JP4260658B2 - Vpn装置および不正検知システム - Google Patents
Vpn装置および不正検知システム Download PDFInfo
- Publication number
- JP4260658B2 JP4260658B2 JP2004071196A JP2004071196A JP4260658B2 JP 4260658 B2 JP4260658 B2 JP 4260658B2 JP 2004071196 A JP2004071196 A JP 2004071196A JP 2004071196 A JP2004071196 A JP 2004071196A JP 4260658 B2 JP4260658 B2 JP 4260658B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- fraud detection
- vpn
- encryption
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
図1は、この発明にかかるVPN装置が適用されるネットワークシステムの構成を示す概略図である。この発明にかかるVPN装置が適用されるネットワークシステムは、端末装置11を有するユーザネットワーク10と、端末装置21を有するユーザネットワーク20と、公衆ネットワーク30とが接続された構成を有する。ユーザネットワーク10,20と公衆ネットワーク30との境界には、VPNを用いて通信を行うVPN装置12,22がそれぞれ設けられている。ユーザネットワーク10,20内の端末装置11,21は、公衆ネットワーク30上においてVPN装置12とVPN装置22とを接続するVPNトンネル31を介して通信を行う。
図8は、この発明にかかるVPN装置の実施の形態2の構成を模式的に示すブロック図である。このVPN装置12,22は、実施の形態1の図2の暗号化処理部54が、平文パケットの暗号化処理を行うとともに、不正検知のための制御パケットを受信した場合に、不正アクセスパケットの送信元に対応するSAの帯域を制御する機能を有する暗号化処理・帯域制御部54aに置き換わった構成を有する。この暗号化処理・帯域制御部54aによって、不正アクセスパケットを送信するSAからの送信トラヒックが抑制される。なお、不正アクセスパケットを送信するSAの帯域をどのくらい制御するかは任意に定めることができる。
実施の形態2では、不正アクセスパケットを送信するSAの帯域を抑制する場合を例に挙げたが、実施の形態1のように不正アクセスパケットを送信するSAによる通信を停止させるか、その帯域を絞るかを選択できるように構成してもよい。図9は、この発明にかかるVPN装置の実施の形態3の構成を模式的に示すブロック図である。このVPN装置12,22は、図8の暗号化処理・帯域制御部54aが、平文パケットの暗号化処理を行うとともに、不正検知のための制御パケットを受信した場合に、VPN装置12,22が保持するSAの情報とユーザネットワークの規模などの情報に基づいて、その不正アクセスパケットを送信するSAの通信を停止するか、帯域を絞るかを選択して実行する機能を有する暗号化処理・送信制御部54bに置き換わった構成を有する。この暗号化処理・送信制御部54bによって、たとえば、不正アクセスパケットが規模の小さいユーザネットワークに属する端末装置からのものである場合には、対応するSAの通信が停止され、逆に、不正アクセスパケットが規模の大きいユーザネットワークに属する端末装置からのものである場合には、対応するSAの帯域が抑制される。
つぎに、実施の形態1〜3のVPN装置と、公衆ネットワーク内にこの発明による不正検知装置が配置された不正検知システムの実施の形態について説明する。
図14は、この発明にかかる不正検知システムに使用される不正検知装置の実施の形態5の概略構成を模式的に示すブロック図である。この不正検知装置32は、実施の形態4の図12において、不正検知のための制御パケットを受信した場合に、不正アクセスパケットの送信元に対応するSAの帯域を制御する機能を有する帯域制御部78をさらに備える構成を有する。この帯域制御部78によって、不正アクセスパケットを送信するSAからの送信トラヒックが抑制される。なお、不正アクセスパケットを送信するSAの帯域をどのくらい制御するかは任意に定めることができる。
11,21 端末装置
12,22 VPN装置
30 公衆ネットワーク
32 不正検知装置
51 受信処理部
52 認証処理部
53 暗号化情報保持部
54 暗号化処理部
54a 暗号化処理・帯域制御部
54b 暗号化処理・送信制御部
55 復号処理部
56 不正検知処理部
57 送信処理部
58 制御部
71 受信処理部
72 暗号化情報格納部
73 パケット格納部
74 復号処理部
75 不正検知処理部
76 送信処理部
77 制御部
78 帯域制御部
Claims (14)
- 広域ネットワークに接続される複数のプライベートネットワーク間で通信されるデータを暗号化して前記広域ネットワーク内に仮想的な専用線を構築して通信を行うために、前記広域ネットワークと前記プライベートネットワークとの間に配置され、
他のVPN装置との間で確立される仮想的な論理経路で暗号化通信を行うための暗号化/復号化情報を含む暗号情報を格納する暗号情報格納手段と、
前記プライベートネットワークから受信した平文パケットを、前記暗号情報を用いて暗号化パケットに変換して前記広域ネットワークに送信する暗号化処理手段と、
前記広域ネットワークから受信した暗号化パケットを、前記暗号情報を用いて復号して平文パケットに変換して前記プライベートネットワークに送信する復号処理手段と、
を備えるVPN装置において、
前記復号処理手段によって復号された前記平文パケットが不正パケットか否かを判定し、不正パケットである場合にその不正パケットの送信に使用される仮想的な論理経路を特定する不正検出情報を含む制御パケットを送信元である前記他のVPN装置に送信する不正検知処理手段を備え、
前記暗号化処理手段は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路による送信処理を制御する送信処理制御機能を備えることを特徴とするVPN装置。 - 前記暗号化処理手段の前記送信制御機能は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路による送信処理を停止することを特徴とする請求項1に記載のVPN装置。
- 前記暗号化処理手段の送信制御機能は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路の帯域を制限することを特徴とする請求項1に記載のVPN装置。
- 前記暗号化処理手段の送信制御機能は、前記制御パケットを受信した場合に、該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路に接続されるプライベートネットワーク規模に応じて、前記仮想的な論理経路による送信処理の停止または帯域の制限のいずれかの処理を実行することを特徴とする請求項1に記載のVPN装置。
- 他のVPN装置との間で暗号化通信を行うための交渉に使用される認証パケットを用いて、前記他のVPN装置との間で認証処理を行う認証処理手段をさらに備え、
前記不正検知処理手段は、前記他のVPN装置から受信する認証パケットが不正パケットか否かを判定する機能をさらに備えることを特徴とする請求項1〜4のいずれか1つに記載のVPN装置。 - 広域ネットワークに接続される複数のプライベートネットワーク間で通信されるデータを暗号化して前記広域ネットワーク内に仮想的な専用線を構築して通信を行うために前記広域ネットワークと前記プライベートネットワークとの間に配置され、他のVPN装置との間で確立される仮想的な論理経路で暗号化通信を行うための暗号化/復号化情報を含む暗号情報を格納する暗号情報格納手段と、前記プライベートネットワークから受信した平文パケットを、前記暗号情報を用いて暗号化パケットに変換して前記広域ネットワークに送信する暗号化処理手段と、前記広域ネットワークから受信した暗号化パケットを、前記暗号情報を用いて復号して平文パケットに変換して前記プライベートネットワークに送信する復号処理手段と、を備えるVPN装置と、
複数の前記VPN装置によって構成される仮想的な論理経路上に配置される不正検知装置と、
を備える不正検知システムであって、
前記VPN装置は、
前記復号処理手段によって復号された前記平文パケットが不正パケットか否かを判定し、不正パケットである場合にその不正パケットの送信に使用される仮想的な論理経路を特定する不正検出情報と、前記仮想的な論理経路に対応する暗号情報と、を含む制御パケットを送信元である前記他のVPN装置に送信する不正検知処理手段を備え、
前記暗号化処理手段は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路による送信処理を制御する送信処理制御機能を備え、
前記不正検知装置は、
前記制御パケットに含まれる前記不正検出情報と前記暗号情報を格納する暗号情報格納手段と、
前記不正検出情報に対応する仮想的な論理経路から暗号化パケットを受信すると、前記不正検出情報に対応する前記暗号情報を用いて前記暗号化パケットを復号して平文パケットに変換する復号処理手段と、
前記平文パケットが不正パケットか否かを判定し、不正パケットである場合にそのパケットを廃棄する不正検知処理手段と、
を備えることを特徴とする不正検知システム。 - 前記不正検知装置の復号処理手段は、前記暗号化パケットを複製した暗号化パケットに対して復号処理を行うことを特徴とする請求項6に記載の不正検知システム。
- 前記不正検知装置は、前記不正検知処理手段によって前記平文パケットが不正パケットでないと判定された場合に、前記暗号情報を用いて前記平文パケットを暗号化して、前記仮想的な論理経路に送出する暗号化処理手段をさらに備えることを特徴とする請求項6に記載の不正検知システム。
- 前記不正検知装置は、前記不正検知処理手段によって前記平文パケットが不正パケットであると判定された場合に、前記不正検出情報に対応する仮想的な論理経路の帯域を制限する帯域制御手段をさらに備えることを特徴とする請求項6〜8のいずれか1つに記載の不正検知システム。
- 前記暗号情報は、前記暗号化パケットの復号処理に利用する復号処理プログラムであることを特徴とする請求項6〜9のいずれか1つに記載の不正検知システム。
- 前記VPN装置の暗号化処理手段の前記送信制御機能は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路による送信処理を停止することを特徴とする請求項6〜10のいずれか1つに記載の不正検知システム。
- 前記VPN装置の暗号化処理手段の送信制御機能は、前記制御パケットを受信した場合に該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路の帯域を制限することを特徴とする請求項6〜10のいずれか1つに記載の不正検知システム。
- 前記VPN装置の暗号化処理手段の送信制御機能は、前記制御パケットを受信した場合に、該制御パケットに含まれる不正検出情報に対応する仮想的な論理経路に接続されるプライベートネットワークの規模に応じて、前記仮想的な論理経路による送信処理の停止または帯域の制限のいずれかの処理を実行することを特徴とする請求項6〜10のいずれか1つに記載の不正検知システム。
- 前記VPN装置は、
他のVPN装置との間で暗号化通信を行うための交渉に使用される認証パケットを用いて、前記他のVPN装置との間で認証処理を行う認証処理手段をさらに備え、
前記不正検知処理手段は、前記他のVPN装置から受信する認証パケットが不正パケットか否かを判定する機能をさらに備えることを特徴とする請求項6〜13のいずれか1つに記載の不正検知システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004071196A JP4260658B2 (ja) | 2004-03-12 | 2004-03-12 | Vpn装置および不正検知システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004071196A JP4260658B2 (ja) | 2004-03-12 | 2004-03-12 | Vpn装置および不正検知システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005260709A JP2005260709A (ja) | 2005-09-22 |
JP4260658B2 true JP4260658B2 (ja) | 2009-04-30 |
Family
ID=35085993
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004071196A Expired - Fee Related JP4260658B2 (ja) | 2004-03-12 | 2004-03-12 | Vpn装置および不正検知システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4260658B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5018329B2 (ja) * | 2007-08-10 | 2012-09-05 | 富士通株式会社 | 通信装置を制御するプログラム及び通信装置 |
JP4985503B2 (ja) * | 2008-03-21 | 2012-07-25 | 富士通株式会社 | 通信監視装置、通信監視プログラム、および通信監視方法 |
KR101510290B1 (ko) | 2013-04-04 | 2015-04-10 | 건국대학교 산학협력단 | Vpn에서 이중 인증을 구현하기 위한 장치 및 이의 동작 방법 |
CN113949565B (zh) * | 2021-10-15 | 2023-10-27 | 上海谋乐网络科技有限公司 | 检测内网数字资产脆弱性的系统和方法 |
-
2004
- 2004-03-12 JP JP2004071196A patent/JP4260658B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005260709A (ja) | 2005-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3286896B1 (en) | Scalable intermediate network device leveraging ssl session ticket extension | |
KR101421399B1 (ko) | 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법 | |
US7516485B1 (en) | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic | |
JP4707992B2 (ja) | 暗号化通信システム | |
US9219709B2 (en) | Multi-wrapped virtual private network | |
US20070300290A1 (en) | Establishing Secure TCP/IP Communications Using Embedded IDs | |
JP4107213B2 (ja) | パケット判定装置 | |
CA2437894A1 (en) | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols | |
CN101529805A (zh) | 中间设备 | |
CN111726366A (zh) | 设备通信方法、装置、系统、介质和电子设备 | |
WO2008085388A1 (en) | Fragmenting security encapsulated ethernet frames | |
JP2004064652A (ja) | 通信機器 | |
JP2012010254A (ja) | 通信装置、通信方法及び通信システム | |
US20110145572A1 (en) | Apparatus and method for protecting packet-switched networks from unauthorized traffic | |
JP4260658B2 (ja) | Vpn装置および不正検知システム | |
KR101979157B1 (ko) | 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템 | |
JP4647481B2 (ja) | 暗号化通信装置 | |
US20080059788A1 (en) | Secure electronic communications pathway | |
JP2006013781A (ja) | 無線通信システム及び無線通信システムにおける盗聴防止方法 | |
KR101628094B1 (ko) | 보안 장비 및 그것의 접근 허용 방법 | |
JP5598302B2 (ja) | 通過制御装置、通過制御方法、及び通過制御プログラム | |
US20040091113A1 (en) | Interface apparatus for monitoring encrypted network | |
Hohendorf et al. | Secure end-to-end transport over sctp | |
US11539755B1 (en) | Decryption of encrypted network traffic using an inline network traffic monitor | |
Chen et al. | A Robust Protocol for Circumventing Censoring Firewalls |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070215 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090123 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090203 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090204 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120220 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130220 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130220 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140220 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |