JP4504713B2 - パケットペイロードを認証する方法 - Google Patents

パケットペイロードを認証する方法 Download PDF

Info

Publication number
JP4504713B2
JP4504713B2 JP2004091213A JP2004091213A JP4504713B2 JP 4504713 B2 JP4504713 B2 JP 4504713B2 JP 2004091213 A JP2004091213 A JP 2004091213A JP 2004091213 A JP2004091213 A JP 2004091213A JP 4504713 B2 JP4504713 B2 JP 4504713B2
Authority
JP
Japan
Prior art keywords
header
packet
modified
message authentication
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004091213A
Other languages
English (en)
Other versions
JP2004295891A5 (ja
JP2004295891A (ja
Inventor
ジェイ.ドンレイ クリストファー
エッチ.ハセロット カート
アール.ギルマン ロバート
エム.ウォルトン ジョン
Original Assignee
アバイア インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アバイア インコーポレーテッド filed Critical アバイア インコーポレーテッド
Publication of JP2004295891A publication Critical patent/JP2004295891A/ja
Publication of JP2004295891A5 publication Critical patent/JP2004295891A5/ja
Application granted granted Critical
Publication of JP4504713B2 publication Critical patent/JP4504713B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/1607Details of the supervisory signal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、認証、特にパケットペイロードの認証に関する。
効果的なネットワークセキュリティの必要性は、コンピュータハッキング、ウイルス、その他のネットワーク犯罪の増加と巧妙化のため、年毎にその重要度を増している。電子商取引は、Denial-of-Service即ちDoS攻撃として知られる新しいタイプのネットワーク犯罪をもたらしている。DoS攻撃において、2つの端末間において連続した伝送を行う標準のTransmission Control Protocol 即ちTCPを使用する場合、悪質な第三者がパケットストリームに不正なパケットを注入し、あるいは「混ぜ込む」ことができる。TCP上に備えられたプロトコルによる探知を免れるため、正しいアドレスのペア及びシーケンス番号を含むが(そのため、パケットは有効に見える)不純なデータを含む偽のパケットが作られる。後に正しいパケットが到着した時、そのパケットは再送信された複製として廃棄される。その不正なパケットが認証に失敗するので、備えられたプロトコルは、エラーメッセージを送信元ノードに送ることによってセッションを終わらせてしまう。備えられたプロトコルは廃棄された(正しい)データを選択的に再送信することを要求することができない。結果として、DoS攻撃は、時間のかかる暗号折衝セッションを経るTLS接続の再確立を余儀なくし、これは莫大な処理リソースを必要とする。DoS攻撃は、処理リソースを無駄に消費するだけでなく、電子商取引事業に多額の費用を歳入損失として費やさせてしまう。
DoS攻撃に対抗するために用いられる一つの方法は、IPセキュリティやIPSecプロトコルを各IPパケット認証のためのトランスポートモードに使用することである。IPSecは、実際のユーザーのデータだけでなく、テクニカルセッション攻撃プロファイルにおいて顧客サイトの機能を低下させるために使用されるプロトコルスタック情報の項目の多くも暗号化できる。IPsecは、Open System Interconnect即ちOSIアーキテクチャのレイヤー3(Internet Protocol即ちIP)とレイヤー4(TCP又はUDP)の間に「シム」として働き、Authentication Header(AH)、Encapsulating Security Payload(ESP)及びInternet Key Exchange(IKE)を正しく行う一組のプロトコルを含む。IPSecは、AHを介した認証、ESPを介したデータ暗号化、及び、IKEを用いた送信者と受信者ノード間の自動化された鍵交換を行う。
図2Aは、認証ヘッダ204を持つIPv4パケット200を示す。認証ヘッダ204は、(長さ1バイトで、AHの後に来る上位のプロトコルを特定する)次ヘッダ領域208を含み、(長さ1バイトで、認証データ領域216の長さを指定する)ペイロード長領域212、(今後の使用のため予約された長さ2バイトの領域である)予約領域220、(長さ4バイトで、パケットに使用されているセキュリティプロトコルを特定する)Security Parameters Index即ちSPI領域224、(長さ4バイトで、同じ宛先とSPIデータを担う既に受信されたIP・AHパケット数を識別するカウンタとして動作する)シーケンス番号領域228、及び、(長さが可変で、(例えばDES、MD5又はSecure Hash Algorithm(SHA-1)を使用して作られたパケットのデジタル署名である)Integrity Check Value 即ちICVである)認証データ領域216を含む。
図2Bは、Encapsulating Security Payload即ちESP254を持つIPv4パケット250を示す。カプセル化セキュリティペイロードは、上述のSPI及びシーケンス番号領域224及び228を含み、TCP又はUser Datagram Protocol(UDP)ヘッダ230、(ユーザーのオリジナルデータを暗号化された形式で含む)ペイロードデータ領域258、(暗号化アルゴリズムの必要なパディング要求又はバイト境界配列を行う)パディング領域262、(パディング領域で使用される必要パディング要求を指定する)パッド長領域266、(ペイロードデータ領域に含まれるデータの種類を特定することによってペイロードデータを参照する)次ヘッダ領域270、及び、(ESPヘッダ全体に適用されるデジタル著名である)認証データ274を含む。
しかしながら、IPSecは、ファイヤーウォール、特にネットワークアドレスの伝送又はネットワークアドレス及びポートの伝送を行うプロキシサーバファイヤーウォールを通過することができない。この問題は図1を参照して説明される。図1に関して、ファイヤーウォール(又はプロキシサーバ)100は、ネットワーク104と各種ファイヤーウォールで保護されたネットワークノード108a-nとの間に配置される。各ノード108a-nは、対応するIPアドレスとポート番号を持つ。ノード108a-nがパケットをネットワークに送信したとき、ファイヤーウォールはIPアドレスだけ、又は、IPアドレス及びポート番号を変更する。新しいIPアドレスは、通常、プロキシサーバのIPアドレスである。IPSecはレイヤー3とレイヤー4で動作し、IPSecはポート特定のための機能を持たないため、プロキシサーバによるポート変更の試みは失敗し、パケットは伝送されない。ESPヘッダ254は通常、IPアドレスが変更されるのを許可するが、ポート番号の変更は許可しない。一方、AH204は通常、IPアドレスもポート番号も変更されるのを許可しない。
これらの、また、他の要望は、本発明の様々な具体例及び形態によって取り組まれる。本発明は、OSI転送及びTCP/IPホスト−ホストトランスポート層のようなアプリケーション層において、パケットを認証する方法へ導かれるものである。
本発明の一具体例において、
(a)パケットを受信するステップであって、パケットはヘッダとペイロードからなり、ヘッダは送信ヘッダ部からなるステップ、
(b)パケットの少なくともいくつかのコンテンツに基づいた最初のメッセージの認証コードを算定するステップ、及び、
(c)パケットを認証するための送信ヘッダ部における最初のメッセージの認証コードと第2のメッセージの認証コードとを比較するステップ、からなるパケット認証方法が提供される。
送信ヘッダ部は、OSIトランスポート層及びTCP/IPホスト-ホストトランスポート層のような適合可能なソフトウェアモデルによって定義される。
メッセージ認証コードは、(安全な)ハッシュアルゴリズムのような適合可能なアルゴリズムを用いて算定される。第1及び第2の認証コードは、通常、予め決められたビット数に間引かれる。
第1及び第2の認証コードは、ヘッダの全て又は選択された部分、及び/又は、ペイロードの全て又は選択された部分が基礎となり得る。第1及び第2のメッセージ認証コードは、通常、少なくとも送信ヘッダ部を基礎として決定される。
1つの形態において、第1及び第2の認証コードは、送信元及び/又は宛先ポート領域がヘッダ内で対応する送信元又は宛先ポート領域と異なる値に設定された擬似ヘッダに基づいて算定される。言い換えれば、送信元及び/又は宛先領域は、ヘッダ内で対応する送信元及び宛先領域からは独立した値を持つことになる。例えば、送信元及び/又は宛先領域はゼロに設定される。ファイヤーウォールによって操作されないパケット内領域は、異なる値に正常に設定されないか、あるいは、擬似ヘッダにおいて無視される。
前述の具体例とともに使用される他の具体例において、本発明は、
(a)第1のモードにおいて、第2のメッセージ認証コードを含むヘッダが有効な認証部分を有しない場合はパケットを廃棄するステップ、及び、
(b)第2の異なるモードにおいて、ヘッダが認証部分を含む場合はパケットを廃棄するステップ、からなる受信パケットの認証方法へ向けられる。前述の具体例の算定及び比較するステップは第1のモードでのみ起こる。動作モードは、通常、アプリケーション層若しくはセッション層といった上位層又はトランスポート層自体によって決められる。
前述の具体例とともに使用される他の具体例において、本発明は、
(a)送信ヘッダ部を含むヘッダとペイロードからなるパケットをアセンブルするステップであって、
(b)第1のモードにおいて、送信ヘッダ部に有効な認証オプション領域を含み、
(c)第2の異なるモードにおいて、送信ヘッダ部に有効な認証オプション領域を含まず、
(d)その後、パケットを送信するステップ、からなる送信パケットの認証方法へ向けられる。
様々な具体例が従来技術と比較して多くの利点を持ち得る。例えば、ヘッダの送信部に認証オプションを含むことは、伝送中のデータの承認されない操作を阻止し、DoS攻撃の場合のような第三者の認証されないデータの注入によるセッション破壊に対する強化された耐性を与えるのに効果的である。パケットが生成されると、メッセージ認証コードが算定され、ヘッダに挿入される。認許が失敗した場合、パケットは明らかに改ざんされていて(又はストリームに虚偽的に注入されていて)、それゆえ承認されずに廃棄される。認証又は非承認パケットは送信者によって再送信される。メッセージ認証コードは、パケットがパケット内の秘密情報をファイヤーウォールに公開する必要なくアドレス及び/又はポート翻訳ファイヤーウォールを通過するような方法で定義される。1つのそのような定義によると、送信元及び/又は宛先ポート領域、及び、プロキシサーバ型のファイヤーウォールによって操作又は変更された他の領域は、ゼロのようなヘッダ内の値以外の値に設定され、又は、メッセージ認証コードに基づいた擬似ヘッダとともに無視される。メッセージ認証コードを算定するために使用された公開秘密情報又は秘密鍵は、トランスポート層の上位のプロトコル層によって供給される。これゆえ、そのような公開された秘密を折衝するため、認証されていないモードにおいてトランスポート層の使用を許可することへの準備がされる。折衝が完了すると、トランスポート層認証がその後に続くパケット情報の全てが認証されるように働く。このように、本発明は、TLSやTCPといった現存するプロトコルを、代替の解決手段に費用を費やしたり新しいプロトコルを創ったりせずに最大限利用するものである。
これらの及び他の利点は、ここに含まれる発明の開示から明らかである。
上記に記載された具体例及び形態は、完結したものではなく網羅されたわけでもない。推察されるように、本発明の他の具体例は、単独であれ複合的であれ、1つかそれ以上の上述記載の又は下記に詳細に説明される特徴を利用することで可能となる。
図3は、本発明の第1の具体例によるアーキテクチャを示すものである。アーキテクチャは、少なくとも第1及び第2の終端、即ちノード300a、b及びファイヤーウォール304並びにノード300a、b間に位置するネットワーク308を含む。
第1及び第2のノード300a、bは、パソコン又はPC、サーバ、ラップトップ、パーソナルデジタルアシスタント又はPDA、IP電話、VoIPメディアゲートウェイ、H.323ゲートキーパー等のコンピュータ機器である。各ノードは、伝送エージェント312及び暗号エージェント316並びに入力部又はインターフェイス322を含む。
伝送エージェント312は、(a)データのエラーのない配送を行い、(b)セッション層、即ちOSIのレイヤー5又はTCP/IPのアプリケーション層のような隣接する上位の層からのデータを受け入れ、必要に応じてデータを小さいパケットに分け、パケットを、ネットワーク層、即ちOSIのレイヤー3又はTCP/IPのインターネット層のような隣接する下位のレイヤーに送り、パケットが完全に正しく宛先に着いたことを照合し、(c)パケットの選択されたコンテンツを認証する。
暗号エージェント316は、(セキュリティ用の)Secure Socket Layer 即ちSSL及び/又は(セキュリティ用の)Transport Layer Security 即ちTLS(集合的に、SSL/TLSとする場合もある)、(ネットワーク管理用の)Common Management Protocol 即ちCMIP、(遠隔ファイル操作用の)File Transfer, Access及びManagement、(e-mail用の)X.400、並びに/又は、特定のユーザー仕様のアプリケーションサービス及び手続きを定義するSASLのようなプロトコルを含む。暗号エージェント316はOSIサービスからの層(レイヤー5、6及び/又は7)又はTCP/IPのアプリケーション層内で稼動できる。
ソケット320は、認証と伝送エージェント間のインターフェイスとなる。
推察されるように、OSIでレイヤー処理する工程は、アプリケーションプログラムによってメッセージが作られる送信元アプリケーション層、即ちレイヤー7で始まる。メッセージは、レイヤー1に到達するまで層間を下位へ移動する。レイヤー1は実際の物理通信媒体である。そして、パケット化されたデータは、この媒体を通じて受信ホスト端末に伝送され、ここでは情報はレイヤー1からレイヤー7まで層間をその処理とともに上位に移動していく。メッセージが送信元の端末で層間を下位へ移動するにつれ、メッセージは、特定の層に関係するIPヘッダ232、AH204、TCP若しくはUDPヘッダ236又はESPH254(図2A及び2B)のようなヘッダでカプセル化される。TCP/IP層は同様に動作する。
ファイヤーウォール304は適合するファイヤーウォールであればよい。例えば、フレーム・フィルタリングファイヤーウォール、パケット・フィルタリングファイヤーウォール、回路ゲートウェイファイヤーウォール、ステートフルファイヤーウォール又はアプリケーションゲートウェイ若しくはプロキシサーバファイヤーウォールがファイヤーウォールとなる。
ネットワーク308は、インターネットのようにデジタルであれアナログであれ分散処理ネットワークであればよい。
伝送エージェント312による認証に使用されるTCPヘッダは図4から6を参照して説明される。図4はTCPヘッダ400の従来技術フォーマットを示す。TCPヘッダ400は、送信元ポート404、宛先ポート408、(上記の)パケットシーケンス番号412、(通知が送られる前に受信され受け入られた最後のバイト番号を示す)バイト通知番号416、(パケットの最初のデータ位置を示す)データオフセット420、フラグ領域422、予約424、(受信され蓄えられ得るバイト数を示す)ウインドウ428、チェックサム432、(パケット中の緊急データの存在を示す)緊急ポインタ436、(プロトコルに関連した種々のオプションを含む)オプション440、及び(ヘッダが所望の長さであることを確認するのに充分な、ゼロビットでオプションフィールドを埋める長さ可変の領域である)パディング444に対する領域を含む。本発明によれば、TCPパケットデータユニット(PDU)又はパケットの認証は、オプションフィールド440内に認証オプションを含むことによって可能となる。推察されるように、オプションフィールド内のオプションは、2つの形式、即ち、(オプションの長さが2)オクテットのオプションデータの前に位置し、1オクテットのオプション長の前に位置する単オクテット値のオプション種又は1オクテットのオプション種のいずれか1つの形式を取ることができる。1つの形態において、認証オプションは2番目の形式である。
図5は第2の形式の認証オプションを示す。認証オプション500は次に挙げる領域、即ちオプションインジケータ504、長さ508及びメッセージ認証コード512を含む。オプションインジケータ領域504は、指定されたオプション番号ビット、即ちパケット認証オプションに対する値であり、長さ領域508は、メッセージ認証コード、即ちMACの長さであり、メッセージ認証コード512領域はメッセージ認証コード自身を含む。MACは、HMAC-SHA1-N及びHMAC-MD5-NをそれぞれNビットへ間引いたHMAC-MD5及びHMAC-SHA1アルゴリズムのような錠をかけられたハッシュドメッセージ認証コードを含むあらゆる技術で算定され得る。他のサポートされるメッセージ認証コードは、サイファフィードバック暗号化に基づいた暗号的に安全なあらゆる鍵をかけられたMACを含む。これらのコードはまた、好ましくはNビットに間引く。ハッシュドメッセージの認証コードの間引きによって、侵入者がハッシング鍵の情報を解読するのを防ぐものである。コード生成のために使用される鍵は、暗号エージェントから受け取る。
MACの算定は図6を参照して説明される。MACの算定は、TCPヘッダ及びペイロードの全部又は一部で、選択された領域をゼロ(即ちゼロビット)に設定することで実行される。図6において、MACは、TCPヘッダ及びペイロード全域に存在する擬似ヘッダ600で、擬似ヘッダ内の各ゼロ(即ちゼロビット)にセットされた送信元ポート領域604、宛先ポート領域608及びチェックサム612並びにパケットのボディをもって実行される。これゆえ、これらを担う送信元及び宛先ポート並びにチェックサムは、あるタイプのファイヤーウォールによって操作されうるが、MACの算定から除外される。これは、アドレス伝送又はアドレス-ポート伝送ファイヤーウォールを通過する際の認証に影響を与えずに、TCPヘッダが従来のやり方で操作されるのを可能とする。
(緊急ポインタ領域が充分であることを示す)緊急ポインタフラグ、(データが使用層に押し込まれるべきことを示す)PSHフラグ、終了フラグ、通知フラグ、(同期したシーケンス番号が送られるべきことを示す)“syn”フラグ、RSTフラグ(リセット接続)、シーケンス番号、通知番号、データオフセット、ウインドウ、オプション、パディングといったファイヤーウォールに操作されないパケット内の領域は、異なる値に設定されない。一般に、通知領域及びACK領域は他のフラグとともに認証で保護されるはずである。
推察されるように、擬似ヘッダ600内の1又はそれ以上の送信元ポート領域604、宛先ポート領域608及びチェックサム領域612は、アプリケーションに従ってゼロでない値にセットされ得る。MACの算定において、送信元及び宛先ポート領域604及び608は、MACの判定において不一致を避けるためファイヤーウォールの両側の各ノードによって一定に保たれる。通常、各領域の値はファイヤーウォール304並びに第1及び第2のノード300a、bのアドレスとは異なり、かつ、独立したものとなる。例えば、第1のノードから第2のノードへ伝送されるパケットは、送信元ポート領域を擬似ヘッダ600内で一定値にセットしなければならない。一方、第2のノードから第1のノードへ伝送されるパケットは、ファイヤーウォールによるポート変換からの混乱を避けるために宛先ポート領域を擬似ヘッダ600内で一定値にセットしなければならない。
認証オプション500(図5)は、擬似ヘッダのオプション領域に含まれる。ファイヤーウォールによって変更されないようにする要求はないが、オプションデータ領域は適切な長さであり、通常、全てゼロ(即ちゼロビット)にセットされる。標準のTCPチェックサムは実際のヘッダを使用して算定される。
暗号エージェント316は、アルゴリズムの選択と施錠のデータをアルゴリズムに提供することによってTCP接続のどちらの方向においても認証を稼働する。一度送信側暗号エージェント316によって稼働されると、全ての送信されたパケットは有効な認証オプション500を含むはずであり、送信側暗号エージェントによって稼働されない場合は、生成されたTCPヘッダのいずれも認証オプションを含まないことになる。認証が暗号エージェント316を受け取ることによって稼働されると、全ての受信したパケットは有効な認証オプション500を含むはずであり、上記のように、ここに含まれるMACは受信したパケットに一致するはずであるが、そうでない場合はパケットが伝送エージェント312によって無効であるとみなされる。認証が受信側暗号エージェント316によって稼働されると、認証を通過できないか又は有効な認証オプション500を含まないパケットは、伝送エージェント312によって同様に無効なチェックサムのパケットとして扱われる。認証エラーは伝送エージェント312によってログ又はカウントされ、ログ/カウントは伝送エージェント312から暗号エージェント316によって利用可能となり、又は要求に応じて層を使うことになる。伝送エージェント312から暗号エージェント316によって報告されない受信データは、暗号エージェント316が稼働を連係したであろう、それゆえ、このデータは侵入者に注入されたか、伝送中に危害を受けたに違いないという推測の下、廃棄される(そして、受信シーケンス番号も同様に進められない)。認証が受信側暗号エージェント316によって稼働されないとき、認証オプション500を持つ全てのパケットは廃棄される。これは、送信側暗号エージェント316が認証されたパケットを期待しているが、受信側暗号エージェント312は、まだそうするために必要な認証パラメータを供給されていないことによる。
伝送及び暗号エージェント312及び316の動作は図7及び図8を参照して説明される。
図7は、各ノードにおける暗号エージェントによって実行される動作を示すものである。図7のステップ700において、第1のノード300a及び第2のノード300bの暗号エージェント316は、従来の技術を用いた安全でないチャネル上のプロトコルパラメータを通過する。通常、折衝は、鍵、場合によってはデジタル証明書を交換する双方の当事者を関与させる。公開されるマスター鍵は交換された鍵から算定される。第1及び第2のノードによって交換された終了したメッセージにおいてハッシュが一致すると、折衝は完了する。通常、交換はデジタル著名を通じて暗号エージェントレベルで有効にされる。
折衝が完了すると、大量のメッセージが第1及び第2のノード間で交換される。ステップ704において、第1及び第2のノードは、スタートサイファ又は変更サイファスペックの命令を第2のノードに送り、逆もまた同様である。第1及び第2のノード内の暗号エージェント316がスタートサイファ命令を送ると、ステップ708においてエージェント316は対応する伝送エージェント312に送信認証を起動するように命令を出し、他のノードに伝送されるパケットの認証動作を実行するためにエージェント312に必要な情報(通常は送信鍵及びメッセージ認証コードアルゴリズムの識別のような公開秘密情報)を提供する。ステップ712において、第1及び第2のノード内の暗号エージェント316が他のノードからスタートサイファ命令を受け取ると、ステップ716において、エージェント316は対応する伝送エージェント312に送信認証を起動するように命令を出し、受信されたパケットの認証動作を実行するためにエージェント312に必要な情報(通常、(送信鍵とは異なる)受信鍵及びメッセージ認証コードアルゴリズムの識別のような公開秘密情報)を提供する。ステップ708が第1及び第2のノードによって実行された後、ステップ720において他のノードへ伝送するため、認証されるデータが対応する伝送エージェント312に提供される。ステップ720又は716が実行された後、ステップ724における暗号エージェント316は他のノードからのデータの受信を待つ。
図8A及びBは、各ノードにおいて伝送エージェントによって実行される動作を説明するものである。
図8Aに示すステップ800において、伝送エージェント312は送信認証命令及び認証情報を受け取る。応答において、伝送エージェント312は、認証オプション500が第2のノードに送信された各パケットのオプション領域440に含まれる送信認証モード(第1のモード)を起動する。ステップ808において、伝送エージェント312は、パケットヘッダのオプション領域440内に含まれる認証オプション500を生成することによってデータを認証する。前述のように、オプション500の構築において、伝送エージェント312は、図6の擬似ヘッダ及び公開秘密情報に基づいて、Nビットへの間引きをもって、メッセージ認証コードを算定する。ステップ812において、伝送エージェント312は、パケットをフォーマットし、他のノードの伝送エージェントに送る。ステップ312を実行した後、ステップ816において送信側伝送エージェント312は暗号エージェント316からの更なるデータを待つ。
図8Bに示すステップ820において、伝送エージェント312は受信認証命令及び認証情報を受け取る。応答において、伝送エージェント312は、認証オプション500が第2のノードに受信される各パケットのオプション領域440に含まれるはずの受信認証モードを起動する。推察されるように、このモードは受信された全パケット又は第2のノードから受信したパケットだけのために起動される。ステップ824において、伝送エージェントは他のノードの送信側伝送エージェントからパケットを受信する。分岐処理828において、受信側伝送エージェント312は受信したパケットが認証オプションを含んでいるか否か判断する。パケットが認証オプションを含んでいる場合、ステップ832において、伝送エージェント312は、Nビットに間引かれ、パケット擬似ヘッダ及び他のコンテンツ並びに公開された秘密に基づいたメッセージ認証コードを算定し、算定されたメッセージ認証コードと認証オプションの領域512のメッセージ認証コードを比較することによってパケットを認証する。分岐処理836において、伝送エージェント312はパケット認証が成功したか否か判断する。メッセージ認証コードが識別できない場合、パケット認証は失敗であり、エージェント312は後述のステップ840へ進む。メッセージ認証コードが識別できる場合、パケット認証は成功であり、エージェント312はステップ844へ進む。ステップ844において、パケットに含まれるデータは対応する受信側ノードの暗号エージェント316に転送される。分岐処理828においてパケットが認証オプション500を含んでいない場合、又は、分岐処理836において認証が成功でない場合、ステップ840で伝送エージェント312はパケットを廃棄し、ステップ848において認証エラーをログ及びカウントし、ステップ852においてシーケンス番号を進めないようにする。パケットが廃棄された場合、廃棄されたパケットの受信成功の通知を受けないので、送信側ノードはパケットを再送信し、これによりDoS攻撃した者の能力を大きく低下、減退させる。エージェント312は、その後、ステップ856に進み、受信される次のパケットを待つ。
プロキシサーバに操作される送信元及びアドレス領域並びにチェックサム領域が、メッセージ認証コードに基づいた擬似ヘッダ600内でゼロ(即ちゼロビット)にセットされているので、ファイヤーウォールアドレス及び/又はポート翻訳は、暗号エージェント316において、SSL及びTSLのようなセキュリティプロトコルの動作を干渉しない。
推察されるように、伝送エージェント312は、暗号エージェント316によって受信される停止サイファ命令(例えば、次の変更サイファスペック命令又は終了命令)への応答において、第1又は認証モードに戻るようにリセットされる。認証停止命令は、その後受信側暗号エージェントによって対応する暗号エージェントに送信される。
送信認証モードにおいて送信され、及び、受信認証モードにおいて受信された全パケットは、認証オプションを含むはずなので、それらのモードにおいて送信/受信された通知パケットはそれらのヘッダ内に認証オプションを含むはずである。これが、DoS攻撃する者が偽の通知を送信側ノードに送ることによってセッションを妨げたり終了させたりするのを防ぐ。
この発明の多くの展開例や変更例が使用され得る。他の物を付加せずにこの発明の特徴を満足することは可能であろう。
例えば、他の変更例において、伝送エージェント312は上記で構成されたプロトコル以外のプロトコルとともに実現され得る。例えば、伝送エージェントのそのような他のプロトコルは、他のバージョンのTCP、UDP、インターネット制御メッセージプロトコル、即ちICKP、又はセッション制御トランスポートプロトコル、即ちSCTPを含む。SCTPはデータ伝送及び通知にまとまって配置される。SCTPの1つの改作は、2つの新しいペイロードタイプを定義し、まとまったコンテンツを制限するものである。1つのペイロードタイプは認証ストリームのためのものとなり、他はそのストリームの通知のためのものとなるであろう。
同様に、他の具体例において、暗号エージェントはIPSecやそれに類するもののような多くの適合する保護プロトコルを使用し得る。
他の代替例において、トランスポート層ヘッダだけでなくBumpとしてOSIレイヤー3と4間のStack又はBITSの実現において、認証オプションの実現があり得る。
また、他の代替例において、認証オプションはOSIトランスポート層に相当するTCP/IP層に存在する。例えば、認証オプションはTCP/IPのホスト-ホストトランスポート層となり得る。
また、さらなる代替例として、OSIレイヤー3、4、5、6及び/又は7で定義される又はされない擬似ヘッダが、ヘッダ及び/又はペイロードの一部分のみを意味し、図6におけるそれらに対する1又はそれ以上の異なる領域を含む場合もある。
他の代替例において、伝送エージェント及び/若しくは暗号エージェント又はコンポーネントが、ソフトウェアに加えて、又は、その代わりに、ユーザー専用ICのようなロジック回路として具現化される。
本発明は、種々の具体化、部分的な組み合わせ及び部分的集合をここに含みながら、様々な具体例において、コンポーネント、方法、工程、システム及び/又は機器をここで描かれ記述されたように実質的に含むものである。当業者であれば、この開示を理解した後に、いかにして本発明を準備し使用するかを理解できるであろう。本発明は、様々な具体例において、ここに又はこれに関する種々の具体例において描かれ及び/又は記述されていない要素がなくても、前述の装置又は工程で使用されたような要素がない場合も含めて、例えば、性能向上、簡素化及び/又は実現コスト低減のための装置及び工程も含むものである。
発明に関する前述のディスカションは例示と説明の目的で示されたものである。前述のものは発明をここに開示された形に制限するものではない。前述の詳細な説明において、発明の様々な特徴は、開示を合理的なものとする目的で1又はそれ以上の具体例にまとめられている。この開示の方法は、主張される発明が各請求項で明確に列挙される以上の特徴を必要とする意図を反映するように解釈されるべきものではない。むしろ、特許請求の範囲が反映するように、発明の特徴は前述の開示された一具体例の全特徴を超えないところにある。これゆえ、特許請求の範囲は、各請求項が本発明の別個の好適な具体例として単独で成り立つ状態で詳細な説明に組み入れられる。
さらに、発明の説明は1又はそれ以上の具体例並びにある展開例及び変更例の説明を含んだものであるが、例えば、この開示を理解した後に当業者の技術や知識の範囲内となるような他の展開例及び変更例も本発明の範囲に入る。本願は、交換可能な及び/又は同等の構成、機能、範囲又は工程がここに開示されたか否かにかかわらず、請求項に記されたものに対してそのような代替の、交換可能な及び/又は同等の構成、機能、範囲又は工程を含み、許可される限りの代替の具体例を含む権利を得ることを意図するものである。
従来のプロキシサーバ型ファイヤーウォールを示すブロック図である。 従来のパケット及び認証ヘッダを示す図である。 従来のパケット及びカプセル化セキュリティヘッダを示す図である。 本発明の具体例によるプロキシサーバ型ファイヤーウォールを示すブロック図である。 従来のTCPによるトランスポート層ヘッダを示す図である。 本発明による認証TCPオプション領域を示す図である。 メッセージ認証コードを算定するための擬似ヘッダを示す図である。 暗号エージェントの動作を示すフローチャートである。 追跡エージェントの動作を示すフローチャートである。 追跡エージェントの動作を示すフローチャートである。
符号の説明
300a、b ノード
304 ファイヤーウォール
308 ネットワーク
312 伝送エージェント
316 暗号エージェント
320 ソケット
322 インターフェイス

Claims (15)

  1. パケットを認証する方法であって、
    変更されたパケットヘッダ(250)およびペイロードから成る変更されたパケットを、宛先ノード(300b)により受信するステップであって、該変更されたヘッダ(250)が第1の送信ノード(300a)により擬似ヘッダ(600)に基づきおよびハッシュアルゴリズムを用いて計算される第1のメッセージ認証コードから成り、および該送信ノードと該宛先ノードの間に位置づけられるプロキシサーバ・ファイアウォール(304)が、該送信ノード(300a)から該ファイアウォール(304)により受信された受信パケットから該変更されたパケットを発生し、(i)送信元および宛先ポート領域(404、408)の少なくとも1つ、および(ii)該変更されたパケットヘッダ内のチェックサム領域(432)が、各々該受信されたパケットのパケットヘッダ内の対応する領域とは異なる値を有しているステップと
    該宛先ノードにより、および該ハッシュアルゴリズムを用いて、第1および第2のセットのパケットヘッダから成る擬似ヘッダ(600)に基づいて、第2のメッセージ認証コードを計算するステップであって、該第1のセットのパケットヘッダ領域が、(i)該送信元および宛先ポート領域のうちの少なくとも1つ、および(ii)チェックサム領域に対応する領域から成り、該第1のセットの領域内の領域の各々が変更されおよび受信されたパケットヘッダ内の対応する領域とは異なる値を有しており、および該第2のセットの領域内の領域の各々が変更されたパケットヘッダ内の対応する領域と同じ値を有しているステップと、
    該変更されたパケットを認証するために、該第1および第2のメッセージ認証コードを宛先ノードにより比較するステップと、を含み、
    該第1および第2のメッセージ認証コードが一致するときに、該変更されたパケットが成功りに認証され、および
    該第1および第2のメッセージ認証コードが一致しないときには、該変更されたパケットが成功りに認証されない、ようになっている、ことを特徴とする方法。
  2. 請求項1に記載の方法において、
    該チェックサムの値が、該送信元および宛先ポート領域内の値に少なくとも部分的に基づいて計算され、および該第1および第2のメッセージ認証コードが、該送信元および宛先ポート領域についての非ゼロ値に基づいている方法。
  3. 請求項1に記載の方法において、
    該擬似ヘッダ内の送信元および宛先領域の値が、各々該変更されおよび受信されたパケット内の対応する送信元および宛先ポートのそれぞれの値から独立している方法。
  4. 請求項3に記載の方法において、
    該変更されおよび受信されたパケットヘッダが各々オプション領域(440)から成り、このオプション領域が該認証オプション(500)から成り、この認証オプションが、認証オプションと関連づけられる値を有するオプションインジケータ(504)、該第1のメッセージ認証コード(512)と関連づけられる値を有する長さ(508)および該第1のメッセージ認証コードから成り、そして、該第1のメッセージ認証コード(512)が選択されたビット数に間引きされている方法。
  5. 請求項4に記載の方法において、
    該擬似ヘッダにおいて、該送信元および宛先ポート領域の該少なくとも1つがゼロに設定され、および該擬似ヘッダにおいて、該第2のセットのパケットヘッダ領域が緊急ポインタフラグ、PSHフラグ、終了フラグ、通知フラグ、同期フラグ、リセットフラグ、シーケンス番号、通知番号、データオフセット、ウインドウ、オプションおよびパディング領域を含む方法。
  6. 請求項1に記載の方法において、
    該第1及び該第2のメッセージ認証コードがハッシュドメッセージ認証コードであり、
    該第1及び該第2の認証コードが各々予め定められたビット数に間引かれ、
    該第1及び該第2のメッセージ認証コードが該受信されおよび変更されたパケットのそれぞれのものの送信ヘッダ部を使用して決定され、
    該比較する工程において該第1及び該第2のメッセージ認証コードが一致しない場合に、
    さらに、パケット無効の場合を表示するカウンタを増加させることからなる方法。
  7. 請求項3に記載の方法において、
    第1の認証コードが、送信ヘッダ部分内にあり、該第1および第2の認証コードが共用される秘密キイに基づくものでもあり、そして、1つの送信元および宛先ポート領域のうちの該少なくとも1つが送信元ポート領域である方法。
  8. パケットを認証するシステムであつて、
    変更されたパケットヘッダおよびペイロードから成る受信されたパケットを宛先ノードにて受信する入力手段(322)であって、該変更されたパケットヘッダが、送信ノード(300a)によって、該擬似ヘッダ(600)に基づきおよびハッシュアルゴリズムを用いて計算された第1のメッセージ認証コード(512)から成り、該送信元と宛先ノードの間に位置するプロキシサーバファイアウォール(304)が、送信ノード(300a)から該ファイアウォール(304)により受信されたパケットから該変更されたパケットを発生し、(i)送信元および宛先ポートフィールド(404,408)のうちの少なくとも1つおよび(ii)変更されたパケットヘッダ内のチェックサムフィールド(432)が各々、該受信されたパケットヘッダ内の対応する領域とは異なった値を有している入力手段(322)と、
    該宛先ノードにて、該ハッシュアルゴリズムを用いておよび該擬似ヘッダ(600)に基づいて第2のメッセージ認証コードを計算する計算手段(316)であって、該擬似ヘッダ(600)が第1および第2のセットのパケットヘッダ領域から成り、該第1のセットのパケットヘッダが、(i)該送信元および宛先ポート領域のうちの少なくとも1つ、および(ii)該受信されたパケットヘッダ内のチェックサム領域に対応する領域から成り、該第1のセットの領域内の領域の各々が該変更されおよび受信されたパケットヘッダ内の対応する領域とは異なる値を有しており、および該領域の該第2のセットの領域内の領域の各々が該変更されたパケットヘッダ内の対応する領域と同じ値を有する、計算手段(316)と、
    該宛先ノードにて、該第1および第2のメッセージ認証コードを比較して変更されたパケットを認証する比較手段(316)とを、備え、
    該第1および第2のメッセージ認証コードが一致するときに、該変更されたパケットが成功りに認証され、および
    該第1および第2のメッセージ認証コードが一致しないときに、該変更されたパケットが成功りに認証されないようになっていることを特徴とするシステム。
  9. 請求項に記載のシステムにおいて、
    該チェックサム値が少なくとも該送信元および宛先ポート領域内の値に基づいて計算されるものであり、および該第1および第2のメッセージ認証コードが該送信元および宛先ポート領域についての非ゼロ値に基づくものであるシステム。
  10. 請求項に記載のシステムにおいて、
    該擬似ヘッダ内の送信元ポートおよび宛先ポート領域の値が、各々該変更されおよび受信されたパケット内の対応する送信元ポートおよび宛先ポート領域のそれぞれの値とは独立しているシステム。
  11. 請求項10に記載のシステムにおいて、
    該変更されおよび受信されたヘッダが各々オプション領域(440)から成り、このオプション領域が認証オプション(500)から成り、この認証オプションが、該認証オプションと関連づけられる値を有するオプションインジケータ(504)、該第1のメッセージ認証コード(512)の長さと関連づけられる値を有する長さ(508)および該第1の認証コード(512)を含むものであり、そして該第1のメッセージ認証コードが選択された数のヒットに間引きされているシステム。
  12. 請求項に記載のシステムにおいて、
    該擬似ヘッダにおいて該送信元および宛先ポート領域の該少なくとも1つがゼロに設定され、および擬似ヘッダにおいて、該第2のセットのパケットヘッダ領域が緊急ポインタフラグ、PSHフラグ、終了フラグ、通知フラグ、同期フラグ、リセットフラグ、シーケンス番号、通知番号、データオフセット、ウインドウ、オプションおよびパディング領域を含むシステム。
  13. 請求項に記載のシステムにおいて、該送信元および宛先ポート領域のうちの少なくとも1つが送信元ポート領域であるシステム。
  14. システムであって、
    送信ノードにて、送信パケットヘッダおよびペイロードから成る送信パケットをアセンブルしおよび送信するための手段(312)であって、該送信パケットヘッダが第1のメッセージ認証コードを含む手段(312)と、
    該送信ノードにて、ハッシュアルゴリズムを用いて第1および第2のセットのパケットヘッダ領域から成る擬似ヘッダ(600)に基づき該第1の認証コードを計算するための計算手段(316)と、
    (i)送信元および宛先ポートの少なくとも1つ、および(ii)送信されたパケットヘッダ内のチェックサムを変更して、変更されたパケットヘッダを形成し、および該変更されたパケットヘッダおよびペイロードから成る変更されたパケットを該宛先ノードに対して送信するための、該送信ノードと宛先ノードの間に配置されるプロキシサーバ・ファイアウォール手段と、を備え
    該宛先ノードは、該擬似ヘッダから第2のメッセージ認証コードを計算し、および該第1および第2のメッセージ認証コードが一致したときに該変更されたパケットを成功りに認証し、該第1のセットのパケットヘッダ領域は(i)送信元および宛先ポートの少なくとも1つ、および(ii)チェックサムを含む領域から成り、該第1のセットのパケットヘッダ領域内の領域の各々は、送信されおよび変更されたパケットヘッダ内の対応する領域とは異なる値を有しており、ならびに該第2のセットのパケットヘッダ領域内の領域の各々は、該変更されたパケットヘッダ内の対応する領域と同じ値を有していることを特徴とするシステム。
  15. 請求項14に記載のシステムにおいて、
    該擬似ヘッダ内の該送信元および宛先ポート領域の値が、各々該送信されたおよび変更されたパケット内の対応する送信元および宛先ポート領域のそれぞれの値とは独立しており、該送信されおよび変更されたパケットヘッダが各々認証オプション(500)から成るオプション領域(440)を含む、該認証オプションが該認証オプションと関連する値を有するオプションインジケータ(504)と、該第1のメッセージ認証コード(512)の長さと関連する値を有する長さ(508)と、該第1のメッセージ認証コード(512)とから成るものであり、ならびに該第2のセットのパケットヘッダ領域が緊急ポインタフラグ、PSHフラグ、終了フラグ、通知フラグ、同期フラグ、リセットフラグ、シーケンス番号、通知番号、データオフセット、ウインドウ、オプションおよびパディング領域を含むシステム。
JP2004091213A 2003-03-27 2004-03-26 パケットペイロードを認証する方法 Expired - Fee Related JP4504713B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/401,919 US8245032B2 (en) 2003-03-27 2003-03-27 Method to authenticate packet payloads

Publications (3)

Publication Number Publication Date
JP2004295891A JP2004295891A (ja) 2004-10-21
JP2004295891A5 JP2004295891A5 (ja) 2007-04-12
JP4504713B2 true JP4504713B2 (ja) 2010-07-14

Family

ID=32825032

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004091213A Expired - Fee Related JP4504713B2 (ja) 2003-03-27 2004-03-26 パケットペイロードを認証する方法

Country Status (7)

Country Link
US (1) US8245032B2 (ja)
EP (1) EP1463265B1 (ja)
JP (1) JP4504713B2 (ja)
KR (1) KR20040084996A (ja)
CN (1) CN1536847B (ja)
CA (1) CA2454990C (ja)
MX (1) MXPA04000800A (ja)

Families Citing this family (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003204326A (ja) * 2002-01-09 2003-07-18 Nec Corp 通信システムと暗号処理機能付きlan制御装置、及び通信制御プログラム
ES2358111T3 (es) * 2003-07-03 2011-05-05 Koninklijke Philips Electronics N.V. Direccionamiento indirecto seguro.
US7401215B2 (en) * 2003-09-29 2008-07-15 Sun Microsystems, Inc. Method and apparatus for facilitating cryptographic layering enforcement
US8060743B2 (en) * 2003-11-14 2011-11-15 Certicom Corp. Cryptographic method and apparatus
WO2005096119A1 (en) * 2004-04-02 2005-10-13 Matsushita Electric Industrial Co., Ltd. Unauthorized contents detection system
JP4749680B2 (ja) * 2004-05-10 2011-08-17 株式会社ソニー・コンピュータエンタテインメント データ構造、データ処理装置、データ処理方法、認証装置、認証方法、コンピュータプログラム、及び記録媒体
US7142107B2 (en) 2004-05-27 2006-11-28 Lawrence Kates Wireless sensor unit
US7908339B2 (en) 2004-06-03 2011-03-15 Maxsp Corporation Transaction based virtual file system optimized for high-latency network connections
US9357031B2 (en) 2004-06-03 2016-05-31 Microsoft Technology Licensing, Llc Applications as a service
US8812613B2 (en) 2004-06-03 2014-08-19 Maxsp Corporation Virtual application manager
WO2006004556A1 (en) * 2004-07-02 2006-01-12 Agency For Science, Technology And Research Traffic redirection attack protection method and system
WO2006073284A1 (en) 2005-01-07 2006-07-13 Samsung Electronics Co., Ltd. Apparatus and method for transmitting/receiving multiuser packet in a mobile communication system
US8234238B2 (en) 2005-03-04 2012-07-31 Maxsp Corporation Computer hardware and software diagnostic and report system
US8589323B2 (en) 2005-03-04 2013-11-19 Maxsp Corporation Computer hardware and software diagnostic and report system incorporating an expert system and agents
WO2007005947A1 (en) 2005-07-01 2007-01-11 Terahop Networks, Inc. Nondeterministic and deterministic network routing
US8078867B2 (en) * 2005-08-12 2011-12-13 Research In Motion Limited System and method for authenticating streamed data
DE102005040889A1 (de) * 2005-08-29 2007-03-15 Siemens Ag Verfahren und Anordnung zum sicheren Übertragen von Daten in einem ein Mehrsprungverfahren nutzenden Kommunikationssystem
US7765402B2 (en) * 2005-11-08 2010-07-27 Research In Motion Limited System and methods for the wireless delivery of a message
WO2007063420A2 (en) * 2005-12-01 2007-06-07 Nokia Corporation Authentication in communications networks
US20070136587A1 (en) * 2005-12-08 2007-06-14 Freescale Semiconductor, Inc. Method for device authentication
JP2007312357A (ja) * 2006-04-18 2007-11-29 Canon Inc データ処理装置及びその制御方法、データ処理システム、プログラム、記憶媒体
US8811396B2 (en) 2006-05-24 2014-08-19 Maxsp Corporation System for and method of securing a network utilizing credentials
US8898319B2 (en) 2006-05-24 2014-11-25 Maxsp Corporation Applications and services as a bundle
CA2662686C (en) * 2006-09-07 2013-11-12 Research In Motion Limited Method and system for establishing a secure over-the-air (ota) device connection
US7840514B2 (en) * 2006-09-22 2010-11-23 Maxsp Corporation Secure virtual private network utilizing a diagnostics policy and diagnostics engine to establish a secure network connection
US9317506B2 (en) 2006-09-22 2016-04-19 Microsoft Technology Licensing, Llc Accelerated data transfer using common prior data segments
FR2907622A1 (fr) 2006-10-19 2008-04-25 St Microelectronics Sa Procede de transmission de donnees utilisant un code d'accuse de reception comportant des bits d'authentification caches
US8099115B2 (en) 2006-12-14 2012-01-17 Sybase, Inc. TCP over SMS
US8423821B1 (en) 2006-12-21 2013-04-16 Maxsp Corporation Virtual recovery server
US7844686B1 (en) 2006-12-21 2010-11-30 Maxsp Corporation Warm standby appliance
JP4802123B2 (ja) * 2007-03-07 2011-10-26 富士通株式会社 情報送信装置、情報送信方法、情報送信プログラムおよび該プログラムを記録した記録媒体
KR100946115B1 (ko) * 2007-09-17 2010-03-10 재단법인서울대학교산학협력재단 무선 네트워크에서의 대역폭 효율성 향상 및 프라이버시강화를 위한 메시지 인증 방법
KR101378647B1 (ko) * 2007-09-28 2014-04-01 삼성전자주식회사 Ieee 802.15.4 네트워크에서의 보안 설정 가능한 맥프레임 제공 방법 및 장치
US8307239B1 (en) 2007-10-26 2012-11-06 Maxsp Corporation Disaster recovery appliance
US8645515B2 (en) 2007-10-26 2014-02-04 Maxsp Corporation Environment manager
US8175418B1 (en) 2007-10-26 2012-05-08 Maxsp Corporation Method of and system for enhanced data storage
US20090199002A1 (en) * 2008-02-05 2009-08-06 Icontrol, Inc. Methods and Systems for Shortened Hash Authentication and Implicit Session Key Agreement
US8713666B2 (en) 2008-03-27 2014-04-29 Check Point Software Technologies, Ltd. Methods and devices for enforcing network access control utilizing secure packet tagging
US8301876B2 (en) * 2008-05-16 2012-10-30 Emc Corporation Techniques for secure network communication
WO2009151877A2 (en) 2008-05-16 2009-12-17 Terahop Networks, Inc. Systems and apparatus for securing a container
US8375453B2 (en) * 2008-05-21 2013-02-12 At&T Intellectual Property I, Lp Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network
JP2010057123A (ja) * 2008-08-29 2010-03-11 Panasonic Corp 暗号処理装置、暗号処理方法及びプログラム
US20110145572A1 (en) * 2009-12-15 2011-06-16 Christensen Kenneth J Apparatus and method for protecting packet-switched networks from unauthorized traffic
US8424106B2 (en) 2010-05-13 2013-04-16 International Business Machines Corporation Securing a communication protocol against attacks
CN102065096B (zh) * 2010-12-31 2014-11-05 惠州Tcl移动通信有限公司 播放器、移动通讯设备、鉴权服务器、鉴权系统及方法
US8719926B2 (en) * 2011-02-11 2014-05-06 Verizon Patent And Licensing Inc. Denial of service detection and prevention using dialog level filtering
US8843737B2 (en) * 2011-07-24 2014-09-23 Telefonaktiebolaget L M Ericsson (Publ) Enhanced approach for transmission control protocol authentication option (TCP-AO) with key management protocols (KMPS)
US8832830B2 (en) * 2011-11-28 2014-09-09 International Business Machines Corporation Securing network communications from blind attacks with checksum comparisons
US9176838B2 (en) * 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US9154468B2 (en) * 2013-01-09 2015-10-06 Netronome Systems, Inc. Efficient forwarding of encrypted TCP retransmissions
US9525671B1 (en) * 2013-01-17 2016-12-20 Amazon Technologies, Inc. Secure address resolution protocol
US9338172B2 (en) * 2013-03-13 2016-05-10 Futurewei Technologies, Inc. Enhanced IPsec anti-replay/anti-DDOS performance
US10270719B2 (en) * 2013-09-10 2019-04-23 Illinois Tool Works Inc. Methods for handling data packets in a digital network of a welding system
WO2015118553A1 (en) 2014-02-06 2015-08-13 Council Of Scientific & Industrial Research Method and device for detecting a malicious sctp receiver terminal
US9509665B2 (en) * 2014-08-11 2016-11-29 Alcatel Lucent Protecting against malicious modification in cryptographic operations
US10230531B2 (en) 2014-10-23 2019-03-12 Hewlett Packard Enterprise Development Lp Admissions control of a device
WO2016068941A1 (en) * 2014-10-30 2016-05-06 Hewlett Packard Enterprise Development Lp Secure transactions in a memory fabric
US10715332B2 (en) * 2014-10-30 2020-07-14 Hewlett Packard Enterprise Development Lp Encryption for transactions in a memory fabric
JP6507863B2 (ja) * 2015-06-03 2019-05-08 富士ゼロックス株式会社 情報処理装置及びプログラム
CN107431691A (zh) * 2015-08-25 2017-12-01 华为技术有限公司 一种数据包传输方法、装置、节点设备以及系统
US10819418B2 (en) 2016-04-29 2020-10-27 Honeywell International Inc. Systems and methods for secure communications over broadband datalinks
US10554632B2 (en) * 2017-05-15 2020-02-04 Medtronic, Inc. Multimodal cryptographic data communications in a remote patient monitoring environment
US10423358B1 (en) * 2017-05-31 2019-09-24 FMAD Engineering GK High-speed data packet capture and storage with playback capabilities
US10990326B2 (en) 2017-05-31 2021-04-27 Fmad Engineering Kabushiki Gaisha High-speed replay of captured data packets
US11392317B2 (en) 2017-05-31 2022-07-19 Fmad Engineering Kabushiki Gaisha High speed data packet flow processing
US11036438B2 (en) 2017-05-31 2021-06-15 Fmad Engineering Kabushiki Gaisha Efficient storage architecture for high speed packet capture
JP6903529B2 (ja) * 2017-09-11 2021-07-14 株式会社東芝 情報処理装置、情報処理方法およびプログラム
KR102366525B1 (ko) * 2017-09-29 2022-02-23 한화테크윈 주식회사 외부장치 인증 방법 및 장치
US10819689B2 (en) 2018-05-03 2020-10-27 Honeywell International Inc. Systems and methods for encrypted vehicle data service exchanges
US10715511B2 (en) 2018-05-03 2020-07-14 Honeywell International Inc. Systems and methods for a secure subscription based vehicle data service
CN109587163B (zh) * 2018-12-27 2022-08-16 网宿科技股份有限公司 一种dr模式下的防护方法和装置
US11444955B2 (en) * 2020-06-30 2022-09-13 Cisco Technology, Inc. Verification of in-situ network telemetry data in a packet-switched network
KR102477886B1 (ko) * 2020-10-28 2022-12-15 주식회사 유앤아이씨 보안 코드 테이블과 인증 식별 코드를 이용한 재전송 방지 시스템
US11861046B2 (en) * 2021-04-29 2024-01-02 Infineon Technologies Ag System for an improved safety and security check

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002501332A (ja) * 1997-12-31 2002-01-15 アスアスホー コミュニケーションズ セキュリティ オサケユイチア ネットワーク・アドレス変換とプロトコル変換が存在する場合のパケット認証の方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5870474A (en) * 1995-12-04 1999-02-09 Scientific-Atlanta, Inc. Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
FI105739B (fi) * 1998-06-10 2000-09-29 Ssh Comm Security Oy Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten
US6519636B2 (en) 1998-10-28 2003-02-11 International Business Machines Corporation Efficient classification, manipulation, and control of network transmissions by associating network flows with rule based functions
US6279140B1 (en) * 1999-01-07 2001-08-21 International Business Machines Corporation Method and apparatus for checksum verification with receive packet processing
US6957346B1 (en) 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
WO2001033771A1 (fr) * 1999-11-01 2001-05-10 Sony Corporation Systeme et procede de transmission d'information, emetteur et recepteur, dispositif et procede de traitement de donnees ainsi que support enregistre
GB2357226B (en) * 1999-12-08 2003-07-16 Hewlett Packard Co Security protocol
US20020035681A1 (en) * 2000-07-31 2002-03-21 Guillermo Maturana Strategy for handling long SSL messages
JP2002175010A (ja) * 2000-09-29 2002-06-21 Shinu Ko ホームページ改竄防止システム
US20030021417A1 (en) * 2000-10-20 2003-01-30 Ognjen Vasic Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
WO2002101516A2 (en) * 2001-06-13 2002-12-19 Intruvert Networks, Inc. Method and apparatus for distributed network security
US6920556B2 (en) * 2001-07-20 2005-07-19 International Business Machines Corporation Methods, systems and computer program products for multi-packet message authentication for secured SSL-based communication sessions

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002501332A (ja) * 1997-12-31 2002-01-15 アスアスホー コミュニケーションズ セキュリティ オサケユイチア ネットワーク・アドレス変換とプロトコル変換が存在する場合のパケット認証の方法

Also Published As

Publication number Publication date
CA2454990A1 (en) 2004-09-27
CN1536847B (zh) 2010-06-23
MXPA04000800A (es) 2005-05-03
US8245032B2 (en) 2012-08-14
US20040193876A1 (en) 2004-09-30
EP1463265A3 (en) 2004-10-20
CA2454990C (en) 2009-12-22
EP1463265A2 (en) 2004-09-29
JP2004295891A (ja) 2004-10-21
CN1536847A (zh) 2004-10-13
KR20040084996A (ko) 2004-10-07
EP1463265B1 (en) 2013-01-16

Similar Documents

Publication Publication Date Title
JP4504713B2 (ja) パケットペイロードを認証する方法
Aboba et al. RADIUS (remote authentication dial in user service) support for extensible authentication protocol (EAP)
US7386889B2 (en) System and method for intrusion prevention in a communications network
KR101055861B1 (ko) 통신 시스템, 통신 장치, 통신 방법 및 그것을 실현하기위한 통신 프로그램
US9438592B1 (en) System and method for providing unified transport and security protocols
US7500102B2 (en) Method and apparatus for fragmenting and reassembling internet key exchange data packets
CN113904809B (zh) 一种通信方法、装置、电子设备及存储介质
US8683572B1 (en) Method and apparatus for providing continuous user verification in a packet-based network
Kaufman et al. Rfc 7296: Internet key exchange protocol version 2 (ikev2)
AU2003294304B2 (en) Systems and apparatuses using identification data in network communication
WO2023036348A1 (zh) 一种加密通信方法、装置、设备及介质
Eronen et al. Internet key exchange protocol version 2 (IKEv2)
Thalhammer Security inVoIP-Telephony Systems
Aboba et al. RFC3579: RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)
CN116389169B (zh) 一种避免国密IPSecVPN网关数据包乱序、分片的方法
Arora et al. Comparison of VPN protocols–IPSec, PPTP, and L2TP
Cullen et al. Port Control Protocol (PCP) Authentication Mechanism
JP2007329750A (ja) 暗号化通信システム
Siddiqui et al. Transport Mappings for Real-time Application Quality-of-Service Monitoring (RAQMON) Protocol Data Unit (PDU)
Cullen et al. RFC 7652: Port Control Protocol (PCP) Authentication Mechanism
Tse Survey of Internet security protocols
Point et al. Internet Key Exchange Protocol Version 2 (IKEv2)
JP2007329751A (ja) 暗号化通信システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050621

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070223

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080312

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080319

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080619

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080624

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080919

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090507

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090904

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20091022

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100331

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100423

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130430

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130430

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140430

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees