JP5181134B2 - パケット通信装置、パケット通信方法及びパケット通信プログラム - Google Patents
パケット通信装置、パケット通信方法及びパケット通信プログラム Download PDFInfo
- Publication number
- JP5181134B2 JP5181134B2 JP2009031621A JP2009031621A JP5181134B2 JP 5181134 B2 JP5181134 B2 JP 5181134B2 JP 2009031621 A JP2009031621 A JP 2009031621A JP 2009031621 A JP2009031621 A JP 2009031621A JP 5181134 B2 JP5181134 B2 JP 5181134B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- sequence number
- priority
- check value
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、IPsecプロトコル及びQoS制御を用いたパケット通信装置、パケット通信方法及びパケット通信プログラムに関する。
従来から、インターネットや企業内ネットワークの情報通信において、セキュリティを確保した通信を行う代表的な技術としてIPsec(Security Architecture for Internet Protocol;RFC2401〜2412、RFC4301〜4306にて規定されている)がある。IPsecでは、第3者から、通信内容を盗聴されない様に情報の暗号化を行い、改竄を防止するためにパケット全体の鍵付ハッシュ計算値を付与し、また、IPsec通信に先立って、相手の認証を行い送信元の確認を行う。さらに、IPsecには、リプレイ攻撃に対する防御機能としてシーケンス番号が付与されている。リプレイ攻撃とは、なりすましや改竄を防止した仕組みがあっても、正当な相手からのパケットをコピーし、これを送信することで、あたかも正当な相手からの送信データに見せかけ受信させる攻撃方法である。IPsecでのリプレイ攻撃防止方法は、送信側でパケットに付与したシーケンス番号を、受信側で検査し、重複、過去の古い番号だった場合、パケットを破棄するというものである。
一方、インターネットや企業内ネットワークの通信おいては、通信量が増え、滞留によるパケットの遅延や廃棄が発生することがある。この環境では、音声通信のように遅延に弱いパケットや、死活監視の様に廃棄されては困るパケットなどが遅延したり廃棄されたりしてしまう可能性を有している。これを防ぐ技術として、QoS(Quality of Service)制御がある。QoS制御は、パケットの内容により優先度を割り当て、優先度の高いパケットを先に通したり(優先制御)、送信量を制御し(帯域制御)パケットの内容による廃棄やキューイングを行うものである。QoS制御には、IPパケットのヘッダにある、TOSフィールドを使用したものや、VLANタグ(IEEE 802.1Q)のUser Priorityビットを使用したもの、OSI第3層以上の情報を元に優先度付けを行うものなどがある。
なお、先行技術として、IPsecパケットのリプレイ防止処理において、当該パケットに設定された優先度によって受信順序が入れ替わった場合でも、パケット廃棄を防ぐリプレイ防止処理を提供するために、受信パケットのうちでIPsecに保護された情報から当該パケットの優先度を求め、当該パケットの優先度に対応したリプレイ防止ウィンドウを用いて当該パケットのリプレイ防止処理を行うことにより、優先度による受信順序が入れ替わった場合でも、パケット廃棄を防ぐリプレイ防止処理を行うことができる受信処理装置が知られている(例えば、特許文献1参照)。
ところで、IPsec処理を行った後にQoS処理を行うと、QoS処理の優先制御によって、IPsecのパケットの順序が入れ替わり、リプレイ攻撃防止用のシーケンス番号が狂ったり、QoSの帯域制御によって、パケットの廃棄が起き、シーケンス番号の欠落が起きてしまう。シーケンス番号に狂いが生じると、IPsecパケットの受信側では、シーケンス番号の異常を検出し、リプレイ攻撃ではないにも関わらず、リプレイ攻撃と誤って判断し、正常なパケットを廃棄するという事態が起きる。このような問題を回避するには、受信側でリプレイ攻撃防止機能を停止させることで対処するのが一般的である。
しかしながら、リプレイ攻撃防止機能を停止させることは、リプレイ攻撃に対し脆弱になってしまうという問題があるため、実施すべきではない。
本発明は、このような事情に鑑みてなされたもので、送信側でIPsec処理されたパケットがQoS制御された場合に、受信側でリプレイ攻撃防止機能を停止せずとも、受信側でリプレイ攻撃防止機能による誤ったパケット廃棄をしない様に、送信側でIPsecのシーケンス番号を修正することができるパケット通信装置、パケット通信方法及びパケット通信プログラムを提供することを目的とする。
本発明は、送信側の端末から送信されたパケットに対してIPsec処理によってシーケンス番号を付与し、該シーケンス番号が付与されたパケットに対してQoS処理を行うことにより優先度が高い順に送信されたパケットを受信する受信手段と、前記受信手段によって受信したパケットに付与されている前記シーケンス番号を、前記受信手段が受信した順にシーケンス番号を付与し直すシーケンス番号付与手段と、前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新手段と、前記完全性チェック値が更新されたパケットを、受信側の端末に対して送信する送信手段とを備えたことを特徴とする。
本発明は、IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信装置であって、前記送信側の端末から送信するべきパケットを受信して、該受信したパケットに対して、パケットの暗号化、シーケンス番号の付与及び完全性チェック値の付与を行うことによりIPsec処理を実施したパケットを出力するIPsec処理手段と、前記IPsec処理を実施したパケットを入力して、該パケット内に定義されている優先度の情報を抽出し、該優先度の高い順にパケットを出力するQoS処理手段と、前記QoS処理手段から出力されるパケットを入力し、該パケットに付与されている前記シーケンス番号を、パケットを入力した順にシーケンス番号を付与し直すシーケンス番号付与手段と、前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新手段と、前記完全性チェック値が更新されたパケットを、前記受信側の端末に対して送信する送信手段とを備えたことを特徴とする。
本発明は、IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信装置であって、前記送信側の端末から送信するべきパケットを受信して、該パケット内に定義されている優先度の情報を抽出する優先度抽出手段と、前記受信したパケットに対して、パケットの暗号化処理を行う暗号化手段と、前記優先度抽出手段によって抽出した優先度の情報に基づいて優先度の高い順に前記暗号化されたパケットを出力する優先出力手段と、前記優先出力手段から出力されるパケットに対して、シーケンス番号の付与及び完全性チェック値の付与を行うシーケンス番号付与手段と、前記シーケンス番号が付与されたパケットを、前記受信側の端末に対して送信する送信手段とを備えたことを特徴とする。
本発明は、送信側の端末から送信されたパケットに対してIPsec処理によってシーケンス番号を付与し、該シーケンス番号が付与されたパケットに対してQoS処理を行うことにより優先度が高い順に送信されたパケットを受信する受信ステップと、前記受信ステップによって受信したパケットに付与されている前記シーケンス番号を、前記受信ステップにより受信した順にシーケンス番号を付与し直すシーケンス番号付与ステップと、前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新ステップと、前記完全性チェック値が更新されたパケットを、受信側の端末に対して送信する送信ステップとを有することを特徴とする。
本発明は、IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信方法であって、前記送信側の端末から送信するべきパケットを受信して、該受信したパケットに対して、パケットの暗号化、シーケンス番号の付与及び完全性チェック値の付与を行うことによりIPsec処理を実施したパケットを出力するIPsec処理ステップと、前記IPsec処理を実施したパケットを入力して、該パケット内に定義されている優先度の情報を抽出し、該優先度の高い順にパケットを出力するQoS処理ステップと、前記QoS処理ステップにより出力されるパケットを入力し、該パケットに付与されている前記シーケンス番号を、パケットを入力した順にシーケンス番号を付与し直すシーケンス番号付与ステップと、前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新ステップと、前記完全性チェック値が更新されたパケットを、前記受信側の端末に対して送信する送信ステップとを有することを特徴とする。
本発明は、IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信方法であって、前記送信側の端末から送信するべきパケットを受信して、該パケット内に定義されている優先度の情報を抽出する優先度抽出ステップと、前記受信したパケットに対して、パケットの暗号化処理を行う暗号化ステップと、前記優先度抽出ステップによって抽出した優先度の情報に基づいて優先度の高い順に前記暗号化されたパケットを出力する優先出力ステップと、前記優先出力ステップにより出力されるパケットに対して、シーケンス番号の付与及び完全性チェック値の付与を行うシーケンス番号付与ステップと、前記シーケンス番号が付与されたパケットを、前記受信側の端末に対して送信する送信ステップとを有することを特徴とする。
本発明は、送信側の端末から送信されたパケットに対してIPsec処理によってシーケンス番号を付与し、該シーケンス番号が付与されたパケットに対してQoS処理を行うことにより優先度が高い順に送信されたパケットを受信する受信ステップと、前記受信ステップによって受信したパケットに付与されている前記シーケンス番号を、前記受信ステップにより受信した順にシーケンス番号を付与し直すシーケンス番号付与ステップと、前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新ステップと、前記完全性チェック値が更新されたパケットを、受信側の端末に対して送信する送信ステップとをコンピュータに行わせることを特徴とする。
本発明は、IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信プログラムであって、前記送信側の端末から送信するべきパケットを受信して、該受信したパケットに対して、パケットの暗号化、シーケンス番号の付与及び完全性チェック値の付与を行うことによりIPsec処理を実施したパケットを出力するIPsec処理ステップと、前記IPsec処理を実施したパケットを入力して、該パケット内に定義されている優先度の情報を抽出し、該優先度の高い順にパケットを出力するQoS処理ステップと、前記QoS処理ステップにより出力されるパケットを入力し、該パケットに付与されている前記シーケンス番号を、パケットを入力した順にシーケンス番号を付与し直すシーケンス番号付与ステップと、前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新ステップと、前記完全性チェック値が更新されたパケットを、前記受信側の端末に対して送信する送信ステップとをコンピュータに行わせることを特徴とする。
本発明は、IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信プログラムであって、前記送信側の端末から送信するべきパケットを受信して、該パケット内に定義されている優先度の情報を抽出する優先度抽出ステップと、前記受信したパケットに対して、パケットの暗号化処理を行う暗号化ステップと、前記優先度抽出ステップによって抽出した優先度の情報に基づいて優先度の高い順に前記暗号化されたパケットを出力する優先出力ステップと、前記優先出力ステップにより出力されるパケットに対して、シーケンス番号の付与及び完全性チェック値の付与を行うシーケンス番号付与ステップと、前記シーケンス番号が付与されたパケットを、前記受信側の端末に対して送信する送信ステップとをコンピュータに行わせることを特徴とする。
本発明によれば、送信側において送信するべきパケットのシーケンス番号を付与し直すようにしたため、IPsec処理とQoS処理とを実施しても受信側でリプレイ攻撃防止機能によってパケットが廃棄されてしまう事態を防止することができるという効果が得られる。
以下、本発明の一実施形態によるパケット通信装置を図面を参照して説明する。パケット通信装置の構成を説明する前に、IPsecとQoSの機能について、簡単に説明する。初めに、IPsecについて説明する。IPsecには、送信パケットの機密性を確保する、送信パケットの完全性を確保する、送信パケットの送信元を認証し送信元を確認する、という3つの特徴を有している。機密性は、送信パケットを暗号化することで、パケット内の情報を第3者から盗聴されることを防ぐものである。完全性は、送信パケット全体のハッシュ値を計算し、第3者が改竄した場合に計算値が合わなくなることで、改竄を防ぐものである。送信元の確認は、IPsecの通信を行うにあたり、通信相手を認証することで、相手を確認する。この時、機密性を確保する暗号化鍵や、ハッシュ計算用の鍵を送受するので、これにより、通信を行うお互いのみが知り得る情報を持ち、この情報に基づいて通信することで、認証済みの相手と通信していることを確保するものである。
また、IPsecプロトコルには、トンネルモードとトランスポートモードの2種類がある。トランスポートモードは、IPsec機器間のみでIPsec通信を行うモードである。トンネルモードは、送信パケットをIPsec処理する際に、元の送信パケットを全て暗号化するもので、使用されるIPヘッダは、IPsec機器と通信するためだけのIPヘッダが付加される。さらに、IPsecプロトコル特有情報を持ったESPヘッダが付加される。図5に示すIPsec処理後のパケットフレームが、相手のIPsec機器へ送付される。
また、IPsecでは、暗号化やハッシュ値計算のために必要な、鍵情報、使用するアルゴリズムを、通信に先立って、図6に示すように、IPsecを用いて通信を行う相互で取り決めを行う。図6に示す処理動作によって取り決めたアルゴリズム・鍵情報がセキュリティアソシエーション(以下、SAという)である。SAは、IPsec機器同士でも異なるSAを複数作ることができる。また、異なるIPsec機器と接続する場合は、異なったSAを作成する。これをIPsec機器内でデータベースとして持ち、このデータベースをSADB(セキュリティアソシエーションデータベース)という。SAを識別するためには、ESPヘッダに含まれるSPI(セキュリティポリシーインデックス)値が使われる。IPsec通信は、このSA上で行われ、暗号鍵・暗号アルゴリズム・ハッシュ鍵・ハッシュアルゴリズムはSPI値で検索されるSADBの中に記載されている。
次に、Replay攻撃対策用シーケンス番号について説明する。IPsec通信は、機密性・完全性・相手認証の機能により保護されているが、攻撃者が通信中のデータをコピーし、これを同一の相手に送信すると、受信側は、正当な相手からのデータであると誤認識し、受信処理をして、通常通り端末へ送信してしまう。このような攻撃をReplay攻撃という。IPsec通信では、このReplay攻撃を防御するため、ESPヘッダの中に、送信毎に1加算されるシーケンス番号が入っている。このシーケンス番号を受信側でチェックすることで、Replay攻撃による、重複したパケットの受信や、過去に受信済みのパケットの受信をチェックし、検出した時はそのパケットを破棄することにより攻撃を防御することができる。Replay攻撃防御の方法は、全てのパケットのシーケンス番号を記憶しておけば問題ないが、全ての番号を記憶するとなると、データ量が大きくなった場合、メモリが多く消費され、さらにチェックに時間がかかるなど問題がある。
このような問題を避けるため、Replay Windowという、一定の範囲をチェックする機構が設けられている。Replay Windowの仕組みは、受信したIPsecパケットのシーケンス番号で、数値の最も大きいものを最大値として、そこから、一定量の範囲内で、シーケンス番号の重複をチェックする。範囲より少ない数値で受信したものは、過去のデータでReplay攻撃によるものと判断し廃棄する。最大値が更新される毎にWindowを最大値へずらし、範囲の移動を行う。図8、図9を参照して、Window動作の詳細を説明する。ここでは、パケットが図8に示すシーケンス番号の順番(シーケンス番号2、1、3、4、8、6、7、5の順)で受信されるものとし、Windowサイズを2とする。
まず、シーケンス番号2のパケットは、Window内で未受信のため、受信処理を行う(図8(1))。なお、パケットに付けた斜線は、受信済みであることを示している。続いて、シーケンス番号1のパケットはWindow内で未受信のため、受信処理を行う(図8(2))。次に、シーケンス番号3のパケットは最大値なので、Windowを移動し、シーケンス番号3のパケットは、Window内で未受信のため、受信処理を行う(図8(3))。
次に、シーケンス番号4のパケットは最大値なので、Windowを移動し、シーケンス番号4のパケットは、Window内で未受信のため、受信処理を行う(図8(4))。続いて、シーケンス番号8のパケットは最大値なので、Windowを移動し、シーケンス番号8のパケットは、Window内で未受信のため、受信処理を行う(図9(5))。
次に、シーケンス番号6のパケットは、現在のWindow外で、さらに過去のパケットであるので破棄する処理を行う(図9(6))。続いて、シーケンス番号7のパケットは現在のWindow内であり、未受信のため受信処理を行う(図9(7))。シーケンス番号5のパケットは、現在のWindow外で、さらに過去のパケットであるので破棄する処理を行う(図9(9))。
このように、Windowを移動しながらの制御では、順番の狂いが大きい場合、未受信であるにもかかわらず、シーケンス番号5、6のパケットのように受信できない事態が発生する。
次に、QoS処理について簡単に説明する。QoSとは、通信ネットワーク上で通信の品質を確保するための技術である。通信量が多くなり、送信しきれないデータに遅延や廃棄が発生する場合や、ネットワークの帯域(一定時間の送信量)が決められているが、通信量が帯域を越えてしまっている場合には、QoS技術を使って、通信データを制御し、遅延や廃棄することにより問題が発生するパケットを優先的に流したり、帯域が決められている場合、帯域以上に送信しない様制御する必要がある。QoSは、主に優先制御(ネットワーク上を流れるデータに優先度を付け、優先度の高いものから次の機器へ送信する等の制御)と帯域制御(ネットワーク上を流れるデータ量を調整し、一定以上のデータ量が流れない様にキューイングや廃棄等の制御)を行うものである。
優先制御は、図10に示すように、送信するパケットを調べて、優先度を決定するものである。優先度毎にキューを持ち、送信タイミングで優先度の高いものと低いものにキューがあれば、優先度の高いものから送信する。また、帯域制御は、送信する帯域を、決められた量以上に送信しないように制御するものである。帯域を越えるデータは、キューイングもしくは廃棄される。
次に、IPsec処理とQoS制御のかかわりについて説明する。IPsec処理で使用するシーケンス番号は、Replay攻撃に対する防御のためにあるが、QoS制御により順序が入れ替わった場合には、Replay攻撃と誤認識することがある。Replay攻撃防止チェックのWindowサイズは、ネットワーク上での多少の順序の入れ替わりを考慮して、一定の幅(例えば、32個のパケット分)を持っている。しかし、Windowサイズを大きく上回る順序の狂いが生じた場合には、問題があるため、一般のIPsec機器には、Replay防止機能を停止することにより、廃棄を防ぐ設定を行うことができるようになっている。当然、Replay防止機能を停止すれば、Replay攻撃に対して防御できなくなるという問題がある。
例えば、図11に示す例では、優先度の高いパケットが、低いものを50パケットものパケットが追い抜いたため、低い優先度のシーケンス番号2、3のパケットは、相手に届いてもReplay攻撃と誤認識され、廃棄されてしまうことになる。
QoS制御には、帯域制御があり、これは、送信するデータ量を制御するものである。IPsec処理では、端末から送信されたパケットに、IPsec独自のパケットが付加されるため、データ量が増えてしまう。もし、QoS制御による順序の狂いを発生させないように、QoS制御をIPsec処理の前に行うと、QoS制御がデータ量を一定以上にならないように制御しても、IPsec処理でデータ量が増えてしまい、制御したはずの帯域をオーバーしてしまうことになる。したがって、QoS制御での帯域制御処理は、IPsec処理の後に行うのが望ましい。
ただし、QoS制御の優先度付けを行う場合は、IPsec処理を行う前が望ましい。端末が送信したデータの中のOSI第3層以上を使用したい場合、IPsec処理を行ってしまうと、ほぼ全部のパケットが暗号化されてしまい、優先度をつけるのに必要な情報が失われてしまうからである。IPsec処理後に使用できるものは、IPヘッダのTOSフィールドに存在する優先度データ程度であるが、IPsec機器が、元のIPヘッダにあるTOSフィールドを、IPsecで付加したIPヘッダのTOSフィールドに、同一値を書き込むことが前提となる。機器によっては、IPヘッダのTOSフィールドをコピーしない可能性がある。また、優先度を付けるための情報として、OSI第2層のVLANタグ(IEEE 802.1Q)のUser Priority情報を使用することができる。ただし、これもIPsec機器がQoS制御装置へVLANタグを渡す必要がある。
次に、図1を参照して、パケット通信装置の構成を説明する。図1は、本発明の一実施形態によるパケット通信装置の構成を示すブロック図である。この図において、符号1は、情報を送信する端末である。符号2は、端末1が送信するべき情報のパケットに対してIPsec処理を施すIPsec処理装置である。符号3は、IPsec処理装置2が出力するパケットに対してQoS処理を施すQoS処理装置である。符号4は、QoS処理装置3が出力するパケットに対してシーケンス番号を割り当てるシーケンス番号割り当て装置である。符号5は、WAN(Wide Area Network;広域通信網)である。符号6は、端末1側からWAN5を介して送信されたパケットに対してIPsec処理を施すIPsec処理装置である。符号7は、端末1が送信した情報のパケットを受信する端末であり、IPsec処理装置6が出力するパケットを受信するべきパケットとして受信する。
符号41は、QoS処理装置3が送信するパケットを受信するパケット受信部である。符号42は、パケット受信部41が受信したパケットの構成を解析するIPsec解析部である。符号43は、IPsec解析部42が行った解析の結果の情報を参照して、IPsecのシーケンス番号割り当て処理と、ハッシュの再計算処理を行うIPsec処理部である。符号44は、IPsec処理部43が出力するパケットを送信するパケット送信部である。符号45は、SADB(セキュリティアソシエーションデータベース)である。シーケンス番号割り当て装置4は、パケット受信部41、IPsec解析部42、IPsec処理部43、パケット送信部44及びSADB45から構成する。
次に、図1に示す各装置の処理動作を説明する。まず、IPsec処理装置2とIPsec処理装置6との間で、IPsec通信を行うための、セキュリティアソシエーションを構築する。そして、IPsec処理装置2は、構築したセキュリティアソシエーションで改竄防止完全性チェック値計算に使用する鍵付ハッシュの、鍵情報とハッシュ演算アルゴリズム種別と、そのセキュリティアソシエーションを識別するためのSPI値(Security Policy Index値)を、シーケンス番号割り当て装置4へ通知する。この通知方法は、特に問わないが、セキュリティ上、暗号化して通知することが望ましいため、例えば、IPsec通信をIPsec処理装置2とシーケンス番号割り当て装置4間で構成し、IPsecを使用してセキュアに通知する方法を用いる。IPsecでは、相手を特定する認証機能を持っているため、誤った相手に情報を渡してしまうことを回避することができる。
次に、端末1から送信するべき情報のパケットを送信する。この送信されたパケットは、IPsec処理装置2においてIPsec処理され、パケットの暗号化、シーケンス番号割り当て、改竄防止完全性チェック値(ICV:Integrity Check Value)の付与が行われる。このとき、シーケンス番号は、暗号化の対象ではなく、このハッシュによる保護のみが対象である。ここで生成されるESPパケットのフレーム構成を図3に示す。
次に、QoS処理装置3は、IPsec処理装置2からIPsec処理されたパケットを受け取ると、VLANタグのUser Priority bitもしくは、IPヘッダ内のTOSフィールドから優先度を抽出し、送信量を制御し、優先順位に応じてパケットの送信を行う。
次に、パケット受信部41は、QoS処理装置3からパケットを受信し、IPsec解析部42へ受け渡す。IPsec解析部42は、SADB45を参照して、IPsec処理済みパケットのSPI値からセキュリティアソシエーション(SA)を特定し、このSAと、パケットをIPsec処理部43へ出力する。IPsec処理部43は、IPsec解析部42が解析したSAに関連付けられたシーケンス番号から番号を取り出し、そのパケットのシーケンス番号を上書きする。そして、IPsec処理部43は、シーケンス番号の上書き後に、完全性チェック値(ICV)を再計算し、ICVを上書きして、パケット送信部44へパケットを受け渡す。パケット送信部44は、このパケットを送信する。
パケット送信部44から送信されたパケットは、WAN5を介して、IPsec処理装置6が受信し、受信したパケットに対して、IPsec処理を施して、端末7へ受け渡す。これにより、端末1から送信されたパケットが、端末7において受信されることになる。
次に、図2を参照して、シーケンス番号割り当て装置4の詳細な処理動作を説明する。まず、パケット受信部41がパケットを受信すると(ステップS1)、IPsec解析部42は、受信したパケットがIPsecパケットであるか否かを判定する(ステップS2)。この判定の結果、IPsecパケットでなければ以降の処理を行わない。一方、IPsecパケットであれば、IPsec解析部42は、ESPヘッダからSPI値を抽出する(ステップS3)。そして、IPsec解析部42は、SADB45からSPI値で検索し、ハッシュアルゴリズムとハッシュ鍵を取り出す(ステップS4)。
そして、SADBがあるか否かを判定し(ステップS5)、SADBがなければ以降の処理を行わない。一方、SADBがあれば、IPsec処理部43は、SADBテーブルのカウンタの値を取り出し、ESPヘッダのシーケンス番号へ書き込みを行い、カウンタの値を「1」増加させる(ステップS6)。続いて、IPsec処理部43は、SADBテーブルのハッシュアルゴリズムとハッシュ鍵を使用して、IPsecパケットのハッシュ演算を行い、ICVに書き込む(ステップS7)。次に、パケット送信部は、IPsec処理において処理されたパケットを送信する(ステップS8)。
次に、図4を参照して、図1に装置構成の変形例を説明する。図4に示す装置構成が、図1に示す装置構成と異なる点は、IPsec処理装置、QoS処理装置、シーケンス番号割り当て装置を同一の装置IPsec・QoS処理装置8内に収めた点である。図4を参照して、図4に示す装置の処理動作を説明する。
まず、IPsec・QoS処理装置8とIPsec処理装置6の間で、IPsec通信を行うための、セキュリティアソシエーションを構築する。そして、IPsec・QoS処理装置8内では、構築したセキュリティアソシエーションで改竄防止完全性チェック値計算に使用する鍵付ハッシュの、鍵情報とハッシュ演算アルゴリズム種別と、そのセキュリティアソシエーションを識別するためのSPI値(Security Policy Index値)を、IPsecシーケンス番号割り当て処理で参照できる。
QoS前処理部81は、IPsec処理を行う前に処理することで、暗号化される前のIPパケットの上位層(3層以上)も参照して優先度付けを行う。前処理で付与した優先度は、QoS後処理部83まで引き継ぎ、前処理で付与した優先度で後処理にてQoS処理する。QoS前処理終了後は、IPsec処理に移る。IPsec処理部82は、暗号化のみを行い、シーケンス番号の付与は、シーケンス番号割り当て処理部84で行う。このとき、2重にシーケンス番号付与を行わないようにする。IPsec処理後は、QoS後処理に移る。
QoS後処理部83は、QoS前処理にて付与された優先度で、送信量を制御し、パケットを優先順位に応じてシーケンス番号割り当て処理部84へ受け渡す。シーケンス番号割り当て処理部84は、IPsecのSPI値からセキュリティアソシエーション(SA)を特定し、そのSAに関連付けられたシーケンス番号を割り当て、完全性チェック値(ICV)を計算し、ICVに書き込み送信する。
なお、IPsec・QoS処理装置8で行うQoS処理は、IPsec処理前にQoSを判断し、その情報を、IPsec処理を行っても保持する機能を持っており、さらにIPsec処理後に、その情報を使用したQoS処理が行えるため、IPsecで付加されたデータによるパケットデータ長の増加を考慮に入れたQoS処理を行うことができる。
特許文献1の技術では、受信処理側で、優先度情報毎にリプレイ攻撃防止チェックを行うことで、発生する問題を回避しようとしている。これは、IPsec処理されたパケットが、ネットワーク上を通過する際にQoS制御されシーケンス番号が狂った場合には有効であるが、IPsec処理前のパケット情報でQoSの前処理を行って、IPsec処理後にQoS制御を行うような、IPsec処理とQoS制御を一体に行う装置には対応できない。また、特許文献1の方法では、受信側で判断可能な優先度情報を使用しているため、送信側が優先度付けを行った後に、優先度情報を失うような場合、受信側では優先度の判別ができなくなり、リプレイ攻撃の誤検出が発生する。例えばVLAN上のUser Priorityを優先度に使用した場合は、インターネットへ送信する際に、VLANタグ自体を失ってしまうため、受信側では優先度の判断ができない。また、送信側のQoS処理で使用した優先度情報を、受信側が完璧に理解できない場合、リプレイ攻撃防止機能によるパケットの誤廃棄が発生してしまう。
これに対して、本発明では、送信側でQoSを処理した後に、IPsecのシーケンス番号を再度割り当てる、もしくは、QoS処理後にIPsecのシーケンス番号を割り当てることによって、受信側では、何も処理せずともリプレイ攻撃防止機能によるパケットの誤廃棄を無くすことができる。IPsecのシーケンス番号は、IPsecのパケットに含まれるESPヘッダ内に格納されており、暗号化の対象ではないため、復号化してシーケンス番号を割り当てなおす必要がない。ただし、完全性チェックの対象になっているので、鍵付ハッシュ計算を再度行う必要がある。完全性チェックで使用するハッシュ計算には、暗号化と同様、SA(セキュリティアソシエーション)毎に鍵が必要となるため、シーケンス番号の修正後、この鍵を使用したハッシュの再計算を行うため、予め、IPsec処理装置より、SA情報と共に完全性チェック用鍵を入手する。
このように、パケットのシーケンス番号を付与し直すようにしたため、受信側でリプレイ攻撃防止機能によってパケットが廃棄されてしまう問題を防止することができる。また、1つの装置内で、IPsec処理とQoS制御を行えると、IPsec処理する前のデータをQoSの条件に使用でき、さらに、IPsec処理した後に、その条件を使用したQoS制御が行えるので、IPsec処理によるデータ量の増加を考慮したQoSの帯域制御で正確に行うことができる。
なお、図1、図4における各処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりシーケンス番号割り当て処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
1・・・端末、2・・・IPsec処理装置、3・・・QoS処理装置、4・・・シーケンス番号割り当て装置、41・・・パケット受信部、42・・・IPsec解析部、43・・・IPsec処理部、44・・・パケット送信部、45・・・SADB、5・・・WAN、6・・・IPsec処理装置、7・・・端末、8・・・IPsec・QoS処理装置、81・・・QoS前処理部、82・・・IPsec処理部、83・・・QoS後処理部、84・・・シーケンス番号割り当て処理部
Claims (9)
- 送信側の端末から送信されたパケットに対してIPsec処理によってシーケンス番号を付与し、該シーケンス番号が付与されたパケットに対してQoS処理を行うことにより優先度が高い順に送信されたパケットを受信する受信手段と、
前記受信手段によって受信したパケットに付与されている前記シーケンス番号を、前記受信手段が受信した順にシーケンス番号を付与し直すシーケンス番号付与手段と、
前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新手段と、
前記完全性チェック値が更新されたパケットを、受信側の端末に対して送信する送信手段と
を備えたことを特徴とするパケット通信装置。 - IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信装置であって、
前記送信側の端末から送信するべきパケットを受信して、該受信したパケットに対して、パケットの暗号化、シーケンス番号の付与及び完全性チェック値の付与を行うことによりIPsec処理を実施したパケットを出力するIPsec処理手段と、
前記IPsec処理を実施したパケットを入力して、該パケット内に定義されている優先度の情報を抽出し、該優先度の高い順にパケットを出力するQoS処理手段と、
前記QoS処理手段から出力されるパケットを入力し、該パケットに付与されている前記シーケンス番号を、パケットを入力した順にシーケンス番号を付与し直すシーケンス番号付与手段と、
前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新手段と、
前記完全性チェック値が更新されたパケットを、前記受信側の端末に対して送信する送信手段と
を備えたことを特徴とするパケット通信装置。 - IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信装置であって、
前記送信側の端末から送信するべきパケットを受信して、該パケット内に定義されている優先度の情報を抽出する優先度抽出手段と、
前記受信したパケットに対して、パケットの暗号化処理を行う暗号化手段と、
前記優先度抽出手段によって抽出した優先度の情報に基づいて優先度の高い順に前記暗号化されたパケットを出力する優先出力手段と、
前記優先出力手段から出力されるパケットに対して、シーケンス番号の付与及び完全性チェック値の付与を行うシーケンス番号付与手段と、
前記シーケンス番号が付与されたパケットを、前記受信側の端末に対して送信する送信手段と
を備えたことを特徴とするパケット通信装置。 - 送信側の端末から送信されたパケットに対してIPsec処理によってシーケンス番号を付与し、該シーケンス番号が付与されたパケットに対してQoS処理を行うことにより優先度が高い順に送信されたパケットを受信する受信ステップと、
前記受信ステップによって受信したパケットに付与されている前記シーケンス番号を、前記受信ステップにより受信した順にシーケンス番号を付与し直すシーケンス番号付与ステップと、
前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新ステップと、
前記完全性チェック値が更新されたパケットを、受信側の端末に対して送信する送信ステップと
を有することを特徴とするパケット通信方法。 - IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信方法であって、
前記送信側の端末から送信するべきパケットを受信して、該受信したパケットに対して、パケットの暗号化、シーケンス番号の付与及び完全性チェック値の付与を行うことによりIPsec処理を実施したパケットを出力するIPsec処理ステップと、
前記IPsec処理を実施したパケットを入力して、該パケット内に定義されている優先度の情報を抽出し、該優先度の高い順にパケットを出力するQoS処理ステップと、
前記QoS処理ステップにより出力されるパケットを入力し、該パケットに付与されている前記シーケンス番号を、パケットを入力した順にシーケンス番号を付与し直すシーケンス番号付与ステップと、
前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新ステップと、
前記完全性チェック値が更新されたパケットを、前記受信側の端末に対して送信する送信ステップと
を有することを特徴とするパケット通信方法。 - IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信方法であって、
前記送信側の端末から送信するべきパケットを受信して、該パケット内に定義されている優先度の情報を抽出する優先度抽出ステップと、
前記受信したパケットに対して、パケットの暗号化処理を行う暗号化ステップと、
前記優先度抽出ステップによって抽出した優先度の情報に基づいて優先度の高い順に前記暗号化されたパケットを出力する優先出力ステップと、
前記優先出力ステップにより出力されるパケットに対して、シーケンス番号の付与及び完全性チェック値の付与を行うシーケンス番号付与ステップと、
前記シーケンス番号が付与されたパケットを、前記受信側の端末に対して送信する送信ステップと
を有することを特徴とするパケット通信方法。 - 送信側の端末から送信されたパケットに対してIPsec処理によってシーケンス番号を付与し、該シーケンス番号が付与されたパケットに対してQoS処理を行うことにより優先度が高い順に送信されたパケットを受信する受信ステップと、
前記受信ステップによって受信したパケットに付与されている前記シーケンス番号を、前記受信ステップにより受信した順にシーケンス番号を付与し直すシーケンス番号付与ステップと、
前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新ステップと、
前記完全性チェック値が更新されたパケットを、受信側の端末に対して送信する送信ステップと
をコンピュータに行わせることを特徴とするパケット通信プログラム。 - IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信プログラムであって、
前記送信側の端末から送信するべきパケットを受信して、該受信したパケットに対して、パケットの暗号化、シーケンス番号の付与及び完全性チェック値の付与を行うことによりIPsec処理を実施したパケットを出力するIPsec処理ステップと、
前記IPsec処理を実施したパケットを入力して、該パケット内に定義されている優先度の情報を抽出し、該優先度の高い順にパケットを出力するQoS処理ステップと、
前記QoS処理ステップにより出力されるパケットを入力し、該パケットに付与されている前記シーケンス番号を、パケットを入力した順にシーケンス番号を付与し直すシーケンス番号付与ステップと、
前記シーケンス番号を付与し直したパケットの完全性チェック値を再計算して、該パケットに付与されている完全性チェック値を更新するチェック値更新ステップと、
前記完全性チェック値が更新されたパケットを、前記受信側の端末に対して送信する送信ステップと
をコンピュータに行わせることを特徴とするパケット通信プログラム。 - IPsec処理とQoS処理とを実施して、送信側の端末から受信側の端末へパケットを送信するパケット通信プログラムであって、
前記送信側の端末から送信するべきパケットを受信して、該パケット内に定義されている優先度の情報を抽出する優先度抽出ステップと、
前記受信したパケットに対して、パケットの暗号化処理を行う暗号化ステップと、
前記優先度抽出ステップによって抽出した優先度の情報に基づいて優先度の高い順に前記暗号化されたパケットを出力する優先出力ステップと、
前記優先出力ステップにより出力されるパケットに対して、シーケンス番号の付与及び完全性チェック値の付与を行うシーケンス番号付与ステップと、
前記シーケンス番号が付与されたパケットを、前記受信側の端末に対して送信する送信ステップと
をコンピュータに行わせることを特徴とするパケット通信プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009031621A JP5181134B2 (ja) | 2009-02-13 | 2009-02-13 | パケット通信装置、パケット通信方法及びパケット通信プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009031621A JP5181134B2 (ja) | 2009-02-13 | 2009-02-13 | パケット通信装置、パケット通信方法及びパケット通信プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010187327A JP2010187327A (ja) | 2010-08-26 |
| JP5181134B2 true JP5181134B2 (ja) | 2013-04-10 |
Family
ID=42767683
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009031621A Expired - Fee Related JP5181134B2 (ja) | 2009-02-13 | 2009-02-13 | パケット通信装置、パケット通信方法及びパケット通信プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5181134B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5246034B2 (ja) * | 2009-05-22 | 2013-07-24 | 富士通株式会社 | パケット送受信システム、パケット送受信装置、および、パケット送受信方法 |
| US8462641B2 (en) * | 2011-03-23 | 2013-06-11 | General Electric Company | Power loss packet priority |
| CN102752189B (zh) * | 2011-04-22 | 2015-08-19 | 北京华为数字技术有限公司 | 一种处理报文的方法及设备 |
| US9338172B2 (en) * | 2013-03-13 | 2016-05-10 | Futurewei Technologies, Inc. | Enhanced IPsec anti-replay/anti-DDOS performance |
| CN113542520A (zh) * | 2021-07-19 | 2021-10-22 | 珠海艾派克微电子有限公司 | 数据传输方法、读写设备和耗材芯片 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4306498B2 (ja) * | 2004-03-11 | 2009-08-05 | 日本電気株式会社 | リプライ・アタックエラー検出方法および装置 |
| JP2006005425A (ja) * | 2004-06-15 | 2006-01-05 | Matsushita Electric Ind Co Ltd | 暗号化パケットの受信方法ならびに受信処理装置 |
-
2009
- 2009-02-13 JP JP2009031621A patent/JP5181134B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010187327A (ja) | 2010-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10341326B2 (en) | Network security for encrypted channel based on reputation | |
| US9456002B2 (en) | Selective modification of encrypted application layer data in a transparent security gateway | |
| US8590035B2 (en) | Network firewall host application identification and authentication | |
| EP2850770B1 (en) | Transport layer security traffic control using service name identification | |
| US8713666B2 (en) | Methods and devices for enforcing network access control utilizing secure packet tagging | |
| US20170223054A1 (en) | Methods and Apparatus for Verifying Transport Layer Security Server by Proxy | |
| US9491144B2 (en) | Methods and apparatus for denial of service resistant policing of packets | |
| CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| US8631244B1 (en) | System and method for preventing computer malware from exfiltrating data from a user computer in a network via the internet | |
| US7139679B1 (en) | Method and apparatus for cryptographic protection from denial of service attacks | |
| US8671451B1 (en) | Method and apparatus for preventing misuse of a group key in a wireless network | |
| JP5181134B2 (ja) | パケット通信装置、パケット通信方法及びパケット通信プログラム | |
| CA2506418C (en) | Systems and apparatuses using identification data in network communication | |
| WO2017185978A1 (zh) | 一种报文解析方法及设备 | |
| KR20130035600A (ko) | 정보 유출 차단 장치 및 방법 | |
| JP4647481B2 (ja) | 暗号化通信装置 | |
| JP2004312416A (ja) | アクセス制御方法、中継装置及びサーバ | |
| JP6766017B2 (ja) | 制御装置、通信システム、制御方法及びコンピュータプログラム | |
| CN111163103B (zh) | 由计算设备执行的风险控制方法、装置、计算设备、介质 | |
| JP4306498B2 (ja) | リプライ・アタックエラー検出方法および装置 | |
| KR102421722B1 (ko) | 네트워크 정보 보호 방법 및 장치 | |
| KR101628094B1 (ko) | 보안 장비 및 그것의 접근 허용 방법 | |
| Silveira et al. | Security analysis of the message queuing telemetry transport protocol | |
| KR101039975B1 (ko) | 교차도메인 상에서의 정보전송 추적 방법 및 이를 위한 통신 시스템 | |
| Mostafa et al. | Specification, implementation and performance evaluation of the QoS‐friendly encapsulating security payload (Q‐ESP) protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111208 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121108 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121120 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20121207 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121207 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5181134 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160125 Year of fee payment: 3 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |