JP6896264B2 - 通信装置、通信方法、及びプログラム - Google Patents
通信装置、通信方法、及びプログラム Download PDFInfo
- Publication number
- JP6896264B2 JP6896264B2 JP2017002110A JP2017002110A JP6896264B2 JP 6896264 B2 JP6896264 B2 JP 6896264B2 JP 2017002110 A JP2017002110 A JP 2017002110A JP 2017002110 A JP2017002110 A JP 2017002110A JP 6896264 B2 JP6896264 B2 JP 6896264B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- flag
- reliability
- communication
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明の実施形態は、通信装置、通信方法、及びプログラムに関する。
従来、複数のノードを含んで構成されるネットワークにおける通信を、そのネットワークの管理者が定める通信規則に従って通信する通信装置が知られている。関連するOpenFlow(登録商標)という技術がある。OpenFlowでは、コントローラが各ノードのスイッチを一元管理する(特許文献1、非特許文献1参照)。
ところで、ネットワークに接続される機器やシステムに対するサイバー攻撃が増加し、地球規模での大きな脅威になっている。このようなサイバー攻撃を目的とするパケットには、接続経路の隠ぺい化を意図的に図ったものが多く含まれることが知られている。
ところで、ネットワークに接続される機器やシステムに対するサイバー攻撃が増加し、地球規模での大きな脅威になっている。このようなサイバー攻撃を目的とするパケットには、接続経路の隠ぺい化を意図的に図ったものが多く含まれることが知られている。
"OpenFlow Switch Specification Version 1.3.1,"The Open Networking Foundation,(2013),[online]、[平成28(2016)年1月7日検索]、インターネット〈https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf-specifications/openflow/openflow-spec-v1.3.1.pdf〉
しかしながら、接続経路が隠ぺい化されたパケットが、必ずしもサイバー攻撃を目的とするパケットとは限らない。ネットワークセキュリティを維持するために、接続経路が隠ぺい化されたパケットの全てを遮断することにより、それらを受信しないようにしてしまうと、例えば人権擁護関係のメール等、サイバー攻撃を目的とするものではないパケットまでも遮断してしまうことになる。
本発明が解決しようとする課題は、パケット通信におけるネットワークセキュリティ上のリスク度をより簡易な方法で受信者側へ通知する通信装置、通信方法、及びプログラムを提供することである。
上記目的を達成するため、本発明の一態様に係る通信装置は、パケットにより、ネットワークを介して通信する通信装置であって、前記通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納する格納部が、前記パケットのパケットヘッダの所定位置に設けられており、前記ネットワークから受信したパケットに付与されているアドレス情報がブラックリストに非該当であり、かつ匿名IPアドレスに該当している場合に、前記パケットの匿名性を示す所定値を前記信頼度情報の一部に設定し、前記信頼度情報に基づいて、当該パケットの信頼度が比較的高い又は当該パケットが匿名性を有することと、当該パケットのリスクが比較的高いことと、の内から1又は複数を選択し、前記1又は複数を選択した結果に基づいて当該パケットの前記信頼度情報を設定し、又は、前記1又は複数を選択した結果に基づいて前記信頼度が不明なパケットを選択して、前記選択されたパケットの前記信頼度情報を維持する信頼度情報設定手段を備える通信装置である。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、当該パケットに関する情報に基づいて、前記ネットワークにおける所定の信頼度基準を満たす送信元から送信されたパケットの前記信頼度情報を、当該パケットの信頼度が比較的高いことを示すように設定する。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、当該パケットに関する情報に基づいて、送信元又は宛先が隠ぺいされたパケットの前記信頼度情報の一部に、前記所定値を設定する。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、当該パケットに関する情報に基づいて、前記ネットワークにおける所定の信頼度基準から外れた送信元から送信されたパケット又は前記信頼度が不明な送信元から送信されたパケットの信頼度情報の一部が前記所定値でないパケット又は信頼できないネットワークから転送されてきたパケットの信頼度情報の一部が前記所定値ではないパケットの前記信頼度情報を、当該パケットのリスクが比較的高いことを示すように設定する。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、前記信頼度が不明な送信元から送信されたパケットの信頼度情報の一部が前記所定値であるパケット又は信頼できないネットワークから到来したパケットの信頼度情報の一部が前記所定値であるパケットの前記信頼度情報を維持する。
また、本発明の一態様に係る通信装置は、パケットにより、ネットワークを介して通信する通信装置であって、前記通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納する格納部が、前記パケットのパケットヘッダの所定位置に設けられており、信頼度が不明であることを示す所定値が格納部に格納されたパケットに対し、当該パケットの信頼度が比較的高いこと、当該パケットが匿名性を有すること、当該パケットのリスクが比較的高いこと、の内から1又は複数を選択して、前記選択の結果に基づいて当該パケットの前記信頼度情報を設定し、又は、前記選択の結果に基づいて前記信頼度が不明なパケットを選択して、前記選択されたパケットの前記信頼度情報を維持する信頼度情報設定手段を備え、前記パケットのパケットヘッダの所定位置は、IPv4パケットヘッダのサービス種別(Type of Service)フィールド内の予備ビットまたはIPv6パケットヘッダのトラフィッククラスフィールド内の予備ビットであり、前記信頼度情報設定手段は、前記パケットのパケットヘッダの所定位置に、パケットの信頼度情報とリスク情報の双方を含む属性を識別するためのフラグを前記信頼度情報として設定し、前記フラグが設定されてから前記パケットを前記ネットワークに送信する通信装置である。
また、本発明の一態様に係る通信装置において、前記信頼度情報には、信頼度が不明なパケット、信頼度が高いパケット、送信元又は宛先を隠ぺいしたパケット、及び明白な不正なパケットのうちの少なくとも何れかに対応付けられた情報が含まれる。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、前記信頼度が不明なパケットの前記信頼度情報を維持する。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、前記信頼度が高いパケットの前記信頼度情報を、当該パケットの前記信頼度が高いことを示す第1の所定の情報に変更する。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、前記送信元又は宛先を隠ぺい又は詐称したパケットの前記信頼度情報を、前記送信元又は宛先の匿名性を示す第2の所定の情報に変更する。
また、本発明の一態様に係る通信装置において、前記明白な不正なパケットは、前記信頼度情報が規定外の情報に設定されているパケット、所定の認証条件を満たしていないパケット、及び、前記パケットの信頼度が補償されない通信経路を経て到来したものであると判定されたパケットのうちの何れかであって、前記信頼度情報設定手段は、前記明白な不正なパケットの前記信頼度情報を、当該パケットが前記明白な不正なパケットであることを示す第3の所定の情報に変更する。
また、本発明の一態様に係る通信装置において、前記格納部には、前記通信によるネットワークセキュリティ上のリスクが比較的低いパケットであることを示す認証フラグと、前記リスクが比較的高いパケットであることを示すリスクフラグの少なくとも何れかのフラグが前記信頼度情報を示すものとして設けられ、前記信頼度情報設定手段は、前記認証フラグが設けられているパケットであって所定の信頼度基準を満たした送信元から送信されたパケットに対しては前記リスクが比較的低いことを示すように前記認証フラグを設定し、前記リスクフラグが設けられているパケットであって送信元又は宛先を隠ぺい又は詐称したパケット又は信頼度が不明なパケットに対しては前記リスクが比較的高いことを示すように前記リスクフラグを設定する。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、前記認証フラグとして、通信の接続要求元が認証されていること又は接続要求元が検疫されていることを示す第1フラグが設けられ、通信の接続要求に対する判定の結果により前記第1フラグの状態を設定する第1フラグ設定手段を含む。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、前記リスクフラグとして、接続経路を隠ぺいするように前記パケットの送信元IPアドレス又は宛先IPアドレスが設定されたパケットであることを示す第2フラグを当該パケットに設定する第2フラグ設定手段を含む。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、前記通信がメール又はメッセージを送るものである場合には、前記リスクフラグとして、前記通信の送信元メールアドレスと、宛先メールアドレスと、電話番号との何れかが隠ぺい化、匿名化、又は詐称されたものであることを示す第3フラグを当該パケットに設定する第3フラグ設定手段を含む。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、所定の判定基準に基づいた前記リスクの有無についての判定を含む所定の手続きにより、前記パケットの送信元IPアドレスの詐称の有無を検査し、前記判定の結果により、前記リスクフラグとして、前記送信元IPアドレスが詐称されたもの又は不正なものであることを示す第4フラグを当該パケットに設定する第4フラグ設定手段を含む。
また、本発明の一態様に係る通信装置は、受信したパケットのパケットヘッダに前記リスクが比較的低いことを示すように前記認証フラグが設定されたパケットを選択的に受信するパケット受信手段を備える。
また、本発明の一態様に係る通信装置は、受信したパケットのパケットヘッダに前記リスクが比較的低いことを示すように前記認証フラグが設定されていないパケットと、前記リスクが比較的高いことを示すように前記リスクフラグが設定されたパケットの一方又は両方を選択的に検査するパケット検査手段を備える。
また、本発明の一態様に係る通信装置は、受信したパケットのパケットヘッダに前記リスクが比較的高いことを示すように前記リスクフラグが設定されたパケットを廃棄するか、又は、特定のポートから出力するように制御する手段を備える。
また、本発明の一態様に係る通信装置において、前記リスクフラグは、前記パケットヘッダにおけるビット配列上の特定の位置に配置され、前記信頼度情報設定手段は、接続経路を隠ぺいするように前記パケットの送信元IPアドレス又は宛先IPアドレスが設定されたパケットである場合と、前記通信がメール又はメッセージを送るものであって、前記通信の送信元メールアドレス、宛先メールアドレス、又は、送信元アカウント名、宛先アカウント名、又は、電話番号、又は送信元URL(Uniform Resource Locator)、宛先URL、又は、送信元URI(Uniform Resource Identifier)、宛先URI、又は、宛先URN(Uniform Resource Name)、送信元URN、又は、送信元ドメイン名、宛先ドメイン名、又は、送信元FQDN(Fully Qualified Domain Name)、宛先FQDNが隠ぺい化、匿名化、又は、詐称されたものである場合と、前記パケットの送信元IPアドレスが詐称されたもの又は不正なものである場合と、のうちの何れかの場合に該当する場合にセットする。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段は、受信した第1パケットから、当該第1パケットの前記認証フラグと前記リスクフラグとを抽出し、当該受信した第1パケットをトンネリングさせる通信の第2パケットのパケットヘッダ、当該受信した第1パケットを分割して送信する第2パケットのパケットヘッダ、当該受信した第1パケットを暗号化して送信する第2パケットのパケットヘッダ、又は、当該受信した第1パケットの上位レイヤの情報を転送する際に生成されるパケットのパケットヘッダに設けられた認証フラグとリスクフラグにそれぞれ反映させる。
また、本発明の一態様に係る通信装置において、前記信頼度情報が、IPv4(Internet Protocol version 4)パケットヘッダのサービス種別(Type of Service)フィールド内に割り当てられている。
また、本発明の一態様に係る通信装置において、前記信頼度情報が、IPv6(Internet Protocol version 6)パケットヘッダのトラフィッククラスフィールド内に割り当てられている。
また、本発明の一態様に係る通信装置において、前記信頼度情報設定手段によって前記1又は複数を選択した結果に基づいて当該パケットの前記信頼度情報が設定されるまでの前記信頼度情報の値は、前記信頼度が不明であることを示す値に決定されている。
また、本発明の一態様に係る通信方法は、パケットにより、ネットワークを介して通信する通信方法であって、前記通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納する格納部が、前記パケットのパケットヘッダの所定位置に設けられており、前記ネットワークから受信したパケットに付与されているアドレス情報がブラックリストに非該当であり、かつ匿名IPアドレスに該当している場合に、前記パケットの匿名性を示す所定値を前記信頼度情報の一部に設定し、前記信頼度情報に基づいて、当該パケットの信頼度が比較的高い又は当該パケットが匿名性を有することと、当該パケットのリスクが比較的高いことと、の内から1又は複数を選択し、前記1又は複数を選択した結果に基づいて当該パケットの前記信頼度情報を設定し、又は、前記1又は複数を選択した結果に基づいて前記信頼度が不明なパケットを選択して、前記選択されたパケットの前記信頼度情報を維持する、通信方法である。
また、本発明の一態様に係るプログラムは、パケットにより、ネットワークを介して通信する通信装置のコンピュータに、前記通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納する格納部が、前記パケットのパケットヘッダの所定位置に設けられており、前記ネットワークから受信したパケットに付与されているアドレス情報がブラックリストに非該当であり、かつ匿名IPアドレスに該当している場合に、前記パケットの匿名性を示す所定値を前記信頼度情報の一部に設定するステップと、前記信頼度情報に基づいて、当該パケットの信頼度が比較的高い又は当該パケットが匿名性を有することと、当該パケットのリスクが比較的高いことと、の内から1又は複数を選択するステップと、前記1又は複数を選択した結果に基づいて当該パケットの前記信頼度情報を設定するステップ、又は、前記1又は複数を選択した結果に基づいて前記信頼度が不明なパケットを選択して、前記選択されたパケットの前記信頼度情報を維持するステップと、を実行させるためのプログラムである。
本発明の一態様によれば、パケット通信におけるネットワークセキュリティ上のリスク度をより簡易な方法で受信者側へ通知する通信装置、通信方法、及びプログラムを提供することができる。
以下、図面を参照し、本発明の通信装置、通信方法、及びプログラムの実施形態について説明する。
図1は、本実施形態の通信システム1の構成を示す図である。通信システム1は、ネットワークNW1を形成する。ネットワークNW1は、互いに通信を可能とする1又は複数の他のネットワークに接続されている。ネットワークNW2とネットワークNW3とネットワークNW4は、他のネットワークの一例である。以下の説明において、ネットワークNW1、ネットワークNW2、ネットワークNW3、ネットワークNW4等を総称してネットワークNWということがある。例えば、各ネットワークNWは、異なるISP(Internet Service Provider)等によって独立して管理されており、管理者が定める通信規則(ポリシー等)はそれぞれ異なるものとする。例えば、各ネットワークNWは、互いに接続されており、例えば、それぞれがインターネットの一部を構成する。
本実施形態の各通信システムにおいて、それぞれの通信規則を次の6つの規則に分けて規定する。
第1規則は、自通信システムにおいて通信することを許可しないものを、制限対象の通信として定める。例えば、通信システム1は、制限対象として定められた通信のパケットを、廃棄対象のパケットとして選択するための条件(「廃棄対象条件」)を、「廃棄対象情報」として管理する。通信システム1は、廃棄対象情報をリスト化したブラックリスト(「廃棄対象ブラックリスト」)又はテーブル化した「廃棄テーブル」を利用することにより、制限対象とする通信を規制する。通信システム1は、廃棄対象ブラックリスト、又は、廃棄テーブルを各装置の廃棄対象記憶部等にそれぞれ格納してもよい。制限対象には、各装置に共通するもの、装置毎に固有のものが含まれていてもよい。なお、上記及び以下の説明における「廃棄」には、当該パケットに付与されている宛先情報又は送信元情報の少なくともいずれかに基づく通信を制限する、又は宛先情報又は送信元情報の少なくともいずれかに基づく通信を許可しない、又は宛先情報の少なくともいずれかに基づく通信を遮断する、又は宛先情報の少なくともいずれかに基づく通信を遮断し特定のポートに出力するなどのケースも含まれるものとし、これらを纏めて単に「廃棄」という。
第1規則は、自通信システムにおいて通信することを許可しないものを、制限対象の通信として定める。例えば、通信システム1は、制限対象として定められた通信のパケットを、廃棄対象のパケットとして選択するための条件(「廃棄対象条件」)を、「廃棄対象情報」として管理する。通信システム1は、廃棄対象情報をリスト化したブラックリスト(「廃棄対象ブラックリスト」)又はテーブル化した「廃棄テーブル」を利用することにより、制限対象とする通信を規制する。通信システム1は、廃棄対象ブラックリスト、又は、廃棄テーブルを各装置の廃棄対象記憶部等にそれぞれ格納してもよい。制限対象には、各装置に共通するもの、装置毎に固有のものが含まれていてもよい。なお、上記及び以下の説明における「廃棄」には、当該パケットに付与されている宛先情報又は送信元情報の少なくともいずれかに基づく通信を制限する、又は宛先情報又は送信元情報の少なくともいずれかに基づく通信を許可しない、又は宛先情報の少なくともいずれかに基づく通信を遮断する、又は宛先情報の少なくともいずれかに基づく通信を遮断し特定のポートに出力するなどのケースも含まれるものとし、これらを纏めて単に「廃棄」という。
第2規則は、自通信システムにおいて通信することを許可する条件を定めるものである。例えば、通信システム1は、許可する通信によるパケットを選択する条件(「通信許可条件」)を、「通信許可情報」に纏めて管理する。通信システム1は、通信許可情報をリスト化したホワイトリスト(「通信許可ホワイトリスト」)又はテーブル化した「MLBテーブル」を利用することにより、許可する通信を抽出する。MLBテーブルの詳細については後述する。なお、「通信許可ホワイトリスト」はホワイトリストの一例である。
第3規則は、自通信システムにおける通信のパケットの転送先を決定する「ルーティング条件」を定めるものである。例えば、通信システム1は、ルーティング条件を、「ルーティング情報」として管理する。通信システム1は、「ルーティング情報」をテーブル化した「ルーティングテーブル」を利用して、通信を制御する。
第4規則は、自通信システムにおいて、通信相手として許可するものを限定する条件を定めるものである。例えば、通信システム1は、限定した通信相手からのパケットを選択する条件(「通信相手許可条件」)を、「通信相手許可情報」に纏めて管理する。通信システム1は、通信相手許可情報をリスト化したホワイトリスト(「通信相手許可ホワイトリスト」)又はテーブル化した「QoSテーブル」を利用することにより、限定した通信相手を抽出する。QoSテーブルの詳細については後述する。なお、「通信相手許可ホワイトリスト」はホワイトリストの一例である。
第5規則は、通信によるネットワークセキュリティ上のリスクが比較的低いパケットであることを、当該パケットに明示して通信するための条件を定めるものである。
例えば、ネットワークセキュリティ上の信頼度に関する要求レベルが、通信システム1における所定の信頼度基準として規定される。通信システム1は、上記の所定の信頼度基準を満たす送信元を選択するための条件(「認証済送信元条件」)を、「認証済送信元情報」に纏めて管理することにより、通信によるネットワークセキュリティ上のリスクが比較的低いことを検出してもよい。パケットを送信した送信端末又は送信エンティティは、送信元の一例である。認証済送信元情報には、パケットを送信した送信端末又は送信エンティティを特定するための情報が含まれる。
上記の場合、通信システム1は、認証済送信元情報に基づいてパケットの送信元を判定することにより、上記の所定の信頼度基準を満たすと判定される送信元から送信されたパケットを特定し、当該パケットについては、ネットワークセキュリティ上のリスクが比較的低いと判定する。その判定の結果は、当該パケットの信頼度情報の一例である。通信システム1は、その判定の結果を、認証フラグF1又は特定のコードなどを用いて示すことにより、リスクが比較的低いパケットであることを管理可能にする。つまり、通信システム1は、その判定の結果に基づいて、認証フラグF1又は特定のコードなどを用いて、信頼度が比較的高いパケットであることを管理可能にする。本実施形態では、後述する認証フラグF1などのフラグを利用して、信頼度情報をそのフラグに対応付ける事例について説明する。通信システム1は、送信元が所定の信頼度基準を満たすものであるか否かの判定を、通信の接続要求時の認証処理、又は、検疫処理により実施してもよい。その場合、上記の処理の結果に基づいて、通信システム1は、例えば、認証フラグF1の状態を決定し、当該パケットの認証フラグF1を設定する。
なお、上記の判定が実施されて、その判定結果に対応するフラグがパケットにセットされることにより、当該パケットを中継する装置又は受信装置は、上記の場合に当たるか否かの判定を、上記の「認証フラグF1」の状態の判定に代えることができる。「認証フラグF1」を当該パケットに付与する具体的な方法については後述する。
第6規則は、通信によるネットワークセキュリティ上のリスクが比較的高いパケットであることを、当該パケットに明示して通信するための条件を定めるものである。
例えば、通信システム1は、送信元又は宛先を隠ぺい又は詐称したパケットを検出するためのアドレス情報又はメールアドレス情報又はアカウント情報又は電話番号又はURL(Uniform Resource Locator)又はURI(Uniform Resource Identifier)又はURN(Uniform Resource Name)又はドメイン名又はFQDN(Fully Qualified Domain Name)を纏めて管理することにより、通信によるネットワークセキュリティ上のリスクがある又はリスクが比較的高いことを検出してもよい。通信システム1は、送信元又は宛先を隠ぺい又は詐称したパケットを検出するためのアドレス情報又はメールアドレス情報又はアカウント情報又は電話番号又はURL又はURI又はURN又はドメイン名又はFQDNをリスト化したリストを以下、アドレスリスト(「匿名アドレスリスト」)と総称し、「匿名アドレスリスト」を利用して、条件に該当するパケットを抽出する。「匿名アドレスリスト」の詳細については後述する。
上記の場合、通信システム1は、送信元又は宛先を隠ぺい又は詐称したパケットについては、ネットワークセキュリティ上のリスクがある又はリスクが比較的高いと判定し、その判定の結果から当該パケットが所定の信頼度基準を必ずしも満たすものではないことを、リスクフラグRFを用いて管理する。通信システム1は、送信元又は宛先を隠ぺい又は詐称したパケットであるか否かの判定を、外部から提供される情報に基づいて実施してもよい。その判定の結果に基づいて、通信システム1は、リスクフラグRFの状態を決定し、当該パケットのリスクフラグRFを設定する。なお、上記の判定の詳細については後述する。
上記の場合、通信システム1は、送信元又は宛先を隠ぺい又は詐称したパケットについては、ネットワークセキュリティ上のリスクがある又はリスクが比較的高いと判定し、その判定の結果から当該パケットが所定の信頼度基準を必ずしも満たすものではないことを、リスクフラグRFを用いて管理する。通信システム1は、送信元又は宛先を隠ぺい又は詐称したパケットであるか否かの判定を、外部から提供される情報に基づいて実施してもよい。その判定の結果に基づいて、通信システム1は、リスクフラグRFの状態を決定し、当該パケットのリスクフラグRFを設定する。なお、上記の判定の詳細については後述する。
上記の判定が実施されて、その判定結果に対応するフラグがパケットにセットされることにより、当該パケットを中継する装置又は受信装置は、上記の場合に当たるか否かの判定を、上記の「リスクフラグRF」の状態の判定に代えることができる。「リスクフラグRF」を当該パケットに付与する具体的な方法については後述する。
なお、上記の第5規則は、上記のホワイトリストとは異なり当該パケットの通信を奨励することを示すものではない。また、上記の第6規則は、上記のブラックリストとは異なり当該パケットの通信を制限すべきものであることを示すものではない。第5規則と第6規則はともに、所定の判定基準に則って判定した結果を当該パケットに示すことを規定するものである。このように規定され、判定の結果を示すフラグがパケットに設けられていることにより、そのフラグを参照することで、当該パケットを受信すべきものか否かを、受信者側の端末装置で判断することが可能になる。通信システム1では、受信者側の端末装置に、上記の判断の結果に基づいたパケットの処理を、受信者の指定に基づいて実施させる。これにより、通信システム1は、自律分散や自己責任などの特徴を有しているインターネット文化を維持しつつ、安心・安全なインターネット環境が実現するように支援する。
通信システム1は、上記の規則の一部又は全部を利用して、その通信を制御する。
なお、本実施形態の以下の説明において、第2規則の通信許可ホワイトリストと第4規則の通信相手許可ホワイトリストの双方を区別することなく説明する場合に、単に「ホワイトリスト」という。また、第2規則の通信許可情報と第3規則のルーティング情報と第4規則の通信相手許可情報の全部または一部を纏めて経路情報という。また、通信システム1において通信相手を限定して通信する特定の装置を対象装置と呼び、対象装置又は対象装置による通信の何れかを特定する情報を特定情報と呼ぶ。例えば、特定情報には、通信許可情報又は通信相手許可情報を生成するための情報が含まれる。
なお、特定の装置又は通信を識別するための情報を識別情報と呼ぶことがある。例えば、受信したパケットに付与された識別情報を取得する場合には、通信の階層のレイヤ1の識別子、レイヤ2(L2)アドレス、レイヤ3(L3)アドレス(IPアドレス)、及び、レイヤ4(L4)プロトコルのポート番号の一部又は全部を含む情報が識別情報に含まれる。また、特定の通信相手を特定する場合の識別情報には、各装置のIPアドレス又はURL(Uniform Resource Locator)などが含まれる。第3規則のルーティング情報は、上記の識別情報としての宛先IPアドレスによって規定される場合がある。
なお、本実施形態の以下の説明では、IPv4(Internet Protocol version 4)の場合を例示して説明するが、IPv6(Internet Protocol version 6)の場合も本実施形態に示す処理と同様の手法を適用することができる。
通信システム1は、eMLBR(egress Multi Layer Binding Router)11と、iMLBR(ingress MLBR)12と、bMLBR(border MLBR)13と、中継装置14と、管理ホスト15とを含む。以下の説明において、eMLBR11と、iMLBR12と、bMLBR13とを総称してMLBR10ということがある。各MLBR10は、通信システム1の通信ノードとして機能する。通信システム1は、複数のMLBR10によってネットワークNW1を構成する。ネットワークNW1内の各MLBR10間は、互いに直接的に接続されていてもよく、中継装置14等を介して接続されていてもよい。
通信システム1には、ユーザが操作する端末装置17、IoT(Internet of Things)等と総称される各種データ端末18などの端末が通信可能に接続される。例えば、端末装置17とデータ端末18は、eMLBR11等を介して、各端末からの要求等に起因する所望の通信を実施する。IoT等と総称される各種データ端末18は、対象装置の一例である。
管理ホスト15は、通信システム1における基本設定を行うとともに、各MLBR10の状態を監視させてもよい。さらに管理ホスト15は、連携サーバとして機能し、端末装置17などの認証と検疫を担うHRS(Home RADIUS Server)として機能させてもよい。また、管理ホスト15は、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)等により検出した通信履歴を記憶するように構成してもよい。また、管理ホスト15は、通信プロトコルを監視するプロトコルモニタとして機能してもよい。また、管理ホスト15は、特定の装置に対してポートスキャンを実施するように構成してもよい。
通信システム1と同様に、通信システム2は、ネットワークNW2を形成する。通信システム2は、eMLBR21と、iMLBR22と、bMLBR23と、管理装置25とを含む。また、通信システム3は、ネットワークNW3を形成する。通信システム3は、eMLBR31と、iMLBR32と、bMLBR33と、管理装置35とを含む。通信システム2におけるeMLBR21と、iMLBR22と、bMLBR23と、管理装置25、及び、通信システム3におけるeMLBR31と、iMLBR32と、bMLBR33と、管理装置35は、通信システム1のeMLBR11と、iMLBR12と、bMLBR13と、管理ホスト15にそれぞれ対応する。通信システム2のeMLBR21には、サーバ装置SVが接続されている。各通信システムに接続される装置は、図に示されたものに制限されることなく、適宜設けることができる。
通信システム4は、ネットワークNW4を形成する。通信システム4は、通信システム1とは異なり、MLBR10を含まずに、MLBR10とは異なるルータ等により構成される。以下の説明で、ネットワークNW4またはネットワークNW4のようにMLBR10とは異なるルータ等により構成されたネットワークのことを、比較例のネットワークと呼ぶことがある。
以下、通信システム1において、接続経路が隠ぺい化されたパケットを用いて実施される通信に対するネットワークセキュリティ対策の一例について説明する。以下に示す通信システム1は、送信端末が通信を許可すべき接続要求元として認証されている場合、又は上記の通信の接続要求元が検疫されている場合に適用されるものである。
(送信端末の認証)
通信を許可すべき接続要求元として送信端末を認証する認証方法として、端末装置の種別により異なる方法がとり得る。例えば、送信端末が汎用のパーソナルコンピュータなどであれば、その多くのものは、OS等の機能によりIEEE802.1X認証を利用できることが知られている。送信端末が汎用のものであれば、IEEE802.1X認証を利用することで、許容する通信の範囲を制限したり、送信元が認証済みであること示したりすることが可能になる。
これに対し、IoT機器については、IEEE802.1X認証を利用できないものがある。IEEE802.1X認証を利用できるIoT機器については、汎用の端末装置と同様にIEEE802.1X認証を適用できるが、IEEE802.1X認証を利用できないIoT機器については、汎用の端末装置と同様の手法を利用することができない。以下の説明で例示するIoT機器は、例えば、IEEE802.1X認証を利用できない通信端末装置の一例である。
通信を許可すべき接続要求元として送信端末を認証する認証方法として、端末装置の種別により異なる方法がとり得る。例えば、送信端末が汎用のパーソナルコンピュータなどであれば、その多くのものは、OS等の機能によりIEEE802.1X認証を利用できることが知られている。送信端末が汎用のものであれば、IEEE802.1X認証を利用することで、許容する通信の範囲を制限したり、送信元が認証済みであること示したりすることが可能になる。
これに対し、IoT機器については、IEEE802.1X認証を利用できないものがある。IEEE802.1X認証を利用できるIoT機器については、汎用の端末装置と同様にIEEE802.1X認証を適用できるが、IEEE802.1X認証を利用できないIoT機器については、汎用の端末装置と同様の手法を利用することができない。以下の説明で例示するIoT機器は、例えば、IEEE802.1X認証を利用できない通信端末装置の一例である。
そこで、通信システム1では、IoT機器については、下記のいずれかの方法で当該端末装置の認証を実施する。
第1の方法として、IoT機器の多くは特定の通信相手と通信することから、特定の通信相手に対して通信の接続を要求する端末装置を、正当なIoT機器として認証する。
第2の方法として、当該装置が送信する属性情報から、当該装置がIoT機器であることを判別する。例えば、当該装置のMACアドレスを上記の属性情報とし、その属性情報に基づいて、端末装置を、正当なIoT機器として認証してもよい。
第1の方法として、IoT機器の多くは特定の通信相手と通信することから、特定の通信相手に対して通信の接続を要求する端末装置を、正当なIoT機器として認証する。
第2の方法として、当該装置が送信する属性情報から、当該装置がIoT機器であることを判別する。例えば、当該装置のMACアドレスを上記の属性情報とし、その属性情報に基づいて、端末装置を、正当なIoT機器として認証してもよい。
通信システム1は、MLBR10が保持管理する物理ポート又は(セキュア)チャネルとMACアドレスとIPアドレスとの対応関係を管理する。例えば、通信システム1は、上記の対応関係を満足しないパケットについて、通信を許可しないものであると判定して廃棄する。なお、以下の説明における「パケット」には、当該パケットにレイヤ2でMACヘッダとトレーラを付加した所謂MACフレームなどのフレームも含まれるものとし、これらを纏めて単に「パケット」という。
(MLBR10)
通信システム1を構成するMLBR10には、複数のタイプがあり、互いに構成と用途が異なる。利用者ネットワーク側の出口(egress)に設置するeMLBR11と、ネットワークNW1の利用者側入口(ingress)端部(エッジ)に設置するiMLBR12と、他のネットワークとの境界(border)に配置するbMLBR13は、MLBR10の一例である。MLBR10の各タイプを上記のように配置することにより、例えば、外部のネットワークから大量の送信元IPアドレスを詐称するパケットが送り付けられても、bMLBR13等が経路表の逆行経路から外れた当該攻撃パケットを遮断する。さらに、bMLBR13等は、その処理を実施するに当たり送信元IPアドレス以外の情報を組み合わせて利用して、より正確に処理をする。例えば、送信元IPアドレス以外の情報には、攻撃パケットの廃棄を要請した端末装置17もしくは実際に攻撃された通信端末等のIPアドレス、TCP等のレイヤ4(L4)のポート番号、制御フラグ等が含まれていてもよい。
通信システム1を構成するMLBR10には、複数のタイプがあり、互いに構成と用途が異なる。利用者ネットワーク側の出口(egress)に設置するeMLBR11と、ネットワークNW1の利用者側入口(ingress)端部(エッジ)に設置するiMLBR12と、他のネットワークとの境界(border)に配置するbMLBR13は、MLBR10の一例である。MLBR10の各タイプを上記のように配置することにより、例えば、外部のネットワークから大量の送信元IPアドレスを詐称するパケットが送り付けられても、bMLBR13等が経路表の逆行経路から外れた当該攻撃パケットを遮断する。さらに、bMLBR13等は、その処理を実施するに当たり送信元IPアドレス以外の情報を組み合わせて利用して、より正確に処理をする。例えば、送信元IPアドレス以外の情報には、攻撃パケットの廃棄を要請した端末装置17もしくは実際に攻撃された通信端末等のIPアドレス、TCP等のレイヤ4(L4)のポート番号、制御フラグ等が含まれていてもよい。
図2を参照して、通信システム1における各MLBR10について説明する。図2は、通信システム1の構成例を示す図である。通信システム1におけるMLBR10の詳細について順に説明する。
(eMLBR11)
eMLBR11(通信装置)は、コントローラ111(制御部)と、IF部113と、IF部114と、スイッチ部112(転送部)と、記憶部115とを含む。コントローラ111と記憶部115の組み合わせは通信装置の一例である。
eMLBR11(通信装置)は、コントローラ111(制御部)と、IF部113と、IF部114と、スイッチ部112(転送部)と、記憶部115とを含む。コントローラ111と記憶部115の組み合わせは通信装置の一例である。
IF部113は、端末装置17又はデータ端末18とのインタフェースである。例えば、端末装置17又はデータ端末18と有線で通信する場合、IF部113は、通信回線が接続される物理ポートに対応させて設けられ、物理ポートを介して通信回線から取得したパケットをスイッチ部112に出力し、スイッチ部112により転送されたパケットを、物理ポートに接続される通信回線に出力する。また、例えば、端末装置17又はデータ端末18と無線で通信する場合、IF部113は、無線通信の(セキュア)チャネルに対応させて設けられ、特定の(セキュア)チャネルから取得したパケットをスイッチ部112に出力し、スイッチ部112により転送されたパケットを、特定の(セキュア)チャネルまたは有線の物理ポートに出力する。以下、物理ポートと(セキュア)チャネルを接続ポートと総称する。
IF部114は、他のMLBR10等と通信する際のインタフェースである。例えば、IF部114は、通信回線が接続される物理ポートに対応させて設けられ、物理ポートを介して通信回線から取得したパケットをスイッチ部112に出力する。また、スイッチ部112から転送されたパケットを、物理ポートに接続される通信回線に出力する。
スイッチ部112は、コントローラ111により設定された条件に基づいて、IF部113とIF部114とコントローラ111等の間でパケットを転送する。例えば、スイッチ部112は、プロトコルスタックのレイヤ2(L2)からレイヤ4(L4)までの各ヘッダ情報と物理ポートの識別情報などに基づいて、当該パケットの転送を制御する。パケットを転送する処理の詳細は後述する。
記憶部115は、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)、HDD(Hard Disk Drive)等の不揮発性の記憶装置と、RAM(Random Access Memory)レジスタ等の揮発性の記憶装置によって実現される。記憶部115は、eMLBR11を機能させるためのプログラム、スイッチ部112を制御するための複数のテーブル、通信履歴情報等を格納する。
例えば、第1記憶部1151と第2記憶部1152と第3記憶部1153と第4記憶部1154と第5記憶部1155と第6記憶部1156とは、上記の複数のテーブルを格納する記憶部の一例である。第1記憶部1151は、eMLBR11が受信した受信パケット(受信データ)の転送を制限する条件を定めた第1規則(廃棄対象ブラックリスト)を記憶する。受信パケットは、ヘッダ情報とデータ(受信データ)とを含んで構成される。第2記憶部1152は、受信パケットの転送を許可する条件を定めた第2規則(通信許可ホワイトリスト)を記憶する。第3記憶部1153は、パケットの転送先を決定するルーティング条件を定めた第3規則(ルーテイングテーブル、経路情報)を記憶する。第4記憶部1154は、限定した通信相手との通信のみを許可する条件を定めた第4規則(通信相手許可ホワイトリスト、経路情報)を記憶する。第5記憶部1155は、所定の信頼度基準を満たした送信元を選択する条件(認証済送信元情報)を定めた第5規則を記憶する。第6記憶部1156は、送信元又は宛先を隠ぺい又は詐称したパケットを検出するための条件(匿名アドレスリスト)を定めた第6規則を記憶する。
コントローラ111は、例えば、CPU(Central Processing Unit)等のプロセッサを有する。コントローラ111は、記憶部115に記憶されているプログラムにより、複数の物理ポートを有するスイッチ部112から得た情報と、記憶部115に記憶されている複数のテーブルの情報の少なくとも何れかの情報に基づいて、スイッチ部112を制御する。例えば、コントローラ111は、管理ホスト15から取得した各種情報、端末装置17又はデータ端末18からの要請などに基づいて、第1記憶部1151や第2記憶部1152、第3記憶部1153、第4記憶部1154、第5記憶部1155、第6記憶部1156を必要に応じて更新し、スイッチ部112の転送処理を変更する。より具体的には、後述するように、第1記憶部1151に格納された第1規則はスイッチ部112内の廃棄テーブル1121に、第2記憶部1152に格納された第2規則はスイッチ部112内のMLBテーブル1124に、第3記憶部1153に格納された第3規則はスイッチ部112内のルーティングテーブル1125に、第4規則はスイッチ部112内のQoSテーブル1126に、第5規則はスイッチ部112内のMLBテーブル1124に、第6規則はスイッチ部112内の匿名フラグ設定テーブル1127(第2フラグ設定手段)に、登録され、それぞれがパケットの転送を制御する。その際に、パケットヘッダの情報が各テーブルの機能により適宜変更される。
通信システム1における通信メッセージは、フレーム又はパケットとして通信される。フレーム又はパケットのヘッダ情報には、通信メッセージを含むフレーム又はパケットを識別する識別情報が付与される。
特定情報取得部1111は、スイッチ部112を介する通信において、通信相手を限定して通信するデータ端末18などの対象装置を特定する特定情報又はデータ端末18などの対象装置による通信を特定する特定情報の少なくとも何れかを取得する。特定情報の詳細は後述する。
識別情報取得部1112は、特定情報に基づいて特定される通信を識別する識別情報を取得する。識別情報取得部1112は、データ端末18からの通信要求に起因する認証処理、検疫処理、レイヤ3アドレスの割り当て処理の一部又は全部の処理の結果から、識別情報を取得してもよい。識別情報を取得する方法の詳細は後述する。
WL管理部1113は、通信を許可する条件を抽出し、ホワイトリストを生成して、その条件を管理する。このホワイトリストには、第2規則の通信許可ホワイトリストと第4規則の通信相手許可ホワイトリストの何れか一方又は両方が含まれる。
出力制御部1114は、複数の出力ポートを有するスイッチ部112の出力ポートを選択するためのルーティング情報を生成する。WL管理部1113と出力制御部1114についての詳細は後述する。
管理部1115は、識別情報取得部1112により取得された送信元の認証処理の結果、又は、検疫処理の結果を管理する。また、管理部1115は、それらの結果から、認証された送信元、又は、検疫処理の結果に異常が発見されなかったパケットの送信元に関する送信元認証情報を抽出して第5記憶部1155に書き込む。
また、管理部1115は、外部の装置から提供される「認証済送信元条件」などに関する情報を取得して、第5記憶部1155に書き込む。また、管理部1115は、外部の装置から提供される「匿名アドレスリスト」などに関する情報を取得して、第6記憶部1156に書き込む。
(iMLBR12)
iMLBR12は、コントローラ121と、IF部123と、IF部124と、スイッチ部122と、記憶部125とを含む。記憶部125が備える第1記憶部1251と第2記憶部1252と第3記憶部1253と第4記憶部1254と第5記憶部1255と第6記憶部1256とは、上記の複数のテーブルの一例である。第1記憶部1251は、iMLBR12が受信した受信パケット(受信データ)の転送を制限する条件を定めた第1規則(廃棄対象ブラックリスト)を記憶する。受信パケットは、ヘッダ情報とデータ(受信データ)とを含んで構成される。第2記憶部1252は、受信パケットの転送を許可する条件を定めた第2規則(通信許可ホワイトリスト)を記憶する。第3記憶部1253は、パケットの転送先を決定するルーティング条件を定めた第3規則(ルーテイングテーブル、経路情報)を記憶する。第4記憶部1254は、限定した通信相手との通信のみを許可する条件を定めた第4規則(通信相手許可ホワイトリスト、経路情報)を記憶する。第5記憶部1255は、「所定の信頼度基準を満たした送信元を選択する条件(認証済送信元情報)を定めた第5規則を記憶する。第6記憶部1256は、送信元又は宛先を隠ぺい又は詐称したパケットを検出するための条件(匿名アドレスリスト)を定めた第6規則を記憶する。
iMLBR12は、コントローラ121と、IF部123と、IF部124と、スイッチ部122と、記憶部125とを含む。記憶部125が備える第1記憶部1251と第2記憶部1252と第3記憶部1253と第4記憶部1254と第5記憶部1255と第6記憶部1256とは、上記の複数のテーブルの一例である。第1記憶部1251は、iMLBR12が受信した受信パケット(受信データ)の転送を制限する条件を定めた第1規則(廃棄対象ブラックリスト)を記憶する。受信パケットは、ヘッダ情報とデータ(受信データ)とを含んで構成される。第2記憶部1252は、受信パケットの転送を許可する条件を定めた第2規則(通信許可ホワイトリスト)を記憶する。第3記憶部1253は、パケットの転送先を決定するルーティング条件を定めた第3規則(ルーテイングテーブル、経路情報)を記憶する。第4記憶部1254は、限定した通信相手との通信のみを許可する条件を定めた第4規則(通信相手許可ホワイトリスト、経路情報)を記憶する。第5記憶部1255は、「所定の信頼度基準を満たした送信元を選択する条件(認証済送信元情報)を定めた第5規則を記憶する。第6記憶部1256は、送信元又は宛先を隠ぺい又は詐称したパケットを検出するための条件(匿名アドレスリスト)を定めた第6規則を記憶する。
第5規則に対応する認証済送信元情報は、MLBテーブル1224に登録された端末の中で、さらに所定の信頼度基準を満たしたもので、ホワイトリストに相当する。上記の所定の信頼度基準とは、例えば、IEEE802.1X認証や検疫に用いた所定の基準を示し、IoT装置を対象としたARPリフレクションなどの簡易認証の基準は適用させないものとする。
例えば、上記の所定の信頼度基準を満たすパケットであれば、認証フラグF1がeMLBR11によってセットされる。端末装置が勝手に認証フラグF1をセットしたパケットをeMLBR11またはiMLBR12に送信しても、これを受信したeMLBR11またはiMLBR12は、セットされていた認証フラグF1をリセットする。認証レベル又は検疫レベルをMLBテーブル1124に付加するか、認証・検疫テーブルとして別に設けてもよい。管理ホスト15は、各端末装置について定期的に再認証と再検疫を行い認証レベルと検疫レベル、並びに、認証・検疫テーブルを更新してもよい。
一方、匿名アドレスリストは、接続経路を隠ぺいしたIPアドレスや偽装したメールアドレス、偽装したアカウント又は偽装した電話番号又は偽装したURL又は偽装したURI又は偽装したURN又は偽装したドメイン名又は偽装したFQDNなどを持つパケットの識別に当たるものである。これに該当するパケットは、eMLBR11又はiMLBR12又はbMLBR13によってリスクフラグFRがセットされる。
コントローラ121は、例えば、CPU等のプロセッサ、揮発性又は不揮発性の記憶装置等を有する。コントローラ121は、記憶部125に記憶されているプログラムにより、複数の物理ポートを有するスイッチ部122から得た情報と、記憶部125に記憶されている複数のテーブルの情報の少なくとも何れかの情報に基づいて、スイッチ部122を制御する。例えば、コントローラ121は、管理ホスト15から取得した各種情報、端末装置17又はデータ端末18からの要請などに基づいて、第1記憶部1251や第2記憶部1252、第3記憶部1253、第4記憶部1254、第5記憶部1255、第6記憶部1256を必要に応じて更新し、スイッチ部122の転送処理を変更する。スイッチ部122は、各段のフローテーブルとして、廃棄テーブル1221、パケットタイプテーブル1222、SCOPEテーブル1223、MLBテーブル1224、ルーティングテーブル1225、QoSテーブル1226、及び匿名フラグ設定テーブル1227を備える。例えば、第1記憶部1251に格納された第1規則はスイッチ部122内の廃棄テーブル1221に、第2記憶部1252に格納された第2規則はスイッチ部122内のMLBテーブル1224に、第3記憶部1253に格納された第3規則はスイッチ部122内のルーティングテーブル1225に、第4規則はスイッチ部122内のQoSテーブル1226に、第5規則はスイッチ部122内のMLBテーブル1224に、第6規則はスイッチ部122内の匿名フラグ設定テーブル1227に、登録され、パケットの転送を制御する。
(bMLBR13)
bMLBR13は、コントローラ131と、IF部133と、IF部134と、スイッチ部132と、記憶部135とを含む。
記憶部135が備える第1記憶部1351と第2記憶部1352と第3記憶部1353と第4記憶部1354と第5記憶部1355と第6記憶部1356とは、上記の複数のテーブルの一例である。第1記憶部1351は、bMLBR13が受信した受信パケット(受信データ)の転送を制限する条件を定めた第1規則(廃棄対象ブラックリスト)を記憶する。受信パケットは、ヘッダ情報とデータ(受信データ)とを含んで構成される。第2記憶部1352は、受信パケットの転送を許可する条件を定めた第2規則(通信許可ホワイトリスト)を記憶する。第3記憶部1353は、パケットの転送先を決定するルーティング条件を定めた第3規則(ルーテイングテーブル、経路情報)を記憶する。第4記憶部1354は、限定した通信相手との通信のみを許可する条件を定めた第4規則(通信相手許可ホワイトリスト、経路情報)を記憶する。第5記憶部1355は、所定の信頼度基準を満たした送信元を選択する条件(認証済送信元情報)を定めた第5規則を記憶する。具体的には、相互認証したMLBR10が該当する。第6記憶部1356は、送信元又は宛先を隠ぺい又は詐称したパケットを検出するための条件(匿名アドレスリスト)を定めた第6規則を記憶する。
bMLBR13は、コントローラ131と、IF部133と、IF部134と、スイッチ部132と、記憶部135とを含む。
記憶部135が備える第1記憶部1351と第2記憶部1352と第3記憶部1353と第4記憶部1354と第5記憶部1355と第6記憶部1356とは、上記の複数のテーブルの一例である。第1記憶部1351は、bMLBR13が受信した受信パケット(受信データ)の転送を制限する条件を定めた第1規則(廃棄対象ブラックリスト)を記憶する。受信パケットは、ヘッダ情報とデータ(受信データ)とを含んで構成される。第2記憶部1352は、受信パケットの転送を許可する条件を定めた第2規則(通信許可ホワイトリスト)を記憶する。第3記憶部1353は、パケットの転送先を決定するルーティング条件を定めた第3規則(ルーテイングテーブル、経路情報)を記憶する。第4記憶部1354は、限定した通信相手との通信のみを許可する条件を定めた第4規則(通信相手許可ホワイトリスト、経路情報)を記憶する。第5記憶部1355は、所定の信頼度基準を満たした送信元を選択する条件(認証済送信元情報)を定めた第5規則を記憶する。具体的には、相互認証したMLBR10が該当する。第6記憶部1356は、送信元又は宛先を隠ぺい又は詐称したパケットを検出するための条件(匿名アドレスリスト)を定めた第6規則を記憶する。
コントローラ131は、例えば、CPU等のプロセッサ、揮発性又は不揮発性の記憶装置等を有する。コントローラ131は、記憶部135に記憶されているプログラムにより、複数の物理ポートを有するスイッチ部132から得た情報と、記憶部135に記憶されている複数のテーブルの情報の少なくとも何れかの情報に基づいて、スイッチ部132を制御する。例えば、コントローラ131は、管理ホスト15から取得した各種情報、端末装置17又はデータ端末18からの要請などに基づいて、第1記憶部1351や第2記憶部1352、第3記憶部1353、第4記憶部1354、第5記憶部1355、第6記憶部1356を必要に応じて更新し、スイッチ部132の転送処理を変更する。スイッチ部132は、各段のフローテーブルとして、廃棄テーブル1321、パケットタイプテーブル1322、SCOPEテーブル1323、MLBテーブル1324、ルーティングテーブル1325、QoSテーブル1326、及び匿名フラグ設定テーブル1327を備える。例えば、第1記憶部1351に格納された第1規則はスイッチ部132内の廃棄テーブル1321に、第2記憶部1352に格納された第2規則はスイッチ部132内のMLBテーブル1324に、第3記憶部1353に格納された第3規則はスイッチ部132内のルーティングテーブル1325に、第4規則はスイッチ部132内のQoSテーブル1326に、第5規則はスイッチ部132内のMLBテーブル1324に、第6規則はスイッチ部132内の匿名フラグ設定テーブル1227に、登録され、パケットの転送を制御する。
上記のとおり、各MLBR10は、それぞれコントローラとスイッチ部とを含む。MLBR10のコントローラは、他のMLBR10のコントローラから取得した情報等に基づいて、自装置のコントローラ及びスイッチ部をそれぞれ制御する。
(端末装置17)
図37は、本実施形態の端末装置17のハードウエア構成を示す図である。図37に示すように端末装置17は、CPU17Aと、ROM、EEPROM、HDDなどの不揮発性記憶装置17Bと、RAM、レジスタ等の揮発性記憶装置17Cと、キーボード、マウス、表示部などを含む入出力装置17Dと、eMLBR11等に接続される通信インタフェース17Eを備える。端末装置17は、所謂コンピュータであり、CPU17Aが実行するプログラムにより端末或いはサーバとして機能する。例えば、端末装置17は、パーソナルコンピュータ、タブレット等の汎用端末である。端末装置17のCPUは、プログラムの実行により、端末装置17を、IDS/IPSとして機能させてもよい。この場合、端末装置17は、端末装置17に実装したもしくは端末装置17が接続しているローカルエリアネットワークに接続されたIDS/IPSにより、所定の通信量又は頻度を超えて到来するパケットや、その振る舞いの異常さもしくは既知の攻撃パターン(シグネチャ)や既知の攻撃パターンから予測される未知の攻撃パターン、もしくは既知のマルウェアや既知のマルウェア等から予想されるマルウェア、既知のエクスプロイトコード(プログラムのセキュリティ上の脆弱性(セキュリティホール)を攻撃するために作成されたプログラムの総称)もしくは既知のエクスプロイトコードから予測される未知のエクスプロイトコードなどから攻撃パケットとして検出する。なお、上記の検出に当たり、ハニーポットを設置してもよい。ハニーポットとは、不正アクセスを行う攻撃パケットをおびき寄せ、攻撃をそらすためのおとりであり、ウイルスやワームの検体の入手、記録された操作ログ・通信ログなどから不正アクセスの手法や傾向の調査などに用いられるものである。例えば、端末装置17は、攻撃パケットを検出した場合に、ネットワークNW1への接続を遮断する。
eMLBR11は、ネットワークNW1における攻撃パケットの転送を中断させることを要求するメッセージをiMLBR12に対して送信してもよい。例えば、iMLBR12は、攻撃パケットの転送を中断させることを要求するメッセージを、攻撃パケットを廃棄することを要求する廃棄要請メッセージとして受け付けて、攻撃パケットを廃棄してもよい。以下の説明では、攻撃パケットの転送を中断させることを要求するメッセージをDRM(Dropping Request Message)と呼ぶ。例えば、端末装置17は、自装置の正当性と完全性を示す検証用データもしくは認証コードをDRMに付加してeMLBR11へ送信する。さらに、DRMは、攻撃パケットの送信元アドレスに接近するようMLBR10間でバケツリレーされ、DRMを受信した各MLBR10では、前述の第1規則として第1記憶部に登録する。
図37は、本実施形態の端末装置17のハードウエア構成を示す図である。図37に示すように端末装置17は、CPU17Aと、ROM、EEPROM、HDDなどの不揮発性記憶装置17Bと、RAM、レジスタ等の揮発性記憶装置17Cと、キーボード、マウス、表示部などを含む入出力装置17Dと、eMLBR11等に接続される通信インタフェース17Eを備える。端末装置17は、所謂コンピュータであり、CPU17Aが実行するプログラムにより端末或いはサーバとして機能する。例えば、端末装置17は、パーソナルコンピュータ、タブレット等の汎用端末である。端末装置17のCPUは、プログラムの実行により、端末装置17を、IDS/IPSとして機能させてもよい。この場合、端末装置17は、端末装置17に実装したもしくは端末装置17が接続しているローカルエリアネットワークに接続されたIDS/IPSにより、所定の通信量又は頻度を超えて到来するパケットや、その振る舞いの異常さもしくは既知の攻撃パターン(シグネチャ)や既知の攻撃パターンから予測される未知の攻撃パターン、もしくは既知のマルウェアや既知のマルウェア等から予想されるマルウェア、既知のエクスプロイトコード(プログラムのセキュリティ上の脆弱性(セキュリティホール)を攻撃するために作成されたプログラムの総称)もしくは既知のエクスプロイトコードから予測される未知のエクスプロイトコードなどから攻撃パケットとして検出する。なお、上記の検出に当たり、ハニーポットを設置してもよい。ハニーポットとは、不正アクセスを行う攻撃パケットをおびき寄せ、攻撃をそらすためのおとりであり、ウイルスやワームの検体の入手、記録された操作ログ・通信ログなどから不正アクセスの手法や傾向の調査などに用いられるものである。例えば、端末装置17は、攻撃パケットを検出した場合に、ネットワークNW1への接続を遮断する。
eMLBR11は、ネットワークNW1における攻撃パケットの転送を中断させることを要求するメッセージをiMLBR12に対して送信してもよい。例えば、iMLBR12は、攻撃パケットの転送を中断させることを要求するメッセージを、攻撃パケットを廃棄することを要求する廃棄要請メッセージとして受け付けて、攻撃パケットを廃棄してもよい。以下の説明では、攻撃パケットの転送を中断させることを要求するメッセージをDRM(Dropping Request Message)と呼ぶ。例えば、端末装置17は、自装置の正当性と完全性を示す検証用データもしくは認証コードをDRMに付加してeMLBR11へ送信する。さらに、DRMは、攻撃パケットの送信元アドレスに接近するようMLBR10間でバケツリレーされ、DRMを受信した各MLBR10では、前述の第1規則として第1記憶部に登録する。
(データ端末18)
データ端末18は、CPUと、ROM、EEPROM、HDD、RAM、レジスタ等の記憶装置と、を含むコンピュータであり、実行するプログラムにより端末或いはサーバとして機能するいわゆるIoT機器である。以下の説明に例示するデータ端末18は、パケットのタイプとしてIPv4のパケットを利用して通信するものとし、IEEE802.1X認証を利用できないものとする。例えば、データ端末18は、ネットワークに接続される各種センサ、スマートメータ、コネクテッドカー(自動車)、プリンター、テレビ、冷蔵庫、スマート家電、M2M(Machine to Machine)デバイス、ネットワークカメラ、自動販売機など多種多様な端末を総称する。これらの端末の通信相手は、特定のアドレス又はURL又はURI又はURNに限定される場合が多い。
データ端末18は、CPUと、ROM、EEPROM、HDD、RAM、レジスタ等の記憶装置と、を含むコンピュータであり、実行するプログラムにより端末或いはサーバとして機能するいわゆるIoT機器である。以下の説明に例示するデータ端末18は、パケットのタイプとしてIPv4のパケットを利用して通信するものとし、IEEE802.1X認証を利用できないものとする。例えば、データ端末18は、ネットワークに接続される各種センサ、スマートメータ、コネクテッドカー(自動車)、プリンター、テレビ、冷蔵庫、スマート家電、M2M(Machine to Machine)デバイス、ネットワークカメラ、自動販売機など多種多様な端末を総称する。これらの端末の通信相手は、特定のアドレス又はURL又はURI又はURNに限定される場合が多い。
(スイッチ部を制御して端末装置のセキュリティ対策を実施するための処理)
図3を参照して、端末装置のセキュリティ対策を実施するための処理について説明する。図3は、端末装置のセキュリティ対策を実施するための処理の手順を示すフローチャートである。
図3を参照して、端末装置のセキュリティ対策を実施するための処理について説明する。図3は、端末装置のセキュリティ対策を実施するための処理の手順を示すフローチャートである。
通信システム1は、端末装置を、通信システム1において双方向通信を実施する端末として登録する(S10)。
通信システム1において、例えば、上記の処理(S10)は、下記する複数の処理の組み合わせとして実現される。
まず、通信システム1は、通信相手を限定する対象の端末装置を特定する(S11)。
次に、通信システム1は、上記で特定された対象を識別可能な識別情報(第1識別情報)を取得する(S12)。
次に、通信システム1は、上記で特定された対象の通信相手を識別可能な識別情報(第2識別情報)を取得する(S13)。
次に、通信システム1は、限定する対象として特定された対象から送信されたパケットの通信相手を、上記で取得した識別情報(第1識別情報と第2識別情報)に基づいて限定するための通信相手許可ホワイトリストの要素(第1要素)を生成する(S14)。
次に、通信システム1は、限定する対象として特定された対象宛に送信されたパケットの通信相手を、上記で取得した識別情報(第1識別情報と第2識別情報)に基づいて限定するための通信相手許可ホワイトリストの要素(第2要素)を生成する(S15)。
次に、通信システム1は、通信相手許可ホワイトリストに上記の第1要素と第2要素とを追加する(S16)。
次に、通信システム1は、S11において特定した対象の端末装置のうち、所定の信頼度基準を満たした送信元(端末装置)を選択し、その識別情報を認証リストに追加する(S18)。
次に、通信システム1は、信頼を置ける認定機関の監視装置から、匿名アドレスを利用して通信することを許容するノードのアドレスリストを取得する。例えば、管理ホスト15は、配信されたノードのアドレスリストから匿名アドレスリストを生成して登録する(S19)。
次に、通信システム1は、通信相手許可ホワイトリストに登録後に、第1要素と第2要素とに基づいて実際の通信を保護するための処理を実施して(S20)、パケットの信頼度を示すフラグを、当該パケットに設定する(S22)。
これにより、通信システム1は、端末装置のセキュリティ対策を実施する。
通信システム1において、例えば、上記の処理(S10)は、下記する複数の処理の組み合わせとして実現される。
まず、通信システム1は、通信相手を限定する対象の端末装置を特定する(S11)。
次に、通信システム1は、上記で特定された対象を識別可能な識別情報(第1識別情報)を取得する(S12)。
次に、通信システム1は、上記で特定された対象の通信相手を識別可能な識別情報(第2識別情報)を取得する(S13)。
次に、通信システム1は、限定する対象として特定された対象から送信されたパケットの通信相手を、上記で取得した識別情報(第1識別情報と第2識別情報)に基づいて限定するための通信相手許可ホワイトリストの要素(第1要素)を生成する(S14)。
次に、通信システム1は、限定する対象として特定された対象宛に送信されたパケットの通信相手を、上記で取得した識別情報(第1識別情報と第2識別情報)に基づいて限定するための通信相手許可ホワイトリストの要素(第2要素)を生成する(S15)。
次に、通信システム1は、通信相手許可ホワイトリストに上記の第1要素と第2要素とを追加する(S16)。
次に、通信システム1は、S11において特定した対象の端末装置のうち、所定の信頼度基準を満たした送信元(端末装置)を選択し、その識別情報を認証リストに追加する(S18)。
次に、通信システム1は、信頼を置ける認定機関の監視装置から、匿名アドレスを利用して通信することを許容するノードのアドレスリストを取得する。例えば、管理ホスト15は、配信されたノードのアドレスリストから匿名アドレスリストを生成して登録する(S19)。
次に、通信システム1は、通信相手許可ホワイトリストに登録後に、第1要素と第2要素とに基づいて実際の通信を保護するための処理を実施して(S20)、パケットの信頼度を示すフラグを、当該パケットに設定する(S22)。
これにより、通信システム1は、端末装置のセキュリティ対策を実施する。
[より具体的な一実施例]
以下の説明では、OpenFlow(登録商標)の技術を適用してMLBR10を構成する場合を例示する。
以下の説明では、OpenFlow(登録商標)の技術を適用してMLBR10を構成する場合を例示する。
(分散型のコントローラ)
OpenFlowの各ノードは、OpenFlowコントローラにより制御されるOpenFlowスイッチ部を備える。一般的なOpenFlowの技術では、1つのOpenFlowコントローラが複数のOpenFlowスイッチを一元管理する。
これに代えて、本実施形態のMLBR10は、コントローラ111とスイッチ部112とを備えており、MLBR10毎に設けられたコントローラ111がスイッチ部112を管理する。コントローラ111は、他のMLBR10のコントローラと独立に機能してもよく、連系して機能してもよい。この点が一般的なOpenFlowの構成と異なる。以下、上記の相違点を中心に説明する。
OpenFlowの各ノードは、OpenFlowコントローラにより制御されるOpenFlowスイッチ部を備える。一般的なOpenFlowの技術では、1つのOpenFlowコントローラが複数のOpenFlowスイッチを一元管理する。
これに代えて、本実施形態のMLBR10は、コントローラ111とスイッチ部112とを備えており、MLBR10毎に設けられたコントローラ111がスイッチ部112を管理する。コントローラ111は、他のMLBR10のコントローラと独立に機能してもよく、連系して機能してもよい。この点が一般的なOpenFlowの構成と異なる。以下、上記の相違点を中心に説明する。
例えばコントローラ111は、特定情報取得部1111、識別情報取得部1112、WL管理部1113、出力制御部1114、管理部1115、パケットイン(Packet-In)1116、パケットアウト(Packet-Out)1117、及び、フロー変更出力部(Flow-Mod)1118を備える。
パケットイン1116は、スイッチ部112からの情報を受信する。パケットアウト117は、パケットとその宛先情報とを、スイッチ部112宛に出力する。フロー変更出力部(Flow-Mod)1118は、スイッチ部112の設定を変更するための情報をスイッチ部宛に出力する。スイッチ部112における他の構成の詳細については、後述する。
パケットイン1116は、スイッチ部112からの情報を受信する。パケットアウト117は、パケットとその宛先情報とを、スイッチ部112宛に出力する。フロー変更出力部(Flow-Mod)1118は、スイッチ部112の設定を変更するための情報をスイッチ部宛に出力する。スイッチ部112における他の構成の詳細については、後述する。
MLBR10のコントローラは、少なくとも自装置のスイッチ部を制御して、その通信のセキュリティ性を確保する。なお、MLBR10のコントローラは、互いに通信することにより、分散型のコントローラとして機能してもよく、その場合に、例えばDRMを順に転送する。上記のとおり、DRMは、各MLBR10における転送を制限するための情報である。MLBR10は、DRMが通知されるまでに構成されていた転送情報を変更することなく、転送を制限する制限条件を追加し、また、制限条件を単位にして個々に削除する。これにより、通信システム1は、ネットワークNW内の転送規則を維持したまま、転送を制限する制限条件のみを変更する。
(スイッチ部の一例)
図4から図10を参照して、スイッチ部のより具体的な一例について説明する。図4は、eMLBR11を示す図である。スイッチ部112は、各段のフローテーブルとして、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125、QoSテーブル1126及び、匿名フラグ設定テーブル1127を備える。図5Aから図10のそれぞれは、廃棄テーブル1121、匿名フラグ設定テーブル1127、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125、及びQoSテーブル1126の一例を示す図である。
図4から図10を参照して、スイッチ部のより具体的な一例について説明する。図4は、eMLBR11を示す図である。スイッチ部112は、各段のフローテーブルとして、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125、QoSテーブル1126及び、匿名フラグ設定テーブル1127を備える。図5Aから図10のそれぞれは、廃棄テーブル1121、匿名フラグ設定テーブル1127、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125、及びQoSテーブル1126の一例を示す図である。
(スイッチ部における各種テーブルの一例)
スイッチ部112において、廃棄テーブル1121には、廃棄するパケットのフローエントリが必要数格納される。廃棄するパケットのフローエントリは、前述のパケットの転送を制限する条件である第1規則(ブラックリスト)に対応する。例えば図5に示すように、廃棄テーブル1121は、格納されたフローエントリにマッチしたパケットを廃棄(drop)する。格納されたフローエントリにマッチしなかったパケットは、パケットタイプテーブル1122による選択処理の対象にする。フローエントリに規定する制限情報は、1つのIPアドレスであってもよく、或いは、複数のIPアドレスを含むネットワークアドレスであってもよい。さらに、宛先IPアドレスや宛先ポート番号、送信元ポート番号、パケット長、パケットタイプ、TCP制御フラグ等を適宜組み合わせて規定することによって、攻撃パケットと同じ宛先IPアドレスに送信しようとしている他の一般ユーザの通信を妨げることを抑制することができる。例えば、廃棄テーブル1121のフローエントリとして、転送を制限する領域に対応するネットワークアドレスをマッチ条件として規定する。廃棄テーブル1121は、そのネットワークアドレスが示すアドレス空間に含まれた送信元IPアドレスが付与されているパケットの転送を制限する。図5に示す「129.168.3.0/24」は、IPv4で記述した場合のネットワークアドレスの一例である。
スイッチ部112において、廃棄テーブル1121には、廃棄するパケットのフローエントリが必要数格納される。廃棄するパケットのフローエントリは、前述のパケットの転送を制限する条件である第1規則(ブラックリスト)に対応する。例えば図5に示すように、廃棄テーブル1121は、格納されたフローエントリにマッチしたパケットを廃棄(drop)する。格納されたフローエントリにマッチしなかったパケットは、パケットタイプテーブル1122による選択処理の対象にする。フローエントリに規定する制限情報は、1つのIPアドレスであってもよく、或いは、複数のIPアドレスを含むネットワークアドレスであってもよい。さらに、宛先IPアドレスや宛先ポート番号、送信元ポート番号、パケット長、パケットタイプ、TCP制御フラグ等を適宜組み合わせて規定することによって、攻撃パケットと同じ宛先IPアドレスに送信しようとしている他の一般ユーザの通信を妨げることを抑制することができる。例えば、廃棄テーブル1121のフローエントリとして、転送を制限する領域に対応するネットワークアドレスをマッチ条件として規定する。廃棄テーブル1121は、そのネットワークアドレスが示すアドレス空間に含まれた送信元IPアドレスが付与されているパケットの転送を制限する。図5に示す「129.168.3.0/24」は、IPv4で記述した場合のネットワークアドレスの一例である。
匿名フラグ設定テーブル1127は、匿名アドレスリストを保持しており、匿名アドレスリスト中のいずれかのアドレスに、送信元アドレス又は宛先アドレスが一致するパケットについて匿名フラグF2をセットする。匿名アドレスリストは、例えば特定の認定機関の監視装置から要請されたアドレス、使い捨て型で利用される電子メールアドレス、転送履歴情報として残された情報のうち、アドレス詐称(なりすまし)などの疑義が含まれた電子メールの送信元アドレスなどを含めて形成されるものであってもよい。転送履歴情報に疑義が含まれていることの検出の一例は、SMTP(Simple Mail Transfer Protocol)サーバ等の電子メールサーバと、電子メールサーバのIPアドレスとドメイン名の対応関係の不整合が挙げられる。なお、匿名アドレスリストには、パケットの送信元又は宛先を特定可能な、IPアドレス、電子メールアドレス、電話番号、アカウント情報、URL、URI、URN、ドメイン名、FQDNなどが含まれてもよい。匿名フラグ設定テーブル1127は、匿名アドレスリストに基づいた処理を実施しない場合には、廃棄テーブル1121による処理の結果を、次段のパケットタイプテーブル1122の処理対象にする。
パケットタイプテーブル1122は、廃棄テーブル1121により廃棄されずに残ったパケットであって、匿名フラグ設定テーブル1127により匿名フラグが必要に応じてセットされたパケットと、コントローラから取得したパケットを処理対象のパケットとして、パケットのタイプ毎のフローエントリを格納する。例えば図6に示すように、パケットタイプテーブル1122に格納するフローエントリには、IPv4のパケットであることを特定するものと、IPv6のパケットであることを特定するものと、コントローラ宛に送信するパケットであることを特定するものが含まれる。例えば、パケットタイプテーブル1122として、各パケットのタイプに対応するアクションを下記のように定義する。パケットタイプテーブル1122は、自MLBR10宛のICMPv6(Internet Control Message Protocol for IPv6)、又はARP(Address Resolution Protocol)、ICMP(Internet Control Message Protocol)、DHCP(Dynamic Host Configuration Protocol)、DRP(Dropping Request Message Protocol)、RIP(Routing Information Protocol)、OSPF(Open Shortest Path First)、BGP(Border Gateway Protocol)、UPnP(Universal Plug and Play)、DNS(Domain Name System)、SIP(Session Initiation Protocol)などの通信制御パケットをコントローラ111宛のパケット(Packet−In)とし、上記を除くIPv4のパケットをMLBテーブル1124による処理の対象にし、上記を除くIPv6のパケットをSCOPEテーブル1123による処理の対象にする。上記のDRPは、DRMに検証データもしくは認証コードを付加した規格である。DRPの詳細については後述する。パケットタイプテーブル1122は、コントローラ111宛のパケットのうち、コントローラ111による判定結果に基づいて、必要であればFlow−Modにて各テーブルを更新するとともに、他のMLBRに転送が必要なパケットは、スイッチ部112に戻す(Packet−Out)。
SCOPEテーブル1123は、パケットタイプテーブル1122によりIPv6のパケットであると特定されたパケットに対し、スコープ(SCOPE)の逸脱有無を判定して当該パケットのルーティングを許可するか否かを特定する。例えば図7に示すように、当該パケットの送信元IPアドレスと宛先IPアドレスが同じスコープ(グローバルアドレス、ユニークローカルアドレス、リンクローカルアドレスなど)に属し、ルーティングを許可すると判定した場合には、SCOPEテーブル1123は、当該パケットをMLBテーブル1124による処理の対象にする。一方、当該パケットのスコープに逸脱がありルーティングを許可しないと判定した場合には、SCOPEテーブル1123は、対象のパケットを廃棄する。
MLBテーブル1124は、パケットタイプテーブル1122によりIPv4のパケットであると特定されたパケット、又は、SCOPEテーブル1123によりルーティングを許可するIPv6のパケットであると特定されたパケットに対し、当該パケットが転送を許可すべきパケットであるか否かを特定する。その特定の条件は第2規則(通信許可ホワイトリスト)に対応する。MLBテーブル1124は、IoT装置やホスト等のMACアドレスとIPアドレス及びeMLBR11の接続ポートの識別情報を組み合わせて、当該パケットが偽装パケットでないかをチェックする通信許可ホワイトリストとして機能するが、IoT装置から送信されたパケットであるか否かを判別することもできる。例えば図8A等に示すように、マッチ条件には、スイッチ部112の入力ポート番号(IN_Port)、IoT装置に割り付けられているMACアドレスとIPアドレスなどが設定される。例えば、当該パケットが、IoT装置から送信されたパケットであると判別すると(図8A上段)、QoSテーブル1126(図10)に遷移し、通信相手として許可された宛先アドレスであるかをQoSテーブル1126によって判定し、該当する通信相手許可ホワイトリストがQoSテーブル1126に存在した場合、QoSテーブル1126は、当該パケットをルーティングテーブル1125による転送処理の対象(図10上段)にする。なお、図8Aから図8Cは、MLBテーブル1124の一例を示す。図8Bと図8Cについての詳細は後述する。本実施形態の以下の説明では、図8Aについて説明する。
さらに、MLBテーブル1124は、転送を許可すべきパケットであると判定されたパケットに対して、第5規則に従って認証フラグF1をセットするようにしてもよい(図8A下段を除く各段)。なお、認証フラグF1として、認証レベル又は検疫レベルを示すようにしてもよい。本実施形態では、MLBテーブル1124が認証フラグF1をセットする場合を例示するが、これに代えて、MLBテーブル1124と別に設けた認証・検疫テーブルがホワイトリストに従って実施するようにしてもよい。認証・検疫テーブルについては後述する。
図9に示すように、ルーティングテーブル1125は、MLBテーブル1124(図8A)により当該パケットが偽装されたパケットではないと判定された場合、当該パケットをルーティングテーブル1125により規定される物理ポートに出力するのが基本であるが、ルーティングテーブル1125によりIoT装置宛のパケットであることが判明した場合(図9上段)は、QoSテーブル1126(図10)に遷移し、送信元が該IoT装置の通信相手であるか否かを判定し、該当する通信相手許可ホワイトリストが存在した場合に、転送処理の対象にする(図10中段)。ルーティングテーブル1125は、当該パケットが転送すべきパケットでないと特定された場合(図9下段)、当該パケットをルーティングテーブル1125の第3規則に従って、廃棄処理の対象にしてもよい。
QoSテーブル1126は、MLBテーブル1124により当該パケットが、IoT装置から送信されたパケット、又は、IoT装置宛に送信されたパケットであると判定されたパケットに対し、所望のQoSを設定する。QoSとして設定する条件は、第4規則(通信相手許可ホワイトリスト)に対応する。例えば図10に示すように、QoSテーブル1126における所望のQoSには、送信元アドレスと宛先アドレスがマッチ条件に一致する場合に、パケットの転送を許可することで、許可される範囲を超えた宛先への転送を制限する(図10下段)ことが含まれる。
(認証フラグF1を利用した認証処理)
通信システム1におけるMLBR10、端末装置17、データ端末18などの各装置は、前述の認証フラグF1(第1フラグ)を用いて通信することで、通信の接続要求元が認証されていること又は接続要求元から送信されたパケットが検疫されていることを、当該パケットを受信した装置が検出可能になる。認証フラグF1に、通信の接続要求に対する判定の結果を反映することにより、パケットを受信した受信端末又は受信エンティティは、認証フラグF1の状態に基づいて、パケットを送信した送信元の認証処理及び検疫処理を行うことを間接的に実施することができる。以下の説明において、パケットを受信した受信端末又は受信エンティティのことを、受信端末等ということがある。パケットを受信する側に設けられた端末装置17、データ端末18などは、受信端末等の一例である。このような認証フラグF1を用いることにより、受信端末におけるパケットの認証処理及び検疫処理による負荷を軽減することができる。以下、その一例について説明する。
通信システム1におけるMLBR10、端末装置17、データ端末18などの各装置は、前述の認証フラグF1(第1フラグ)を用いて通信することで、通信の接続要求元が認証されていること又は接続要求元から送信されたパケットが検疫されていることを、当該パケットを受信した装置が検出可能になる。認証フラグF1に、通信の接続要求に対する判定の結果を反映することにより、パケットを受信した受信端末又は受信エンティティは、認証フラグF1の状態に基づいて、パケットを送信した送信元の認証処理及び検疫処理を行うことを間接的に実施することができる。以下の説明において、パケットを受信した受信端末又は受信エンティティのことを、受信端末等ということがある。パケットを受信する側に設けられた端末装置17、データ端末18などは、受信端末等の一例である。このような認証フラグF1を用いることにより、受信端末におけるパケットの認証処理及び検疫処理による負荷を軽減することができる。以下、その一例について説明する。
MLBR10により構成されるネットワークNW1では、認証フラグF1が付与されたパケットを用いて通信する。例えば、eMLBR11は、受信したパケットの認証処理及び検疫処理を実施して、その認証処理及び検疫処理の結果を認証フラグF1に反映させる。以下の説明において、認証フラグF1がセットされた状態は、パケットを送信した送信元が所定の条件を満たすものである場合を示すものとする。
上述したとおり、MLBテーブル1124は、転送を許可するパケットに対して認証フラグF1をセット状態にし、転送を許可しないパケットを廃棄する。
なお、MLBR10は、認証フラグF1が付与されていないパケットを、認証フラグF1が付与されたパケットと混在させて通信することができる。その場合、認証フラグF1が付与されていないパケットは、認証フラグF1がリセット状態と同様の信頼度と判断される。
なお、MLBR10は、認証フラグF1が付与されていないパケットを、認証フラグF1が付与されたパケットと混在させて通信することができる。その場合、認証フラグF1が付与されていないパケットは、認証フラグF1がリセット状態と同様の信頼度と判断される。
図11は、IPv4のパケットヘッダを示す図である。図11(a)に示すように、IPv4のパケットヘッダは、バージョン、ヘッダ長、サービス種別(Type of Service(TOS))フィールド、全長、識別子、フラグ、断片位置、生存時間、プロトコル、チェックサム、送信元アドレス、宛先アドレス、拡張情報の各フィールドにより構成されている。このパケットヘッダの後に、上位プロトコルにより指定されたデータを割り付けるペイロード部が続く。
図11(b)に、上記のうちサービス種別フィールドについて示す。サービス種別フィールドにおけるビット配列は、3ビット分の優先度、1ビットずつの遅延度、転送量、信頼性、2ビット分の予備ビット(未使用ビット)がそれぞれ割り付けられている。予備ビットを除く上位6ビットは、DSCP(Differentiated Services Code Point)と呼ばれている。例えば、DSCPは、パケットにマーキングすることなどに利用されている。上記は、IETF(Internet Engineering Task Force)のRFC(Request for Comments)3260、RFC2474、RFC2475、RFC2597、RFC3246等に規定されている。
ここで、本実施形態では、IPv4パケットのIPパケットヘッダのサービス種別フィールドに、通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納するフラグ(格納部)をIETFの規定に干渉しないように設ける。以下、上記の規定において予備ビット(未使用ビット)とされているリソースを、フラグとして利用する事例について説明する。例えば、上記の予備ビットの2ビットに、認証フラグF1と、リスクフラグRFとをそれぞれ割り付ける。例えば、リスクフラグRFは、前述した匿名フラグF2と、フラグF3と、フラグF4の論理和としてもよい。上記のように、本願出願時点の上記の規定において予備ビット(未使用ビット)とされているリソースを利用することで、上記の規定に準じた機能に、本実施形態に示す機能を付加することができる。このようにIETFの規定に干渉しないように上記のフラグを割り付けたことにより、本実施形態の比較例のネットワークがIETFの規定に準じていれば、比較例のネットワークは、本実施形態のフラグを割り付けたパケットを透過的に転送することができる。つまり、MLBR10を構成に含むネットワークNW1と、MLBR10を構成に含まないネットワークNW4とを接続して相互に通信することができる。
ここで、本実施形態では、IPv4パケットのIPパケットヘッダのサービス種別フィールドに、通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納するフラグ(格納部)をIETFの規定に干渉しないように設ける。以下、上記の規定において予備ビット(未使用ビット)とされているリソースを、フラグとして利用する事例について説明する。例えば、上記の予備ビットの2ビットに、認証フラグF1と、リスクフラグRFとをそれぞれ割り付ける。例えば、リスクフラグRFは、前述した匿名フラグF2と、フラグF3と、フラグF4の論理和としてもよい。上記のように、本願出願時点の上記の規定において予備ビット(未使用ビット)とされているリソースを利用することで、上記の規定に準じた機能に、本実施形態に示す機能を付加することができる。このようにIETFの規定に干渉しないように上記のフラグを割り付けたことにより、本実施形態の比較例のネットワークがIETFの規定に準じていれば、比較例のネットワークは、本実施形態のフラグを割り付けたパケットを透過的に転送することができる。つまり、MLBR10を構成に含むネットワークNW1と、MLBR10を構成に含まないネットワークNW4とを接続して相互に通信することができる。
受信端末等は、このように設定された認証フラグF1の状態を判定することにより、パケットの通信元である送信端末又は送信エンティティについて間接的に判定して、それを認証することができる。以下の説明において、パケットの通信元である送信端末又は送信エンティティのことを、単に、送信端末等ということがある。パケットを送信する側に設けられた端末装置17、データ端末18などは、送信端末等の一例である。
受信端末等は、受信したパケットのパケットヘッダに、ネットワークセキュリティ上のリスクが比較的低いことを示すように認証フラグF1が設定されたパケットを選択的に受信する受信手段を備えて構成してもよい。なお、上記のような受信端末等には、eMLBR11やファイアウォールなどが含まれる。
(認証フラグF1の設定方法)
図12から図13を参照して、認証フラグF1について説明する。図12は、認証フラグF1の設定に関する条件を示す図である。図13は、eMLBR11における認証フラグF1の設定に関する状態遷移図である。
図12から図13を参照して、認証フラグF1について説明する。図12は、認証フラグF1の設定に関する条件を示す図である。図13は、eMLBR11における認証フラグF1の設定に関する状態遷移図である。
eMLBR11は、受信したパケットの認証フラグF1の状態に依存することなく認証フラグF1を設定する。eMLBR11は、所定の認証レベル及び/又は検疫レベルを満たした送信端末からのパケットを検出することにより、認証フラグF1をセットする。一方、eMLBR11は、認証されていない送信端末からのパケットを検出することにより、認証フラグF1をリセットする。
(認証フラグF1を利用する装置)
認証フラグF1を利用する装置として、eMLBR11や、MLBR10以外の装置が挙げられる。認証フラグF1のセット状態を検出する用途としては、eMLBR11、受信端末等、ファイアウォール等の装置が、パケットを選択して受信する判断基準として利用する用途が挙げられる。認証フラグF1のリセット状態を検出する用途としては、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)、DPI(Deep Packet Inspection)等の装置がサイバー攻撃やサイバー犯罪などのマルウェアなどに汚染もしくは不正パケットかを検査する際に、優先的に検査する信頼度の低いパケットを抽出するための指標として利用する用途が挙げられる。IDS、IPS、DPI等の装置は、受信したパケットの履歴データに、認証フラグF1を含めて格納するとよい。IDS、IPS、DPI等の装置への適用例を後述する。
認証フラグF1を利用する装置として、eMLBR11や、MLBR10以外の装置が挙げられる。認証フラグF1のセット状態を検出する用途としては、eMLBR11、受信端末等、ファイアウォール等の装置が、パケットを選択して受信する判断基準として利用する用途が挙げられる。認証フラグF1のリセット状態を検出する用途としては、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)、DPI(Deep Packet Inspection)等の装置がサイバー攻撃やサイバー犯罪などのマルウェアなどに汚染もしくは不正パケットかを検査する際に、優先的に検査する信頼度の低いパケットを抽出するための指標として利用する用途が挙げられる。IDS、IPS、DPI等の装置は、受信したパケットの履歴データに、認証フラグF1を含めて格納するとよい。IDS、IPS、DPI等の装置への適用例を後述する。
上記の実施形態によれば、MLBR10は、パケットにより、ネットワークを介して通信する。MLBR10は、通信によるネットワークセキュリティ上の信頼度に関する信頼度情報(例えば、認証フラグF1とリスクフラグRF)を格納する格納部が、そのパケットのパケットヘッダの所定位置に設けられている。MLBR10のスイッチ部112(信頼度情報設定手段)は、信頼度が不明であることを示す所定値が格納部に格納されたパケットに対し、当該パケットに関する情報に基づいて、当該パケットの信頼度が比較的高いこと、当該パケットが匿名性を有すること、当該パケットのリスクが比較的高いこと、の内から1又は複数を選択して、その選択の結果に基づいて当該パケットの信頼度情報を設定し、又は、上記の信頼度が不明なパケットを選択して、その選択されたパケットの信頼度情報を維持することにより、パケット通信におけるネットワークセキュリティ上のリスク度をより簡易な方法で受信側に通知することが可能になる。
また、MLBR10は、当該パケットに関する情報に基づいて、ネットワークNWにおける所定の信頼度基準を満たす送信元から送信されたパケットの信頼度情報を、第5規則に従い当該パケットの信頼度が比較的高いことを示すように設定してもよい。
また、MLBR10は、当該パケットに関する情報に基づいて、送信元又は宛先が隠ぺいされたパケットの信頼度情報を、第6規則に従い当該パケットが匿名性を有することを示すように設定してもよい。
また、MLBR10は、当該パケットに関する情報に基づいて、ネットワークNWにおける所定の信頼度基準から外れた送信元から送信されたパケット又は上記の信頼度が不明な送信元から送信されたパケットの信頼度情報が所定値でないパケット又は信頼できないネットワークから転送されてきたパケットの信頼度情報が上記の所定値ではないパケットの信頼度情報を、第6規則に従い当該パケットのリスクが比較的高いことを示すように設定してもよい。
また、MLBR10は、上記の信頼度が不明な送信元から送信されたパケットの信頼度情報が上記の所定値であるパケット又は信頼できないネットワークから到来したパケットの信頼度情報が上記の所定値であるパケットの信頼度情報を、第5規則と第6規則の何れの条件にも該当しないものとして維持してもよい。
換言すれば、上記の実施形態によれば、所定の信頼度基準を満たす送信元から送信されたパケットの信頼度情報を、前記ネットワークセキュリティ上のリスクが比較的低いことを示すように設定し、送信元又は宛先を隠ぺい又は詐称した、又は感染したマルウェアなどから送信された悪意あるパケットの前記信頼度情報を、前記リスクが比較的高いことを示すように設定することにより、パケット通信におけるネットワークセキュリティ上のリスク度をより簡易な方法で受信側に通知することが可能になる。
例えば、MLBR10は、通信によるネットワークセキュリティ上のリスクが比較的低いパケットであることを示す認証フラグF1が、パケットのパケットヘッダの所定位置に設けられており、認証フラグF1が設けられているパケットであって所定の信頼度基準を満たした送信元から送信されたパケットに対しては、上記のリスクが比較的低いことを示すように認証フラグF1をセットするスイッチ部112(信頼度情報設定手段)を備えるものである。
これにより、パケット通信におけるネットワークセキュリティ上のリスク度をより簡易な方法で受信側に通知することが可能になる。
これにより、パケット通信におけるネットワークセキュリティ上のリスク度をより簡易な方法で受信側に通知することが可能になる。
また、スイッチ部112は、認証フラグF1として、通信の接続要求元が認証されていること又は接続要求元から送信されたパケットが検疫されていることを示すフラグ(第1フラグ)が設けられ、通信の接続要求に対する判定の結果により、上記フラグの状態を設定するMLBテーブル1124を含む。MLBテーブル1124は、第1フラグ設定手段の一例である。
以上に示した認証フラグF1を用いることにより、下記のことが実施可能になる。
[1]IDSやIPSが、認証フラグF1が立っていないものから優先的にDPIなどを行うことによって、IDSやIPSの処理を軽減する。
[2]認証フラグF1が立っていないパケットを直ちに受信するのではなく、DPIを行って異常がないことが確認できた後に、そのパケットを、内部ネットワークないしはコンピュータに取り込む。
[3]要求されるセキュリティレベルが高い組織や、同組織で利用されるシステムでは、認証フラグF1が立っていないパケットの受信を拒否し廃棄する。
上記の例に示したように、認証フラグF1が立っているか否かによって、そのパケットをどのように処理するかは、受信者側の判断、つまり受信装置等の設定に委ねるものとなる。
[1]IDSやIPSが、認証フラグF1が立っていないものから優先的にDPIなどを行うことによって、IDSやIPSの処理を軽減する。
[2]認証フラグF1が立っていないパケットを直ちに受信するのではなく、DPIを行って異常がないことが確認できた後に、そのパケットを、内部ネットワークないしはコンピュータに取り込む。
[3]要求されるセキュリティレベルが高い組織や、同組織で利用されるシステムでは、認証フラグF1が立っていないパケットの受信を拒否し廃棄する。
上記の例に示したように、認証フラグF1が立っているか否かによって、そのパケットをどのように処理するかは、受信者側の判断、つまり受信装置等の設定に委ねるものとなる。
(第1の実施形態の第1変形例)
第1の実施形態の第1変形例について説明する。第1の実施形態では、IPv4のパケットによる通信に認証フラグF1を利用して、MLBR10が送信端末等について認証する一例を示した。本変形例では、これに代えて、IPv6のパケットによる通信に、認証フラグF1を利用して送信端末等について認証する場合の一例について説明する。
第1の実施形態の第1変形例について説明する。第1の実施形態では、IPv4のパケットによる通信に認証フラグF1を利用して、MLBR10が送信端末等について認証する一例を示した。本変形例では、これに代えて、IPv6のパケットによる通信に、認証フラグF1を利用して送信端末等について認証する場合の一例について説明する。
図14は、IPv6のパケットヘッダを示す図である。例えば、図14に示すように、認証フラグF1を、IPv6のIPv6パケットヘッダのトラフィッククラスフィールドの予備ビットに割り当ててもよい。トラフィッククラスフィールドは、送信時のQoSを指定する情報が格納されるが、MLBR10及び受信端末等は、認証フラグF1についてもQoSと同様に処理するとよい。
本変形例によれば、IPv6の場合もIPv4の場合と同様の効果を奏するものになる。
(第1の実施形態の第2変形例)
第1の実施形態の第2変形例について説明する。上記の第1の実施形態では、認証フラグF1を利用する場合を例示したが、本変形例では、認証フラグF1に加えて、ネットワークセキュリティ上のリスクがある又はリスクが比較的高いことを示すリスクフラグRF(フラグF4(第4フラグ))を利用する場合について例示する。第1の実施形態との相違点を中心に説明する。
第1の実施形態の第2変形例について説明する。上記の第1の実施形態では、認証フラグF1を利用する場合を例示したが、本変形例では、認証フラグF1に加えて、ネットワークセキュリティ上のリスクがある又はリスクが比較的高いことを示すリスクフラグRF(フラグF4(第4フラグ))を利用する場合について例示する。第1の実施形態との相違点を中心に説明する。
リスクフラグRFは、例えば、前述の図11(b)に示すように、前述の認証フラグF1と同様に、IPv4のパケットヘッダにおけるサービス種別フィールド内に割り当てられている。図8Bに示すように、本変形例のMLBR10では、MLBテーブル1124等によって、認証フラグF1とリスクフラグRF(フラグF4)の状態を設定する。
上記の第1の実施形態では、MLBテーブル1124は、MLBテーブルに規定された第3規則から外れたパケットをIPアドレスが詐称されたパケットとして廃棄するものとして説明したが、本変形例では、これに代えて、上記のパケットを廃棄せずに、当該パケットのリスクフラグRFとしてフラグF4をセットしてルーティングテーブル1125に転送する(図8B下段)。
(リスクフラグの設定方法)
図15から図16を参照して、リスクフラグRFとしてのフラグF4について説明する。図15は、フラグF4の設定に関する条件を示す図である。図16は、MLBR10におけるフラグF4の設定に関する状態遷移図である。
図15から図16を参照して、リスクフラグRFとしてのフラグF4について説明する。図15は、フラグF4の設定に関する条件を示す図である。図16は、MLBR10におけるフラグF4の設定に関する状態遷移図である。
MLBR10は、各MLBテーブルに設定された第3規則から外れたパケットを検出することによりフラグF4をセットする。一方、MLBR10は、上記以外のパケットを検出しても、フラグF4をセットすることはなく、上記の条件に該当しなければフラグF4の状態を保持して、パケットを転送する。
このようにMLBテーブル1124などを構成することにより、上記のようにMLBテーブル1124の廃棄条件に該当するパケットはMLBR10によって廃棄されなくなり、当該パケットの処理を受信端末等の処理に委ねることが可能になる。
上記の場合、受信端末毎に異なる処理を実施させることが可能になり、一律に廃棄する場合と異なる運用を実現することが可能になる。
本変形例によれば、通信によるネットワークセキュリティ上のリスクが比較的低いパケットであることを示す認証フラグF1と、リスクがある又はリスクが比較的高いパケットであることを示すリスクフラグRFの少なくとも何れかが、当該パケットのパケットヘッダの所定位置に設けられている。例えば、スイッチ部112は、MLBテーブル1124により、認証フラグF1が設けられているパケットであって所定の信頼度基準を満たした送信元から送信されたパケットに対してはそのリスクが比較的低いことを示すように認証フラグF1を設定し、リスクフラグRFが設けられているパケットであって送信元又は宛先を隠ぺい又は詐称したパケットに対しては、そのリスクがある又はリスクが比較的高いことを示すようにリスクフラグRF(フラグF4)を設定してもよい。なお、上記のMLBテーブル1124による第3規則に基づいたパケットの判定を、例えば、uRPF(unicast Reverse Path Forwarding)の処理により実現してもよい。
(第2の実施形態)
第2の実施形態について説明する。第1の実施形態では、eMLBR11が、認証フラグF1の状態を設定する場合を例示したが、本実施形態では、これに加えて、iMLBR12及びbMLBR13が、認証フラグF1の状態を設定、又は、変更する場合について例示する。
第2の実施形態について説明する。第1の実施形態では、eMLBR11が、認証フラグF1の状態を設定する場合を例示したが、本実施形態では、これに加えて、iMLBR12及びbMLBR13が、認証フラグF1の状態を設定、又は、変更する場合について例示する。
第1の実施形態で示したようにeMLBR11によって設定された認証フラグF1の状態が、受信端末等まで転送される間に書き換えられてしまうと、認証フラグF1が示す状態を信頼できなくなるリスクがある。このようなリスクを回避するために、例えば、そのパケットの中継経路で、不正な書き換えが行われ得る状態が検出された場合には、当該パケットに認証フラグF1がセットされていても、その状態をリセットするとよい。
図17は、iMLBR12とbMLBR13における認証フラグF1の設定に関する状態遷移図である。MLBR10は、通信に先立ってMLBR10間の認証処理を実施する。
前述の図12に示すように、iMLBR12は、eMLBR11−iMLBR12間のメッセージ認証に失敗した状態を、認証フラグF1の不正な書き換えが行われ得る状態と判定する。iMLBR12は、上記の状態を検出すると、そのパケットを、不正なパケットと見做して、そのパケットの認証フラグF1をリセットする。なお、iMLBR12は、認証フラグF1をセットすることはなく、上記の条件に該当しなければ、その認証フラグF1の状態を保持して、パケットを転送する。
また、bMLBR13は、iMLBR12−bMLBR13間、及び、bMLBR13−bMLBR13間のメッセージ認証に失敗した状態を、認証フラグF1の不正な書き換えが行われ得る状態と判定する。bMLBR13は、上記の状態を検出すると、そのパケットを、不正なパケットと見做して、そのパケットの認証フラグF1をリセットする。なお、bMLBR13は、認証フラグF1をセットすることはなく、上記の条件に該当しなければ、その認証フラグF1の状態を保持して、パケットを転送する。
このように、受信端末等は、認証フラグF1がリセットされたパケットを受信することにより、そのパケットの信頼度が、少なくとも認証フラグF1がセットされたパケットと同様の信頼度を有するものではなく、所望の信頼度を満たすものではないということを検出できる。
(第3の実施形態)
第3の実施形態について説明する。上記の各実施形態では、認証フラグF1を利用する場合を例示したが、本実施形態では、これに代えて、認証フラグF1(第1フラグ)と匿名フラグF2(第2フラグ)とを利用する場合について例示する。第1の実施形態との相違点を中心に説明する。
第3の実施形態について説明する。上記の各実施形態では、認証フラグF1を利用する場合を例示したが、本実施形態では、これに代えて、認証フラグF1(第1フラグ)と匿名フラグF2(第2フラグ)とを利用する場合について例示する。第1の実施形態との相違点を中心に説明する。
本実施形態のMLBR10は、認証フラグF1と匿名フラグF2とを利用する。例えば、eMLBR11のスイッチ部112は、MLBテーブル1124が認証フラグF1を設定し、匿名フラグ設定テーブル1127が匿名フラグF2を設定する。認証フラグF1と匿名フラグF2は、前述の図4における認証フラグF1とリスクフラグRFと同様に割り付けてもよい。
図18は、匿名フラグF2の設定に関する条件を示す図である。図19は、匿名フラグF2の設定に関する状態遷移図である。
匿名フラグ設定テーブル1127には、少なくとも自身が管理するアドレス空間内の匿名アドレスリスト等が設定されている。匿名フラグ設定テーブル1127は、受信した処理対象のパケットに、接続経路を隠ぺいするようにパケットの送信元IPアドレス又は宛先IPアドレスが設定されていることを検出し、その検出の結果により、上記に該当するパケットである場合(<F2SET>)に、匿名フラグF2をセットする。一方、匿名フラグ設定テーブル1127は、上記以外のパケットを検出しても、匿名フラグF2をセットすることはなく、上記の条件に該当しなければ匿名フラグF2の状態を保持して、パケットを転送する。
通信システム1の受信端末等は、上記の匿名フラグF2を参照して、匿名フラグF2がセットされたパケットを、送信元又は宛先を隠ぺい又は詐称したパケットであると判定し、ネットワークセキュリティ上のリスクがある又はリスクが比較的高いものとして扱ってもよい。
上記の実施形態の受信装置等は、受信したパケットのパケットヘッダに、認証フラグF1がリセットされてネットワークセキュリティ上のリスクが比較的低いと判定できないパケットと、匿名フラグがセットされて上記のリスクがある又はリスクが比較的高いと判定されるパケットの一方又は両方を選択的に検査するパケット検査手段を備えて構成してもよい。受信装置等は、受信したパケットのパケットヘッダに、認証フラグF1がセットされ、ネットワークセキュリティ上のリスクが比較的低いと判定されるパケットと、匿名フラグがセットされ、上記のリスクがある又はリスクが比較的高いと判定されるパケットの一方又は両方を選択的に検査するパケット検査手段を備えて構成してもよい。
上記の実施形態によれば、スイッチ部112は、リスクフラグRFとして、接続経路を隠ぺいするようにパケットの送信元IPアドレス又は宛先IPアドレスが設定されたパケットであることを示す匿名フラグF2を当該パケットに設定する匿名フラグ設定テーブル1127を含む。これにより、通信システム1は、認証フラグF1と匿名フラグF2とを利用する場合においても、パケットの検査を容易に実施することができる。
この匿名フラグF2を利用することにより、下記の特徴を有する通信であることを、受信端末等が容易に検出することが可能になる。例えば、受信端末等は、通信の接続経路を匿名化する技術(プログラム)を利用する通信であることを検出する。通信の接続経路を匿名化する技術の一例として、Tor(The Onion Router,トーア)規格が知られている。Tor規格のクライアントとして機能する端末装置は、Tor規格の通信サービスを提供するTorサーバに対して通信の接続開始を要求し、Torサーバにより許可されると、そのTorサーバを介して目的の通信相手宛にパケットを送信する。上記の端末装置は、このような手順を踏み通信することで接続経路を隠ぺい化することができる。
図31は、Torネットワークを構成するノードのアドレスリストの一例を示す図である。2016年の時点で、すでに7000個を超えるノードが登録されており、図示する範囲は、その一部である。同図に示すように、各ノードのIPアドレス(ip)、ノードの名称(name)、ルータのポート(router-port)、ディレクトリポート(directory-port)、フラグ(flags)、稼働時間(uptime)、バージョン(version)、連絡先(contactinfo)等の情報が掲載されている。
例えば、信頼を置ける認定機関の監視装置から定期的又は更新が為された時点で、上記の図に示すアドレスリストの全部又は変更部分の情報が、特定の認証機関から管理ホスト15等に配信される。管理ホスト15は、配信されたノードのアドレスリストから匿名アドレスリストを生成して、当該匿名アドレスリストを収容するMLBR10に通知する。MLBR10のコントローラは、通知を受けた匿名アドレスリストを、第6記憶部1156等に書き込むとともに、スイッチ部112の匿名フラグ設定テーブル1127に登録する。これによって、匿名フラグ設定テーブル1127は、匿名アドレスリストに該当するアドレスを持つパケットについて、その匿名フラグF2またはリスクフラグRFをセットする。
上記の手順で送信され、目的の通信相手に届いたパケットを解析しても、接続経路が匿名化されており、その解析結果から、パケットの送信元や接続経路などを得ることができない。通信相手に届いたパケットに限らず、中継区間で傍受されたとしても、そのパケットの送信元や接続経路などを容易に得ることはできない。
上記のとおり匿名フラグF3を用いることにより、接続経路を隠ぺい化した匿名アドレスを送信元IPアドレスあるいは宛先IPアドレスに用いているかを示すことを可能とする。
比較例として、他のアドレス偽装パケットなどと同様に扱って遮断又は廃棄する場合がある。この場合、上記の匿名アドレスを用いたパケットまでも、遮断又は廃棄することになりうる。
これに対し、本実施形態によれば、匿名アドレスを用いたパケットを遮断又は廃棄することなく通信させることができる。また、リスクフラグRFを匿名フラグF3として利用したことで下記のことが可能になる。
[1]リスクフラグRFが立っているパケットは、リスクが比較的高いことを明示的に示すものである。このことから、善良なユーザの多くは、ファイアウォールのフィルタレベルの設定によって、そのパケットの受信を拒否して直ちに廃棄することができる。
[2]人権擁護団体サイトなどでは、人権擁護に係る情報提供を匿名で実施する可能性がある。このような通信に用いられるアドレスには、匿名アドレスが用いられていることがある。上記の通信を受信する場合には、パケットの受信を直ちに拒否するのではなく、eMLBR11などを用いて判定するとよい。例えば、eMLBR11は、当該パケットを、まずスイッチ部112等により特定のポートに出力してDPIにかける。DPIにより、「マルウェアに感染していないこと」、「サイバー攻撃やサイバー犯罪に係るパケットでないこと」などを確認した後に、内部ネットワーク或いは端末装置17などのコンピュータに取り込むとよい。上記の「サイバー攻撃やサイバー犯罪に係るパケット」の特定は、例えば、過去にサイバー攻撃やサイバー犯罪に悪用されたことがある又は偽装されたアカウント情報やURL、URI、URN、ドメイン名、FQDNなどによって行ってもよい。
[3]特異な例であるが、サイバー攻撃や犯罪に加担するサイトであれば、リスクフラグが立っているパケットを積極的に受信して、ボットネットやマルウェアに感染したIoT機器、あるいは遠隔操作しているPC宛の指令メッセージをC&Cサーバにアップするなどの動作を行うことがあり得る。このような場合も、上記のパケットを受信するか否かは受信者側の判断に委ねることになる。ただし、仮に、上記のようなサイバー攻撃や犯罪に加担するサイトが存在していたとしても、本実施形態であれば、同サイトの認証又は検疫の結果から、同サイトから送信されたパケットは、認証フラグF1も匿名フラグF2もセットされないパケットになる。その結果、当該パケットを受信した受信端末等はそのパケットの信頼度レベルを容易に検知できる。
上記のとおり、認証フラグF1と匿名フラグF2とでは、それぞれのフラグが示す性質や、受信端末等における扱いが異なるものとなる。認証フラグF1や、リスクフラグRFとしての匿名フラグF2の状態をいかに用いるかが受信者側の判断に委ねられることになっても、上記のとおり、本実施形態であれば、通信システム1により機能するネットワークNWの秩序を高めることに貢献することが可能になる。
なお、通信システム1は、リスクフラグRFとして、匿名アドレスF2のほかに、アドレス偽装パケットを示す場合にセットするフラグを論理和として加えて、リスクフラグRFがアドレス偽装パケットの全てを示すようにしてもよい。
接続経路を隠ぺい化する技術には、Tor規格の他に、I2P(The Invisible Internet Project)などのネットワークがある。これらについても認定機関の監視装置が隠ぺい化するネットワークであることを検知し次第、同様の方法で管理ホスト15などに通知する。管理ホスト15は、検出されたI2Pなどの情報を匿名アドレスリストに追加し、当該匿名アドレスを収容するMLBR10又は各MLBR10に通知して、少なくとも当該匿名アドレスを収容するMLBR10の匿名フラグ設定テーブルに登録させる。MLBR10は、上記の通知に応じて匿名フラグ設定テーブルを更新して、上記の該当するアドレスを持つパケットの匿名フラグF2またはリスクフラグRFをセットすればよい。
(第3の実施形態の第1変形例)
第3の実施形態の第1変形例について説明する。上記の第3の実施形態では、接続経路を隠ぺいするようにパケットの送信元IPアドレス又は宛先IPアドレスが設定されていることをパケットレベルで検出する場合を例示したが、本変形例では、これに代えて、或いは、これに加えて、送信元又は宛先を隠ぺいするようにメール又はメッセージを送る場合について例示する。第3の実施形態との相違点を中心に説明する。なお、本変形例は、ネットワークNW2に接続されたサーバ装置SV(図1)が上位プロトコルレベルでメール又はメッセージを転送する場合に対応する。
第3の実施形態の第1変形例について説明する。上記の第3の実施形態では、接続経路を隠ぺいするようにパケットの送信元IPアドレス又は宛先IPアドレスが設定されていることをパケットレベルで検出する場合を例示したが、本変形例では、これに代えて、或いは、これに加えて、送信元又は宛先を隠ぺいするようにメール又はメッセージを送る場合について例示する。第3の実施形態との相違点を中心に説明する。なお、本変形例は、ネットワークNW2に接続されたサーバ装置SV(図1)が上位プロトコルレベルでメール又はメッセージを転送する場合に対応する。
例えば、その通信の送信元メールアドレスと、宛先メールアドレスと、電話番号又はアカウント情報又はURL又はURI又はURN又はドメイン名又はFQDNとの何れかが隠ぺい化、匿名化、又は詐称されたメール又はメッセージであることが判明したものについては、それを送る各パケットのパケットヘッダに、上記の判明結果を示すフラグF3を設定する。例えば、サーバ装置SVは、上記のフラグF3を、匿名フラグに代えて構成してもよい。つまり、サーバ装置SVは、通信がメール又はメッセージを送るものである場合に、リスクフラグRFとしてフラグF3(第3フラグ)を設定する設定手段(第3フラグ設定手段)を含むものである。第3フラグ設定手段は、通信の送信元メールアドレスと、宛先メールアドレスと、電話番号又はアカウント情報又はURL又はURI又はURN又はドメイン名又はFQDNとの何れかが隠ぺい化、匿名化、又は詐称されたものである場合に、当該パケットにフラグF3をセットする。
上記のように、変形例のサーバ装置SV(通信装置)であれば、受信装置等に、フラグF3がセットされているメッセージを受信させることにより、そのメッセージにネットワークセキュリティ上のリスクがある又はリスクが比較的高いことを、受信装置等におけるパケットレベルの処理で検出させることができる。なお、本変形例のサーバ装置SVは、端末装置17などの形態として構成されていてもよい。
(第3の実施形態の第2変形例)
第3の実施形態の第2変形例について説明する。上記の第3の実施形態では、匿名フラグ設定テーブル1127により匿名フラグF2を設定する場合を例示したが、本変形例では、これに代えて、或いは、これに加えて、MLBテーブル1124(第4フラグ設定手段)によりフラグF4(第4フラグ)を設定する場合について例示する。第3の実施形態との相違点を中心に説明する。
第3の実施形態の第2変形例について説明する。上記の第3の実施形態では、匿名フラグ設定テーブル1127により匿名フラグF2を設定する場合を例示したが、本変形例では、これに代えて、或いは、これに加えて、MLBテーブル1124(第4フラグ設定手段)によりフラグF4(第4フラグ)を設定する場合について例示する。第3の実施形態との相違点を中心に説明する。
本変形例のMLBR10は、匿名フラグF2とフラグF4のいずれかを利用することで、受信端末等がパケットを受信した際に、そのパケットにネットワークセキュリティ上のリスクがある又はリスクが比較的高いことを提示する。例えば、MLBR10は、匿名フラグF2とフラグF4とをパケットヘッダ内の共通のビット(リスクフラグRF)に割り付ける。この場合、MLBR10は、判定対象のパケットに、匿名フラグF2とフラグF4の少なくとも何れかがセットされる条件を満たしていれば、スイッチ部112がリスクフラグRFをセットして、そのパケットにネットワークセキュリティ上のリスクがある又はリスクが比較的高いことを示す。
上記のように、変形例のMLBR10(通信装置)であれば、受信装置等に、匿名フラグF2とフラグF4の少なくとも何れかがセットされているパケットを受信させることにより、そのパケットにネットワークセキュリティ上のリスクがある又はリスクが比較的高いことを、受信装置等におけるパケットレベルの処理で検出させることができる。
(第3の実施形態の第3変形例)
第3の実施形態の第3変形例について説明する。上記の第3の実施形態と上記の各変形例では、匿名フラグ設定テーブル1127により匿名フラグF2を設定する場合、サーバ装置SV(図1)がフラグF2を設定する場合、MLBテーブル1124によりフラグF4を設定する場合などの場合について例示したが、本変形例では、上記の匿名フラグF2、フラグF3、フラグF4の何れも共通のビットに割り付ける場合について例示する。第3の実施形態との相違点を中心に説明する。
第3の実施形態の第3変形例について説明する。上記の第3の実施形態と上記の各変形例では、匿名フラグ設定テーブル1127により匿名フラグF2を設定する場合、サーバ装置SV(図1)がフラグF2を設定する場合、MLBテーブル1124によりフラグF4を設定する場合などの場合について例示したが、本変形例では、上記の匿名フラグF2、フラグF3、フラグF4の何れも共通のビットに割り付ける場合について例示する。第3の実施形態との相違点を中心に説明する。
本変形例の通信システム1では、匿名フラグF2とフラグF3とフラグF4のいずれかをセットすることにより、受信端末等がパケットを受信した際に、そのパケットにネットワークセキュリティ上のリスクがある又はリスクが比較的高いことを提示可能にする。例えば、MLBR10は、匿名フラグF2とフラグF4とをパケットヘッダ内の共通のビット(リスクフラグRF)に割り付ける。この場合、MLBR10は、判定対象のパケットに、匿名フラグF2とフラグF4の少なくとも何れかがセットされる条件を満たしていれば、スイッチ部112がリスクフラグRFをセットして、そのパケットにネットワークセキュリティ上のリスクがある又はリスクが比較的高いことを示すことができる。
さらには、前述の第3の実施形態の第1変形例に示したように、フラグF3をセットする条件を満たしていれば、サーバ装置SVが、リスクフラグRFをセットして、そのパケットにネットワークセキュリティ上のリスクがある又はリスクが比較的高いことを示すことができる。
上記のようにリスクフラグRFがセットされているパケットを、受信装置等に検出させることにより、受信装置等は、リスクフラグRFの状態から、そのパケットにネットワークセキュリティ上のリスクがある又はリスクが比較的高いことを検出することができる。例えば、MLBR10は、受信したパケットのパケットヘッダにリスクがある又はリスクが比較的高いことを示すようにリスクフラグRFが設定されたパケットを廃棄するか、又は、特定のポートから出力するようにスイッチ部112等が制御してもよい。
(第4の実施形態)
第4の実施形態について説明する。上記の各実施形態では、送信端末等が送信したパケットが、受信端末等宛にそのまま中継される場合を例示したが、本実施形態では、これに代えて、転送経路の一部に、送信端末等が送信したパケットと異なるパケットで、先のパケットで送信された情報が転送される場合について例示する。
第4の実施形態について説明する。上記の各実施形態では、送信端末等が送信したパケットが、受信端末等宛にそのまま中継される場合を例示したが、本実施形態では、これに代えて、転送経路の一部に、送信端末等が送信したパケットと異なるパケットで、先のパケットで送信された情報が転送される場合について例示する。
図20は、本実施形態の通信システム1の概略構成図である。図20には、通信システム1に含まれる2つのeMLBR11がネットワークを介して対称になるように設けられている。
eMLBR11は、コントローラ111Aと、スイッチ部112Aと、スイッチ部112Bと、IF部113と、IF部114と、記憶部115を備える。前述のeMLBR11との相違点を中心に説明する。
スイッチ部112Aは、端末装置のプロトコルスタックに対応するプロトコルスタックを含み、レイヤ2からレイヤ4までのプロトコルを処理する。スイッチ部112Bは、ネットワーク側のプロトコルスタックに対応するプロトコルスタックを含み、レイヤ2からレイヤ3までのプロトコルを処理する。例えば、スイッチ部112Bは、スイッチ部112Aから出力される第1パケットに基づいて、新たに第2パケットを生成して、ネットワーク側に出力させる。コントローラ111Aは、前述のコントローラ111の機能に加え、スイッチ部112Aとスイッチ部112Bの双方を制御する。
本実施形態の通信システム1では、図20の左側の端末装置17(送信端末)から、同図右側の端末装置17(受信端末)宛にパケットを送付する場合を例示して、その時の各部の処理について説明するが、双方向の通信を可能とする。
このように構成されるMLBR10を利用して、「トンネリング」、「フラグメント」、「暗号化」などの機能を実現してもよい。以下、トンネリングについて説明する。
「トンネリング」は、送信側中継ノードが受信した第1パケットを、送信側中継ノードから受信側中継ノード宛に送信する第2パケットに代えて送信する一手段である。
図21は、「トンネリング」の概要を示すための図である。例えば、図21(a)はMACヘッダ(MACA)を含むMACフレームを示す。第1パケットは、MACフレームに割り当てられ、IPパケットヘッダ(パケットヘッダPHA)とペイロード(PLDA)により構成される。図21(b)はMACヘッダ(MACB)を含むMACフレームを示す。MACフレームには、第2パケットが割り当てられ、第2パケットは、IPパケットヘッダ(パケットヘッダPHB)とペイロードにより構成される。
「トンネリング」処理は、上記の第1パケットを第2パケットのペイロード内に割り付けて転送するという標準的な手順に従い実施可能である。本実施形態のeMLBR11は、それに加えて、認証フラグF1とリスクフラグRFの処理が附加される。以下、その相違点を中心に説明する。
図22は、「トンネリング」処理における認証フラグF1とリスクフラグRFの処理を説明するための図である。
送信側のeMLBR11は、送信端末からパケットPAを受信する。eMLBR11は、受信したパケットPAを、パケットPBのペイロードに割り付けてカプセル化する。その際、eMLBR11は、パケットPAのパケットヘッダPHAから各フラグの状態を抽出し、パケットPBのパケットヘッダPHBに引き継ぐ。上記のより具体的な処理の一例を示す。スイッチ部112Aは、第1パケットのパケットヘッダPHAから認証フラグF1とリスクフラグRFを抽出し、抽出された認証フラグF1とリスクフラグRFの状態を、スイッチ部112Bに引き継ぐ。スイッチ部112Bは、スイッチ部112Aから引き継がれた認証フラグF1とリスクフラグRFの状態に基づいて第2パケットを生成して、出力する。
一方、受信側のeMLBR11は、ネットワーク側からパケットPBを受信して、受信したパケットPBを、デカプセル化してパケットPAを再生する。その際、eMLBR11は、パケットPBのパケットヘッダPHBから各フラグの状態を抽出し、パケットPAのパケットヘッダPHAに引き継ぐ。上記のより具体的な処理の一例を示す。スイッチ部112Bは、第2パケットのパケットヘッダPHBから認証フラグF1とリスクフラグRFを抽出し、抽出された認証フラグF1とリスクフラグRFの状態を、スイッチ部112Aに引き継ぐ。スイッチ部112Aは、スイッチ部112Bから引き継がれた認証フラグF1とリスクフラグRFの状態に基づいて第1パケットを生成して、出力する。
上記の実施形態によれば、通信システム1は、スイッチ部112Aとスイッチ部112Bは、受信した第1パケットから、当該第1パケットの認証フラグF1とリスクフラグRFとを抽出し、当該受信した第1パケットをトンネリングさせる通信の第2パケットのパケットヘッダに反映させることができる。
(第4の実施形態の第1変形例)
第4の実施形態の第1変形例について説明する。上記の第4の実施形態では、トンネリングを利用する場合について例示したが、本変形例では、フラグメントを利用する場合について例示する。第4の実施形態との相違点を中心に説明する。
第4の実施形態の第1変形例について説明する。上記の第4の実施形態では、トンネリングを利用する場合について例示したが、本変形例では、フラグメントを利用する場合について例示する。第4の実施形態との相違点を中心に説明する。
「フラグメント」は、送信側中継ノードが受信した第1パケットのデータ長さが、送信側中継ノードから受信側中継ノード宛に送信する第2パケットで許容されるデータ長さより長い場合に利用される一手段である。
図23は、「フラグメント」の概要を示すための図である。例えば、図23(a)はMACヘッダ(MACA)を含むMACフレームを示す。第1パケットは、MACフレームに割り当てられ、IPパケットヘッダ(パケットヘッダPHA)とペイロード(PLDA)により構成される。図23(b)はMACヘッダ(MACB)を含む複数のMACフレームを示す。1つ目のMACフレームには、1つ目の第2パケットが割り当てられ、1つ目の第2パケットは、IPパケットヘッダ(パケットヘッダPHB)とペイロードPLDA1により構成される。同様に2つ目のMACフレームには、2つ目の第2パケットが割り当てられ、2つ目の第2パケットは、IPパケットヘッダ(パケットヘッダPHB)とペイロードPLDA2により構成される。
「フラグメント」処理は、例えば、上記の第1パケットのデータが所定の長さに分割され、各第2パケットのペイロード内にそれぞれ割り付けられて転送されるという標準的な処理で実施される。本実施形態のeMLBR11は、それに加えて、認証フラグF1とリスクフラグRFの処理が附加される。以下、その相違点を中心に説明する。
図24は、「フラグメント」処理における認証フラグF1とリスクフラグRFの処理を説明するための図である。
送信側のeMLBR11は、送信端末からパケットPAを受信する。eMLBR11は、受信したパケットPAのペイロード部のデータを複数に分割し、複数のパケットPBのペイロードに、分割したデータを順に割り付ける。その際、eMLBR11は、パケットPAのパケットヘッダPHAから、認証フラグF1とリスクフラグRFの各フラグの状態を抽出し、各パケットPBのパケットヘッダPHBに引き継ぐ。
一方、受信側のeMLBR11は、受信した複数のパケットPBのペイロードからデータを抽出し、抽出したデータを結合してパケットPAを再生する。その際、eMLBR11は、代表するパケットPBのパケットヘッダPHBから各フラグの状態を抽出し、パケットPAのパケットヘッダPHAに引き継ぐ。
上記の変形例によれば、通信システム1は、スイッチ部112Aとスイッチ部112Bは、受信した第1パケットから、当該第1パケットの認証フラグF1とリスクフラグRFとを抽出し、当該受信した第1パケットを分割して送信する第2パケットのパケットヘッダに反映させることができる。
(第4の実施形態の第2変形例)
第4の実施形態の第2変形例について説明する。上記の第4の実施形態では、トンネリングを利用する場合について例示したが、本変形例では、トンネリングモードの暗号化通信を利用する場合について例示する。第4の実施形態との相違点を中心に説明する。
第4の実施形態の第2変形例について説明する。上記の第4の実施形態では、トンネリングを利用する場合について例示したが、本変形例では、トンネリングモードの暗号化通信を利用する場合について例示する。第4の実施形態との相違点を中心に説明する。
トンネリングモードの「暗号化通信」は、中継区間の一部又は全部で、第1パケットのデータ、或いは、第1パケットそのものを秘匿して第2パケットを生成し、第2パケットとして転送する場合に利用される一手段である。
図25は、「暗号化通信」の概要を示すための図である。例えば、図25(a)はMACヘッダ(MACA)を含むMACフレームを示す。第1パケットは、MACフレームに割り当てられ、IPパケットヘッダ(パケットヘッダPHA)とペイロード(PLDA)により構成される。図25(b)はMACヘッダ(MACB)を含むMACフレームを示す。MACフレームには、第2パケットが割り当てられ、第2パケットは、IPパケットヘッダ(パケットヘッダPHB)と、AH(Authentication Header)と、ペイロードとにより構成される。
「暗号化通信」処理は、例えば、上記の第1パケットは、第2パケットのペイロード内に暗号化されて割り付けられて転送されるという標準的な処理で実施される。本実施形態のeMLBR11は、それに加えて、認証フラグF1とリスクフラグRFの処理が附加される。以下、その相違点を中心に説明する。
図26は、トンネリングモードの「暗号化通信」処理における認証フラグF1とリスクフラグRFの処理を説明するための図である。
送信側のeMLBR11は、送信端末からパケットPAを受信する。eMLBR11は、受信したパケットPAを暗号化して、パケットPBのペイロードに割り付けてカプセル化する。その際、eMLBR11は、パケットPAのパケットヘッダPHAから、認証フラグF1とリスクフラグRFの各フラグの状態を抽出し、パケットPBのパケットヘッダPHBに引き継ぐ。
一方、受信側のeMLBR11は、受信したパケットPBにカプセル化されたデータを復号化して、パケットPAを再生する。その際、eMLBR11は、パケットPBのパケットヘッダPHBから各フラグの状態を抽出し、パケットPAのパケットヘッダPHAに引き継ぐ。
上記の変形例によれば、通信システム1は、スイッチ部112Aとスイッチ部112Bは、受信した第1パケットから、当該第1パケットの認証フラグF1とリスクフラグRFとを抽出し、当該受信した第1パケットを暗号化して送信する第2パケットのパケットヘッダに反映させることができる。
なお、上記に示した以外にも、暗号化の方式には幾つかの方式がある。それらのうちから他の方式を適宜選択できる。
(第4の実施形態の第3変形例)
第4の実施形態の第3変形例について説明する。上記の第4の実施形態では、トンネリングを利用する場合について例示したが、本変形例では、トランスポートモードの暗号化通信を利用する場合について例示する。第4の実施形態との相違点を中心に説明する。
第4の実施形態の第3変形例について説明する。上記の第4の実施形態では、トンネリングを利用する場合について例示したが、本変形例では、トランスポートモードの暗号化通信を利用する場合について例示する。第4の実施形態との相違点を中心に説明する。
トランスポートモードの「暗号化通信」は、中継区間の一部又は全部で、第1パケットのデータ、或いは、第1パケットそのものを秘匿して第2パケットを生成し、第2パケットとして転送する場合に利用される一手段である。
図27は、トランスポートモードの「暗号化通信」処理における認証フラグF1とリスクフラグRFの処理を説明するための図である。
送信側のeMLBR11は、送信端末からパケットPAを受信する。eMLBR11は、受信したパケットPAのペイロード部を暗号化して、パケットPBのペイロードに割り付けてカプセル化する。その際に、eMLBR11は、パケットPAのパケットヘッダPHAを抽出し、パケットPBのパケットヘッダPHBに引き継ぐ。上記により、間接的に、パケットPAのパケットヘッダPHAの各フラグの状態が、パケットPBのパケットヘッダPHBに引き継がれる。
一方、受信側のeMLBR11は、受信したパケットPBにカプセル化されたデータを復号化して、パケットPAを再生する。その際、eMLBR11は、パケットPBのパケットヘッダPHBを抽出し、パケットPAのパケットヘッダPHAに引き継ぐ。上記により、間接的に、パケットPBのパケットヘッダPHBの各フラグの状態が、パケットPAのパケットヘッダPHAに引き継がれる。
上記の変形例によれば、通信システム1は、スイッチ部112Aとスイッチ部112Bは、受信した第1パケットから、当該第1パケットの認証フラグF1とリスクフラグRFとを抽出し、当該受信した第1パケットを暗号化して送信する第2パケットのパケットヘッダに反映させることができる。
(第4の実施形態の第4変形例)
第4の実施形態の第4変形例について説明する。上記の第4の実施形態では、MLBR10による転送処理について例示したが、本変形例では、サーバ装置SVによる転送処理について例示する。第4の実施形態との相違点を中心に説明する。
第4の実施形態の第4変形例について説明する。上記の第4の実施形態では、MLBR10による転送処理について例示したが、本変形例では、サーバ装置SVによる転送処理について例示する。第4の実施形態との相違点を中心に説明する。
サーバ装置SVによる「上位プロトコルによる転送」は、受信した第1パケットから抽出された上位プロトコルのデータを、第2パケットを利用して転送する場合に利用される一手法である。
図28は、「上位プロトコルによる転送」の概要を示すための図である。例えば、図28(a)はMACヘッダ(MACA)を含むMACフレームを示す。第1パケットは、MACフレームに割り当てられ、IPパケットヘッダ(パケットヘッダPHA)とペイロード(PLDA)により構成される。図28(b)はMACヘッダ(MACB)を含むMACフレームを示す。MACフレームには、第2パケットが割り当てられ、第2パケットは、IPパケットヘッダ(パケットヘッダPHB)と、ペイロード(PLDA)とにより構成される。サーバ装置SVは、第1パケットのデータを、第1のパケットと異なる第2パケットに含めて転送する。
「上位プロトコルによる転送」は、MLBR10に代えて、例えば、上位プロトコルの処理を実施するサーバ装置SV等により実施される。より具体的な形態を例示すれば、プロキシサーバ、電子メールを中継するメールサーバ、チャットサービス、ショートメッセージサービス、音声通話サービスを提供するSNSサーバなどが挙げられる。
上記の各サーバ装置は、受信した第1パケットの認証フラグF1とリスクフラグRFの状態を第2パケットに引き継ぎつつ、第1パケットのデータを含む第2パケットを生成する。
(第5の実施形態)
第5の実施形態について説明する。第1の実施形態では、MLBテーブル1124等が認証フラグF1を設定する場合を例示したが、本実施形態では、これに代えて、認証・検疫テーブルが認証フラグF1を設定する場合について例示する。以下、相違点を中心に説明する。
第5の実施形態について説明する。第1の実施形態では、MLBテーブル1124等が認証フラグF1を設定する場合を例示したが、本実施形態では、これに代えて、認証・検疫テーブルが認証フラグF1を設定する場合について例示する。以下、相違点を中心に説明する。
図29は、本実施形態のeMLBR11を示す図である。スイッチ部112は、各段のフローテーブルとして、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125、QoSテーブル1126、匿名フラグ設定テーブル1127、及び認証・検疫テーブル1128を備える。
本実施形態の場合、第5規則はスイッチ部112内の認証・検疫テーブル1128に、第6規則はスイッチ部132内の匿名フラグ設定テーブル1127に、登録され、パケットの転送を制御する。
本実施形態のMLBテーブル1124を図8Cに示す。上述のとおり、MLBテーブル1124は、認証フラグF1の設定を実施せずに、ルーティングテーブル1125への転送等を実施する。本実施形態における認証フラグF1は下記する通りである。
本実施形態の場合、第5規則はスイッチ部112内の認証・検疫テーブル1128に、第6規則はスイッチ部132内の匿名フラグ設定テーブル1127に、登録され、パケットの転送を制御する。
本実施形態のMLBテーブル1124を図8Cに示す。上述のとおり、MLBテーブル1124は、認証フラグF1の設定を実施せずに、ルーティングテーブル1125への転送等を実施する。本実施形態における認証フラグF1は下記する通りである。
認証・検疫テーブル1128は、匿名フラグ設定テーブル1127により匿名フラグF2が設定されたパケットに対し、第5規則に従う所定の条件を満たす場合に認証フラグF1をセットする。所定の条件とは、所定の信頼度基準を満たした送信元を選択するための認証済送信元情報(認証リスト)として生成される。認証・検疫テーブル1128の一例を図30に示す。
例えば、認証・検疫テーブル1128は、認証リストに一致する送信元IPアドレスのパケットに対し、認証フラグF1をセットして、パケットタイプテーブルに送る(図30上段)。認証・検疫テーブル1128は、認証リストに一致しない送信元IPアドレスのパケットに対し、認証フラグF1をリセットして、パケットタイプテーブルに送る(図30下段)。
例えば、認証・検疫テーブル1128は、認証リストに一致する送信元IPアドレスのパケットに対し、認証フラグF1をセットして、パケットタイプテーブルに送る(図30上段)。認証・検疫テーブル1128は、認証リストに一致しない送信元IPアドレスのパケットに対し、認証フラグF1をリセットして、パケットタイプテーブルに送る(図30下段)。
通信システム1では、上記の所定の信頼度基準を、必要とされる認証レベルに設定してもよい。例えば、認証レベルの高い例としては、IEEE802.1X認証において、サプリカント(非認証ノード)と認証サーバとが相互にデジタル証明書を交換するEAP−TLS(Extensible Authentication Protocol−Transport Layer Security)がある。次いで、サプリカント側がユーザ名とパスワードを使用し、認証サーバ側がデジタル証明書を使用する、EAP−TTLS(Tunneled Transport Layer Security)やEAP−PEAP(Protected Extensible Authentication Protocol)がある。上記の他に、認証サーバ側にデジタル証明書を必要とせず、サプリカントはユーザ名とパスワードで認証を行うEAP−MD5(Message digest algorithm 5)やEAP−LEAP(Lightweight Extensible Authentication Protocol)、EAP−FASTなどがある。
また、今後の認証技術の進歩とともに指紋認証や声紋認証、顔認証、手書き認証などの、いわゆるバイオ認証(生体認証)技術を用いた、より高度でかつ不正し難い認証方法が一般に利用されるようになる。通信システム1では、これらのより高度でかつ不正し難い認証方法を、より高い認証レベルの判定に適用してもよい。
また、通信システム1は、検疫レベルとして、例えばMicrosoft社(登録商標)のNAP(Network Access Protection)(登録商標)やCisco Systems社(登録商標)のNAC(network admission control)(登録商標)などの検疫ソフトウェアに見られるような手法を利用してもよい。検疫ソフトウェアでは、当該コンピュータのOSやウイルス検知ソフト、ファイアウォール、Adobe社(登録商標)のAcrobat Reader(登録商標)のように広く利用されているパッケージソフトウェアなどの更新履歴情報や設定状態(設定情報)を利用している。上記と同様にそれら情報を利用して、検疫レベルとして、OSやパッケージソフトウェアなどの更新履歴情報や設定状態(設定情報)をもとにしたレベル分けを適用してもよい。
その一方で、IoT機器などのデータ端末18などのIEEE802.1X認証機能を持たない機器については、その機器に異常が認められず、かつ、当該機器が、MLBテーブル1124と通信相手許可(QoS)テーブル1126の少なくとも何れかに該当するパケットを送信している場合に、認証フラグF1をセットするようにしてもよい。上記のIoT機器などのデータ端末18に異常が認められない状態とは、例えば、ARPリフレクションなどの簡易認証やNmapなどのポートスキャナ、ウイルス検知ソフトなどを用いた簡易認証・検疫の結果が良好な場合とする。
本実施形態の場合、コントローラ111が、スイッチ部112によって受信されたパケットに対する処理を実施するのに先立って、匿名フラグ設定テーブル1127により匿名フラグF2が設定され、さらに、認証・検疫テーブル1128により認証フラグF1が設定される。つまし、コントローラ111自身が、スイッチ部112によって設定された認証フラグF1と匿名フラグF2を利用して処理することができる。
例えば、コントローラ111がDRMの処理をする場合に、そのDRMを送信した端末装置などの認証処理を、認証フラグF1を利用して実施することができる。アドレス詐称(なりすまし)された端末装置から送られたDRMを廃棄することが容易になる。
例えば、コントローラ111がDRMの処理をする場合に、そのDRMを送信した端末装置などの認証処理を、認証フラグF1を利用して実施することができる。アドレス詐称(なりすまし)された端末装置から送られたDRMを廃棄することが容易になる。
(リスクフラグRFを利用する装置)
リスクフラグRFを利用する装置として、MLBR10や、MLBR10以外の装置が挙げられる。リスクフラグRFのセット状態を検出する用途としては、IDS、IPS、DPI等の装置が信頼度の低いパケットを抽出するための指標として利用する用途が挙げられる。IDS、IPS、DPI等の装置は、受信したパケットの履歴データに、リスクフラグRFを含めて格納するとよい。IDS、IPS、DPI等の装置への適用例を後述する。
リスクフラグRFを利用する装置として、MLBR10や、MLBR10以外の装置が挙げられる。リスクフラグRFのセット状態を検出する用途としては、IDS、IPS、DPI等の装置が信頼度の低いパケットを抽出するための指標として利用する用途が挙げられる。IDS、IPS、DPI等の装置は、受信したパケットの履歴データに、リスクフラグRFを含めて格納するとよい。IDS、IPS、DPI等の装置への適用例を後述する。
(第6の実施形態)
第6の実施形態について説明する。第1から第5の実施形態では、IPv4のパケットヘッダのサービス種別フィールドにおける予備ビット(未使用ビット)を、信頼度情報を示すフラグとして利用する事例について説明した。本実施形態では、これに代えて、同サービス種別フィールドにおける未定義コード(未使用コード)を信頼度情報として利用する事例について説明する。以下、第1から第5の実施形態、及び、それらの変形例等との相違点を中心に説明する。
第6の実施形態について説明する。第1から第5の実施形態では、IPv4のパケットヘッダのサービス種別フィールドにおける予備ビット(未使用ビット)を、信頼度情報を示すフラグとして利用する事例について説明した。本実施形態では、これに代えて、同サービス種別フィールドにおける未定義コード(未使用コード)を信頼度情報として利用する事例について説明する。以下、第1から第5の実施形態、及び、それらの変形例等との相違点を中心に説明する。
本実施形態においても、IPv4のパケットへの適用を例示して説明する。IPv4のパケットヘッダのサービス種別フィールドに、通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納する格納部を設ける。前述の図11(b)に示すように、サービス種別フィールドの上位6ビットは、DSCPとして利用されている。
図32は、サービス種別フィールドに割り当てられたDSCPにについて説明するための図である。この図32に示すDSCPの各コードは、前述のRFC3260、RFC2474、RFC2597、RFC3246等において規定されているものである。このように、DSCPに割り付けられたコードは、6ビットで表すことができるコードの全てではなく、その一部に限られる。
ここで、本実施形態では、上記の規定においてDSCPとして割り当てられていない未定義コードを利用する事例について説明する。本実施形態では、IETFの規定に干渉しないように未定義コードを利用することにより、比較例のネットワークがIETFの規定に準じていれば、比較例のネットワークであっても、本実施形態のコードを割り付けたパケットを透過的に転送することが可能になる。つまり、ネットワークNW1とネットワークNW4とを接続して相互に通信することができる。
例えば、MLBR10のスイッチ(信頼度情報設定手段)、例えば、eMLBR11のスイッチ部112は、所定の信頼度基準を満たす送信元から送信されたパケットの信頼度情報を、ネットワークセキュリティ上の信頼度が比較的高いこと(リスクが比較的低いこと)を示すように設定し、送信元又は宛先を隠ぺい又は詐称したパケットの前記信頼度情報を、そのリスクが比較的高いことを示すように設定する。
本実施形態における信頼度情報には、信頼度が不明なパケット、信頼度が高いパケット、送信元又は宛先を隠ぺい又は詐称したパケット(例えば、匿名アドレスを利用するパケット)、及び明白な不正なパケットのうちの少なくとも何れかに対応付けられた情報が含まれる。
例えば、MLBR10のスイッチ部112は、受信したパケットの信頼度情報を参照して、そのパケットの信頼度情報を識別する。スイッチ部112は、その識別の結果に基づいて、当該パケットの転送、転送の制限、検疫、QOS制御など通信処理と、通信処理のための管理に関する各種処理を実施する。スイッチ部112は、その処理の結果に基づいて、当該パケットを所望の経路に出力する。
例えば、スイッチ部112は、受信したパケットの信頼度情報を参照して、そのパケットの信頼度が不明なパケットであると判定した場合には、そのパケットの信頼度情報を維持してもよい。例えば、DSCPに割り付けるコードの値を「*****0」に定める。「*」は、「0」または「1」の何れかである。5個の「*」で示す上位の5ビットについて、スイッチ部112は、パケットに設定されているコードの上位5ビットと同じ値にして、下位1ビットを「0」にする。このコードの値は、DSCPとして既定されているコードの値と同じものになる。スイッチ部112は、この値が設定されているパケットを、所定の信頼度レベルを満たさないものと判定する。上記のコードは、第1の実施形態に示した「認証フラグF1」と「匿名フラグF2」とをリセットした状態(0)に対応する。例えば、上記のコード「*****0」が選択される場合は、第1の実施形態等に示した「認証フラグF1」をリセットして、「リスクフラグFR」をセットした状態に対応させてもよい。
なお、信頼度の検証がなされていないネットワークNW4等の比較例のネットワーク上であれば、この値に設定されたパケットは、これまでとパケットと同様に扱うことができる。つまり、このコードに設定されたパケットが、パケットの信頼度を管理しないネットワークから到来した場合、又は、信頼度が不明な端末装置から到来した場合には、MLBR10のスイッチは、そのパケットの信頼度情報を変更することにより、信頼度の検証がなされていない信頼度が不明なパケットとして扱うことができる。例えば、上記と異なるコードが設定されたパケットであっても、当該パケットの信頼度が不明であると判定した場合には、スイッチ部112は、DSCP(コードの値「*****1」)の下位1ビットを反転して、コードの値を「*****0」に変更する。スイッチ部112は、そのコードを当該パケットの信頼度情報として設定する。
また、スイッチ部112は、信頼度が高いパケットの信頼度情報を、当該パケットの信頼度が高いことを示す第1のコード(第1の所定の情報)の情報に変更してもよい。例えば、DSCPに割り付けるコードの値を「*****1」と定める。DSCPにおける上位の5ビットは、既に定められているコードの上位5ビットと同じ値にする。この値は、上記のコード「*****0」とは異なり、既に定められているコードの何れにも当てはまらない。なお、上記のコード「*****1」が選択される場合は、例えば、第1の実施形態等に示した「認証フラグF1」をセットして、「リスクフラグFR」又は「匿名フラグF2」をリセットした状態に対応する。
スイッチ部112は、上記のコード「*****1」に設定されているパケットを、所定の信頼度レベルを満たすものと判定する。なお、この値に設定されたパケットは、ネットワークNW4のように一般的な通信プロトコルが適用された比較例のネットワークでは、DSCPの上位5ビットを参照することで、これまでと同様のパケットとして扱うことができる。また、DSCPの下位1ビットを参照することで、その値が「1」であることから、所定の信頼度レベルを満たすパケットであることを識別できる。
また、スイッチ部112は、当該パケットのパケットヘッダに含まれている送信元又は宛先アドレスが、隠ぺい又は詐称したアドレス(例えば、匿名アドレス等)を利用するパケットの信頼度情報を、送信元又は宛先の匿名性を示す第2のコード(第2の所定の情報)に変更してもよい。例えば、DSCPに割り付けるコードの値を「***111」と定める。DSCPの上位の3ビットは、既に定められているコードの上位3ビットと同じ値にする。なお、下位3ビットに規定されているコードには、「111」が含まれていない。つまり、コード「***111」は、既知のDSCPの各コードとは異なり、それらのコードの何れにも当てはまらない。なお、上記のコード「***111」が選択される場合は、例えば、第1の実施形態等に示した「認証フラグF1」をリセットして、「リスクフラグFR」をセットした状態に対応する。上記の「リスクフラグFR」をセットした状態は、例えば、第3の実施形態に示した「匿名フラグF2」をセットした状態、または、第3の実施形態の第2変形例に示した「フラグF4」をセットした状態を含む。
スイッチ部112は、DSCPが上記のコード「***111」に設定されているパケットを、隠ぺい又は詐称したアドレス(匿名アドレス等)を利用するパケットであると判定する。
なお、DSCPが上記のコード「***111」に設定されたパケットは、比較例のネットワークでは、DSCPとして規定されているコードを利用して、当該パケットを転送することができる。つまり、DSCPに「111」が設定されていること以外は、これまでと同様のパケットとして扱うことができる。
なお、当該パケットを受信した端末装置は、受信したパケットにおいて、DSCPの下位3ビットを参照してもよい。例えば、端末装置は、受信したパケットのDSCPの下位3ビットがコード「111」であれば、「そのパケットが、隠ぺい又は詐称したアドレス(匿名アドレス等)を利用したパケットである。」と既に判定されていることを識別できる。
また、下記のようなパケットは、明らかな不正なパケットとして扱うようにしてもよい。例えば、明らかな不正なパケットには、その信頼度情報が規定外の情報に設定されているパケット、所定の認証条件を満たしていないパケット、及び、前記パケットの信頼度が補償されない通信経路を経て到来したものであると判定されたパケットなどが含まれる。明白な不正なパケットは、上記のうちの何れかであってよい。この場合、スイッチ部112は、明白な不正なパケットの信頼度情報を、当該パケットが明白な不正なパケットであると判定し、これを示す第3のコード(第3の所定の情報)に変更してもよい。
以下、より具体的な適用例について説明する。MLBR10は、上記の通り、eMLBR11と、iMLBR12と、bMLBR13に大別される。eMLBR11と、iMLBR12と、bMLBR13は、受信したパケットに対する処理などが互いに異なる。
例えば、ネットワークNW1内のeMLBR11と、iMLBR12と、bMLBR13は、前述の図1に示すように接続されている。eMLBR11は、ユーザが利用する端末装置を収容し、iMLBR12に接続されている。さらに、eMLBR11は、比較例のネットワーク(不図示)としてのノード(不図示)に接続されていてもよい。iMLBR12は、eMLBR11、他のiMLBR12、bMLBR13等に接続されている。bMLBR13は、当該ネットワーク(ネットワークNW1)内でiMLBR12、他のbMLBR13等に接続されており、他のネットワークと接続されている。
以下、eMLBR11と、iMLBR12と、bMLBR13とに分けて、パケットに対する信頼度情報の設定処理について説明する。なお、以下の説明における「認証・検疫レベル」を5段階とし、その値が「1」である場合に、最も信頼度が低い状態にあり、その値が「5」である場合に、最も信頼度が高い状態にあるとする。
(eMLBR11)
図33は、eMLBR11が信頼度情報に基づいて通信制御を実施する処理を示すための図である。
eMLBR11は、端末装置等から受信したパケットの信頼度が不明な場合には、そのパケットのDSCPのLSB(下位ビット)を「0」にする。ただし、パケットをeMLBR11に送信した直前の通信ノードからのパケット、または、ユーザが利用する端末装置の認証・検疫レベルが「2〜4」の端末装置からのパケットのDSCPのLSBが0であれば、eMLBRは、そのパケットのDSCPのLSB(DSCPのコード)を変更しない。
図33は、eMLBR11が信頼度情報に基づいて通信制御を実施する処理を示すための図である。
eMLBR11は、端末装置等から受信したパケットの信頼度が不明な場合には、そのパケットのDSCPのLSB(下位ビット)を「0」にする。ただし、パケットをeMLBR11に送信した直前の通信ノードからのパケット、または、ユーザが利用する端末装置の認証・検疫レベルが「2〜4」の端末装置からのパケットのDSCPのLSBが0であれば、eMLBRは、そのパケットのDSCPのLSB(DSCPのコード)を変更しない。
eMLBR11は、端末装置等から受信した信頼できるパケットについては、そのパケットのDSCPのLSBを「1」に設定する。例えば、パケットをeMLBR11に送信した直前のノード、または、ユーザが利用する端末装置の認証・検疫レベルが「5」である場合、eMLBR11は、そのパケットのDSCPのLSBを「1」にする。
eMLBR11は、パケットの送信元IPアドレスが匿名フラグ設定テーブル1127に存在する場合、パケットのDSCPを「7」に設定する。
eMLBR11は、端末装置等から受信した明白な不正パケットについては、DSCPに「63」を設定する。
例えば、eMLBR11は、下記の処理を実施する。
(1)eMLBR11に収容しているノード(但し、iMLBR12を除く)から送信されたパケットのDSCPのLSBが「1」である場合、eMLBR11は、そのパケットを不正パケットとして扱うように、そのパケットにおけるDSCPを「63」に設定する。
(1)eMLBR11に収容しているノード(但し、iMLBR12を除く)から送信されたパケットのDSCPのLSBが「1」である場合、eMLBR11は、そのパケットを不正パケットとして扱うように、そのパケットにおけるDSCPを「63」に設定する。
つまり、MLBR10がDSCPに信頼度情報として設定するコードを、各パケットのDSCPに設定する権限は、原則としてeMLBR11のみに制限する。このように制限することにより、eMLBR11に収容しているノードなどは、その設定に関する権限がなく、当該ノードから送信するパケットに、そのDSCPのLSBに「1」を設定することはできない。eMLBR11は、このようなパケットを、明白な不正パケットであると識別する。
(2)パケットをeMLBR11に送信した直前のノード(但し、iMLBR12を除く)、及び、ユーザが利用する端末装置の認証・検疫レベルが「1」である場合、又は感染したマルウェアなどから送信された悪意あるパケットである場合、eMLBRは、そのパケットを不正パケットとして扱うように、そのパケットにおけるDSCPを「63」に設定する。
(3)eMLBR11が収容している端末装置(ノード)から送信されたパケットの認証処理(以下、AH検証という。)に失敗した場合、eMLBR11は、そのパケットを不正パケットとして扱うように、そのパケットにおけるDSCPを「63」に設定する。
なお、eMLBRの処理ではないが、実施形態の各端末装置(ノード)は、下記の機能を有することを推奨する。端末装置17とデータ端末18は、端末装置(ノード)の一例である。端末装置(ノード)がパケットの送信にマルウェアが関与していることを検知した場合、当該端末装置(ノード)は、AHをパケットに付加せずに、または、認証に失敗したことを示すためAHをパケットに付加せずに送信するようにしてもよい。端末装置(ノード)がAHを利用して通信することにより、後述するように端末装置(ノード)とeMLBR11との間の通信の信頼度を高めることができる。
(iMLBR12)
図34は、iMLBR12が信頼度情報に基づいて通信制御を実施する処理を示すための図である。
iMLBR12は、eMLBR11または端末装置等から受信したパケットの信頼度が不明な場合には、そのパケットのDSCPのLSB(下位ビット)を「0」にする。ただし、iMLBR12は、eMLBR11から送られてきたパケットのAH検証に成功した場合、そのパケットのDSCPのLSBを変更しない。
図34は、iMLBR12が信頼度情報に基づいて通信制御を実施する処理を示すための図である。
iMLBR12は、eMLBR11または端末装置等から受信したパケットの信頼度が不明な場合には、そのパケットのDSCPのLSB(下位ビット)を「0」にする。ただし、iMLBR12は、eMLBR11から送られてきたパケットのAH検証に成功した場合、そのパケットのDSCPのLSBを変更しない。
eMLBR11から送られてきたパケットのAH検証に成功した場合、iMLBR12は、そのパケットのDSCPを変更しない。
iMLBR12は、匿名アドレスを利用するパケットについては、そのパケットのDSCPを「7」に設定する。例えば、匿名アドレスを利用するノードを収容している場合、iMLBR12は、その匿名アドレスパケットのDSCPを「7」に設定する。
iMLBR12は、明白な不正パケットについては、そのパケットのDSCPを「63」に設定する。例えば、収容しているノードから送信されたパケットのAH検証に失敗した場合、iMLBR12は、そのパケットを不正パケットとして扱うように、そのパケットにおけるDSCPを「63」にする。
(bMLBR13)
図35は、bMLBR13が信頼度情報に基づいて通信制御を実施する処理を示すための図である。
bMLBR13は、受信したパケットの信頼度が不明な場合には、そのパケットのDSCPのLSB(下位ビット)を「0」にする。bMLBR13は、MLBR10の未導入ネットワークから送られてきたパケットのDSCPのLSBが0であれば、そのLSBを変更しない。
図35は、bMLBR13が信頼度情報に基づいて通信制御を実施する処理を示すための図である。
bMLBR13は、受信したパケットの信頼度が不明な場合には、そのパケットのDSCPのLSB(下位ビット)を「0」にする。bMLBR13は、MLBR10の未導入ネットワークから送られてきたパケットのDSCPのLSBが0であれば、そのLSBを変更しない。
bMLBR13は、MLBR10の既導入ネットワークから送られてきたパケットについては、そのパケットにおけるDSCPを変更しない。
bMLBR13は、未導入ネットワークから送られてきた匿名アドレスを利用するパケットについては、そのパケットのDSCPを「7」に設定する。例えば、逆行経路内に一又は複数の匿名化ノードが存在する場合、bMLBR13は、当該ノードのアドレスを予め匿名フラグ設定テーブルに保持し、受信したパケットの送信元アドレスが匿名フラグ設定テーブルに存在した場合、パケットのDSCPを「7」に設定する。
bMLBR13は、MLBR10の未導入ネットワーク等から受信した明白な不正パケットについては、そのパケットのDSCPを「63」に設定する。例えば、MLBR10の未導入ネットワークから送られてきたパケットのLSBが「1」である場合、bMLBR13は、そのパケットを不正パケットとして扱うように、そのパケットにおけるDSCPを「63」にする。
上記の実施形態によれば、第1の実施形態と同様の効果を奏することの他、IPv4のサービス種別フィールドを利用して、同サービス種別フィールドにおける未定義コード(未使用コード)を信頼度情報として利用することにより、パケット通信におけるネットワークセキュリティ上のリスク度をより簡易な方法で受信側に通知することが可能になる。
また、信頼度情報には、信頼度が不明なパケット、信頼度が高いパケット、送信元又は宛先を隠ぺい又は詐称したパケット、及び明白な不正なパケットのうちの少なくとも何れかに対応付けられた情報が含まれていてもよい。これにより、パケットの信頼度に基づいて、当該パケットを識別することができる。
また、MLBR10のスイッチ(信頼度情報設定手段)は、信頼度が不明なパケットの信頼度情報を維持して、当該パケットを転送してもよい。これにより、信頼度の判定が困難なパケットを、信頼度が高いパケットと異なる分類で転送することができる。
また、MLBR10のスイッチは、信頼度が高いパケットの信頼度情報を、当該パケットの信頼度が高いことを示す第1の所定の情報に変更してもよい。これにより、信頼度が高いパケットに、それを識別するための情報を付加することができる。
また、MLBR10のスイッチは、送信元又は宛先を隠ぺい又は詐称したパケットの前記信頼度情報を、送信元又は宛先の匿名性を示す第2の所定の情報に変更してもよい。これにより、送信元又は宛先を隠ぺい又は詐称したパケットに、それを識別するための情報を付加することができる。
また、明白な不正なパケットは、信頼度情報が規定外の情報に設定されているパケット、所定の認証条件を満たしていないパケット、及び、パケットの信頼度が補償されない通信経路を経て到来したものであると判定されたパケットのうちの何れかであってもよい。その場合、MLBR10のスイッチは、明白な不正なパケットの前記信頼度情報を、当該パケットが明白な不正なパケットであることを示す第3の所定の情報に変更してもよい。これにより、明白な不正なパケットに、それを識別するための情報を付加することができる。
なお、上記の信頼度情報のDSCPの設定を、MLBR10のスイッチ部が実施するものとして説明したが、これに制限されず、MLBR10内に設けられた機能部であって、スイッチ部と連携する機能部(不図示)、又はMLBR10に連携して機能する装置(不図示)が実施してもよい。例えば、DSCPの設定において、DSCPの値をMLBR10が変更する場合、IPパケットヘッダのチェックサムも計算し直すことになる。とりわけ100Gbpsや400Gbpsなどの高速のインタフェースを持つbMLBR13では、流入するすべてのパケットについて、DSCPが適正か否か、すなわちLSBが「1」になっていないかをチェックし、不適切であればDSCPを「63」に書き換えるとともに、チェックサムを再計算する。これは、悪意ある複数のノードからLSBを「1」にセットした不正パケットを大量に送り付けられれば、bMLBR13には過大な処理負荷がかかることを意味する。これについては、例えば、bMLBR13が、スイッチ部132内、又はスイッチ部132の外部に、ハードウエアによるチェックサム計算処理モジュールを内蔵している所謂NetFPGAや専用のチェックサム計算処理チップを備えていれば、それらを利用してもよい。あるいは、bMLBR13は、LSBが1のパケットを検出したら、所定のポートからbMLBR13に付帯して設けられたパケット処理装置(不図示)に転送し、そのパケット処理装置によりDSCPの書き換えとチェックサムを再計算してからbMLBR13に戻す。上記のパケット処理装置は、通信装置の一例である。
なお、このパケット処理装置を、IPパケットヘッダの内容を書き換えるゲートウエイとして構成することもできる。また、このパケット処理装置を、負荷分散のために、1台のbMLBR13に対して複数台を備えてもよい。また、bMLBR13に隣接する中継装置14(図1)に、このパケット処理装置の機能を含めてもよい。その機能を、bMLBR13からの要請によって活性化してもよい。
あるいは、bMLBR13は、LSBが1のパケットを次ホップノードに転送せずに、当該bMLBR13で廃棄する。このような構成にすれば、bMLBR13に過大な処理負荷がかかることはない。上記の処理は、eMLBR11やiMLBR12においても同様である。
また、悪意あるノードから意図的にAH認証失敗となるパケットが大量にeMLBR11やiMLBR12に送り付けられると、各ノード等に過大な処理負荷がかかるが、これについても上記と同様の対策を施せばよい。
また、悪意あるノードから意図的にAH認証失敗となるパケットが大量にeMLBR11やiMLBR12に送り付けられると、各ノード等に過大な処理負荷がかかるが、これについても上記と同様の対策を施せばよい。
(第6の実施形態の変形例)
第6の実施形態の変形例について説明する。上記の第6の実施形態では、ユーザが利用する端末装置の認証の結果を、MLBR10が利用する事例について例示したが、本変形例では、これに代えて、端末装置がユーザ又はエンティティを認証して、その認証の結果を、MLBR10が利用する事例について説明する。第6の実施形態との相違点を中心に説明する。
第6の実施形態の変形例について説明する。上記の第6の実施形態では、ユーザが利用する端末装置の認証の結果を、MLBR10が利用する事例について例示したが、本変形例では、これに代えて、端末装置がユーザ又はエンティティを認証して、その認証の結果を、MLBR10が利用する事例について説明する。第6の実施形態との相違点を中心に説明する。
図36は、本実施形態の変形例における端末装置17の構成図である。図37は、本実施形態の変形例における端末装置17の機能構成を示す図である。
端末装置17は、制御部171と、記憶部172と、通信制御部173、と認証処理部174、とを含む。例えば、制御部171と通信制御部173と認証処理部174は、CPU17A等のプロセッサがプログラムを実行することにより実現される。
端末装置17は、制御部171と、記憶部172と、通信制御部173、と認証処理部174、とを含む。例えば、制御部171と通信制御部173と認証処理部174は、CPU17A等のプロセッサがプログラムを実行することにより実現される。
制御部171は、OS及びアプリケーションプログラムの実行により、入出力装置17Dを介した情報の入出力を制御して、通信インタフェース17Eを介して通信するように、端末装置17内の各部を制御する。
記憶部172は、プロファイルDBとストローク情報DBを格納する。プロファイルDBには、ユーザの識別情報と、認証処理により参照されるパスワードと、ユーザのキー操作の特徴を示す基準ストローク情報とが含まれる。ストローク情報DBには、端末装置17の使用者の識別情報と、端末装置17の使用者のキー操作の特徴を記録したストローク履歴情報が含まれる。
通信制御部173は、通信インタフェース17Eを介して、外部機器であるeMLBR11と通信する。
認証処理部174は、ユーザを特定するための認証処理を、端末装置17の起動時、またはユーザの要求時に実施して、その認証結果を制御部171に通知する。認証処理の詳細については後述する。
図38と図39は、端末装置の認証処理を示すための図である。
端末装置17は、入出力装置17Dとして設けられたキーボードに対するユーザのキー操作を検出して、各キーのストロークに関する情報を収集する。
制御部171は、図38に示すように、各キーが打鍵される度に、そのキーに対する打鍵開始時刻と打鍵終了時刻とを検出し、記憶部172のストローク情報DBに格納する。
例えば、時刻tA1において「A」キーが打鍵([A]press)され、「A」キーが押された状態で保持された後、時刻tA2において「A」キーが離された([A]release)とする。この場合、「A」キーに対する打鍵開始時刻が時刻tA1であり、打鍵終了時刻が時刻tA2である。認証処理部174は、上記の時刻に基づいて、「A」キーが押されていた期間(T[A]pr)を次式(1)により算出する。
端末装置17は、入出力装置17Dとして設けられたキーボードに対するユーザのキー操作を検出して、各キーのストロークに関する情報を収集する。
制御部171は、図38に示すように、各キーが打鍵される度に、そのキーに対する打鍵開始時刻と打鍵終了時刻とを検出し、記憶部172のストローク情報DBに格納する。
例えば、時刻tA1において「A」キーが打鍵([A]press)され、「A」キーが押された状態で保持された後、時刻tA2において「A」キーが離された([A]release)とする。この場合、「A」キーに対する打鍵開始時刻が時刻tA1であり、打鍵終了時刻が時刻tA2である。認証処理部174は、上記の時刻に基づいて、「A」キーが押されていた期間(T[A]pr)を次式(1)により算出する。
T[A]pr=(tA2−tA1) ・・・(1)
制御部171は、上記のように、各キーの操作を検出する。制御部171は、例えば、予め定められた順で特定又は非定型文字列の複数のキーが操作された場合には、そのキーと時刻情報とを関連付けてストローク情報DBを格納する。なお、上記の予め定められた順で操作される特定の複数のキーは、プロファイルDBに格納されている識別情報やパスワードなどであってもよい。また非定型文字列は、任意の文字列から構成される文章であってもよい。これにより、端末装置17は、ユーザが特定又は非定型文字列の複数のキーを操作する際の癖を収集し、それをユーザの認証情報に利用する。
図39に示すように2つのキーを順に操作する場合には、制御部171は、上記にならって下記の処理を実施する。下記の処理では、「B」キーに続いて「C」キーが操作された場合を一例として示すものであり、キーの種類はこれに制限されるものではなく、他のキーの組み合わせを選択できる。なお、説明を簡素化するために2つのキーを操作する場合を例示するが、キーの個数はこれに制限されるものではなく、適宜選択できる。
例えば、制御部171は、図39に示すように、時刻tB1において「B」キーが打鍵([B]press)され、「B」キーが押された状態で保持された後、時刻tB2において「B」キーが離された([B]release)とする。更に、続けて、時刻tC1において「C」キーが打鍵([C]press)され、「C」キーが押された状態で保持された後、時刻tC2において「C」キーが離された([C]release)とする。
この場合、「B」キーに対する打鍵開始時刻が時刻tB1であり、打鍵終了時刻が時刻tB2である。「C」キーに対する打鍵開始時刻が時刻tC1であり、打鍵終了時刻が時刻tC2である。
制御部171は、上記の時刻に基づいて、「B」キーが押されていた期間(T[B]pr)を次式(2)により算出し、「C」キーが押されていた期間(T[C]pr)を次式(3)により算出する。
T[B]pr=(tB2−tB1) ・・・(2)
T[C]pr=(tC2−tC1) ・・・(3)
T[C]pr=(tC2−tC1) ・・・(3)
更に、制御部171は、上記の時刻に基づいて、「B」キーが打鍵されてから「C」キーが打鍵されるまでの期間(T[B、C]pp)を次式(4)により算出し、「B」キーが離されてから「C」キーが離されるまでの期間(T[B、C]rr)を次式(5)により算出する。
T[B,C]pp=(tC1−tB1) ・・・(4)
T[B,C]rr=(tC2−tB2) ・・・(5)
T[B,C]rr=(tC2−tB2) ・・・(5)
更に、制御部171は、上記の時刻に基づいて、「B」キーが打鍵されてから「C」キーが離されるまでの期間(T[B、C]pr)を次式(6)により算出し、「B」キーが離されてから「C」キーが打鍵されるまでの期間(T[B、C]rp)を次式(7)により算出する。
T[B,C]pr=(tC2−tB1) ・・・(6)
T[B,C]rp=(tC1−tB2) ・・・(7)
T[B,C]rp=(tC1−tB2) ・・・(7)
制御部171は、上記の式(2)から式(7)を用いて算出した結果を、そのキーと時刻情報とに関連付けてストローク情報DBに追加する。
制御部171は、ストローク情報DBに格納された、各期間に関する算出結果を複数組抽出して集計する。これにより、制御部171は、特定又は非定型文字列のキーボードから入力された文字列に関する操作の特徴を統計的な処理により抽出する。例えば、制御部171は、上記の統計的な処理により、平均値、中心値、分散を考慮して決定された上限値と下限値、最短値と最長値に基づいて決定される下限値と上限値などのうちの一部、または全部をその代表値としてもよい。
制御部171は、ストローク情報DBに格納された、各期間に関する算出結果を複数組抽出して集計する。これにより、制御部171は、特定又は非定型文字列のキーボードから入力された文字列に関する操作の特徴を統計的な処理により抽出する。例えば、制御部171は、上記の統計的な処理により、平均値、中心値、分散を考慮して決定された上限値と下限値、最短値と最長値に基づいて決定される下限値と上限値などのうちの一部、または全部をその代表値としてもよい。
以上の処理により、特定又は非定型文字列の複数のキーが操作される場合に、ユーザのキー操作の特徴を示す代表値を抽出できる。制御部171は、抽出した代表値に基づいてプロファイルDBのデータを更新してもよい。
認証処理部174は、実際に端末装置を利用するためにログインする際などの認証処理でパスワードなどが入力された際の、各期間の値と、事前に算出していた上記の代表値とを比較して、操作者が正当なユーザであるか否かを判定する。
端末装置17は、上記の認証処理におけるユーザの認証結果に基づいて、正当なユーザであると認証された場合に、当該ユーザによるログインを許可して、自装置の所定のリソースを利用可能にする。
端末装置17は、ログイン後もユーザのキー操作を測定しプロファイルDBから外れていないか、すなわち認証した本人が操作しているか監視し、認証した本人の操作により、パケットを送信する際には、認証済みを示すAHをパケットに付加して送信する。キー操作がプロファイルDBから外れている場合には、端末装置17は、認証した本人でない人物が操作していると見なし、パケットにAHを付加せずに送信する。これら一連の認証をソフトステート型認証と呼ぶ。
(ユーザの認証)
各MLBR10は、AHが付加されたパケットを受信した際には、そのAHの妥当性を検証して、信頼できるユーザからのパケットを受信したものと判定するとよい。
各MLBR10は、AHが付加されたパケットを受信した際には、そのAHの妥当性を検証して、信頼できるユーザからのパケットを受信したものと判定するとよい。
例えば、MLBR10は、信頼できるユーザからのパケットを、前述の信頼できる端末装置17からのパケットと同様に扱うことにより、上記の実施形態の処理を適用することができる。
上記の変形例によれば、第6の実施形態と同様の効果を奏することの他、端末装置17のログイン時だけの認証に代えて、端末装置17のユーザのソフトステート型認証を実施することができる。この場合、1つの端末装置17を複数のユーザが共用する場合であっても、ユーザ毎に異なる判定基準で認証処理を実施することができ、ユーザ毎に異なる通信サービスを提供できる。
(実施形態に共通する第1変形例)
IDS/IPS/DPIに搭載される攻撃検出エンジンの一例について説明する。
IDS/IPS/DPIに搭載される攻撃検出エンジンの一例について説明する。
[IDS/IPS/DPIの攻撃検出エンジンの一例について]
IDS/IPS/DPI等には、その攻撃検出エンジンとして所謂人工知能を適用してもよい。上記の人工知能とは過去の経験に基づいて、未知の事象を判断するものである。人工知能が適用された攻撃検出エンジンは、パケットやファイル(暗号化されていれば、復号したもの)、時系列の挙動やログなどに基づいて、それに含まれるデータを学習して、機械学習済みデータ(例えば、ニューラルネットワークの結合重み係数等)を生成する。また、機械学習済みデータが実装された人工知能搭載攻撃検出エンジンは、未知の事象におけるこれらのデータが入力されると直ちに判定結果を出力する。
IDS/IPS/DPI等には、その攻撃検出エンジンとして所謂人工知能を適用してもよい。上記の人工知能とは過去の経験に基づいて、未知の事象を判断するものである。人工知能が適用された攻撃検出エンジンは、パケットやファイル(暗号化されていれば、復号したもの)、時系列の挙動やログなどに基づいて、それに含まれるデータを学習して、機械学習済みデータ(例えば、ニューラルネットワークの結合重み係数等)を生成する。また、機械学習済みデータが実装された人工知能搭載攻撃検出エンジンは、未知の事象におけるこれらのデータが入力されると直ちに判定結果を出力する。
機械学習あるいは深層学習には膨大な量の学習用データや教師データと、それらを処理するためのHPC(High-Performance Computing)環境が必要である。このようなHPC環境は、大量の浮動小数点演算を高速に処理することができる。一方、機械学習済みデータは、高速並列浮動小数点演算専用のGPU(Graphics Processing Unit)などによる比較的軽装備なHPC環境を実装した攻撃検出エンジン上で実行できる。このように構成された攻撃検出エンジンは、これまでの既知のパターンファイルを用いたウイルス検知ソフトウェアや、ログ分析を人手が介在して判断していた方法に比べ、既知・未知を問わず格段に高速かつ高精度に攻撃を検出することが可能になる。
そして、各MLBR10は、IDS/IPS/DPI等による検出結果に基づいて必要な処理を実施することにより、自システム(通信システム1)を守ることができる。さらに、自システムを守ることの他に、各MLBR10は、攻撃などに関与したパケットの送信元アドレスとそのパケットの属性情報を特定して廃棄要請メッセージ(DRM)を生成し、攻撃パケットの送信元アドレスに向けて送信すれば、その送信元アドレスに最も接近したMLBR10がその攻撃を遮断できる。さらに、MLBR10又は別に設けたDRM分析装置(不図示)に、多数のノードから送信された複数のDRMを集め分析することによって、攻撃が1対多あるいは多対多で行われていることを判定し、その結果に基づいてDRMを集約してもよい。これによって、例え、効果的な対策が未確定な状態にある所謂ゼロデイ攻撃であっても、被害の拡大を自動的に短時間で抑制することが可能になるとともに、MLBR10内の廃棄テーブルの廃棄エントリーも削減できることになる。
(実施形態に共通する第2変形例)
端末装置等における認証処理と検疫処理の一例について説明する。
端末装置等における認証処理と検疫処理の一例について説明する。
[ソフトステート型本人認証について]
端末装置等におけるソフトステート型本人認証に機械学習を適用してもよい。例えば、ユーザのキーストロークの特徴(ローマ字表記や、2連字のキーストローク時間間隔などの特徴)を機械学習させて、その結果を認証エンジンに登録する。ユーザがログインした後、文字を入力するごとにキーストロークの特徴を計測し、これを認証エンジンが判定することによって、ログインした時のユーザ本人がその後も操作し続けているか、あるいは別の人物が操作していないかを継続的に判定するようにしてもよい。
端末装置等におけるソフトステート型本人認証に機械学習を適用してもよい。例えば、ユーザのキーストロークの特徴(ローマ字表記や、2連字のキーストローク時間間隔などの特徴)を機械学習させて、その結果を認証エンジンに登録する。ユーザがログインした後、文字を入力するごとにキーストロークの特徴を計測し、これを認証エンジンが判定することによって、ログインした時のユーザ本人がその後も操作し続けているか、あるいは別の人物が操作していないかを継続的に判定するようにしてもよい。
[ソフトステート型検疫について]
端末装置等におけるソフトステート型検疫に機械学習を適用してもよい。例えば、大量の既知のマルウェアを使って、暗号化APIを呼び出したり、システムの安定稼働に影響を及ぼすような危険なメモリアクセスを行ったりするマルウェアの大量の特徴を機械学習させて、学習済みデータを検疫エンジンに登録する。例えば、新しいファイルをダウンロードした時やファイルの実行直前に検疫エンジンにかけることによって、既知、亜種、未知を問わずマルウェアの存在の有無を検出するようにしてもよい。
端末装置等におけるソフトステート型検疫に機械学習を適用してもよい。例えば、大量の既知のマルウェアを使って、暗号化APIを呼び出したり、システムの安定稼働に影響を及ぼすような危険なメモリアクセスを行ったりするマルウェアの大量の特徴を機械学習させて、学習済みデータを検疫エンジンに登録する。例えば、新しいファイルをダウンロードした時やファイルの実行直前に検疫エンジンにかけることによって、既知、亜種、未知を問わずマルウェアの存在の有無を検出するようにしてもよい。
[ソフトステート型認証・検疫と信頼度情報]
上述の人工知能技術を用いた認証エンジンや検疫エンジンの処理負荷が処理装置の能力に対して比較的軽い場合には、GPUなどを用いずにPCなどのCPUがその処理を実行してもよい。
上述の人工知能技術を用いた認証エンジンや検疫エンジンの処理負荷が処理装置の能力に対して比較的軽い場合には、GPUなどを用いずにPCなどのCPUがその処理を実行してもよい。
例えば、認証エンジンによって、ログイン若しくはIEEE802.1X認証に成功した時のユーザ本人が、その後もキー操作を行っていることが継続的に検出され、さらに、検疫エンジンによって端末装置17がマルウェアに感染していない、若しくはマルウェアがパケットの送信に関与してないことが確認できたと仮定する。
この場合には、端末装置17は、端末装置17とeMLBR11との間で予め交わした共有鍵を用いて認証ヘッダ(AH)をパケットに付加して、それをeMLBR11へ送信する。eMLBR11は、AHの検証に成功したことによって、所定の信頼度基準を満たしている送信元から送信されたパケットと判定し、前記信頼度情報を信頼度が比較的高いことを示すように設定するようにしてもよい。そして、eMLBR11は同パケットにeMLBR11とiMLBR12との間で予め交わしておいた共有鍵を使って生成したAHを付加してiMLBR12に転送するようにしてもよい。
この場合には、端末装置17は、端末装置17とeMLBR11との間で予め交わした共有鍵を用いて認証ヘッダ(AH)をパケットに付加して、それをeMLBR11へ送信する。eMLBR11は、AHの検証に成功したことによって、所定の信頼度基準を満たしている送信元から送信されたパケットと判定し、前記信頼度情報を信頼度が比較的高いことを示すように設定するようにしてもよい。そして、eMLBR11は同パケットにeMLBR11とiMLBR12との間で予め交わしておいた共有鍵を使って生成したAHを付加してiMLBR12に転送するようにしてもよい。
一方、認証エンジンによってログイン若しくはIEEE802.1X認証に成功した時のユーザ本人がキー操作を行っていることが確認できない場合、若しくは確認できなくなった場合には、検疫エンジンによって端末装置17がマルウェアに感染していないことが確認できていても、端末装置17は、パケットにAHを付加せずに、そのパケットを送信する。eMLBR11は、受信したパケットにAHが付加されていないことから、そのパケットを信頼度が不明なパケットと判定し、そのパケットの信頼度情報を信頼度が不明なパケットであることを示すように、その信頼度情報の値を維持するようにしてもよい。そして、eMLBR11は、同パケットにeMLBR11とiMLBR12との間で予め交わしておいた共有鍵を使って生成したAHを付加してiMLBR12に転送するようにしてもよい。
さらに、認証エンジンによってユーザ本人によるキー操作が確認できているか否かに拘らず、検疫エンジンによって端末装置17がマルウェアに感染していることが判明した場合には、端末装置17は、マルウェアが関与して送信しようとしているパケットを、偽AHを付加してeMLBR11へ送信するとよい。eMLBR11は、偽AHが付加されたパケットのAHの検証に失敗する。これにより、eMLBR11は、信頼度情報をリスクが比較的高いことを示すように設定してもよい。そして、eMLBR11は、eMLBR11とiMLBR12との間で予め交わしておいた共有鍵を使って生成したAHを、同パケットに付加してiMLBR12に転送するようにしてもよい。
[ソフトステート型認証・検疫の真正性・完全性検証]
本実施形態の端末装置17は、ソフトステート型認証・検疫エンジンを備えることにより、その結果をパケットに付加するAHに反映させる。端末装置17は、認証エンジンや検疫エンジン及びそれらに実装されている機械学習済みデータが改ざんやマルウェアに感染したものでないことを検証してもよい。
本実施形態の端末装置17は、ソフトステート型認証・検疫エンジンを備えることにより、その結果をパケットに付加するAHに反映させる。端末装置17は、認証エンジンや検疫エンジン及びそれらに実装されている機械学習済みデータが改ざんやマルウェアに感染したものでないことを検証してもよい。
例えば、耐タンパー性を有するセキュリティモジュールとしてTPM(Trusted Platform Module)が知られている。TPMは、TPMの識別用のEK(Endorsement Key)鍵や署名用のAIK(Attestation Identity Key)鍵、暗号用のSTK(Storage Key)鍵と、これらの秘密鍵やプログラムやファイルのハッシュ値を格納するためのPCR(Platform Configuration Register)などを備えている。端末装置17は、TPMを利用して、認証エンジンや検疫エンジンのメインメモリに展開されているプログラムファイルのハッシュ値や、機械学習済みデータのハッシュ値を定期的にeMLBR11との間で交換しておく。端末装置17は、送信すべきパケットが発生したら、パケットのペイロードとこれらのハッシュ値及び共有鍵とを組み合わせてAHを生成し、それをパケットに付加して、eMLBR11に送信する。
eMLBR11は、受信したパケットのペイロードとeMLBR11が保持していた当該端末装置17の認証エンジンや検疫エンジン、機械学習済みデータのハッシュ値と共有鍵を組み合わせて、端末装置17における生成方法と同じ方法でAHを生成する。eMLBR11は、生成したAHと、パケットに付加されていたAHとを照合することによって、その真正性(正しい送信元であること)及び完全性(プログラムやデータが改ざんさせていないこと)を検証するようにしてもよい。なお、前述の人工知能を搭載した攻撃検出エンジンや、eMLBR11、iMLBR11、bMLBR13などの真正性と完全性についても同様の方法で検証するようにしてもよい。
また、これらの真正性と完全性検証により信頼性を持たせるために、各装置のTPMのEK鍵(公開鍵)やベンダーが提供するプログラムファイルのハッシュ値や、機械学習済みデータのハッシュ値などを認定機関などで一括管理し、各装置が前記認定機関に照会するようにしてもよい。なお、この場合には、前記認定機関への各装置からの照会が集中し負荷が過大になる恐れがあるが、ルートDNSサーバなどに見られるように、前記認定機関のIPアドレスをanycastとし、複数の前記認定機関を配備することによって、照会があった装置に最も近い前記認定機関が応答を返すようにしてもよい。
上記の変形例によれば、端末装置においてソフトステート型の認証処理と検疫処理を実施することにより、端末装置を操作するユーザ、端末装置の状態等に基づいて、端末装置の信頼度について判定することができる。
なお、本実施形態のパケットは、フラグ又はコードで示される信頼度情報を格納する格納部が設けられている。例えば、この格納部は、本願出願時点のIETFの規定に干渉しないようにパケットヘッダの所定の位置に設けることができる。これにより、未導入ネットワークから送信されてきたパケットなどを含むすべてのパケットに、上記の格納部を設けることができる。
なお、パケットの信頼度が判断されるまでに、当該パケットの信頼度情報として付与される値(デフォルト値)は、予め定められた所定値であってよい。例えば、スイッチ部によって決定された結果(パケットの信頼度の選択の結果)に基づいて当該パケットの信頼度情報が設定されるまでの信頼度情報の値は、その信頼度が不明であることを示す値に決定されていてもよい。上記の定義によれば、信頼度情報の設定が必須ではないネットワークから到来するパケットの信頼度情報は、上記の値(デフォルト値)になる。その結果、MLBR10等の各装置は、それぞれのパケットの信頼度を不明と判定することができる。
以上説明した少なくともひとつの実施形態によれば、通信装置は、パケットにより、ネットワークを介して通信する。通信装置は、通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納する格納部が、前記パケットのパケットヘッダの所定位置に設けられており、信頼度が不明であることを示す所定値が格納部に格納されたパケットに対し、当該パケットに関する情報に基づいて、当該パケットの信頼度が比較的高いこと、当該パケットが匿名性を有すること、当該パケットのリスクが比較的高いこと、の内から1又は複数を選択して、選択の結果に基づいて当該パケットの信頼度情報を設定し、又は、信頼度が不明なパケットを選択して、選択されたパケットの信頼度情報を維持することにより、パケット通信におけるネットワークセキュリティ上のリスク度をより簡易な方法で受信者側に通知することができる。
また、通信装置は、所定の信頼度基準を満たす送信元から送信されたパケットの前記信頼度情報を、前記ネットワークセキュリティ上のリスクが比較的低いことを示すように設定し、送信元又は宛先を隠ぺいしたパケットの前記信頼度情報を、前記リスクが比較的高いことを示すように設定することにより、パケット通信におけるネットワークセキュリティ上のリスク度をより簡易な方法で受信者側に通知することができる。
また、通信装置は、所定の信頼度基準を満たす送信元から送信されたパケットの前記信頼度情報を、前記ネットワークセキュリティ上のリスクが比較的低いことを示すように設定し、送信元又は宛先を隠ぺい又は詐称したパケットの前記信頼度情報を、前記リスクが比較的高いことを示すように設定し、信頼度が不明なバケットについては信頼度が不明であることを示すように設定することにより、パケット通信におけるネットワークセキュリティ上のリスク度をより簡易な方法で受信者側に通知することができる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、適宜組み合わせを変更してもよく、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
例えば、上記の実施形態の説明では、MLBR10等のスイッチ部が攻撃パケットを“廃棄する”こととして説明したが、MLBR10等は、当該パケットを、各スイッチ部内で廃棄せずに、特定のポートから外部記憶装置に出力して格納させてもよい。
また、上記の実施形態の説明では、IPv4のプライベートIPアドレスを用いたが、本発明は、これに限定するものではなく、IPv4のプライベートIPアドレスとグローバルIPアドレスとで通信許可情報を構成してもよく、あるいはIPv4のグローバルIPアドレスで通信許可情報を構成してもよく、あるいはIPv6アドレスで通信許可情報を構成してもよく、さらにレイヤ2アドレス(MACアドレス)で通信許可情報を構成してもよい。
なお、上記の実施形態の説明では、端末装置17がIDS/IPSを備えるものとして説明したが、eMLBR11又はiMLBR12がIDS/IPSを備えるように構成してもよい。この場合、eMLBR11又はiMLBR12は、端末装置17のIDS/IPSに代えて、eMLBR11又はiMLBR12が備えるIDS/IPSの検出結果を取得するように構成する。
1、2、3、4…通信システム、10…MLBR、11…eMLBR、12…iMLBR、13…bMLBR、14…中継装置、15…管理ホスト、17…端末装置、18…データ端末、111…コントローラ(制御部)、112…スイッチ部、113、114…IF部、115…記憶部、NW、NW1、NW3、NW4…ネットワーク
Claims (21)
- パケットにより、ネットワークを介して通信する通信装置であって、
前記通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納する格納部が、前記パケットのパケットヘッダの所定位置に設けられており、
前記ネットワークから受信したパケットに付与されているアドレス情報がブラックリストに非該当であり、かつ匿名IPアドレスに該当している場合に、前記パケットの匿名性を示す所定値を前記信頼度情報の一部に設定し、
前記信頼度情報に基づいて、当該パケットの信頼度が比較的高い又は当該パケットが匿名性を有することと、当該パケットのリスクが比較的高いことと、の内から1又は複数を選択し、
前記1又は複数を選択した結果に基づいて当該パケットの前記信頼度情報を設定し、又は、
前記1又は複数を選択した結果に基づいて前記信頼度が不明なパケットを選択して、前記選択されたパケットの前記信頼度情報を維持する信頼度情報設定手段を備える、
通信装置。 - 前記信頼度情報設定手段は、
当該パケットに関する情報に基づいて、前記ネットワークにおける所定の信頼度基準を満たす送信元から送信されたパケットの前記信頼度情報を、当該パケットの信頼度が比較的高いことを示すように設定する、
請求項1に記載の通信装置。 - 前記信頼度情報設定手段は、
当該パケットに関する情報に基づいて、送信元又は宛先が隠ぺいされたパケットの前記信頼度情報の一部に、前記所定値を設定する、
請求項1又は請求項2に記載の通信装置。 - 前記信頼度情報設定手段は、
当該パケットに関する情報に基づいて、前記ネットワークにおける所定の信頼度基準から外れた送信元から送信されたパケット又は前記信頼度が不明な送信元から送信されたパケットの信頼度情報の一部が前記所定値でないパケット又は信頼できないネットワークから転送されてきたパケットの信頼度情報の一部が前記所定値ではないパケットの前記信頼度情報を、当該パケットのリスクが比較的高いことを示すように設定する、
請求項1から請求項3の何れか1項に記載の通信装置。 - 前記信頼度情報設定手段は、
前記信頼度が不明な送信元から送信されたパケットの信頼度情報の一部が前記所定値であるパケット又は信頼できないネットワークから到来したパケットの信頼度情報の一部が前記所定値であるパケットの前記信頼度情報を維持する、
請求項1から請求項4の何れか1項に記載の通信装置。 - パケットにより、ネットワークを介して通信する通信装置であって、
前記通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納する格納部が、前記パケットのパケットヘッダの所定位置に設けられており、
信頼度が不明であることを示す所定値が格納部に格納されたパケットに対し、当該パケットの信頼度が比較的高いこと、当該パケットが匿名性を有すること、当該パケットのリスクが比較的高いこと、の内から1又は複数を選択して、前記選択の結果に基づいて当該パケットの前記信頼度情報を設定し、又は、前記選択の結果に基づいて前記信頼度が不明なパケットを選択して、前記選択されたパケットの前記信頼度情報を維持する信頼度情報設定手段を備え、
前記パケットのパケットヘッダの所定位置は、IPv4パケットヘッダのサービス種別(Type of Service)フィールド内の予備ビットまたはIPv6パケットヘッダのトラフィッククラスフィールド内の予備ビットであり、
前記信頼度情報設定手段は、前記パケットのパケットヘッダの所定位置に、パケットの信頼度情報とリスク情報の双方を含む属性を識別するためのフラグを前記信頼度情報として設定し、
前記フラグが設定されてから前記パケットを前記ネットワークに送信する、
通信装置。 - 前記格納部には、前記通信によるネットワークセキュリティ上のリスクが比較的低いパケットであることを示す認証フラグと、前記リスクが比較的高いパケットであることを示すリスクフラグの少なくとも何れかのフラグが前記信頼度情報を示すものとして設けられ、
前記信頼度情報設定手段は、
前記認証フラグが設けられているパケットであって所定の信頼度基準を満たした送信元から送信されたパケットに対しては前記リスクが比較的低いことを示すように前記認証フラグを設定し、前記リスクフラグが設けられているパケットであって送信元又は宛先を隠ぺいしたパケットに対しては前記リスクが比較的高いことを示すように前記リスクフラグを設定する、
請求項6記載の通信装置。 - 前記信頼度情報設定手段は、
前記認証フラグとして、通信の接続要求元が認証されていること又は接続要求元が検疫されていることを示す第1フラグが設けられ、通信の接続要求に対する判定の結果により前記第1フラグの状態を設定する第1フラグ設定手段を含む、
請求項7記載の通信装置。 - 前記信頼度情報設定手段は、
前記リスクフラグとして、接続経路を隠ぺいするように前記パケットの送信元IPアドレス又は宛先IPアドレスが設定されたパケットであることを示す第2フラグを当該パケットに設定する第2フラグ設定手段を含む、
請求項7又は請求項8記載の通信装置。 - 前記信頼度情報設定手段は、
前記通信がメール又はメッセージを送るものである場合には、前記リスクフラグとして、前記通信の送信元メールアドレスと、宛先メールアドレスと、電話番号との何れかが隠ぺい化、匿名化、又は詐称されたものであることを示す第3フラグを当該パケットに設定する第3フラグ設定手段を含む、
請求項7から請求項9の何れか1項に記載の通信装置。 - 前記信頼度情報設定手段は、
所定の判定基準に基づいた前記リスクの有無についての判定を含む所定の手続きにより、前記パケットの送信元IPアドレスの詐称の有無を検査し、前記判定の結果により、前記リスクフラグとして、前記送信元IPアドレスが詐称されたもの又は不正なものであることを示す第4フラグを当該パケットに設定する第4フラグ設定手段を含む、
請求項7から請求項10の何れか1項に記載の通信装置。 - 受信したパケットのパケットヘッダに前記リスクが比較的低いことを示すように前記認証フラグが設定されたパケットを選択的に受信するパケット受信手段
を備える請求項8記載の通信装置。 - 受信したパケットのパケットヘッダに前記リスクが比較的低いことを示すように前記認証フラグが設定されていないパケットと、前記リスクが比較的高いことを示すように前記リスクフラグが設定されたパケットの一方又は両方を選択的に検査するパケット検査手段 を備える請求項8記載の通信装置。
- 受信したパケットのパケットヘッダに前記リスクが比較的高いことを示すように前記リスクフラグが設定されたパケットを廃棄するか、又は、特定のポートから出力するように制御する手段
を備える請求項7から請求項13の何れか1項に記載の通信装置。 - 前記リスクフラグは、前記パケットヘッダにおけるビット配列上の特定の位置に配置され、
前記信頼度情報設定手段は、
接続経路を隠ぺいするように前記パケットの送信元IPアドレス又は宛先IPアドレスが設定されたパケットである場合と、
前記通信がメール又はメッセージを送るものであって、前記通信の送信元メールアドレス、宛先メールアドレス、又は、送信元アカウント名、宛先アカウント名、又は、電話番号、又は送信元URL(Uniform Resource Locator)、宛先URL、又は、送信元URI(Uniform Resource Identifier)、宛先URI、又は、宛先URN(Uniform Resource Name)、送信元URN、又は、送信元ドメイン名、宛先ドメイン名、又は、送信元FQDN(Fully Qualified Domain Name)、宛先FQDNが隠ぺい化、匿名化、又は、詐称されたものである場合と、
前記パケットの送信元IPアドレスが詐称されたもの又は不正なものである場合と、のうちの何れかの場合に該当する場合にセットする、
請求項7から請求項14の何れか1項に記載の通信装置。 - 前記信頼度情報設定手段は、
受信した第1パケットから、当該第1パケットの前記認証フラグと前記リスクフラグとを抽出し、当該受信した第1パケットをトンネリングさせる通信の第2パケットのパケットヘッダ、当該受信した第1パケットを分割して送信する第2パケットのパケットヘッダ、当該受信した第1パケットを暗号化して送信する第2パケットのパケットヘッダ、又は、当該受信した第1パケットの上位レイヤの情報を転送する際に生成されるパケットのパケットヘッダに設けられた認証フラグとリスクフラグにそれぞれ反映させる、
請求項7から請求項15の何れか1項に記載の通信装置。 - 前記信頼度情報が、IPv4(Internet Protocol version 4)パケットヘッダのサービス種別(Type of Service)フィールド内に割り当てられている、
を備える請求項1から請求項15の何れか1項に記載の通信装置。 - 前記信頼度情報が、IPv6(Internet Protocol version 6)パケットヘッダのトラフィッククラスフィールド内に割り当てられている、
を備える請求項1から請求項16の何れか1項に記載の通信装置。 - 前記信頼度情報設定手段によって前記1又は複数を選択した結果に基づいて当該パケットの前記信頼度情報が設定されるまでの前記信頼度情報の値は、前記信頼度が不明であることを示す値に決定されている、
請求項1から請求項5の何れか1項に記載の通信装置。 - パケットにより、ネットワークを介して通信する通信方法であって、
前記通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納する格納部が、前記パケットのパケットヘッダの所定位置に設けられており、
前記ネットワークから受信したパケットに付与されているアドレス情報がブラックリストに非該当であり、かつ匿名IPアドレスに該当している場合に、前記パケットの匿名性を示す所定値を前記信頼度情報の一部に設定し、
前記信頼度情報に基づいて、当該パケットの信頼度が比較的高い又は当該パケットが匿名性を有することと、当該パケットのリスクが比較的高いことと、の内から1又は複数を選択し、
前記1又は複数を選択した結果に基づいて当該パケットの前記信頼度情報を設定し、又は、
前記1又は複数を選択した結果に基づいて前記信頼度が不明なパケットを選択して、前記選択されたパケットの前記信頼度情報を維持する、
通信方法。 - パケットにより、ネットワークを介して通信する通信装置のコンピュータに、
前記通信によるネットワークセキュリティ上の信頼度に関する信頼度情報を格納する格納部が、前記パケットのパケットヘッダの所定位置に設けられており、
前記ネットワークから受信したパケットに付与されているアドレス情報がブラックリストに非該当であり、かつ匿名IPアドレスに該当している場合に、前記パケットの匿名性を示す所定値を前記信頼度情報の一部に設定するステップと、
前記信頼度情報に基づいて、当該パケットの信頼度が比較的高い又は当該パケットが匿名性を有することと、当該パケットのリスクが比較的高いことと、の内から1又は複数を選択するステップと、
前記1又は複数を選択した結果に基づいて当該パケットの前記信頼度情報を設定するステップ、又は、前記1又は複数を選択した結果に基づいて前記信頼度が不明なパケットを選択して、前記選択されたパケットの前記信頼度情報を維持するステップと、
を実行させるためのプログラム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016092113 | 2016-04-28 | ||
| JP2016092113 | 2016-04-28 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017201774A JP2017201774A (ja) | 2017-11-09 |
| JP6896264B2 true JP6896264B2 (ja) | 2021-06-30 |
Family
ID=60264859
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017002110A Active JP6896264B2 (ja) | 2016-04-28 | 2017-01-10 | 通信装置、通信方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6896264B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023281748A1 (ja) | 2021-07-09 | 2023-01-12 | 浩 小林 | 再生可能エネルギ供給システム、浮体式洋上太陽光発電プラント、及び再生可能エネルギ供給方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019058684A1 (ja) * | 2017-09-25 | 2019-03-28 | ソニー株式会社 | 検証装置、情報処理方法、およびプログラム |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002158699A (ja) * | 2000-11-20 | 2002-05-31 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃防止方法および装置およびシステムおよび記録媒体 |
| JP2003143189A (ja) * | 2001-10-31 | 2003-05-16 | Fujitsu Ltd | 通信システム |
| US8578441B2 (en) * | 2004-07-22 | 2013-11-05 | Hewlett-Packard Development Company, L.P. | Enforcing network security policies with packet labels |
| JPWO2015174100A1 (ja) * | 2014-05-14 | 2017-04-20 | 学校法人東京電機大学 | パケット転送装置、パケット転送システム及びパケット転送方法 |
| JP5902264B2 (ja) * | 2014-08-28 | 2016-04-13 | ソフトバンク株式会社 | 通信制御装置、通信制御システム、通信制御方法、および通信制御プログラム |
-
2017
- 2017-01-10 JP JP2017002110A patent/JP6896264B2/ja active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023281748A1 (ja) | 2021-07-09 | 2023-01-12 | 浩 小林 | 再生可能エネルギ供給システム、浮体式洋上太陽光発電プラント、及び再生可能エネルギ供給方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017201774A (ja) | 2017-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240121211A1 (en) | Systems and methods for continuous fingerprinting to detect session hijacking inside zero trust private networks | |
| US9762596B2 (en) | Heuristic botnet detection | |
| US9723019B1 (en) | Infected endpoint containment using aggregated security status information | |
| US20180198828A1 (en) | Identity-Based Internet Protocol Networking | |
| US8806572B2 (en) | Authentication via monitoring | |
| US20160248754A1 (en) | Password constraint enforcement used in external site authentication | |
| Shi et al. | Dynamic distributed honeypot based on blockchain | |
| JP6737610B2 (ja) | 通信装置 | |
| US20170310579A1 (en) | Method for using authenticated requests to select network routes | |
| Hussein et al. | Software-Defined Networking (SDN): the security review | |
| Roselin et al. | Exploiting the remote server access support of CoAP protocol | |
| Dua et al. | Iisr: A secure router for iot networks | |
| Nasser et al. | Provably curb man-in-the-middle attack-based ARP spoofing in a local network | |
| JP6896264B2 (ja) | 通信装置、通信方法、及びプログラム | |
| JP6780838B2 (ja) | 通信制御装置及び課金方法 | |
| US20230412626A1 (en) | Systems and methods for cyber security and quantum encapsulation for smart cities and the internet of things | |
| US11265249B2 (en) | Method for using authenticated requests to select network routes | |
| Pareek et al. | Different type network security threats and solutions, a review | |
| EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| JP2017200152A (ja) | 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム | |
| Temdee et al. | Security for context-aware applications | |
| Sørensen et al. | Automatic profile-based firewall for iot devices | |
| Hyppönen | Securing a Linux Server Against Cyber Attacks | |
| Railkar et al. | 3 Threat analysis and attack modeling for machine-to-machine communication toward Internet of things | |
| Bharti et al. | Prevention of Session Hijacking and IP Spoofing With Sensor Nodes and Cryptographic Approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191126 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200928 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201013 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201211 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210427 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210513 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210525 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210602 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6896264 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |