JP6513819B2 - 通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティ及び方法 - Google Patents

通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティ及び方法 Download PDF

Info

Publication number
JP6513819B2
JP6513819B2 JP2017544771A JP2017544771A JP6513819B2 JP 6513819 B2 JP6513819 B2 JP 6513819B2 JP 2017544771 A JP2017544771 A JP 2017544771A JP 2017544771 A JP2017544771 A JP 2017544771A JP 6513819 B2 JP6513819 B2 JP 6513819B2
Authority
JP
Japan
Prior art keywords
source address
message
port number
dedicated
physical interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2017544771A
Other languages
English (en)
Other versions
JP2018509832A (ja
Inventor
デン ベルジェ、フリチョフ ヴァン
デン ベルジェ、フリチョフ ヴァン
Original Assignee
ドイチェ テレコム エージー
ドイチェ テレコム エージー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ドイチェ テレコム エージー, ドイチェ テレコム エージー filed Critical ドイチェ テレコム エージー
Publication of JP2018509832A publication Critical patent/JP2018509832A/ja
Application granted granted Critical
Publication of JP6513819B2 publication Critical patent/JP6513819B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Communication Control (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

本開示は、通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティ、及び通信ネットワークを不正メッセージから保護するための方法に関する。
通信ネットワークに対する不正メッセージはここ数十年絶えず増加している。現在のところ、世界には約195の国又は主権国があり、ここ数十年世界中で民族的及び政治的な争いが起こるに従い、その数は増える可能性がある。プロバイダ及び送信先ネットワークの両方の数は、例えばデータクラウドが新規の集合体によって部分的に開始されるに従い増え続けている。モバイルで生成される及び/又はモバイルが送信先であるIPトラフィックの増加は、今後数年以内に著しく上昇するだろう。ハンドヘルドデバイス上のセキュリティは非常に攻撃を受けやすく、(新規の)攻撃の多くは新規のやり方で、攻撃の対象にはなっていないという完全な自己信頼を抱く人々及び/又は施設に起こる。過去ほんの5年でドイツにおけるIP犯罪の発生率は約50パーセント上昇した。例えばIPv4及びステートレスIPv6アドレスのプライバシー拡張のためのRFC4941のそれぞれにおける既存のHTTP匿名性に起因して、「管理者(guardians)」は設定されず、改善も期待し得ない。IPアドレス上の透明性も、国の検察当局による、完全に機能しているIP犯罪の防止又はトラッキングさえも近い将来において期待されない。
犯罪ユーザの不正メッセージに対抗する通信ネットワークのよりよい保護が必要である。
不正メッセージに対抗する通信ネットワークのそのような保護を提供することが本発明の目的である。
この目的は、独立請求項の特徴により達成される。更なる実装形態が従属請求項、明細書、及び図から明らかである。
本発明の本質的な考えは、ネットワーク保護エンティティ、例えば通信ネットワークのゲートウェイ又はプロバイダエッジルータにそれ独自のインテリジェンスを収集することを提供することで、IP及びポートの不正が通信ネットワークを攻撃することを防止することである。受信ネットワーク内(すなわち、ゲートウェイ又はプロバイダエッジルータが対応している上述の通信ネットワーク)の送信先への、通信メッセージのIPアドレス及びポート番号は典型的に、そのインタフェース及びトランク上でゲートウェイ又はプロバイダエッジルータに入るだろう。これらの通信メッセージの詳細は、不正メッセージを検出するため、及びこれらの不正メッセージが通信ネットワークに入ることを回避するために、ネットワーク保護エンティティのストレージ内のテーブルの中に記憶され得る。テーブルは、動的IPアドレス構成における変更を許可するために時間間隔で更新され得る。先述のテーブルは、IPアドレス及びポート番号の全ての可能な組み合わせを、1に設定した、したがってネクストホップまでの、生存時間フィールドと共に送出することによって設定されるだろう。この原理によりネットワーク保護エンティティは、適切なインタフェースとトランクとを、そのテーブルの中で各特定のIPアドレス及びポート番号に設定するだろう。
1つの接続のための全てのパケット、すなわち、送信先のIPアドレスとポート番号とへの、送信元のポート番号を伴うIPアドレスは、入ってくるときと、出ていくときの両方で常に同一のルートを使用する。
好みにより、プロバイダのネットワークのエッジでネットワーク保護エンティティ又は方法のそのようなセットアップを使用するとき、任意の匿名の手段で行われ、したがって大抵の場合外国の検察当局によって裁きづらいIP不正は、ウイルスのような損傷を与えるソフトウェアを気付いていないユーザに送信する手段としては途絶えるだろう。ネットワーク保護エンティティの正しいインタフェースとトランクから入ってこない全てのIPトラフィックが適宜ドロップされることになり、したがってトラフィックに関する送信先ネットワークに入らないからである。ネットワークにおいて、これらのネットワーク保護エンティティ又は対応する方法を実装するとき、悪意をもって意図された他のユーザへのIP伝達は、実在するIPアドレス及びポートを用いることによってのみ成功裏に行うことができる。このようなケースであったならば、いかなる形態の、あらゆる損傷を、現在では一般的であるように、より容易に調査することができ、より速く、より高い確かな可能性を伴い裁きを与えられるだろう。
本発明を詳細に説明すべく、以下の用語、略語及び表記を用いる。HPLMN:ホーム公衆移動通信ネットワークIP:インターネットプロトコルISO:国際標準化機構ISP:インターネットサービスプロバイダOSI:開放型システム相互接続モデルPE:プロバイダエッジ;ネットワークのエッジTTL:生存時間
本開示による方法及びデバイスは、データパケット又はデータフレームのOSI第2層検出を提供するよう構成され得る。OSI参照モデル第2層(正式にはISO規格1984、7498−1:1994及びCCITT規格X.200として知られる)はインターネットアーキテクチャ委員会によって開発され、IETFにより草案された。OSI第2層は、データグラムの安全で失敗のない伝送のためのデータリンク層を規定する。この層では、データパケットはビットにエンコード及びデコードされる。これは、伝送プロトコル知識及び管理を供給し、物理層におけるエラーと、フロー制御と、フレーム同期とを扱う。データリンク層は2つの副層、すなわちメディアアクセス制御(MAC)層及び論理リンク制御(LLC)層に分割される。MAC副層は、ネットワーク上のコンピュータがどのようにデータにアクセスし、どのようにその伝送に対する許可を得るかを制御する。LLC層は、フレーム同期と、フロー制御と、エラーチェックとを制御する。
本開示による方法及びデバイスは、受信ネットワーク内で、物理インタフェースと送信先に関連する接続トランクとに関する専用送信元アドレス及び専用ポート番号を示すための適切なテーブル(又は単なるテーブル)を用い得る。以下において適切とは、物理インタフェースと関連する接続トランクとに関する専用送信元アドレス及び専用ポート番号を記憶するために適切である、若しくは好適である、又は適応された任意のテーブルが使用され得ることを意味する。テーブルは、動的アレイとして、列と行とを含むシンプルなテーブルとして、又はその目的のために使用可能な任意の他の種類のメモリ構成として順序付けられてよい。テーブルは、物理インタフェースと関連する接続トランクとに対する専用送信元アドレス及び専用ポート番号のマッピングを記憶するよう適応され得る。
以下は、受信ネットワークに送られたメッセージが、送信先のIPアドレスとポート番号とによって受け取られるものであることを加味せず記述される。
1つの接続のための全てのパケット、すなわち、送信先のIPアドレスとポート番号とへの、送信元のポート番号を伴うIPアドレスは、入ってくるときと、出ていくときとの両方で、常に同一のルートを使用する。
第1の態様によると、本発明は通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティに関し、ネットワークを保護する要素が、物理インタフェースと、物理インタフェースに関連するおそらく複数の定められたトランクを伴う接続ラインとを有し、接続ラインは通信メッセージを受信するよう構成され、通信メッセージは、メッセージ送信元アドレス及びポート番号を有する。ネットワーク保護エンティティは、先述の適切なテーブルを記憶するためのストレージを更に含み、適切なテーブルは、ネットワーク保護エンティティのトランクを伴う物理インタフェースに関する、ポートを伴うただ1つの専用送信元アドレスを示す。ネットワーク保護エンティティは、プロセッサを更に含み、プロセッサは、ポート番号を伴う少なくとも1つの許可された送信元アドレスをストレージから取得するよう、並びにメッセージ送信元アドレス及びそのポートを、専用ポートを伴うただ1つの専用送信元IPアドレスと比較するよう構成される。プロセッサは更に、メッセージ送信元アドレスとポートとが、特定のIPアドレスとポートとに対するインタフェースとトランクとの記憶された入り口エンティティ(データグラムがその下でネットワーク保護エンティティに入ったもの)と異なる場合に、通信メッセージを破棄するよう構成される。
これは、通信ネットワークのプロバイダのエッジで、ネットワーク保護エンティティ、例えばゲートウェイ又はルータに、それ独自のインテリジェンスを収集することを提供することによって達成され、通信メッセージのメッセージ送信元アドレス及びポートは、その物理インタフェース及び特定のトランク上で典型的にネットワーク保護エンティティに入るだろう。ネットワーク保護エンティティのストレージは、不正メッセージを検出するため、及びこれらの不正メッセージが通信ネットワークに入ることを回避するためのものであり、これらの通信メッセージの詳細は、その中の適切なテーブル内に記憶される。回避は、ポートを伴うメッセージ送信元アドレスが、適切なテーブルに記憶されたネットワーク保護エンティティの、トランクを伴う物理インタフェースに対する、適切なポートを伴う許可された送信元アドレス(複数可)と異なる通信メッセージを単に破棄することで行われる。
第1の態様による一実装形態において、プロセッサは、物理インタフェース及びトランク上で、先述のテーブルを満たすために送出したIPメッセージに基づき適切なテーブルのコンテンツを生成するよう構成され、この先述のテーブルを満たすために送出されたIPメッセージは、その中に1に設定された生存時間フィールドを有する。
これは、先述のメッセージを、1に設定された生存時間(TTL)フィールドと共に送信することで適切なテーブルの中にこれらの通信メッセージの詳細のみを記憶することにより、信頼関係が開始され得るという利点を提供する。一方、受信において、伝送の終了時にTTL=1フィールドは、ラストホップからノードに入ってきたメッセージを受信ノードに示し、それによりTTL=1はTTL=0になり破棄されるだろう。
第1の態様による一実装形態において、物理インタフェースは、通信メッセージを受信するよう構成された接続トランクと、物理インタフェースと接続トランクとの組み合わせに関する、特定のポートを伴う少なくとも1つの許可された送信元IPアドレスを示す適切なテーブルとを有し、このようなデータグラムはその上でネットワーク保護エンティティに入るはずである。
適切なテーブルが、物理インタフェースと、その物理インタフェース上の関連する接続トランクとの組み合わせに関する、特定のポートを伴う許可された送信元IPアドレスを記憶するとき、より高度な構成情報が要求されるので、不正メッセージに対抗する検出と防御を更に改善することができる。損傷が生じる極端なケースにおいて、いかなる形態の特定の1つの攻撃だけに関して、ネットワーク保護エンティティを通過可能な不正メッセージをデータグラム上で生成するために、攻撃者は特定のゲートウェイ/ルータ構成についての更なる情報及び識見を必要とするだろう。
第1の態様による一実装形態において、通信メッセージのメッセージ送信元アドレスはIP送信元アドレス及びポート番号を有し、適切なテーブルは、物理インタフェースと接続トランクとの組み合わせに関するIP送信元アドレスとポート番号との許可された組み合わせを示す。
適切なテーブルが、物理インタフェース/接続トランクの組み合わせの、既存の組み合わせに関する許可された送信元アドレス/ポートの組み合わせを記憶するとき、さらにより高度な構成情報が要求されるので、不正メッセージに対抗するなおよい保護を実現することができる。これは、単に好みにより、送信先ネットワークとその管理者だけが、ここで要求される各ネットワーク保護エンティティの構成に関する識見を有するからである。送信元から送信先への複数のルートが存在し得るので、インターネットを通じる各異なるルートに従い、攻撃者は特定のネットワーク保護エンティティのどの送信元アドレス及びポート番号が、どの物理インタフェースと接続トランク上で伝送されるかを知らなければならないだろう。従って、独自のネットワークにおいてIP不正を防止するための本明細書に記載のネットワーク保護エンティティ解決策を通過可能である不正メッセージを生成することは、極めてより困難になり、また極めてより多くの時間がかかるだろう。
第1の態様による一実装形態において、通信メッセージのポートを伴うメッセージ送信元アドレスは更に、ネットワークマスクと、最大伝送ユニットに関するバイト数と、スピード情報とを有し、適切なテーブルは、物理インタフェースと接続トランクとの組み合わせに関するIP送信元アドレスとポート番号との許可された組み合わせを示す。データグラムのIPヘッダの中にもある、ネットワークマスクと、最大伝送ユニットに関するバイト数と、スピード情報などは、本明細書に記載のIP不正防止方法に関しチェックされない。
適切なテーブルが、物理インタフェースと接続トランクとの特定の組み合わせに関するIPヘッダの中の送信元アドレスと、ポート番号と、ネットワークマスクと、最大伝送ユニットに関するバイト数と、スピード情報などの組み合わせにおいて、記憶された特定のパラメータのみを許可するとき、不正メッセージに対抗する非常に高い保護が実現できる。これは、おそらく複数あるネットワーク保護エンティティの可能な接続変形に依存して多数の構成情報が要求されるからである。特定のネットワーク保護エンティティにおいて、どの物理インタフェースと接続トランクとの組み合わせ上での伝送に関し、どのルーティングによって、どのIP送信元アドレスとポート番号が使用されるか、併せて更に、例えばどのネットワークマスク、最大伝送ユニットに関するバイト数、及び速度が使用されるかを攻撃者は知っていなければならない。従って、正しくない送信元パラメータを用いて、おそらく複数あるネットワーク保護エンティティを通過可能な不正メッセージを生成することは非常に困難である。
第1の態様による一実装形態において、プロセッサは、メッセージ送信元アドレスが通信ネットワークに入るよう動的に変更される有効な通信メッセージを許可すべく、適切なテーブルを時間間隔ベースで更新するよう構成される。
テーブルは動的IPアドレス構成を許可さするため、例えばIPアドレスのDHCP構成を許可するため、又はIPv4及びステートレスIPv6アドレスのプライバシー拡張のためのRFC4941のそれぞれにおけるHTTP匿名性を許可するために、時間間隔で更新され得る。
第1の態様による一実装形態において、プロセッサは、OSI第2層検出に基づき通信メッセージのメッセージ送信元アドレス及びポート番号を取得するよう構成される。
これは、OSI第2層(又はデータリンク層)がISO−OSI参照モデルにおける低層であり、従ってその第2層上のデータパケットの検査に関する計算の複雑性は低いという利点を提供する。それゆえ、そこでポートを伴う送信元アドレスのチェックが行われるOSI第2層検出を実装するプロセッサに関する計算の複雑性は低く、各検査の早い遂行をもたらす。
第1の態様による一実装形態において、プロセッサは、通信メッセージを破棄する前にアラームを設定するよう更に構成される。これは、適切なテーブルにおいて、その送信先への更なる伝送のためにインターネットからネットワーク保護エンティティに入ってきた経路が、通信メッセージのメッセージ送信元IPアドレス及び/又はポート番号と、インタフェースとトランクIDで異なるときに行われる。
これは、不正メッセージ、及びポートを伴うその送信元アドレスの検出をプロトコル化でき、侵略者がバックトラックされ得るという利点を提供する。
第1の態様による一実装形態において、ネットワーク保護エンティティは、適切なテーブルに、構成可能な値で満たすための構成インタフェースを有する。
これは、リクエストに際し、適切なテーブルは、オペレータによって手動で、又は自動で満たされ得るという利点を提供する。
第1の態様による一実装形態において、ネットワーク保護エンティティはPEルータのそれぞれのゲートウェイのうちの1つである。
これは、通信ネットワークを管理するために使用されるPEルータのそれぞれのゲートウェイが、ネットワーク保護エンティティを実装するよう使用され得るという利点を提供する。それゆえ、新規のネットワーク要素をインストールする必要はないが、本明細書に記載する機構に関する拡張だけは実装されるべきである。
第2の態様によると、本発明は、通信ネットワークをネットワークに入ってくる不正メッセージから保護するための方法に関し、方法は、物理インタフェース及びトランク上で通信メッセージを受信することを有し、通信メッセージはポート番号を伴うメッセージ送信元アドレスを含む。方法は、適切なテーブルを提供することを有し、適切なテーブルは、物理インタフェース及びトランクに関する、特定のポート番号を伴う少なくとも1つの許可された送信元IPアドレスを示す。方法は、適切なテーブルから少なくとも1つの許可された送信元アドレスを取得して、メッセージ送信元アドレスを少なくとも1つの許可された送信元アドレスと比較することと、メッセージ送信元アドレスが、ネットワーク保護エンティティのトランクを伴う物理インタフェースに関する、ポートを伴うただ1つの専用送信元アドレスと異なる場合に、メッセージを破棄することとを有する。
そのようなネットワーク保護方法は、犯罪ユーザの不正メッセージに対抗する通信ネットワークのよりよい保護を提供する。これは、独自のインテリジェンスを収集するための適切なテーブルを提供することによって達成され、通信メッセージのメッセージ送信元アドレスは、典型的にその物理インタフェース及びトランク上で受信されるだろう。適切なテーブルは、不正メッセージを検出するため、及びこれらの不正メッセージが通信ネットワークに入ることを、通信メッセージを単に破棄することで回避するためのものであり、これらの通信メッセージの詳細は、その中に記憶される。破棄される通信メッセージは、メッセージ送信元アドレス及びポート番号のエントリが、ネットワーク保護エンティティ内のエントリとは異なるものであり、エントリは、適切なテーブルにおける、記憶された適したインタフェースとトランクとについて使用されたメッセージの、IPアドレスとポート番号である。
第2の態様による一実装形態において、方法は、適切な物理インタフェース及びトランク上で送られたメッセージのIPルーティングに基づき、IPメッセージにおいて1に設定される生存時間フィールドを有する、適切なテーブルを提供することを有する。
これは、生存時間(TTL)フィールドが1に設定された同一メッセージを送信することで、収集された通信メッセージの詳細のみを適切なテーブルの中のIPルーティングに記憶することにより、信頼関係が開始され得るという利点を提供する。このようなTTL=1フィールドは、ラストホップからノードへ入ってきたメッセージを受信ノードに示し、それによりTTL=1はTTL=0になり破棄されるだろう。
第2の態様による一実装形態において、方法は、物理インタフェースの接続トランク上で通信メッセージを受信することと、物理インタフェースと接続トランクとの組み合わせとに関する、特定のポートを伴う少なくとも1つの許可された送信元IPアドレスを示す適切なテーブルを提供することとを有し、このようなデータグラムはその上でネットワーク保護エンティティに入るはずである。
適切なテーブルが、物理インタフェースと、その物理インタフェース上の関連する接続トランクとの組み合わせとに関する、特定のポートを伴う許可された送信元IPアドレスを記憶するとき、より高度な構成情報が要求されるので、不正メッセージに対抗する検出と防御を更に改善することができる。損傷が生じる極端なケースにおいて、いかなる形態の特定の1つの攻撃だけに関して、ネットワーク保護方法を通過可能な不正メッセージをデータグラム上で生成するために、攻撃者は特定のゲートウェイ/ルータ構成についての更なる情報及び識見を必要とするだろう。
第2の態様による一実装形態において、方法は、通信メッセージと、IP送信元アドレスを含む通信メッセージのメッセージ送信元アドレス及びポート番号を受信することと、IP送信元アドレス及びポート番号が、物理インタフェースと接続トランクとの組み合わせに関する、IP送信元アドレスとポート番号との許可された組み合わせと異なる場合に、通信メッセージを破棄することとを有する。
適切なテーブルが、物理インタフェース/接続トランクの組み合わせの、既存の組み合わせに関する許可された送信元アドレス/ポートの組み合わせを記憶するとき、さらにより高度な構成情報が要求されるので、不正メッセージに対抗するなおよい保護を実現することができる。これは、単に好みにより、送信先ネットワークとその管理者だけが、ここで要求される各ネットワーク保護エンティティの構成に関する識見を有するからである。送信元から送信先への複数のルートが存在し得るので、インターネットを介する各異なるルートに従い、攻撃者は特定のネットワーク保護エンティティのどの送信元アドレス及びポート番号が、どの物理インタフェースと接続トランク上で伝送されるかを知らなければならないだろう。従って、独自のネットワークにおいてIP不正を防止するための、本明細書に記載のネットワーク保護エンティティ解決策を通過可能である不正メッセージを生成することは、極めてより困難になり、また極めてより多くの時間がかかるだろう。
そのようなプログラムコードは、PEルータのそれぞれの既存のゲートウェイ上で容易に実装でき、これらのデバイスを本開示によりネットワーク保護エンティティにアップグレードできる。
本発明の更なる実施形態が以下の図に関して説明されよう。
一実装形態による、動作モードで通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティ100を図示するブロック図を示す。 一実装形態による、インタフェースとトランクパラメータとを、IPアドレス及びポートに収集する、構成モードで図1に示したネットワーク保護エンティティ100を図示するブロック図を示す。 一実装形態による、ネットワーク保護エンティティの実装としてゲートウェイ300の3次元図を示す。 一実装形態による、ネットワーク保護エンティティ100により不正メッセージから保護されるホーム通信ネットワークを有する通信システム400を図示するブロック図を示す。 一実装形態による、通信ネットワークを不正メッセージから保護するための方法500を図示する概略図を示す。
以下の詳細な説明において、その一部分を形成する添付図面を参照し、そこに本開示が実施され得る具体的な態様を実例として示す。他の態様が利用されてよく、本開示の範囲を逸脱することなく、構造的又は論理的変更がなされてよいことが理解される。以下の詳細な説明は、従って、限定的な意味に捉えられるべきでなく、本開示の範囲は添付の特許請求により定められる。
記載される方法に関してなされた解説はまた、その方法を行うよう構成された対応するデバイス又はシステムに関して当てはまるかもしれず、デバイス又はシステムに関してなされた解説はまた、それに対応する方法に当てはまるかもしれないことが理解される。例えば、特定の方法の段階が説明される場合、対応するデバイスは記載される方法の段階を行うユニットを、(そのようなユニットが明確に説明又は図示されない場合であっても)含み得る。更に、本明細書に記載の様々な例示的な態様の特徴は、そうでないと特記されない限り、互いに組み合わされてよいことが理解される。
以下の説明において、通信ネットワークを不正メッセージから保護するための方法及びデバイスを説明する。説明するデバイス及びシステムは、機能性を指すが、例えばこのようなノードの製造業者及び開発状況次第で異なる名称が付けられてよく、集積回路及び/又は集積パッシブを含んでよく、及び様々なテクノロジーに応じて製造されてよい。例えば、回路は、論理集積回路、アナログ集積回路、混合信号集積回路、光回路、メモリ回路及び/又は集積パッシブを含み得る。
以下の説明において、通信メッセージの生存時間メッセージフィールドを活用するための方法及びデバイス、具体的にはIPメッセージを説明する。生存時間(TTL)又はホップリミットは、コンピュータ又はネットワークにおけるデータの寿命又は存続時間を制限するメカニズムである。TTLは、データに付加される又は組み込まれる、カウンタ又はタイムスタンプとして実装され得る。所定のイベントカウント又は期間が経過すると、データは破棄される。TTLは、データパケットが無制限に循環することを防止する。TTLは、2つのネットワークエンティティ間の近接関係を更に記載する。TTLフィールドの減少は、2つのネットワークエンティティ間の(時間又は空間における)距離を特徴付ける。
インターネットプロトコル(IP)のもと、TTLは、8ビットのフィールドである。IPv4ヘッダにおいて、TTLは、20オクテットの9番目である。IPv6ヘッダにおいて、TTLは、40オクテットの8番目である。最大TTL値は、255であり、単一オクテットの最大値である。生存時間値は、IPデータグラムがインターネットシステムに存在できる時間に対する上限値を表すことができる。TTLフィールドはデータグラムの送信者によって設定され、その送信先へのルート上の全てのルータによって減らされる。TTLフィールドの目的は、安定したパフォーマンスを提供すべく、配達不能なデータグラムが、インターネットシステム上を循環し続ける状況を回避することである。IPv4のもと、生存時間は秒数で測られ、データグラムを通過する全てのホストは、少なくとも1単位TTLを減らさなくてはならない。実際には、しかしながら、TTLフィールドは、ホップごとに1減らされる。この履行を反映するために、フィールドは、IPv6においてホップリミットと改名されている。
以下の説明において、トランク又は接続トランクに基づく方法及びデバイスを説明する。トランキングは、多くのクライアントに、個別に提供する代わりに、ライン又はアクセスのセットを共有することで、ネットワークアクセスを提供するための方法として呼ばれる。トランクは、通信エンティティ(例えばゲートウェイ)の2つのポート間の永久的なポイント・ツー・ポイント通信ラインとして定められ得る。イーサネット(登録商標)のコンテキストにおいて、イーサネット(登録商標)トランキングという用語は、トランキングプロトコルを使用し、単一のネットワークリンクを通じて複数のVLAN(仮想ローカルエリアネットワーク)を持つことを規定する。1つのリンク上の複数のVLANを許可するために、個々のVLANからのフレームが識別される。
図1は、一実装形態による、動作モードで通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティ100を図示するブロック図を示す。
ネットワーク保護エンティティ100は、物理インタフェース101、FE0、と、ストレージ103と、プロセッサ107とを含む。物理インタフェース101、FE0は、通信メッセージ102を受信するよう構成される。通信メッセージ102は、メッセージ送信元アドレスXを含む。ストレージ103は、適切なテーブル105を記憶するために使用される。適切なテーブル105は、物理インタフェース101、FE0に関する少なくとも1つの許可された送信元アドレスAを示す。プロセッサ107は、ストレージ103から1又は複数の許可された送信元アドレスAを取得するよう、及びメッセージ送信元アドレスXを1又は複数の許可された送信元アドレスAと比較するよう構成される。プロセッサ107は、メッセージ送信元アドレスXが、少なくとも1つの許可された送信元アドレスAと異なる場合に、通信メッセージ102を破棄するよう更に構成される。プロセッサ107は、物理インタフェース101、FE0、上で受信されたIPメッセージに基づき適切なテーブル105を生成してよく、例えば図2に関して以下で説明するように、そのIPメッセージにおいて生存時間フィールドが1に設定される。物理インタフェース101、FE0は、通信メッセージ102を受信するよう構成された接続トランクを含み得る。適切なテーブル105は、物理インタフェース101、FE0と接続トランクとの組み合わせに関する、少なくとも1つの許可された送信元アドレスAを示し得る。
通信メッセージ102のメッセージ送信元アドレスXは、IP送信元アドレス及びポート番号を含み得る。適切なテーブル105は、物理インタフェース101、FE0と接続トランクとの組み合わせに関する、IP送信元アドレスとポート番号との許可された組み合わせを示し得る。通信メッセージ102のメッセージ送信元アドレスXは、ネットワークマスクと、最大伝送ユニットに関するバイト数と、スピード情報とを更に含み得る。適切なテーブル105は、物理インタフェース101、FE0と接続トランクとの組み合わせに関する、IP送信元アドレスと、ポート番号と、ネットワークマスクと、最大伝送ユニットに関するバイト数と、スピード情報との許可された組み合わせを示し得る。
プロセッサ107は、そのメッセージ送信元アドレスXが通信ネットワークに入るよう動的に変更される有効な通信メッセージ102を許可すべく、適切なテーブル105を時間間隔ベースで更新し得る。プロセッサ107はOSI第2層検出に基づき、通信メッセージ102のメッセージ送信元アドレスXを取得するよう構成され得る。
プロセッサ107は通信メッセージ102のメッセージ送信元アドレスXが、少なくとも1つの許可された送信元アドレスAと異なるとき、通信メッセージ102を破棄する前にアラームを設定し得る。ネットワーク保護エンティティ100は適切なテーブル105に、構成可能な値を満たすための構成インタフェースを含み得る。ネットワーク保護エンティティ100は例えば、ゲートウェイ、ルータ、又はPEルータであり得る。
図1に示されているネットワーク保護エンティティ100は、動作モードで図示される。すなわち、1又は複数の通信メッセージ102は、送信元アドレスX及びポートPと共に物理インタフェース101、FE0に到着し、プロセッサ107は、通信メッセージ102の送信元アドレスX及びポート番号Pが、物理インタフェース101、FE0の識別子FE0及び接続トランクT1と一緒にストレージ103の適切なテーブル105内に記憶されているかどうかをチェックする。送信元アドレスX及びポートPが、インタフェースFE0と接続トランクT1とに関する許可されたエントリとしてテーブル内に記憶されている場合、通信メッセージ102は、通信ネットワーク(図1に図示せず、例えば図4を参照のこと)に入ることが許可され、そうでなければ通信メッセージ102は、通過することが許可されず破棄され得る。適切なテーブル105は、それぞれの物理インタフェース及び接続トランクに関して許可された複数の送信元アドレス及びポート番号、例えば物理インタフェースFE0と接続トランクT2とに関するポートP2を伴うアドレスB、又は物理インタフェースFE1と接続トランクT1とに関するポートP1を伴うアドレスCを含み得る。適切なテーブル105は、物理インタフェースごとに複数の物理インタフェース及び複数の接続トランク、例えば物理インタフェースFE0とトランクT1とに関する許可された送信元アドレスA及びポートP1と、物理インタフェースFE1とトランクT2とに関する許可された送信元アドレスB及びポートP2と、物理インタフェースFE1とトランクT1とに関する許可された送信元アドレスC及びポートP1と、物理インタフェースGE0とトランクT1とに関する許可された送信元アドレスD及びポートP3とを図1に描かれる一例として含み得る。
図1が、適切なテーブル105が存在しており、許可されたアドレス情報で満たされている、ネットワーク保護エンティティ100の動作モードを示す一方、図2は、適切なテーブル105を満たすための情報を、ネットワーク保護エンティティ100が得る構成モードを示す。
図2は、一実装形態による、構成モードで図1に示されたネットワーク保護エンティティ100を図示するブロック図を示す。図2に示されるネットワーク保護エンティティ100は、図1に示されるネットワーク保護エンティティ100と一致する。図2は、一例による、適切なテーブル105の例示的な構成を示す。例えばIPメッセージのヘッダ内にメッセージフィールドを含み、1と等しい生存時間を示す、例えばIPメッセージである、信頼メッセージ202が、物理インタフェース101に到着するとき、ネットワーク保護エンティティ100は、このメッセージが、例えばネクストホップルータ又はゲートウェイである、次のネットワーク要素、すなわち悪意のある攻撃者により破損されていない安全なネットワーク要素、から発生すると仮定する。それゆえ、この信頼メッセージ202のメッセージ送信元アドレスは、適切なテーブル105を満たすために使用され得る有効な送信元アドレスとして扱われる。
プロセッサ107は、TTLメッセージフィールドが信頼メッセージ202に含まれているかどうかをチェックし、そのような信頼関係が存在する場合に、信頼メッセージ202の送信元アドレスA及びポート番号P1は、物理インタフェース101の識別子FE0及び接続トランクT1と一緒に、適切なテーブル105内に記憶される。入ってくるメッセージがTTL=1を持つ場合、それは破棄されるだろう。これは、受信ノードがTTL値から1を取り出し、これ以上転送できないために破棄されるだろう。
代替的に、メッセージ202が安全なネットワーク要素から発生するかどうかをチェックするために、他の信頼関係が適用され得る。例えば、ネットワーク構成が知られている場合、2と等しいかそれより高い値であるTTLでさえ使用され得る。例えば、メッセージが、例えばインターネットのような非匿名性のネットワークにおいてたくさんのルータを通過する場合、TTL値は、メッセージが物理インタフェース101に到達する前に通過しなければならない既知のネットワーク要素の数増やされ得る。TTLフィールドの代わりに、通信メッセージからの他のメッセージフィールドが使用され得、これらは例えばタイムスタンプ又はシーケンス番号などに基づき操作できない信頼関係を提供する。
図3は一実装形態による、ネットワーク保護エンティティの実装としてゲートウェイ300の3次元図を示す。ゲートウェイ300は、図1及び図2に関して上述されたようなネットワーク保護エンティティ100の一例示的な実装例である。他の例は、PEルータ及びネットワークのエッジでルーティング機能性を有する他のネットワークエンティティである。図3に示す例示的なゲートウェイ300は、2つの高速イーサネット(登録商標)インタフェースFE0 310、FE1 311と、第1のタイプの4つのシリアルインタフェース0/0 320、0/1 321、0/2 322、0/3 323と、第2のタイプの4つのシリアルインタフェース1/0 330、1/1 331、1/2 332、1/3 333と、2つの管理インタフェース341、342とを含む。当然、任意の他のインタフェース構成が実装され得る。
通信ネットワークのゲートウェイ300は、そのインタフェース及びトランク上に到着するメッセージの、ポートを伴うIPアドレス上で独自のインテリジェンスを収集することから開始する。例えばTTL=1メッセージを通じて開示されている、これらの詳細は、テーブル内に記憶され、将来の比較のために時間間隔でテーブル内で更新される。各パケットは、ゲートウェイに入る途中で特定のIPアドレス及びポートと照らし合わせてチェックされる。これは、OSI第2層上のインタフェースとトランクにおいて変換される。
例えば、メッセージ送信元アドレスフィールド「142.213.32.1 1000 1500 80」は、速度1.000MB/秒と、1.500バイトの最大伝送ユニット(MTU)と、ポート80とを有するIPv4アドレス142.213.32.1 255.255.255.252及び142.213.32.1/30をそれぞれ表し得る。
例示的な表現「FE0/9アクセスアップ」は、アップストリーム方向におけるインタフェース高速イーサネット(登録商標)0/9を表し得る。エントリ「FE0/22 trunk」又は「channel−group 22 mode」は、チャネルグループ22とも呼ばれる22番目のトランクを表し得る。
これらのパラメータが、特定のIPアドレス及びポートと一緒にデータベース及びゲートウェイ(若しくはPEルータ)のテーブルにそれぞれ設定される場合、いかなる未確認IPアドレス及びポート番号は、間違ったインタフェース及び/又はトランク上からそれらが入ってくるかもしれないので、アクセスが許可されない。
図4は、一実装形態による、ネットワーク保護エンティティ100により不正メッセージから保護されるホーム通信ネットワークを有する通信システム400を図示するブロック図を示す。
通信システム400は、ホーム通信ネットワーク420(例えばHPLMN(ホーム公衆移動通信ネットワーク)及びホームISP(インターネットサービスプロバイダ))を含み、これは、ネットワーク保護エンティティ(例えば図1から図3に関して上述されたデバイス100(例えばゲートウェイ又はルータ))によって、ワールドワイドウェブ410に、又は他の移送通信ネットワークに結合される。複数の外国のインターネットサービスプロバイダ(ISP)ネットワーク402a、402b、402c、402xは、対応するゲートウェイ404a、404b、404c、404xによって、通信ネットワーク420との通信をイネーブルにするためのワールドワイドウェブ410に結合される。外国のインターネットサービスプロバイダ(ISP)ネットワーク402a、402b、402c、402xの各々は、複数のクライアント端末を含む。図4において、第1の外国のインターネットサービスプロバイダ(ISP)ネットワーク402aは、クライアント端末403a、405a、407aを含み、第2の外国のインターネットサービスプロバイダ(ISP)ネットワーク402bは、クライアント端末403b、405b、407bを含み、第3の外国のインターネットサービスプロバイダ(ISP)ネットワーク402cは、クライアント端末403c、405c、407cを含み、第4の外国のインターネットサービスプロバイダ(ISP)ネットワーク402xは、クライアント端末403x、405x、407xを含む。しかしながら、任意の他の数の外国のインターネットサービスプロバイダ(ISP)ネットワーク及び任意の他の数の対応するクライアント端末を適用することができる。
通信システム400において、1つの端子、例えば端子407xは、悪意のある攻撃者を表す。攻撃者は、IPパケットストリング内において、損傷を与えるコンテンツを有する不正メッセージ430を、(例示的な)偽装IPアドレス173.1.121.98と(例示的な)ポート番号253とのもと、ホーム通信ネットワーク420の利用者に(すなわち、クライアント端末423、425、427、429のうちの1つの送信先アドレスに)送信している。不正メッセージ430は、ワールドワイドウェブ410を通過して、不正メッセージ430を受信するネットワーク保護エンティティ100に移送される。
図1から図3に関して上述されたネットワーク保護エンティティ100の構成に起因して、IPパケットは、偽装IP173.1.121.98とポート番号253とのもと、間違ったインタフェースとトランク(すなわち、IPアドレスとポート番号と(173.1.121.98/31 253)が適切なテーブル内に記憶されていないインタフェースとトランクとの組み合わせ)上のネットワーク保護エンティティ100に到着する。結果として、不正メッセージ430はドロップされ、ホーム通信ネットワーク420に入らない。
例示的な一実装において、ネットワーク保護エンティティ100の適切なテーブルは、「142.213.32.1 1000 1500 80」のもと、channel group 22 trunkを伴うインタフェースFE0/9上に到達するIPv4ストリングを含み得る。同一のトランクを伴う同じインタフェースはまた、他の多数のIPアドレス及びポートを表わしてよい。しかしながら、ポートを伴うIPアドレスの全てが、全てのインタフェース及びトランク上で平衡負荷になるべく、同一マッピングを所有するわけではない。
ホーム通信ネットワーク420のクライアント端末に向かって悪意のあるコンテンツを送出した当事者により使用された、未確認又は偽装IPv4アドレスIP173.1.121.98及びポート番号253は、インターネット410からインタフェースFE0/9及び22番目のトランクを通じて、ネットワーク保護エンティティ100(例えばゲートウェイ)に到着するだろう。これらはそのデータベース、すなわちポート253を伴うIP173.1.121.98に関する適切なテーブル内に記憶された値ではない。パケットが、間違ったインタフェース及び/又はトランクに到着すると、ネットワーク保護エンティティ100又はゲートウェイは、パケット430をドロップする。上述されたように、正しいIPアドレス及びポートは、ポート番号80を伴う142.213.32.1であり得るが、ポート番号253を伴う偽装173.1.121.98のもと送られたものではあり得ない。
図5は、一実装形態による、通信ネットワークを不正メッセージから保護するための方法500を図示する概略図を示す。
方法500は、例えば図1及び図2に関して上述された物理インタフェース101、又は図3に関して上述された物理インタフェース310、311、320、321、322、323、330、331、332、333である、物理インタフェース上で、通信メッセージを受信する段階501を含む。通信メッセージは、メッセージ送信元アドレス、例えば図1に関して上述されたメッセージ送信元アドレスXと、ポート番号、例えば図1に関して上述されたポート番号Pとを含む。方法500は更に、適切なテーブル、例えば図1及び図2に関して上述された適切なテーブル105を提供する段階502を含み、適切なテーブルは、物理インタフェースとトランクとに関する専用送信元アドレスと専用接続トランクとを示し、本明細書で説明したように、適切なテーブルからのその特定の(すなわち専用の)ポートを含む専用送信元アドレスを取得して、メッセージ送信元アドレス及びポートを、専用送信元アドレス及び専用接続トランクと比較する段階503を含み、メッセージ送信元アドレスが専用送信元アドレスと異なる場合に、又はポート番号が専用ポート番号と異なる場合にメッセージを破棄する段階504、を含む。
方法500は、物理インタフェース及びトランク上で送出されたIPメッセージに基づき適切なテーブルを提供する段階502を含み得、例えば図2に関して上述されたように、そのIPメッセージにおいて生存時間フィールドが1に設定された。方法500は、例えば図1に関して上述されたように、物理インタフェースの接続トランク上で通信メッセージを受信する段階501と、物理インタフェースと接続トランクとの組み合わせに関する専用送信元アドレスを示す適切なテーブルを提供する段階502とを含み得る。方法500は、例えば図1、図2及び図4に関して上述されたように、通信メッセージ、IP送信元アドレスを含む通信メッセージのメッセージ送信元アドレス、及びポート番号を受信する段階502と、IP送信元アドレス及びポート番号が、物理インタフェースと接続トランクとの組み合わせに関するIP送信元アドレスとポート番号との許可された組み合わせと異なる場合に、通信メッセージを破棄する段階504とを含み得る。
本明細書に記載の方法、システム及びデバイスは、チップ、又は集積回路、又は特定用途向け集積回路(ASIC)内の電気及び/又は光回路として実装され得る。本発明は、デジタル及び/又はアナログ電子及び光回路において実装できる。
本明細書に記載の方法、システム及びデバイスは、デジタルシグナルプロセッサ(DSP)内、マイクロコントローラ内若しくは任意の他のサイドプロセッサの中のソフトウェアとして、又はデジタルシグナルプロセッサ(DSP)の特定用途向け集積回路(ASIC)内のハードウェア回路として実装され得る。
本発明は、デジタル電子回路内、又はコンピュータハードウェア、ファームウェア、ソフトウェアにて、又はそれらの組み合わせにて、例えば従来の光トランシーバデバイスの利用可能なハードウェアにて、又は本明細書に記載の方法を処理するための新規の専用ハードウェアにて実装できる。
本開示はまた、コンピュータ実行可能コード又はコンピュータ実行可能命令を含むコンピュータプログラム製品をサポートし、これは、実行されると、少なくとも1つのコンピュータに、本明細書に記載の行う段階及び計算する段階、具体的には図5に関して上述された方法500と、図1から図4に関して上述された技術とを実行させる。そのようなコンピュータプログラム製品は、その上にコンピュータによって使用されるためのプログラムコードを記憶する可読ストレージ媒体を含み得る。プログラムコードは、図5に関して上述されたような方法500を行い得る。以下は、本発明による特定の例に関する。
例1は、通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティであって、ネットワークを保護する要素は、以下を有する。通信メッセージを受信するための物理インタフェースに関連する接続トランクを有する物理インタフェースであって、通信メッセージは、メッセージ送信元アドレス及びポート番号を含み、通信メッセージは、通信ネットワーク内の送信先に宛てられる、物理インタフェースと、適切なテーブルを記憶するためのストレージであって、適切なテーブルは、物理インタフェースと関連する接続トランクとに関する専用送信元アドレス及び専用ポート番号を示すために適切である、ストレージと、専用送信元アドレス及び専用ポート番号をストレージから取得し、メッセージ送信元アドレスを専用送信元アドレスと、及びポート番号を専用ポート番号と比較するよう構成されるプロセッサであって、プロセッサは更に、メッセージ送信元アドレスが専用送信元アドレスと異なる、又はポート番号が専用ポート番号と異なるいずれかの場合に、通信メッセージを破棄するよう構成される、プロセッサ。
例2において、例1の主題は、プロセッサが、物理インタフェース上で送出されたIPメッセージに基づき適切なテーブルのコンテンツを生成するよう構成され、そのIPメッセージにおいて生存時間フィールドが1に設定されたことを任意選択的に含み得る。
例3において、例1−例2のうちの何れか1つの主題は、適切なテーブルが、物理インタフェースと関連する接続トランクとの組み合わせに関する専用送信元アドレス及び専用ポート番号を示すことを任意選択的に含み得る。
例4において、例3の主題は、適切なテーブルが、物理インタフェースと関連する接続トランクとの組み合わせに関するIP送信元アドレスとポート番号との許可された組み合わせを示すことを任意選択的に含み得る。
例5において、例4の主題は、通信メッセージのメッセージ送信元アドレス及び関連するポート番号が、ネットワークマスクと、最大伝送ユニットに関するバイト数と、スピード情報とを更に有することと、適切なテーブルが、物理インタフェースと関連する接続トランクとの組み合わせに関するIP送信元アドレス及びポート番号の許可された組み合わせを示すこととを任意選択的に含み得る。
例6において、例1−例5のうちの何れか1つの主題は、プロセッサが、メッセージ送信元アドレスが通信ネットワークに入るよう動的に変更される有効な通信メッセージを許可すべく、適切なテーブルを時間間隔ベースで更新するよう構成されることを任意選択的に含み得る。
例7において、例1−例6のうちの何れか1つの主題は、プロセッサが、OSI第2層検出に基づき通信メッセージのメッセージ送信元アドレス及びポート番号を取得するよう構成されることを任意選択的に含み得る。
例8において、例1−例7のうちの何れか1つの主題は、プロセッサが、通信メッセージのメッセージ送信元アドレスが専用送信元アドレスと異なるとき、又は通信メッセージのポート番号が専用ポート番号と異なるときに、通信メッセージを破棄する前にアラームを設定するよう更に構成されることを任意選択的に含み得る。
例9において、例1−例8のうちの何れか1つの主題は、適切なテーブルを、構成可能な値で満たすための構成インタフェースを任意選択的に含み得る。
例10において、例1−例9のうちの何れか1つの主題は、ネットワーク保護エンティティがゲートウェイ及びルータのうちの1つであり、具体的にはプロバイダエッジルータであることを任意選択的に含み得る。
例11は、通信ネットワークを不正メッセージから保護するための方法であって、方法は、以下を有する。物理インタフェースの接続トランク上で通信メッセージを受信する段階であって、通信メッセージは、メッセージ送信元アドレス及びポート番号を含み、通信メッセージは、通信ネットワーク内の送信先に宛てられる、受信する段階と、適切なテーブルを提供する段階であって、適切なテーブルは、物理インタフェースと接続トランクとに関する専用送信元アドレス及び専用ポート番号を示すために適切である、提供する段階と、専用送信元アドレス及び専用ポート番号をストレージから取得し、メッセージ送信元アドレスを専用送信元アドレスと、及びポート番号を専用ポート番号と比較する段階と、メッセージ送信元アドレスが専用送信元アドレスと異なる、又はポート番号が専用ポート番号と異なるいずれかの場合に、通信メッセージを破棄する段階。
例12において、例11の主題は、物理インタフェース上で送出されたIPメッセージに基づき適切なテーブルを提供することを有し、そのIPメッセージにおいて生存時間フィールドが1に設定された段階を任意選択的に含み得る。
例13において、例11−例12のうちのいずれか1つの主題は、物理インタフェースと接続トランクとの組み合わせに関する専用送信元アドレス及び専用ポート番号を示す適切なテーブルを提供する段階を任意選択的に含み得る。
例14において、例13の主題は、通信メッセージ、IP送信元アドレスを含む通信メッセージのメッセージ送信元アドレス及びポート番号を受信する段階と、IP送信元アドレス及びポート番号が、物理インタフェースと接続トランクとの組み合わせに関するIP送信元アドレスとポート番号との許可された組み合わせと異なる場合に、通信メッセージを破棄する段階とを任意選択的に含み得る。
例15は、コンピュータ上で動作するときに、例11−例14のうちの何れか1つによる方法を実行するためのプログラムコードを有する、コンピュータプログラムである。
本開示の特定の特徴又は態様が、複数の実装のうちの1つだけに関して開示されてきたかもしれない一方、所与の又は特定の、任意の適用例に関して所望され有益となり得るので、そのような特徴又は態様は、他の実装の他の1又は複数の特徴又は態様と組み合わされてよい。更に、「含む」、「有する」、「共に」という用語又はそれらの他の変形が、詳細な説明又は特許請求の範囲のいずれかで用いられるという点で、そのような用語は、「備える」という用語と同様の態様で包括的であることが意図される。また、「例示的な(exemplary)」、「例えば(for example)」、及び「例えば(e.g.)」という用語は、最善例又は最適例であるよりもむしろ一例であることを意図しているにすぎない。「結合され」及び「接続され」という用語が、派生語とともに用いられていてよい。これらの用語は、2つの要素が、物理的若しくは電気的に直接接触しているか、又は互いに直接接触していないかに関わらず、互いに協働又は相互作用することを示すために用いられていてよいことを理解されるべきである。
具体的な態様が本明細書で図示され説明されてきたが、当業者であれば、様々な代替的及び/又は等価的実装が、本開示の範囲から逸脱することなく、示されて説明されている具体的な態様の代わりとなる得ることを認識するだろう。本出願は、本明細書で議論された具体的な態様のいかなる適応又は変形を包含することを意図する。
以下の特許請求の範囲における要素は、特定の順序で対応する標識と共に記述されるが、請求項の記述が、これらの要素のいくつか又は全てを実装するための特定の順序を別段に暗示しない限り、これらの要素は、その特定の順序で実装されるよう限定されることを必ずしも意図されない。
多くの代替物、修正、及び変形が、上記の教示を考慮して当業者に明らかとなるだろう。当然、本発明の多数の適用例が、本明細書に記載されているものを超えて存在することを当業者であれば容易に認知する。本発明が1又は複数の特定の実施形態を参照して説明されてきた一方、本発明の範囲から逸脱することなく、多くの変更がそれらに対してなされてよいことを当業者であれば認知する。従って添付の特許請求の範囲及びそれらの等価物の範囲内で、本発明は、具体的に本明細書に記載されているものとは異なる方法で実施されてよいことを理解されたい。

Claims (13)

  1. 通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティであって、前記通信ネットワークを保護する要素は、
    通信メッセージを受信するための物理インタフェースに関連する接続トランクを有する前記物理インタフェースであって、前記通信メッセージは、メッセージ送信元アドレス及びポート番号を含み、前記通信メッセージは、前記通信ネットワーク内の送信先に宛てられる、物理インタフェースと、
    適切なテーブルを記憶するためのストレージであって、前記適切なテーブルは、前記物理インタフェースと前記関連する接続トランクとに関する専用送信元アドレス及び専用ポート番号を示すために適切である、ストレージと、
    前記専用送信元アドレス及び前記専用ポート番号を前記ストレージから取得し、前記メッセージ送信元アドレスを前記専用送信元アドレスと、及び前記ポート番号を前記専用ポート番号と比較するプロセッサであって、前記プロセッサは更に、前記メッセージ送信元アドレスが前記専用送信元アドレスと異なる、又は前記ポート番号が前記専用ポート番号と異なるいずれかの場合に、前記通信メッセージを破棄する、プロセッサと、
    を備え、
    前記プロセッサは、前記物理インタフェース上で送出されたIPメッセージに基づき前記適切なテーブルのコンテンツを生成し、そのIPメッセージにおいて生存時間フィールドが1に設定されている、
    ットワーク保護エンティティ。
  2. 前記適切なテーブルは、前記物理インタフェースと前記関連する接続トランクとの組み合わせに関する前記専用送信元アドレス及び前記専用ポート番号を示す、請求項1に記載のネットワーク保護エンティティ。
  3. 前記適切なテーブルは、前記物理インタフェースと前記関連する接続トランクとの前記組み合わせに関するIP送信元アドレスとポート番号との許可された組み合わせを示す、請求項2に記載のネットワーク保護エンティティ。
  4. 前記適切なテーブルは、前記物理インタフェースと前記関連する接続トランクとの前記組み合わせに関するIP送信元アドレス及びポート番号の許可された組み合わせを示す、請求項3に記載のネットワーク保護エンティティ。
  5. 前記プロセッサは、そのメッセージ送信元アドレスが前記通信ネットワークに入るよう動的に変更される有効な通信メッセージを許可すべく、前記適切なテーブルを時間間隔ベースで更新する、請求項1から4の何れか一項に記載のネットワーク保護エンティティ。
  6. 前記プロセッサは、OSI第2層検出に基づき、前記通信メッセージの前記メッセージ送信元アドレス及び前記ポート番号を取得する、請求項1から5の何れか一項に記載のネットワーク保護エンティティ。
  7. 前記プロセッサは更に、前記通信メッセージの前記メッセージ送信元アドレスが、前記専用送信元アドレスと異なるときに、又は前記通信メッセージの前記ポート番号が、前記専用ポート番号と異なるときに、前記通信メッセージを破棄する前にアラームを設定する、請求項1から6の何れか一項に記載のネットワーク保護エンティティ。
  8. 前記適切なテーブルを、前記物理インタフェースと前記関連する接続トランクとの組み合わせに関する前記専用送信元アドレス及び前記専用ポート番号で満たすための構成インタフェースを備える、請求項1から7の何れか一項に記載のネットワーク保護エンティティ。
  9. 前記ネットワーク保護エンティティは、ゲートウェイ、ルタ又はプロバイダエッジルータである、請求項1から8の何れか一項に記載のネットワーク保護エンティティ。
  10. 通信ネットワークを不正メッセージから保護するための方法であって、
    物理インタフェースの接続トランク上で通信メッセージを受信する段階であって、前記通信メッセージは、メッセージ送信元アドレス及びポート番号を含み、前記通信メッセージは、前記通信ネットワーク内の送信先に宛てられる、受信する段階と、
    適切なテーブルを提供する段階であって、前記適切なテーブルは、前記物理インタフェースと前記接続トランクとに関する専用送信元アドレス及び専用ポート番号を示すために適切である、提供する段階と、
    前記専用送信元アドレス及び前記専用ポート番号をストレージから取得し、前記メッセージ送信元アドレスを前記専用送信元アドレスと、前記ポート番号を前記専用ポート番号と比較する段階と、
    前記メッセージ送信元アドレスが前記専用送信元アドレスと異なる、又は前記ポート番号が前記専用ポート番号と異なるいずれかの場合に、前記通信メッセージを破棄する段階と
    前記物理インタフェース上で送出されたIPメッセージに基づき前記適切なテーブルを提供する段階であって、そのIPメッセージにおいて生存時間フィールドが1に設定されている、段階と、
    備える、
    方法。
  11. 前記物理インタフェースと前記接続トランクとの組み合わせに関する前記専用送信元アドレス及び前記専用ポート番号を示す前記適切なテーブルを提供する段階を備える、請求項10に記載の方法。
  12. 前記通信メッセージ、IP送信元アドレスを含む前記通信メッセージの前記メッセージ送信元アドレス、ポート番号を受信する段階と、
    前記IP送信元アドレス及び前記ポート番号が、前記物理インタフェースと前記接続トランクとの組み合わせに関するIP送信元アドレスとポート番号との許可された組み合わせと異なる場合に、前記通信メッセージを破棄する段階とを備える、請求項11に記載の方法。
  13. コンピュータ上で動作されるとき、請求項10から12の何れか一項に記載の方法を実行するためのプログラムコードを備える、コンピュータプログラム。
JP2017544771A 2015-03-27 2016-02-24 通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティ及び方法 Expired - Fee Related JP6513819B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP15161362.7 2015-03-27
EP15161362.7A EP3073701B1 (en) 2015-03-27 2015-03-27 Network protection entity and method for protecting a communication network against fraud messages
PCT/EP2016/053827 WO2016155949A1 (en) 2015-03-27 2016-02-24 Network protection entity and method for protecting a communication network against fraud messages

Publications (2)

Publication Number Publication Date
JP2018509832A JP2018509832A (ja) 2018-04-05
JP6513819B2 true JP6513819B2 (ja) 2019-05-15

Family

ID=52813935

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017544771A Expired - Fee Related JP6513819B2 (ja) 2015-03-27 2016-02-24 通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティ及び方法

Country Status (13)

Country Link
US (1) US20180097776A1 (ja)
EP (2) EP3073701B1 (ja)
JP (1) JP6513819B2 (ja)
KR (1) KR20170131424A (ja)
CN (1) CN107431707A (ja)
CA (1) CA2980531A1 (ja)
DE (1) DE102016100692A1 (ja)
ES (1) ES2654165T3 (ja)
HR (1) HRP20171946T1 (ja)
HU (1) HUE035296T2 (ja)
NO (1) NO3073701T3 (ja)
PL (1) PL3073701T3 (ja)
WO (1) WO2016155949A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11070523B2 (en) * 2017-04-26 2021-07-20 National University Of Kaohsiung Digital data transmission system, device and method with an identity-masking mechanism
DE102019210226A1 (de) * 2019-07-10 2021-01-14 Robert Bosch Gmbh Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003025697A2 (en) * 2001-09-21 2003-03-27 Riverhead Networks Inc. Protecting network traffic against spoofed domain name system (dns) messages
CN100359885C (zh) * 2002-06-24 2008-01-02 武汉烽火网络有限责任公司 以策略流方式转发数据的方法和数据转发设备
JP2007129283A (ja) * 2005-11-01 2007-05-24 Alaxala Networks Corp データ転送装置
US8051474B1 (en) * 2006-09-26 2011-11-01 Avaya Inc. Method and apparatus for identifying trusted sources based on access point
WO2011030490A1 (ja) * 2009-09-10 2011-03-17 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
US20120023593A1 (en) * 2010-07-26 2012-01-26 Puder George System and method for filtering internet content & blocking undesired websites by secure network appliance
JP5846221B2 (ja) * 2012-01-30 2016-01-20 日本電気株式会社 ネットワークシステム、及びトポロジー管理方法
CN103647716A (zh) * 2013-11-22 2014-03-19 上海斐讯数据通信技术有限公司 一种数据包快速转发方法及装置

Also Published As

Publication number Publication date
HUE035296T2 (en) 2018-05-02
KR20170131424A (ko) 2017-11-29
CN107431707A (zh) 2017-12-01
HRP20171946T1 (hr) 2018-01-26
NO3073701T3 (ja) 2018-03-03
CA2980531A1 (en) 2016-10-06
JP2018509832A (ja) 2018-04-05
EP3073701B1 (en) 2017-10-04
WO2016155949A1 (en) 2016-10-06
DE102016100692A1 (de) 2016-09-29
ES2654165T3 (es) 2018-02-12
US20180097776A1 (en) 2018-04-05
PL3073701T3 (pl) 2018-03-30
EP3275152A1 (en) 2018-01-31
EP3073701A1 (en) 2016-09-28

Similar Documents

Publication Publication Date Title
US10798055B2 (en) Detecting relayed communications
US7360245B1 (en) Method and system for filtering spoofed packets in a network
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
US9137139B2 (en) Sender-specific counter-based anti-replay for multicast traffic
US7647623B2 (en) Application layer ingress filtering
Mukaddam et al. IP spoofing detection using modified hop count
US8578468B1 (en) Multi-factor client authentication
WO2005107296A2 (en) Network security system
US9722919B2 (en) Tying data plane paths to a secure control plane
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
Yao et al. VASE: Filtering IP spoofing traffic with agility
US20130139246A1 (en) Transparent bridge device
Farinacci et al. Locator/ID Separation Protocol (LISP) Control-Plane
JP6513819B2 (ja) 通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティ及び方法
Shah et al. Security Issues in Next Generation IP and Migration Networks
EP3270569B1 (en) Network protection entity and method for protecting a communication network against malformed data packets
Kuhn et al. Practical interdomain routing security
Ammann Network forensic readiness: a bottom-up approach for IPv6 networks
Bahnasse et al. Security of Dynamic and Multipoint Virtual Private Network
Koskimäki Attack Resistant Services Delivery over the Internet
Farinacci et al. RFC 9301: Locator/ID Separation Protocol (LISP) Control Plane
ES2656058T3 (es) Procedimiento y red de telecomunicación para aumentar la seguridad en el intercambio de datos en modo de paquetes
Teku A study on the nature of ipv6 intrusions and the road map towards their detection & prevention
Neiman Hash stamp marking scheme for packet traceback
Shekhar et al. Countering IP Spoofing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171218

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190312

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190410

R150 Certificate of patent or registration of utility model

Ref document number: 6513819

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees