置の動作処理の手順について図13のフローチャートを参照しながら説明する。不正検知装置32の受信処理部71は、VPN装置12,22からパケットを受信すると、そのパケットが不正検知通知のための制御パケットか暗号化パケットかの判定を行う(ステップS41)。受信したパケットが制御パケットである場合(ステップS41でYes(制御パケット)の場合)には、受信処理部71は、制御パケットに含まれる不正検出情報と暗号情報を抽出し、暗号情報格納部72に格納する(ステップS42)。そして、送信処理部は、制御パケットのヘッダ情報に基づいて制御パケットを転送し(ステップS43)、処理が終了する。
一方、ステップS41で受信したパケットが暗号化パケットである場合(ステップS41でNo(暗号化パケット)の場合)には、受信処理部71は、そのパケットが暗号情報格納部72に格納されたSAに該当するか否かを判定する(ステップS50)。判定の結果、受信したパケットが暗号情報格納部72に格納されたSAで送信された場合(ステップS50でYesの場合)には、受信処理部71は、その暗号化パケットをパケット格納部73に格納し(ステップS51)、また暗号化パケットを複製したものを復号処理部74へ渡す。復号処理部74は、受信した暗号化パケットをそのSAに対応する暗号情報の復号化情報を用いて復号化し(ステップS52)、復号化した平文のパケットを不正検知処理部75へと渡す。不正検知処理部75は、平文のパケットを分析し、不正なパケットであるか否かを判定する(ステップS53)。不正なパケットである場合(ステップS53でYesの場合)には、その判定結果を送信処理部76へと通知し、送信処理部76はパケット格納部73内の対応する暗号化パケットを廃棄して(ステップS54)、処理を終了する。また、不正パケットでない場合(ステップS53でNoの場合)には、その判定結果を送信処理部76へと通知し、送信処理部76はパケット格納部73内の対応する暗号化パケットをその宛て先へと送信して(ステップS55)、処理を終了する。
また、ステップS50において、暗号情報格納部72に格納されるSAに該当しない場合には、そのまま送信処理部76へ送信し、送信処理部76はそのまま暗号化パケットをその宛て先へと送信し(ステップS60)、処理を終了する。
この不正検知システムによれば、VPNトンネル中で送信される暗号化パケットに対して復号化した後に不正検知処理を行うので、公衆ネットワーク30内での暗号化パケットの不正検知を行うことができ、公衆ネットワーク30内での不正パケットの負荷を低減することができるという効果を有する。
実施の形態5.
図14は、この発明にかかる不正検知システムに使用される不正検知装置の実施の形態5の概略構成を模式的に示すブロック図である。この不正検知装置32は、実施の形態4の図12において、不正検知のための制御パケットを受信した場合に、不正アクセスパケットの送信元に対応するSAの帯域を制御する機能を有する帯域制御部78をさらに備える構成を有する。この帯域制御部78によって、不正アクセスパケットを送信するSAからの送信トラヒックが抑制される。なお、不正アクセスパケットを送信するSAの帯域をどのくらい制御するかは任意に定めることができる。
図14は、この発明にかかる不正検知システムに使用される不正検知装置の実施の形態5の概略構成を模式的に示すブロック図である。この不正検知装置32は、実施の形態4の図12において、不正検知のための制御パケットを受信した場合に、不正アクセスパケットの送信元に対応するSAの帯域を制御する機能を有する帯域制御部78をさらに備える構成を有する。この帯域制御部78によって、不正アクセスパケットを送信するSAからの送信トラヒックが抑制される。なお、不正アクセスパケットを送信するSAの帯域をどのくらい制御するかは任意に定めることができる。
この実施の形態5による不正検知装置32の動作処理の手順は、実施の形態4の図13で説明した手順のステップS54において、帯域制御部78が対応するSAの帯域を抑制する点を除いて同様であるので、その説明を省略する。
この実施の形態5によれば、不正検知装置に帯域制御機能を持たせるように構成したので、不正SAからの送信トラヒックを抑制し、不正アクセスによる処理の影響を抑えることができるという効果を有する。
以上のように、この発明にかかるVPN装置は、ユーザネットワーク間をVPNで結んで暗号化通信を行うシステムにおいて、ユーザネットワーク内からのVPNを利用した不正アクセスの検出に有用である。
10,20 ユーザネットワーク
11,21 端末装置
12,22 VPN装置
30 公衆ネットワーク
32 不正検知装置
51 受信処理部
52 認証処理部
53 暗号化情報保持部
54 暗号化処理部
54a 暗号化処理・帯域制御部
54b 暗号化処理・送信制御部
55 復号処理部
56 不正検知処理部
57 送信処理部
58 制御部
71 受信処理部
72 暗号化情報格納部
73 パケット格納部
74 復号処理部
75 不正検知処理部
76 送信処理部
77 制御部
78 帯域制御部
11,21 端末装置
12,22 VPN装置
30 公衆ネットワーク
32 不正検知装置
51 受信処理部
52 認証処理部
53 暗号化情報保持部
54 暗号化処理部
54a 暗号化処理・帯域制御部
54b 暗号化処理・送信制御部
55 復号処理部
56 不正検知処理部
57 送信処理部
58 制御部
71 受信処理部
72 暗号化情報格納部
73 パケット格納部
74 復号処理部
75 不正検知処理部
76 送信処理部
77 制御部
78 帯域制御部
Claims (14)
- 広域ネットワークに接続される複数のプライベートネットワーク間で通信されるデータを暗号化して前記広域ネットワーク内に仮想的な専用線を構築して通信を行うために、前記広域ネットワークと前記プライベートネットワークとの間に配置され、
他のVPN装置との間で確立される仮想的な論理経路で暗号化通信を行うための暗号化/復号化情報を含む暗号情報を格納する暗号情報格納手段と、
前記プライベートネットワークから受信した平文パケットを、前記暗号情報を用いて暗号化パケットに変換して前記広域ネットワークに送信する暗号化処理手段と、
前記広域ネットワークから受信した暗号化パケットを、前記暗号情報を用いて復号して平文パケットに変換して前記プライベートネットワークに送信する復号処理手段と、
を備えるVPN装置において、
前記復号処理手段によって復号された前記平文パケットが不正パケットか否かを判定し、不正パケットである場合にその不正パケットの送信に使用される仮想的な論理経路を特定する不正検出情報を含む制御パケットを送信元である前記他のVPN装置に送信する不正検知処理手段を備え、
前記暗号化処理手段は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路による送信処理を制御する送信処理制御機能を備えることを特徴とするVPN装置。 - 前記暗号化処理手段の前記送信制御機能は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路による送信処理を停止することを特徴とする請求項1に記載のVPN装置。
- 前記暗号化処理手段の送信制御機能は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路の帯域を制限することを特徴とする請求項1に記載のVPN装置。
- 前記暗号化処理手段の送信制御機能は、前記制御パケットを受信した場合に、該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路に接続されるプライベートネットワーク規模に応じて、前記仮想的な論理経路による送信処理の停止または帯域の制限のいずれかの処理を実行することを特徴とする請求項1に記載のVPN装置。
- 他のVPN装置との間で暗号化通信を行うための交渉に使用される認証パケットを用いて、前記他のVPN装置との間で認証処理を行う認証処理手段をさらに備え、
前記不正検知処理手段は、前記他のVPN装置から受信する認証パケットが不正パケットか否かを判定する機能をさらに備えることを特徴とする請求項1〜4のいずれか1つに記載のVPN装置。 - 広域ネットワークに接続される複数のプライベートネットワーク間で通信されるデータを暗号化して前記広域ネットワーク内に仮想的な専用線を構築して通信を行うために前記広域ネットワークと前記プライベートネットワークとの間に配置され、他のVPN装置との間で確立される仮想的な論理経路で暗号化通信を行うための暗号化/復号化情報を含む暗号情報を格納する暗号情報格納手段と、前記プライベートネットワークから受信した平文パケットを、前記暗号情報を用いて暗号化パケットに変換して前記広域ネットワークに送信する暗号化処理手段と、前記広域ネットワークから受信した暗号化パケットを、前記暗号情報を用いて復号して平文パケットに変換して前記プライベートネットワークに送信する復号処理手段と、を備えるVPN装置と、
複数の前記VPN装置によって構成される仮想的な論理経路上に配置される不正検知装置と、
を備える不正検知システムであって、
前記VPN装置は、
前記復号処理手段によって復号された前記平文パケットが不正パケットか否かを判定し、不正パケットである場合にその不正パケットの送信に使用される仮想的な論理経路を特定する不正検出情報と、前記仮想的な論理経路に対応する暗号情報と、を含む制御パケットを送信元である前記他のVPN装置に送信する不正検知処理手段を備え、
前記暗号化処理手段は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路による送信処理を制御する送信処理制御機能を備え、
前記不正検知装置は、
前記制御パケットに含まれる前記不正検出情報と前記暗号情報を格納する暗号情報格納手段と、
前記不正検出情報に対応する仮想的な論理経路から暗号化パケットを受信すると、前記不正検出情報に対応する前記暗号情報を用いて前記暗号化パケットを復号して平文パケットに変換する復号処理手段と、
前記平文パケットが不正パケットか否かを判定し、不正パケットである場合にそのパケットを廃棄する不正検知処理手段と、
を備えることを特徴とする不正検知システム。 - 前記不正検知装置の復号処理手段は、前記暗号化パケットを複製した暗号化パケットに対して復号処理を行うことを特徴とする請求項6に記載の不正検知システム。
- 前記不正検知装置は、前記不正検知処理手段によって前記平文パケットが不正パケットでないと判定された場合に、前記暗号情報を用いて前記平文パケットを暗号化して、前記仮想的な論理経路に送出する暗号化処理手段をさらに備えることを特徴とする請求項6に記載の不正検知システム。
- 前記不正検知装置は、前記不正検知処理手段によって前記平文パケットが不正パケットであると判定された場合に、前記不正検出情報に対応する仮想的な論理経路の帯域を制限する帯域制御手段をさらに備えることを特徴とする請求項6〜8のいずれか1つに記載の不正検知システム。
- 前記暗号情報は、前記暗号化パケットの復号処理に利用する復号処理プログラムであることを特徴とする請求項6〜9のいずれか1つに記載の不正検知システム。
- 前記VPN装置の暗号化処理手段の前記送信制御機能は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路による送信処理を停止することを特徴とする請求項6〜10のいずれか1つに記載の不正検知システム。
- 前記VPN装置の暗号化処理手段の送信制御機能は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路の帯域を制限することを特徴とする請求項6〜10のいずれか1つに記載の不正検知システム。
- 前記VPN装置の暗号化処理手段の送信制御機能は、前記制御パケットを受信した場合に、該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路に接続されるプライベートネットワークの規模に応じて、前記仮想的な論理経路による送信処理の停止または帯域の制限のいずれかの処理を実行することを特徴とする請求項6〜10のいずれか1つに記載の不正検知システム。
- 前記VPN装置は、
他のVPN装置との間で暗号化通信を行うための交渉に使用される認証パケットを用いて、前記他のVPN装置との間で認証処理を行う認証処理手段をさらに備え、
前記不正検知処理手段は、前記他のVPN装置から受信する認証パケットが不正パケットか否かを判定する機能をさらに備えることを特徴とする請求項6〜13のいずれか1つに記載の不正検知システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004071196A JP4260658B2 (ja) | 2004-03-12 | 2004-03-12 | Vpn装置および不正検知システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004071196A JP4260658B2 (ja) | 2004-03-12 | 2004-03-12 | Vpn装置および不正検知システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005260709A JP2005260709A (ja) | 2005-09-22 |
| JP4260658B2 true JP4260658B2 (ja) | 2009-04-30 |
Family
ID=35085993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004071196A Expired - Fee Related JP4260658B2 (ja) | 2004-03-12 | 2004-03-12 | Vpn装置および不正検知システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4260658B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5018329B2 (ja) * | 2007-08-10 | 2012-09-05 | 富士通株式会社 | 通信装置を制御するプログラム及び通信装置 |
| JP4985503B2 (ja) * | 2008-03-21 | 2012-07-25 | 富士通株式会社 | 通信監視装置、通信監視プログラム、および通信監視方法 |
| KR101510290B1 (ko) | 2013-04-04 | 2015-04-10 | 건국대학교 산학협력단 | Vpn에서 이중 인증을 구현하기 위한 장치 및 이의 동작 방법 |
| CN113949565B (zh) * | 2021-10-15 | 2023-10-27 | 上海谋乐网络科技有限公司 | 检测内网数字资产脆弱性的系统和方法 |
-
2004
- 2004-03-12 JP JP2004071196A patent/JP4260658B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005260709A (ja) | 2005-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3286896B1 (en) | Scalable intermediate network device leveraging ssl session ticket extension | |
| KR101421399B1 (ko) | 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법 | |
| US7516485B1 (en) | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic | |
| JP4707992B2 (ja) | 暗号化通信システム | |
| US9219709B2 (en) | Multi-wrapped virtual private network | |
| US20070300290A1 (en) | Establishing Secure TCP/IP Communications Using Embedded IDs | |
| JP4107213B2 (ja) | パケット判定装置 | |
| CA2437894A1 (en) | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols | |
| CN101529805A (zh) | 中间设备 | |
| CN111726366A (zh) | 设备通信方法、装置、系统、介质和电子设备 | |
| WO2008085388A1 (en) | Fragmenting security encapsulated ethernet frames | |
| JP2004064652A (ja) | 通信機器 | |
| JP2012010254A (ja) | 通信装置、通信方法及び通信システム | |
| US20110145572A1 (en) | Apparatus and method for protecting packet-switched networks from unauthorized traffic | |
| JP4260658B2 (ja) | Vpn装置および不正検知システム | |
| KR101979157B1 (ko) | 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템 | |
| JP4647481B2 (ja) | 暗号化通信装置 | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| JP2006013781A (ja) | 無線通信システム及び無線通信システムにおける盗聴防止方法 | |
| KR101628094B1 (ko) | 보안 장비 및 그것의 접근 허용 방법 | |
| JP5598302B2 (ja) | 通過制御装置、通過制御方法、及び通過制御プログラム | |
| US20040091113A1 (en) | Interface apparatus for monitoring encrypted network | |
| Hohendorf et al. | Secure end-to-end transport over sctp | |
| US11539755B1 (en) | Decryption of encrypted network traffic using an inline network traffic monitor | |
| Chen et al. | A Robust Protocol for Circumventing Censoring Firewalls |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070215 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090123 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090203 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090204 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120220 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130220 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130220 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140220 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |