JP6239320B2 - Network system, branch router, and control method thereof - Google Patents
Network system, branch router, and control method thereof Download PDFInfo
- Publication number
- JP6239320B2 JP6239320B2 JP2013182354A JP2013182354A JP6239320B2 JP 6239320 B2 JP6239320 B2 JP 6239320B2 JP 2013182354 A JP2013182354 A JP 2013182354A JP 2013182354 A JP2013182354 A JP 2013182354A JP 6239320 B2 JP6239320 B2 JP 6239320B2
- Authority
- JP
- Japan
- Prior art keywords
- branch
- packet
- sequence number
- mpsa
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 59
- 230000005540 biological transmission Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 7
- 238000007689 inspection Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、ネットワークシステム、ブランチルータ、および、これらの制御方法に関するものである。 The present invention relates to a network system, a branch router, and control methods thereof.
VPN(Virtual Private Network)通信においては、ネットワークのハブ(Hub)となるゲートウェイと、このゲートウェイに接続されたスポーク(Spoke)となる複数のブランチルータによって構成されるHub−and−Spoke型VPNネットワークシステムが存在する。 In VPN (Virtual Private Network) communication, a hub-and-spoke VPN network system including a gateway serving as a network hub and a plurality of branch routers serving as spokes connected to the gateway. Exists.
ところで、このようなHub−and−Spoke型VPNネットワークシステムでは、拠点間通信が必ずゲートウェイを通過することから、例えば、ブランチルータ同士が隣接地にあってもゲートウェイが遠隔地にある場合には伝送遅延が大きくなる。また、全ての通信がゲートウェイを通過することから通信量が大きくなり、ゲートウェイの設備負荷が大きくなるという問題点がある。 By the way, in such a hub-and-spoke VPN network system, communication between bases always passes through a gateway. For example, even when branch routers are adjacent to each other, transmission is performed when the gateway is remote. Delay increases. Further, since all communications pass through the gateway, there is a problem that the communication amount increases and the equipment load of the gateway increases.
そこで、非特許文献1に記載されているように、複数のブランチルータによってグループを構成し、各グループ内における拠点間通信は共通のグループ鍵によってブランチルータ間で直接通信を行い、グループ鍵は、ゲートウェイから各ブランチルータに配布する技術が存在する。
Therefore, as described in Non-Patent
ところで、非特許文献1に開示された技術では、グループを構成する複数のブランチルータはグループ鍵を共用する同じMPSA(Multi-point Security Association)を使用して通信を行うことから、シーケンス番号を個別に管理することが困難なため、リプレイ攻撃に対する防御を行うことが困難であるという問題点がある。
By the way, in the technique disclosed in Non-Patent
本発明は、以上の点に鑑みてなされたものであり、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能なネットワークシステム、ブランチルータ、および、これらの制御方法を提供することを目的としている。 The present invention has been made in view of the above points, and in a network system sharing a single group key within a group, a network system capable of preventing a replay attack, a branch router, and these It aims to provide a control method.
上記課題を解決するために、本発明は、複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するゲートウェイとを有するネットワークシステムにおいて、前記ゲートウェイは、各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布手段を有し、前記複数のブランチルータは、前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信手段と、他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶する記憶手段と、他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定手段と、前記判定手段によってシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄手段と、を有し、複数の他のブランチルータに対してパケットを送信する場合、送信側は共通のシーケンス番号を使用してパケットを送信し、受信側はブランチルータ毎に前記記憶手段に記憶した前記シーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する、ことを特徴とする。
このような構成によれば、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能となる。
In order to solve the above-described problems, the present invention provides a network system including one or more groups having a plurality of branch routers and a gateway that controls the one or more groups. Distribution means for distributing MPSA (Multi-point Security Association) information to the branch routers of the plurality of branch routers, and the plurality of branch routers mutually encrypt communication based on the MPSA information distributed by the distribution means. A communication means for performing the processing, a storage means for storing for each branch router a sequence number window that is information for determining the presence or absence of duplication of sequence numbers given to packets transmitted from other branch routers, When a packet is received from a branch router, it is stored in the storage means With reference to sequence number window, possess a judging means for judging whether the duplicate sequence numbers, and a discarding unit discards the packet when it is determined that the sequence number is duplicated by said determining means, a plurality When transmitting a packet to another branch router, the transmitting side transmits the packet using a common sequence number, and the receiving side refers to the sequence number window stored in the storage means for each branch router. Thus, it is characterized in that the presence or absence of duplication of sequence numbers is determined .
According to such a configuration, it is possible to prevent a replay attack in a network system that shares a single group key within a group.
また、本発明の一側面は、前記記憶手段は、通信が発生した場合に、そのブランチルータの前記シーケンス番号ウィンドウを記憶する、ことを特徴とする。
このような構成によれば、通信が発生した場合に初めて情報を記憶するので、必要な記憶領域を少なくすることができる。
Also, one aspect of the present invention is characterized in that the storage means stores the sequence number window of the branch router when communication occurs.
According to such a configuration, information is stored for the first time when communication occurs, so that a necessary storage area can be reduced.
また、本発明の一側面は、いずれかの前記ブランチルータが再起動された場合、前記ゲートウェイは全ての前記ブランチルータに対して前記MPSAの再登録を要求する、ことを特徴とする。
In another aspect of the present invention, when any of the branch routers is restarted, the gateway requests all of the branch routers to re-register the MPSA .
本発明は、複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するゲートウェイとを有するネットワークシステムの制御方法において、前記ゲートウェイは、各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布ステップを有し、前記複数のブランチルータは、前記配布ステップにおいて配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信ステップと、他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶装置に記憶させる記憶ステップと、他のブランチルータからパケットを受信した場合、前記記憶装置に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定ステップと、前記判定ステップにおいてシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄ステップと、を有し、複数の他のブランチルータに対してパケットを送信する場合、送信側は共通のシーケンス番号を使用してパケットを送信し、受信側はブランチルータ毎に前記記憶装置に記憶させた前記シーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する、ことを特徴とする。
このような方法によれば、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能となる。
The present invention provides a method for controlling a network system having one or more groups having a plurality of branch routers and a gateway for controlling the one or more groups, wherein the gateway is connected to the plurality of branch routers constituting each group. A distribution step of distributing MPSA (Multi-point Security Association) information to the plurality of branch routers, wherein the plurality of branch routers perform encrypted communication with each other based on the MPSA information distributed in the distribution step; A storage step of storing a sequence number window, which is information for determining whether or not a sequence number assigned to a packet transmitted from another branch router is duplicated, in a storage device for each branch router; and another branch router When a packet is received from the With reference to the sequence number window that is, Yes and determination step of determining whether the duplication of the sequence number, and a discarding step discards the packet if the sequence number is determined to overlap in said determining step When transmitting a packet to a plurality of other branch routers, the transmitting side transmits the packet using a common sequence number, and the receiving side stores the sequence number stored in the storage device for each branch router. With reference to the window, it is determined whether or not the sequence number is duplicated .
According to such a method, it becomes possible to prevent a replay attack in a network system that shares a single group key within a group.
また、本発明は、複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するとともに、各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布手段を備えるゲートウェイとを有するネットワークシステムを構成する前記ブランチルータにおいて、前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信手段と、他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶する記憶手段と、他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定手段と、前記判定手段によってシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄手段と、を有し、複数の他のブランチルータに対してパケットを送信する場合、送信側は共通のシーケンス番号を使用してパケットを送信し、受信側はブランチルータ毎に前記記憶手段に記憶した前記シーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する、ことを特徴とする。
このような構成によれば、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能となる。
In addition, the present invention controls one or more groups having a plurality of branch routers, and controls one or more groups, and MPSA (Multi-point Security Association) information for the plurality of branch routers constituting each group. In the branch router constituting a network system having a gateway having a distribution means for distributing the communication means, a communication means for performing encrypted communication with each other based on the MPSA information distributed by the distribution means, and another branch router Storage means for storing, for each branch router, a sequence number window, which is information for determining whether or not the sequence number assigned to the transmitted packet is duplicated, and when storing a packet from another branch router, the storage Refer to the sequence number window stored in the means Te, determination means for determining whether the duplicate sequence numbers, wherein when it is determined that the sequence number is duplicated by the determination means is closed and discarding means discard the packet, and a plurality of other branch router When transmitting a packet, the transmitting side transmits a packet using a common sequence number, and the receiving side refers to the sequence number window stored in the storage means for each branch router, and the sequence number is duplicated. It is characterized by determining the presence or absence of .
According to such a configuration, it is possible to prevent a replay attack in a network system that shares a single group key within a group.
また、本発明は、複数のブランチルータを有する1以上のグループと、これら1以上のグループを制御するとともに、各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布手段を備えるゲートウェイとを有するネットワークシステムを構成する前記ブランチルータの制御方法において、前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信ステップと、他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶装置に記憶させる記憶ステップと、他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定ステップと、前記判定ステップにおいてシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄ステップと、を有し、複数の他のブランチルータに対してパケットを送信する場合、送信側は共通のシーケンス番号を使用してパケットを送信し、受信側はブランチルータ毎に前記記憶装置に記憶させた前記シーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する、ことを特徴とする。
このような構成によれば、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能となる。
In addition, the present invention controls one or more groups having a plurality of branch routers, and controls one or more groups, and MPSA (Multi-point Security Association) information for the plurality of branch routers constituting each group. In the control method of the branch router constituting the network system having a gateway having a distribution means for distributing the communication, a communication step for performing encrypted communication with each other based on the MPSA information distributed by the distribution means; A storage step for storing a sequence number window, which is information for determining whether or not a sequence number assigned to a packet transmitted from a branch router is duplicated, in a storage device for each branch router, and a packet from another branch router If received, stored in the storage means With reference to sequence number window, it possesses a determining step of determining whether the duplication of the sequence number, and a discarding step discards the packet if the sequence number is determined to overlap in said determining step, a plurality When transmitting a packet to another branch router, the transmitting side transmits the packet using a common sequence number, and the receiving side refers to the sequence number window stored in the storage device for each branch router. Then, it is characterized by determining the presence or absence of duplication of sequence numbers .
According to such a configuration, it is possible to prevent a replay attack in a network system that shares a single group key within a group.
本発明によれば、グループ内で単一のグループ鍵を共用するネットワークシステムにおいて、リプレイ攻撃を防止することが可能なネットワークシステム、ブランチルータ、および、これらの制御方法を提供することが可能となる。 According to the present invention, it is possible to provide a network system, a branch router, and a control method thereof that can prevent a replay attack in a network system that shares a single group key within a group. .
次に、本発明の実施形態について説明する。 Next, an embodiment of the present invention will be described.
(A)実施形態の構成の説明
図1は、本発明の実施形態に係るネットワークシステムの構成例を示す図である。この図に示すように、本発明の実施形態に係るネットワークシステムは、ゲートウェイ10、トランジットネットワーク20、I−IP(Internal-Internet Protocol)ネットワーク30、ブランチルータ50,60、E−IP(External-Internet Protocol)クライアントネットワーク70,80が存在する。なお、ブランチルータ50,60はMPSA(Multi-point Security Association)に基づいて暗号化通信を行う。
(A) Description of Configuration of Embodiment FIG. 1 is a diagram illustrating a configuration example of a network system according to an embodiment of the present invention. As shown in this figure, a network system according to an embodiment of the present invention includes a
ここで、ゲートウェイ10は、ブランチルータ50,60との間でIKEv2(Internet Key Exchange Protocol Version 2)により確立される鍵交換用の暗号化通信路であるIKE_SA(Security Association)を介してグループ鍵を配布するとともに、IKEv2により確立されるデータ通信用の暗号化通信路であるCHILD_SAを介して経路情報をBGP(Border Gateway Protocol)によって交換する。この経路情報には、あるブランチルータからMPSAを介して他のブランチルータの配下に存在するE−IPクライアントネットワークに到達するために、どのブランチルータを介するべきかを示す情報が含まれており、詳細についてはRFC5512およびRFC5566で開示されている。
Here, the
トランジットネットワーク20は、I−IPネットワーク30およびMPSA40のトラフィックを中継するネットワークである。
The
I−IPネットワーク30は、トランジットネットワーク20の上でCHILD_SAにより設けられた仮想的なネットワークである。E−IPクライアントネットワーク70,80はクライアントの各拠点に設けられた外部のネットワークである。
The I-
図2は、図1に示すゲートウェイ10およびブランチルータ50,60の構成例を示す図である。図2に示すように、ゲートウェイ10は、パケット送受信部11、SA(Security Association)処理部12、IKE(Internet Key Exchange)処理部13、経路プロトコル処理部14、MPSA送信部15、MPSA管理部16、および、パケット送受信部17を有している。
FIG. 2 is a diagram showing a configuration example of the
ここで、パケット送受信部11は、ブランチルータ50,60との間でパケットの送受信を行う。SA処理部12は、ブランチルータ50,60との間でIPsecによる暗号化通信を行う際に、IKE処理部13から通知された認証アルゴリズムや暗号化アルゴリズムに基づくIKE_SAもしくはCHILD_SAによるSA(Security Association)処理を実行する。この結果、ゲートウェイ10は、ブランチルータ50,60との間で暗号化通信によってグループ鍵を配布することができる。
Here, the packet transmission / reception unit 11 transmits and receives packets to and from the
IKE処理部13は、IPsecにより暗号化通信を行う前に、IPsecに必要な暗号化アルゴリズムの決定と暗号鍵の共有を行う処理を実行する。経路プロトコル処理部14は、経路情報テーブルをブランチルータ50,60と交換するための処理を実行する。
The IKE processing unit 13 executes processing for determining an encryption algorithm necessary for IPsec and sharing an encryption key before performing encrypted communication by IPsec. The route
MPSA送信部15は、ブランチルータ50,60に対してグループ鍵を送信する処理を実行する。MPSA管理部16は、ブランチルータ50,60に送信するグループ鍵を管理する処理部である。パケット送受信部17は、ブランチルータ50,60以外のネットワーク機器と接続され、パケットの送受信を行う。
The MPSA transmission unit 15 executes processing for transmitting a group key to the
また、ブランチルータ50は、パケット送受信部51、SA処理部52、IKE処理部53、経路プロトコル処理部54、MPSA受信部55、MPSA処理部56、および、パケット送受信部57を有している。
The
ここで、パケット送受信部51は、ゲートウェイ10およびブランチルータ60との間でパケットの送受信を行う。SA処理部52は、ゲートウェイ10との間でIPsecによる暗号化通信を行う際に、IKE処理部53から通知された認証アルゴリズムや暗号化アルゴリズムに基づくIKE_SAもしくはCHILD_SAによるSA処理を実行する。SA処理の結果、ブランチルータ50は、ゲートウェイ10との間で暗号化通信によってグループ鍵を受け取ることができる。
Here, the packet transmission / reception unit 51 transmits and receives packets between the
IKE処理部53は、暗号化通信を行う前に、暗号化通信を行うSA処理部52で必要な暗号化アルゴリズムの決定と暗号鍵の共有を行うための処理を実行する。経路プロトコル処理部54は、経路情報テーブルをゲートウェイ10と交換するための処理を実行する。
The
MPSA受信部55は、ゲートウェイ10から配布されたグループ鍵を受信する処理を実行する。MPSA処理部56は、グループ鍵に基づくSA処理を実行する。MPSA処理部56が扱うパケットはSA処理部52が扱うCHILD_SAと同じESP(Encapsulated Security Payload)を用いることが可能で、ESPのヘッダ部に格納されるSPI(Security Parameter Index)によって何れのSAに属するパケットであるかを識別する。パケット送受信部57は、E−IPクライアントネットワーク70との間でパケットの送受信を行う。
The
ブランチルータ60は、ブランチルータ50と同様の構成とされているので、詳細な説明は省略する。なお、図3では図面を簡略化するためにブランチルータ60とゲートウェイ10との接続は省略しているが、ブランチルータ60はブランチルータ50と同様にゲートウェイ10に接続されている。
Since the
図3は、図2に示すMPSA処理部56の詳細な構成を示す図である。なお、MPSA処理部66も同様の構成とされているので、その説明は省略する。
FIG. 3 is a diagram showing a detailed configuration of the
図3に示すように、MPSA処理部56は、MPSA検索部561、MPSAテーブル562、送信元アドレス検査部563、ESP復号部564、および、MPSA管理部565を有している。
As illustrated in FIG. 3, the
ここで、MPSA検索部561は、ブランチルータ60との間で通信を行う際に、グループ鍵等に関する合意であるMPSAをMPSAテーブル562から検索し、該当するMPSAを取得するとともに、後述するシーケンス番号ウィンドウに基づいてシーケンス番号が重複するパケットを破棄する。MPSAテーブル562は、前述したMPSAおよびシーケンス番号ウィンドウ等の情報を格納するテーブルである。
Here, when communicating with the
送信元アドレス検査部563は、パケットに付与されたIPアドレスの送信元アドレスに基づいて経路情報テーブル59を参照し、パケットの送信元が正当か否かを判定する。 The transmission source address inspection unit 563 refers to the route information table 59 based on the transmission source address of the IP address given to the packet, and determines whether or not the transmission source of the packet is valid.
ESP復号部564は、MPSAテーブル562を参照して、暗号化されているパケットを復号処理する。 The ESP decryption unit 564 refers to the MPSA table 562 and decrypts the encrypted packet.
MPSA登録部565は、他のブランチルータと通信を行う際に、MPSAテーブル562にMPSAおよびシーケンス番号ウィンドウ等の情報を登録・更新する。 The MPSA registration unit 565 registers and updates information such as the MPSA and the sequence number window in the MPSA table 562 when communicating with other branch routers.
経路情報テーブル59は、経路プロトコル処理部54が取得した経路情報を格納し、この経路情報に基づいて、ルーティング処理が実行される。 The route information table 59 stores the route information acquired by the route protocol processing unit 54, and the routing processing is executed based on this route information.
(B)実施形態の動作の説明
つぎに、本発明の実施形態の動作について説明する。以下では、まず、本実施形態の概略の動作について説明した後に、詳細な動作について説明する。
(B) Description of Operation of Embodiment Next, the operation of the embodiment of the present invention will be described. In the following, first, the general operation of this embodiment will be described, and then the detailed operation will be described.
図4は、図1に示すブランチルータ50がn台の他のブランチルータ60−1〜60−nと通信する場合のMPSA、シーケンス番号、および、シーケンス番号ウィンドウの関係を示す図である。図4(A)はブランチルータ50がパケットを送信する場合を示し、図4(B)はブランチルータ50がパケットを受信する場合を示している。
FIG. 4 is a diagram showing the relationship among MPSA, sequence number, and sequence number window when the
図4(A)に示すように、ブランチルータ50がパケットを送信する場合には、MPSA0に基づいて他のブランチルータ60−1〜60−nとの間でMPSAが設定される。また、ブランチルータ50はパケットを送信する毎に、シーケンス番号をカウントアップし、カウントアップされたシーケンス番号を各パケットに付与して送信する。ブランチルータ60−1〜60−nは、図4(B)に基づいて後述するように、シーケンス番号ウィンドウを通信相手毎に独立して有しており、このシーケンス番号ウィンドウに基づいて受信したパケットの正当性を判断する。
As shown in FIG. 4A, when the
図4(B)に示すように、ブランチルータ50がパケットを受信する場合には、MPSA0に基づいて他のブランチルータ60−1〜60−nとの間でMPSAが設定される。また、ブランチルータ50は、通信相手となるブランチルータ60−1〜60−n毎にシーケンス番号ウィンドウを有しており、シーケンス番号ウィンドウを参照して、同じシーケンス番号が付与されたパケットを重複して受信した場合にはそのパケットは不正なパケットであるとして破棄する。
As shown in FIG. 4B, when the
図5はMPSAテーブル562に格納されている情報の一例を示す図である。図5(A)はブランチルータ50がパケットを送信する場合に参照する情報であり、図5(B)はブランチルータ50がパケットを受信する場合に参照する情報である。図5(A)に示すように、ブランチルータ50がパケットを送信する場合は、対地(ブランチルータ60−1〜60−n)によらず、同じMPSA0を用いるとともに、同じシーケンス番号を用いる。このため、例えば、ブランチルータ60−1にパケットを1つ送信し、続いて、ブランチルータ60−nにパケットを1つ送信する場合、ブランチルータ60−1にはシーケンス番号が、例えば、“1”のパケットが送信され、ブランチルータ60−nにはシーケンス番号が1カウントアップされた“2”のパケットが送信される。なお、シーケンス番号は、例えば、ESPパケットの場合、32bitのビット長を有するデータであり、送信開始時には0とされ、パケットを送信する毎にカウントアップされ、最大値までカウントされた場合には、設定されたポリシーに基づいてMPSAを破棄するか0に戻って同じ動作を繰り返す。なお、図5(A)に示すような対地を特定しないMPSAを、以下、必要に応じて「対地非特定MPSA」と呼ぶ。
FIG. 5 is a diagram illustrating an example of information stored in the MPSA table 562. FIG. 5A is information referred to when the
図5(B)に示すように、ブランチルータ50がパケットを受信する場合、同じMPSA0を用いるが、シーケンス番号ウィンドウについては対地毎に、すなわち、ブランチルータ60−1〜60−n毎にシーケンス番号ウィンドウを設けて個別に管理する。なお、図5(B)に示すような対地を特定したMPSAを、以下、必要に応じて「対地特定MPSA」と呼ぶ。なお、実際の処理では、最初に「対地非特定MPSA」が設定され、その対地から正当なパケットを受信した場合に、「対地特定MPSA」に設定される。この処理の詳細については、図9を参照して後述する。
As shown in FIG. 5B, when the
図6はシーケンス番号ウィンドウの動作を説明するための図である。図6では、16bit分(16パケット分)の情報だけが例として示されている。もちろん、本発明が16bitに限定されるものではなく、リプレイ防御ウィンドウを広げることで無限のbit長に対応する。図6(A)に示すように、初期状態(パケットが届く前の状態)では、シーケンス番号ウィンドウの全てのビットは“0”に設定される。なお、図中の破線の矩形は、リプレイ防御ウィンドウを示し、シーケンス番号ウィンドウではこの範囲の情報のみを管理しており、この範囲内の0のbitもしくはこの範囲より右側に該当するシーケンス番号を持ったパケットのみが受信の対象となり、それ以外のシーケンス番号を持ったパケットは受信しても破棄される。リプレイ防御ウィンドウは、初期状態では、シーケンス番号0に該当するbitを左端とする位置に設定される。
FIG. 6 is a diagram for explaining the operation of the sequence number window. In FIG. 6, only 16 bits (16 packets) of information is shown as an example. Of course, the present invention is not limited to 16 bits, and an infinite bit length is supported by expanding the replay protection window. As shown in FIG. 6A, in the initial state (the state before the packet arrives), all the bits in the sequence number window are set to “0”. The broken-line rectangle in the figure indicates the replay protection window, and the sequence number window manages only information in this range, and has 0 bits in this range or a corresponding sequence number on the right side of this range. Only received packets are subject to reception, and packets with other sequence numbers are discarded even if received. In the initial state, the replay protection window is set at a position where the bit corresponding to the
このような状態において、特定の対地からシーケンス番号が“1”のパケットが届いたとすると、図6(B)に示すように、シーケンス番号ウィンドウのLSB(Least Significant Bit)が“1”に設定される。つぎに、特定の対地からシーケンス番号が“2”のパケットが届いたとすると、図6(C)に示すように、シーケンス番号ウィンドウのLSBから2番目のビットが“1”に設定される。つぎに、シーケンス番号が“3”のパケットが届かずに(例えば、他のブランチルータに送信され)、シーケンス番号が“4”のパケットが届いた場合、図6(D)に示すように、シーケンス番号ウィンドウのLSBから3番目のビットが“0”のままで、シーケンス番号ウィンドウのLSBから4番目のビットが“1”に設定される。このような状態において、図6(E)に示すように、シーケンス番号が“4”の不正なパケットが届いた場合には、シーケンス番号ウィンドウのLSBから4番目のビットは既に“1”に設定されているので、このパケットは不正であるとして破棄される。つぎに、シーケンス番号が“9”のパケットが届いた場合、図6(F)に示すように、リプレイ防御ウィンドウが1bit分だけMSB(Most Significant Bit)側に移動されるとともに、シーケンス番号ウィンドウのLSBから9番目のビットが“1”に設定される。なお、リプレイ防御ウィンドウが移動すると、LSBは範囲から外れるので、例え、シーケンス番号が“1”のパケットがまだ届いていない状態であったとしても、リプレイ防御ウィンドウが移動した後に、シーケンス番号が“1”のパケットが届いたとしても破棄される。なお、更に詳細には、パケット受信時にシーケンス番号ウィンドウにより重複チェックを実施し、重複していないパケットの復号化処理まで成功した場合に該当bitを“1”に設定するとともに必要に応じてリプレイ防御ウィンドウの移動を実施する。 In such a state, if a packet with a sequence number “1” arrives from a specific ground, the LSB (Least Significant Bit) of the sequence number window is set to “1” as shown in FIG. The Next, if a packet having a sequence number “2” arrives from a specific ground, the second bit from the LSB of the sequence number window is set to “1” as shown in FIG. 6C. Next, when the packet with the sequence number “4” arrives without receiving the packet with the sequence number “3” (for example, transmitted to another branch router), as shown in FIG. The third bit from the LSB of the sequence number window remains “0”, and the fourth bit from the LSB of the sequence number window is set to “1”. In this state, as shown in FIG. 6E, when an illegal packet with a sequence number “4” arrives, the fourth bit from the LSB of the sequence number window is already set to “1”. The packet is discarded as invalid. Next, when the packet with the sequence number “9” arrives, the replay protection window is moved to the MSB (Most Significant Bit) side by 1 bit as shown in FIG. The ninth bit from the LSB is set to “1”. Note that when the replay protection window moves, the LSB goes out of range. For example, even if the packet with the sequence number “1” has not yet arrived, the sequence number “ Even if a 1 ″ packet arrives, it is discarded. In more detail, when a packet is received, a duplication check is performed using a sequence number window, and when the decoding process of a non-duplicate packet is successful, the corresponding bit is set to “1” and replay protection is performed as necessary. Perform window movement.
つぎに、より具体的な動作について説明する。まず、ゲートウェイ10とブランチルータ50のIKE処理部13,53の間では、IKE_INIT交換によりIKE_SAで使用する暗号化アルゴリズム(暗号方式や認証方式)が決定され、鍵交換により暗号鍵が共有される。更にIKE_SAを通じ、IPsecでのCHILD_SAを通じた通信で使用される暗号化アルゴリズムが決定され、暗号鍵が共有される。この結果、図1に示すように、ゲートウェイ10とブランチルータ50の間に暗号化トンネルとして、IKEメッセージの交換で使用されるIKE_SAとIPsecでの保護対象となるパケットを送受信するCHILD_SAが形成される。MPSA送信部15は、MPSA管理部16からグループ鍵を受け取り、この暗号化トンネルを介してグループ鍵をブランチルータ50に送信する。ブランチルータ50のMPSA受信部55は、ゲートウェイ10から暗号化アルゴリズムやグループ鍵を受信し、MPSA処理部56に供給する。
Next, a more specific operation will be described. First, between the
同様の処理は、ゲートウェイ10とブランチルータ60の間でも実行され、ブランチルータ60のMPSA受信部65は、ブランチルータ50が受信したものと同じグループ鍵をゲートウェイ10から受信し、MPSA処理部66に供給する。この結果、ブランチルータ50とブランチルータ60が同じグループ鍵を保持することになる。
A similar process is executed between the
ブランチルータ50とブランチルータ60は、このようにして取得したグループ鍵を用いることで、IPsecでの通信で使用される認証方式や暗号化のパラメータをブランチルータ間で個別に交換することなく、図1に示すように、ブランチルータ50とブランチルータ60の間に暗号化トンネルとなるMPSAが形成され、このMPSAを介して暗号化通信を行うことが可能となる。なお、図4に示すように、ブランチルータ60がn台存在する場合には、前述の場合と同様の処理がゲートウェイ10とブランチルータ60−1〜60−nのそれぞれとの間において実行され、ブランチルータ60−1〜60−nの間で個別にパラメータの受け渡しを行うことなく、これら全てのブランチルータにまたがるMPSAが形成される。
The
このような状態において、例えば、図4に示すブランチルータ50とブランチルータ60−1の間で通信を行う場合を例に挙げて以下に説明する。ブランチルータ50とブランチルータ60−1の間で通信を行う場合には、まず、ゲートウェイ10とこれらのブランチルータとの間でIKE_SAおよびCHILD_SAが形成され、更にゲートウェイ10から各ブランチルータにMPSAで使用する暗号化アルゴリズムやグループ鍵が通知されてMPSAが形成される。この結果、例えばブランチルータ50においては、ブランチルータ50からブランチルータ60−1の送信方向には図4(A)に示す対地非特定のMPSA0が使用され、ブランチルータ60−1からブランチルータ50の受信方向には図4(B)に示す対地特定のMPSA0が使用される。また、ブランチルータ50のMPSAテーブル562には、図5(A)に示す情報(対地非特定MPSA)が、シーケンス番号が初期値“0”の状態で格納されるとともに、図5(B)の1行目に示す対地が60−1に関する情報(対地特定MPSA)が、シーケンス番号ウィンドウが初期値“00000000”の状態で格納され、リプレイ防御ウィンドウ(図示していない)はMSBの位置に設定される。なお、図5(A),(B)では全ての対地に関する情報が格納されているが、実際には通信が開始される際に、初めて情報が生成されて格納されるので、必要な記憶領域の量を減らすことができる。より具体的には、受信したESPパケットの送信元に該当する対地特定MPSAが生成されていなかった場合、シーケンス番号ウィンドウが初期値の状態の仮の対地特定MPSAを生成して受信処理を実施し、ESPパケットの復号化処理が成功して初めて正式な対地特定MPSAとして保持することができる。一方、受信したESPパケットの送信元に該当する対地特定MPSAが生成されていなかった場合であって、復号化処理に失敗したときには不正なパケットとして廃棄するとともに、生成した仮の対地特定MPSAも消去する。
In such a state, for example, a case where communication is performed between the
図4(A)に示すように、ブランチルータ50からパケットをブランチルータ60−1に送信する場合には、パケットを1つ送信する毎にシーケンス番号が“1”カウントアップされる。なお、このようなシーケンス番号のカウントアップは、ブランチルータ60−1だけではなく、全てのブランチルータ60−1〜60−nに対して実行される。例えば、ブランチルータ60−1にパケットが送信され、つぎに、ブランチルータ60−2にパケットが送信された場合には、シーケンス番号としては“1”と“2”がそれぞれESPパケット200のESPヘッダ202のシーケンス番号202sとして付与される。このようなESPパケット200を受信したブランチルータ60−1では、後述するような受信処理が実行されてパケットの正当が判定される。
As shown in FIG. 4A, when a packet is transmitted from the
図4(B)に示すように、ブランチルータ60−1から送信されたパケットをブランチルータ50が受信する場合、ブランチルータ60−1は、パケットを1つ送信する毎にシーケンス番号を“1”カウントアップする。なお、このようなシーケンス番号のカウントアップは、ブランチルータ50に送信するパケットに対してだけでなく、全てのブランチルータに送信するパケットに対して実行される。例えば、ブランチルータ60−1が、ブランチルータ50にパケットを送信し、つぎに、ブランチルータ60−2にパケットを送信した場合には、シーケンス番号としては“1”と“2”がそれぞれESPパケット200のESPヘッダ202のシーケンス番号202sとして付与される。
As shown in FIG. 4B, when the
このようなESPパケット200を受信したブランチルータ50は、ESPパケット200のアウターIPヘッダ201に含まれる送信元アドレス201sから対地(ブランチルータ60−1)を特定し、この対地に対応する情報を図5(B)に示す情報から特定する。いまの例では、図5(B)の1行目の情報が特定される。つぎに、ESPパケット200のESPヘッダ202に格納されているシーケンス番号202sが取得され、シーケンス番号ウィンドウの対応するビットが参照される。例えば、シーケンス番号202sが“1”である場合に、シーケンス番号ウィンドウのMSBが“0”であるときにはこのパケットは正当であると判定されて受信される。一方、シーケンス番号ウィンドウのMSBが“1”であるときにはこのパケットは正当でないと判定されて破棄される。
The
なお、前述のように、ブランチルータ60−1は、ブランチルータ50以外のブランチルータに対してパケットを送信する場合でも、シーケンス番号をカウントアップするので、ブランチルータ50が受信するパケットに付与されているシーケンス番号は、場合によっては飛び飛びの値となる。しかし、その場合でも、リプレイ防御ウィンドウが移動すれば、受信されなかったパケット(他のブランチルータに向けて送信されたパケット)は無視されるので、問題は生じない。
Note that, as described above, even when the branch router 60-1 transmits a packet to a branch router other than the
以上の処理によれば、パケットを送信する場合には複数の対地に対して1つのシーケンス番号を準備し、パケットを受信する場合にはそれぞれの対地に対して1つずつシーケンス番号ウィンドウを準備し、このシーケンス番号ウィンドウに基づいて、パケットの重複を判断するようにした。このため、グループで1つのMPSAを共有するネットワークであっても、リプレイ攻撃を防ぐことが可能になる。また、パケットを受信した場合に初めて対地特定MPSAを設けるようにしたので、記憶領域の使用量を減らすことができる。 According to the above processing, one sequence number is prepared for a plurality of grounds when transmitting a packet, and one sequence number window is prepared for each ground when receiving a packet. Based on this sequence number window, packet duplication is determined. For this reason, even if the network shares one MPSA in the group, it becomes possible to prevent a replay attack. In addition, since the ground-specific MPSA is provided for the first time when a packet is received, the usage amount of the storage area can be reduced.
つぎに、図9,10を参照して、図3に示すMPSA処理部56において実行される処理について説明する。図3では主に、図9のS11からS14を経てS19に至る処理について記している。
Next, processing executed in the
図9は、パケットを受信した場合に実行される処理の流れを説明するためのフローチャートである。このフローチャートの処理が開始されると、以下のステップが実行される。 FIG. 9 is a flowchart for explaining the flow of processing executed when a packet is received. When the processing of this flowchart is started, the following steps are executed.
ステップS10では、パケット送受信部51は、ESPパケット200を受信する。例えば、パケット送受信部51は、ブランチルータ60−1から送信されたパケットを受信する。
In step S <b> 10, the packet transmission / reception unit 51 receives the
ステップS11では、MPSA処理部56のMPSA検索部561は、ステップS10で受信したESPパケット200のSPI(Security Parameter Index)および送信元アドレス201sを参照し、MPSAテーブル562から対地特定MPSAを検索する。例えば、ブランチルータ60−1から送信されたESPパケット200を受信した場合には、図5(B)に示す対地が60−1であるMPSAが検索される。
In step S11, the MPSA search unit 561 of the
ステップS12では、MPSA検索部561は、対地特定MPSAが存在するか否かを判定し、存在する場合(ステップS12:Yes)にはステップS13に進み、それ以外の場合(ステップS12:No)にはステップS14に進む。いまの例では、MPSAテーブル562にブランチルータ60−1に対応する対地特定MPSAが存在する場合にはステップS13に進み、それ以外の場合にはステップS14に進む。 In step S12, the MPSA search unit 561 determines whether or not the ground-specific MPSA exists, and if it exists (step S12: Yes), the process proceeds to step S13, and otherwise (step S12: No). Advances to step S14. In the present example, if the ground-specific MPSA corresponding to the branch router 60-1 exists in the MPSA table 562, the process proceeds to step S13, and otherwise, the process proceeds to step S14.
ステップS13では、対地特定MPSAが存在する場合には、その後の処理を継続する。より詳細には、送信元アドレス検査部563によってアウターIPヘッダ201に含まれる送信元アドレス201sが検査されて正当な送信元からパケットが送信されているか否かが判定される処理については既に対地特定MPSAが存在することで正当な送信元であることは判明しているので省略し、ESP復号部564によってESPパケット200が復号されるとともに対地特定MPSAのシーケンス番号ウィンドウを更新し、MPSA登録部565は対地特定MPSAが登録済みであるためスキップして、復号されて得られたIPパケット100がE−IPクライアントネットワーク70に対して送信される。
In step S13, if the ground identification MPSA exists, the subsequent processing is continued. More specifically, the process of determining the
ステップS14では、MPSA検索部561は、ステップS10で受信したESPパケット200のSPIを参照し、MPSAテーブル562から対地「非」特定MPSAを検索する。なお、この対地非特定MPSAとは、図5(B)に示す対地が特定されていないMPSAであり、例えば、MPSAの種類(例えば、MPSA1)と、空欄とされた対地(例えば、空欄を示す「−」)と、初期値である“0”を有するシーケンス番号ウィンドウとからなる情報である。
In step S14, the MPSA search unit 561 refers to the SPI of the
ステップS15では、MPSA検索部561は、対地非特定MPSAが存在するか否かを判定し、存在する場合(ステップS15:Yes)にはステップS17に進み、それ以外の場合(ステップS15:No)にはステップS16に進む。いまの例では、MPSAテーブル562に、前述した対地非特定MPSAが存在する場合にはステップS17に進み、それ以外の場合にはステップS16に進む。ステップS15ではステップS17でESP復号化処理を行う前に、送信元アドレス検査部563によってIPヘッダ201に含まれる送信元アドレス201sが検査されて正当な送信元からのパケットか否かを判定することができる。この判定は粗い判定処理であるため割愛してもよい。
In step S15, the MPSA search unit 561 determines whether or not the non-ground specific MPSA exists, and if it exists (step S15: Yes), the process proceeds to step S17, and otherwise (step S15: No). Then, the process proceeds to step S16. In the present example, if the above-mentioned ground non-specific MPSA exists in the MPSA table 562, the process proceeds to step S17, and otherwise, the process proceeds to step S16. In step S15, before performing the ESP decoding process in step S17, the source address checking unit 563 checks the
ステップS16では、MPSA検索部561は、処理対象となっているパケットを廃棄する。 In step S16, the MPSA search unit 561 discards the packet to be processed.
ステップS17では、ESP復号部564は、ESPパケット200を、ステップS15で特定された対地非特定MPSAから生成した仮の対地特定MPSAに基づいて復号化する。この結果、IPパケット100が得られる。
In step S17, the ESP decoding unit 564 decodes the
ステップS18では、ESP復号部564は、復号処理の結果、処理の対象となるパケットが正当なパケットであるか否かを判定し、正当なパケットであると判定した場合(ステップS18:Yes)にはステップS19に進み、それ以外の場合(ステップS18:No)にはステップS16に進んでパケットを破棄する。例えば、復号化が適正に実行できたことにより、正当なパケットであると判定した場合には、ステップS19に進む。 In step S18, the ESP decoding unit 564 determines whether the packet to be processed is a valid packet as a result of the decoding process, and determines that the packet is a valid packet (step S18: Yes). The process proceeds to step S19, and otherwise (step S18: No), the process proceeds to step S16 and the packet is discarded. For example, if it is determined that the packet is a legitimate packet as a result of proper decoding, the process proceeds to step S19.
ステップS19では、MPSA登録部565は、ステップS15で特定した対地非特定MPSAに基づいて生成した仮の対地特定MPSAを正式な対地特定MPSAとして、MPSAテーブル562に登録する。例えば、ブランチルータ60−1からのパケットの場合には、図5(B)の1行目に示す情報であって、シーケンス番号ウィンドウの受信したシーケンス番号に対応したBitが“1”に設定された対地特定MPSAがMPSAテーブル562に登録される。なお、登録が完了すると、これ以降は、対地特定MPSAが存在することになるので、ステップS12でYesと判定されてステップS13の処理が実行されることになる。 In step S19, the MPSA registration unit 565 registers the temporary ground specific MPSA generated based on the ground non-specific MPSA specified in step S15 in the MPSA table 562 as a formal ground specific MPSA. For example, in the case of a packet from the branch router 60-1, the bit corresponding to the received sequence number in the sequence number window is set to “1” in the information shown in the first line of FIG. The ground-specific MPSA is registered in the MPSA table 562. When registration is completed, the ground-specific MPSA is present thereafter, so that the determination at Step S12 is Yes and the process at Step S13 is executed.
ステップS20では、パケット送受信部57は、E−IPクライアントネットワーク70に対してパケットを転送する処理を実行する。
In step S <b> 20, the packet transmitting / receiving unit 57 executes a process of transferring the packet to the
つぎに、図10を参照して、ブランチルータにおいて、パケットを送信する場合に実行される処理について説明する。図10に示すフローチャートの処理が開始される前に、ゲートウェイ10から受信した経路情報とゲートウェイ10から受信した情報であるということに基づき、送信しようとするパケットの送信先アドレス(E−IPクライアントネットワークのアドレス)から、MPSAを介した送信先となるブランチルータ(対地)と、使用すべきMPSAが特定される。図10に示すフローチャートの処理が開始されると、以下のステップが実行される。
Next, with reference to FIG. 10, processing executed when a branch router transmits a packet will be described. Before the processing of the flowchart shown in FIG. 10 is started, the destination address (E-IP client network) of the packet to be transmitted is based on the route information received from the
ステップS30では、MPSA検索部561は、経路情報から特定されたMPSAに適合する対地非特定MPSAをMPSAテーブル562から検索する。詳細には、図5(A)に示す対地非特定MPSAがMPSAテーブル562から検索される。 In step S30, the MPSA search unit 561 searches the MPSA table 562 for a non-ground specific MPSA that matches the MPSA specified from the route information. Specifically, the non-ground specific MPSA shown in FIG. 5A is retrieved from the MPSA table 562.
ステップS31では、MPSA検索部561は、該当する対地非特定MPSAがMPSAテーブル562に存在すると判定した場合(ステップS31:Yes)にはステップS32に進み、それ以外の場合(ステップS31:No)にはステップS33に進む。例えば、図5(A)に示す対地非特定MPSAが存在する場合にはステップS32に進む。 In step S31, the MPSA search unit 561 proceeds to step S32 when it is determined that the corresponding non-ground specific MPSA exists in the MPSA table 562 (step S31: Yes), and otherwise (step S31: No). Advances to step S33. For example, when the ground non-specific MPSA shown in FIG. 5A exists, the process proceeds to step S32.
ステップS32では、MPSA処理部56は処理を継続する。具体的には、MPSA処理部56は、対地非特定MPSAに基づいて暗号化処理を行うとともに、シーケンス番号を付与し、ESPパケットを生成する。同時に対地非特定MPSAのシーケンス番号をカウントアップする。その後、パケット送受信部51に生成したESPパケットを供給する。この結果、パケット送受信部51は、パケットを送信する。
In step S32, the
ステップS33では、MPSA処理部56は、処理対象としているパケットを破棄する。
In step S33, the
以上の処理によれば、対地非特定MPSAが存在する相手を送信先とするパケットについては送信処理を実行し、存在しないパケットについては破棄することができる。 According to the above processing, it is possible to execute transmission processing for a packet whose destination is a partner for which the non-specific MPSA exists, and discard a packet that does not exist.
(C)変形実施形態の説明
以上の各実施形態は一例であって、本発明が上述したような場合のみに限定されるものでないことはいうまでもない。例えば、図1に示す実施形態では、ブランチルータが2台の場合を示したが、ブランチルータが3台以上存在する場合であっても、本発明を適用することが可能である。また、図1に示す実施形態では、ブランチルータ50,60を有するグループが1つのみの場合を例に挙げて説明したが、2以上のグループが存在し、各グループ内で共通のMPSAを用いて暗号化通信を行う場合に、本発明を適用することも可能である。
(C) Description of Modified Embodiment Each of the above embodiments is an example, and it is needless to say that the present invention is not limited to the case described above. For example, the embodiment shown in FIG. 1 shows the case where there are two branch routers, but the present invention can be applied even when there are three or more branch routers. In the embodiment shown in FIG. 1, the case where there is only one group having the
また、図5に示すMPSAテーブルは一例であって、これ以外の方法でMPSAを管理するようにしてもよい。 The MPSA table shown in FIG. 5 is an example, and MPSA may be managed by other methods.
また、パケットを受信した場合に、対地特定MPSAを生成するようにしたが、ゲートウェイ10から受信した経路情報に基づき、全ての対地特定MPSAを常時有するようにしてもよい。
Further, when a packet is received, the ground-specific MPSA is generated. However, all the ground-specific MPSAs may be always provided based on the route information received from the
また、図6に示すシーケンス番号ウィンドウのビット数およびリプレイ防止ウィンドウのビット数は一例であって、これ以外のビット数であってもよい。 Further, the number of bits of the sequence number window and the number of bits of the replay prevention window shown in FIG. 6 are examples, and other numbers of bits may be used.
また、いずれかのブランチルータが停電や故障によって再起動された場合、そのブランチルータのシーケンス番号が初期化されることから、他のブランチルータとの間で整合性がとれなくなることがある。そこで、図11および図12に示すように、いずれかのブランチルータが再起動された場合、MPSAを再登録するようにしてもよい。より詳細には、図11はゲートウェイ10において実行される処理を示し、また、図12はブランチルータ50,60において実行される処理を示す。図11に示す処理が開始されると以下のステップが実行される。
In addition, when one of the branch routers is restarted due to a power failure or failure, the sequence number of the branch router is initialized, so that consistency with other branch routers may not be achieved. Therefore, as shown in FIGS. 11 and 12, when any branch router is restarted, MPSA may be re-registered. More specifically, FIG. 11 shows processing executed in the
ステップS50では、SA処理部12は、所定のブランチルータ(BR)の正当性が確認されたか否かを判定し、正当性が確認された場合(ステップS50:Yes)にはステップS51に進み、それ以外の場合(ステップS50:No)には処理を終了する。例えば、ブランチルータ50が再起動され、このブランチルータ50から要求がなされた場合において、ブランチルータ50の正当性が確認できた場合にはステップS51に進む。
In step S50, the
ステップS51では、MPSA管理部16は、ステップS50において正当性が確認されたブランチルータがどのMPSAに属しているかを検索する。例えば、ブランチルータ50の正当性が確認できた場合には、ブランチルータ50の属しているMPSAが特定される。
In step S51, the
ステップS52では、SA処理部12は、ステップS51で特定した全てのブランチルータに対して、MPSAの再登録を要求する。例えば、ブランチルータ50の正当性が確認できた場合には、ブランチルータ50の属しているMPSAに含まれる全てのブランチルータ50,60に対して、MPSAの再登録を要求する。
In step S52, the
つぎに、図11の要求がなされた場合におけるブランチルータの処理について図12を参照して説明する。図12の処理が実行されると以下のステップが実行される。なお、以下では、ブランチルータ60を例に挙げて動作を説明する。
Next, the processing of the branch router when the request of FIG. 11 is made will be described with reference to FIG. When the processing of FIG. 12 is executed, the following steps are executed. In the following, the operation will be described by taking the
ステップS70では、MPSA処理部66は、ゲートウェイ(GW)10からMPSAの再登録の要求があったか否かを判定し、要求があったと判定した場合(ステップS70:Yes)にはステップS71に進み、それ以外の場合(ステップS70:No)にはステップS71に進む。例えば、ブランチルータ50が再起動された場合には、ステップS53の処理により、ゲートウェイ10から再登録の要求がなされるので、Yesと判定してステップS71に進む。
In step S70, the MPSA processing unit 66 determines whether there is a request for re-registration of MPSA from the gateway (GW) 10, and when it is determined that there is a request (step S70: Yes), the process proceeds to step S71. In other cases (step S70: No), the process proceeds to step S71. For example, when the
ステップS71では、MPSA処理部56は、MPSAの再登録処理を開始する。
In step S71, the
ステップS72では、MPSA処理部56は、シーケンス番号を含めたMPSAの初期化処理を実行する。なお、MPSAの再登録および初期化処理が実行されると、それまで使用された古いMPSAの他に新たなMPSAが生成されることになるが、MPSA処理部66は、古いMPSAを直ちに削除するのではなく、古いMPSAと新しいMPSAの双方が一時的に併存する状態とし、例えば、再登録から所定の時間が経過するか、または、新たなMPSAによる受信が実行されたことをきっかけとして、古いMPSAを削除することで、パケットを失うことなく、古いMPSAから新しいMPSAへ移行することができる。
In step S72, the
ステップS73では、MPSA処理部56は、ステップS70においてゲートウェイ10からの要求に応答して再登録が終了したことをゲートウェイ10に通知するために、応答処理を実行する。この結果、ゲートウェイ10は、ブランチルータ50において再登録処理が終了したことを知ることができる。
In step S73, the
以上の処理によれば、ブランチルータが再起動された場合であっても、シーケンス番号の整合性を保つことができる。 According to the above processing, sequence number consistency can be maintained even when the branch router is restarted.
なお、前述した図9〜12に示すフローチャートの処理は一例であって、このような処理のみに本発明が限定されるものではない。 Note that the processing of the flowcharts shown in FIGS. 9 to 12 described above is an example, and the present invention is not limited to such processing.
10 ゲートウェイ
11 パケット送受信部
12 SA処理部
13 IKE処理部
14 経路プロトコル処理部
15 MPSA送信部(配布手段)
16 MPSA管理部
20 トランジットネットワーク
30 I−IPネットワーク
40 MPSA
50,60 ブランチルータ
51,61 パケット送受信部(通信手段)
52,62 SA処理部
53,63 IKE処理部
54,64 経路プロトコル処理部
55,65 MPSA受信部
56,66 MPSA処理部
57,67 パケット送受信部
70,80 E−IPクライアントネットワーク
90 トンネル
54,64 経路プロトコル処理部
56,66 MPSA処理部
59,69 経路情報テーブル
561,661 MPSA検索部(判定手段、破棄手段)
562,662 MPSAテーブル(記憶手段)
563,663 送信元アドレス検査部
564,664 ESP復号部
565,665 MPSA登録部
DESCRIPTION OF
16
50, 60 Branch router 51, 61 Packet transceiver (communication means)
52, 62
562, 662 MPSA table (storage means)
563, 663 Source address checking unit 564, 664 ESP decoding unit 565, 665 MPSA registration unit
Claims (6)
前記ゲートウェイは、
各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布手段を有し、
前記複数のブランチルータは、
前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信手段と、
他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶する記憶手段と、
他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定手段と、
前記判定手段によってシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄手段と、を有し、
複数の他のブランチルータに対してパケットを送信する場合、送信側は共通のシーケンス番号を使用してパケットを送信し、受信側はブランチルータ毎に前記記憶手段に記憶した前記シーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する、
ことを特徴とするネットワークシステム。 In a network system having one or more groups having a plurality of branch routers and a gateway for controlling the one or more groups,
The gateway is
Distribution means for distributing MPSA (Multi-point Security Association) information to a plurality of branch routers constituting each group;
The plurality of branch routers are:
Communication means for performing encrypted communication with each other based on the MPSA information distributed by the distribution means;
Storage means for storing, for each branch router, a sequence number window that is information for determining whether or not there is duplication of sequence numbers given to packets transmitted from other branch routers;
When receiving a packet from another branch router, with reference to a sequence number window stored in the storage means, a determination means for determining the presence or absence of duplication of sequence numbers;
Wherein when it is determined that the sequence number is duplicated by the determination means is closed and discarding means discard the packet, and
When transmitting a packet to a plurality of other branch routers, the transmitting side transmits the packet using a common sequence number, and the receiving side refers to the sequence number window stored in the storage means for each branch router. To determine whether there is a duplicate sequence number,
A network system characterized by this.
前記ゲートウェイは、
各グループを構成する複数の前記ブランチルータに対してMPSA(Multi-point Security Association)情報を配布する配布ステップを有し、
前記複数のブランチルータは、
前記配布ステップにおいて配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信ステップと、
他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶装置に記憶させる記憶ステップと、
他のブランチルータからパケットを受信した場合、前記記憶装置に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定ステップと、
前記判定ステップにおいてシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄ステップと、を有し、
複数の他のブランチルータに対してパケットを送信する場合、送信側は共通のシーケンス番号を使用してパケットを送信し、受信側はブランチルータ毎に前記記憶装置に記憶させた前記シーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する、
ことを特徴とするネットワークシステムの制御方法。 In a control method of a network system having one or more groups having a plurality of branch routers and a gateway for controlling the one or more groups,
The gateway is
A distribution step of distributing MPSA (Multi-point Security Association) information to the plurality of branch routers constituting each group;
The plurality of branch routers are:
A communication step for performing encrypted communication with each other based on the MPSA information distributed in the distribution step;
A storage step of storing a sequence number window, which is information for determining whether or not the sequence number assigned to a packet transmitted from another branch router is duplicated, in a storage device for each branch router;
When receiving a packet from another branch router, referring to a sequence number window stored in the storage device, a determination step of determining whether there is a duplication of sequence numbers;
When said sequence number in the determination step is determined to duplicate possess discarding discards step the packet, and
When transmitting a packet to a plurality of other branch routers, the transmitting side transmits a packet using a common sequence number, and the receiving side uses the sequence number window stored in the storage device for each branch router. Refer to determine whether there are duplicate sequence numbers,
A control method for a network system.
前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信手段と、
他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶する記憶手段と、
他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定手段と、
前記判定手段によってシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄手段と、を有し、
複数の他のブランチルータに対してパケットを送信する場合、送信側は共通のシーケンス番号を使用してパケットを送信し、受信側はブランチルータ毎に前記記憶手段に記憶した前記シーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する、
ことを特徴とするブランチルータ。 One or more groups having a plurality of branch routers, and distribution means for controlling the one or more groups and distributing MPSA (Multi-point Security Association) information to the plurality of branch routers constituting each group In the branch router constituting a network system having a gateway comprising:
Communication means for performing encrypted communication with each other based on the MPSA information distributed by the distribution means;
Storage means for storing, for each branch router, a sequence number window that is information for determining whether or not there is duplication of sequence numbers given to packets transmitted from other branch routers;
When receiving a packet from another branch router, with reference to a sequence number window stored in the storage means, a determination means for determining the presence or absence of duplication of sequence numbers;
Wherein when it is determined that the sequence number is duplicated by the determination means is closed and discarding means discard the packet, and
When transmitting a packet to a plurality of other branch routers, the transmitting side transmits the packet using a common sequence number, and the receiving side refers to the sequence number window stored in the storage means for each branch router. To determine whether there is a duplicate sequence number,
A branch router characterized by that.
前記配布手段によって配布された前記MPSA情報に基づいて相互に暗号化通信を行う通信ステップと、
他のブランチルータから送信されるパケットに付与されたシーケンス番号の重複の有無を判定するための情報であるシーケンス番号ウィンドウを、ブランチルータ毎に記憶装置に記憶させる記憶ステップと、
他のブランチルータからパケットを受信した場合、前記記憶手段に記憶されているシーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する判定ステップと、
前記判定ステップにおいてシーケンス番号が重複すると判定された場合にはそのパケットを破棄する破棄ステップと、を有し、
複数の他のブランチルータに対してパケットを送信する場合、送信側は共通のシーケンス番号を使用してパケットを送信し、受信側はブランチルータ毎に前記記憶装置に記憶させた前記シーケンス番号ウィンドウを参照して、シーケンス番号の重複の有無を判定する、
ことを特徴とするブランチルータの制御方法。
One or more groups having a plurality of branch routers, and distribution means for controlling the one or more groups and distributing MPSA (Multi-point Security Association) information to the plurality of branch routers constituting each group In the control method of the branch router constituting a network system having a gateway comprising:
A communication step for performing encrypted communication with each other based on the MPSA information distributed by the distribution means;
A storage step of storing a sequence number window, which is information for determining whether or not the sequence number assigned to a packet transmitted from another branch router is duplicated, in a storage device for each branch router;
When receiving a packet from another branch router, referring to a sequence number window stored in the storage means, a determination step of determining whether there is a duplication of sequence numbers;
When said sequence number in the determination step is determined to duplicate possess discarding discards step the packet, and
When transmitting a packet to a plurality of other branch routers, the transmitting side transmits a packet using a common sequence number, and the receiving side uses the sequence number window stored in the storage device for each branch router. Refer to determine whether there are duplicate sequence numbers,
A branch router control method characterized by the above.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013182354A JP6239320B2 (en) | 2013-09-03 | 2013-09-03 | Network system, branch router, and control method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013182354A JP6239320B2 (en) | 2013-09-03 | 2013-09-03 | Network system, branch router, and control method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015050699A JP2015050699A (en) | 2015-03-16 |
JP6239320B2 true JP6239320B2 (en) | 2017-11-29 |
Family
ID=52700344
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013182354A Active JP6239320B2 (en) | 2013-09-03 | 2013-09-03 | Network system, branch router, and control method thereof |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6239320B2 (en) |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100403736C (en) * | 2006-03-14 | 2008-07-16 | 杭州华三通信技术有限公司 | Message serial number inspection and inspector with multi-unit transmission |
-
2013
- 2013-09-03 JP JP2013182354A patent/JP6239320B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015050699A (en) | 2015-03-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11075892B2 (en) | Fully cloaked network communication model for remediation of traffic analysis based network attacks | |
US10404588B2 (en) | Path maximum transmission unit handling for virtual private networks | |
US7571463B1 (en) | Method an apparatus for providing a scalable and secure network without point to point associations | |
KR100679882B1 (en) | Communication between a private network and a roaming mobile terminal | |
JP3730480B2 (en) | Gateway device | |
US8555056B2 (en) | Method and system for including security information with a packet | |
US6976177B2 (en) | Virtual private networks | |
US6839338B1 (en) | Method to provide dynamic internet protocol security policy service | |
US20140181967A1 (en) | Providing-replay protection in systems using group security associations | |
CN103188351B (en) | IPSec VPN traffic method for processing business and system under IPv6 environment | |
WO2007103338A2 (en) | Technique for processing data packets in a communication network | |
US10798071B2 (en) | IPSEC anti-relay window with quality of service | |
US9722919B2 (en) | Tying data plane paths to a secure control plane | |
CN1741523B (en) | Key exchange protocol method for realizing main machine transferability and multi-home function | |
Moreira et al. | Security mechanisms to protect IEEE 1588 synchronization: State of the art and trends | |
CN103227742B (en) | A kind of method of ipsec tunnel fast processing message | |
US20120166792A1 (en) | Efficient nemo security with ibe | |
US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
CN110430221A (en) | A kind of NDP-ESP network security method based on Neighbor Discovery Protocol | |
Liyanage et al. | Secure hierarchical virtual private LAN services for provider provisioned networks | |
US11095619B2 (en) | Information exchange for secure communication | |
CN107135226B (en) | Transport layer proxy communication method based on socks5 | |
US20220279350A1 (en) | Establishing multiple security associations in a connection operation | |
JP6239320B2 (en) | Network system, branch router, and control method thereof | |
CN100466599C (en) | Safety access method for special local area net and device used for said method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160721 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170530 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170705 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170901 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171004 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171101 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6239320 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |