WO2018168262A1

WO2018168262A1 - ネットワーク装置、監視制御装置、ネットワークシステム及びそれらの制御方法

Info

Publication number: WO2018168262A1
Application number: PCT/JP2018/004127
Authority: WO
Inventors: 西村　知恒
Original assignee: 日本電気株式会社
Priority date: 2017-03-13
Filing date: 2018-02-07
Publication date: 2018-09-20
Also published as: US20200128029A1

Abstract

本発明に係るＮＥ（１０）は、ユーザデータのための主信号を他のＮＥ（１０）との間の主信号経路ｒ１で転送する主信号転送部（１１）と、監視制御のための監視制御信号を、ＮＭＳ（２０）との間の監視制御経路ｒ２で送受信する監視制御処理部（１２）と、不正アクセスが検知された場合、主信号経路ｒ１と監視制御経路ｒ２とを分離する経路分離部（１３）と、を備える。これにより、主信号による通信サービスへの影響を抑えることが可能なネットワーク装置を提供する。

Description

ネットワーク装置、監視制御装置、ネットワークシステム及びそれらの制御方法

　本発明は、ネットワーク装置、監視制御装置、ネットワークシステム及びそれらの制御方法に関し、特に、主信号を転送するネットワーク装置、監視制御装置、ネットワークシステム及びそれらの制御方法に関する。

　近年、ネットワークシステムの普及に伴って様々な脅威が深刻化しており、ネットワークシステムにおけるセキュリティ対策が不可欠となっている。セキュリティ対策に関連して、例えば、ネットワークシステムを構成する機器に対する攻撃（サイバー攻撃）などの不正アクセスに関する各種技術が開発されている。

　関連する技術として、特許文献１～５が知られている。例えば、特許文献１には不正アクセスを精度よく検出する解析技術が開示され、特許文献２にはボットネット感染を検出する技術が開示されている。また、特許文献３には、不正アクセスパケットをフィルタリングする技術が開示されている。特許文献４には、ネットワークノードの経路更新方法が開示され、ネットワークに流れるフレームを監視する監視方法が開示されている。

特開２０１５－１２１９６８号公報特表２０１５－５０２０６０号公報特開２００６－１１４９９１号公報特開２０１４－１７５６８５号公報特開２００８－２５２９２４号公報

　上記のように、関連する技術では、ネットワークシステムにおいて不正アクセス検知やフィルタリングを行っている。しかしながら、関連する技術では、不正アクセスを防ぐことができるものの、主信号（ユーザデータ）による通信サービスへの影響が考慮されていないという問題がある。

　本発明は、このような課題に鑑み、主信号による通信サービスへの影響を抑えることが可能なネットワーク装置、監視制御装置、ネットワークシステム及びそれらの制御方法を提供することを目的とする。

　本発明に係るネットワーク装置は、ユーザデータのための主信号を、他のネットワーク装置との間の主信号経路で転送する主信号転送部と、監視制御のための監視制御信号を、監視制御装置との間の監視制御経路で送受信する監視制御処理部と、不正アクセスが検知された場合、前記主信号経路と前記監視制御経路とを分離する経路分離部と、を備えるものである。

　本発明に係る監視制御装置は、ネットワークを構成するネットワーク装置を監視制御する監視制御装置であって、監視制御のための監視制御信号を、前記ネットワーク装置との間の監視制御経路で送受信する監視制御処理部と、前記ネットワーク装置への不正アクセスが検知された場合、前記ネットワーク装置がユーザデータのための主信号を転送する主信号経路と前記監視制御経路とを分離する経路分離部と、を備えるものである。

　本発明に係るネットワークシステムは、ネットワークを構成するネットワーク装置と前記ネットワーク装置を監視制御する監視制御装置とを備えたネットワークシステムであって、前記ネットワーク装置への不正アクセスを検知する不正アクセス検知部と、前記不正アクセスが検知された場合、前記ネットワーク装置がユーザデータのための主信号を転送する主信号経路と、前記ネットワーク装置と前記監視制御装置との間で監視制御のための監視制御信号を送受信する監視制御経路と、を分離する経路分離部と、を備えるものである。

　本発明に係るネットワーク装置の制御方法は、ネットワークを構成するネットワーク装置の制御方法であって、ユーザデータのための主信号を、他のネットワーク装置との間の主信号経路で転送し、監視制御のための監視制御信号を、監視制御装置との間の監視制御経路で送受信し、不正アクセスが検知された場合、前記主信号経路と前記監視制御経路とを分離するものである。

　本発明に係る監視制御装置の制御方法は、ネットワークを構成するネットワーク装置を監視制御する監視制御装置の制御方法であって、監視制御のための監視制御信号を、前記ネットワーク装置との間の監視制御経路で送受信し、前記ネットワーク装置への不正アクセスが検知された場合、前記ネットワーク装置がユーザデータのための主信号を転送する主信号経路と前記監視制御経路とを分離するものである。

　本発明に係るネットワークシステムの制御方法は、ネットワークを構成するネットワーク装置と前記ネットワーク装置を監視制御する監視制御装置とを備えたネットワークシステムの制御方法であって、前記ネットワーク装置への不正アクセスを検知し、前記不正アクセスが検知された場合、前記ネットワーク装置がユーザデータのための主信号を転送する主信号経路と、前記ネットワーク装置と前記監視制御装置との間で監視制御のための監視制御信号を送受信する監視制御経路と、を分離するものである。

　本発明によれば、主信号による通信サービスへの影響を抑えることが可能なネットワーク装置、監視制御装置、ネットワークシステム及びそれらの制御方法を提供することができる。

実施の形態に係るネットワークシステムの概要を示す構成図である。実施の形態１に係るネットワークシステムの構成例を示す構成図である。実施の形態１に係るネットワーク装置の構成例を示す構成図である。実施の形態１に係るネットワークシステムの動作例を示すフローチャートである。実施の形態１に係るネットワークシステムの動作例を説明するための説明図である。実施の形態１に係るネットワークシステムの動作例を説明するための説明図である。実施の形態１に係るネットワークシステムの動作例を説明するためのシーケンス図である。

（実施の形態の概要）
　図１は、実施の形態に係るネットワークシステムの概要を示している。図１に示すようにネットワークシステム１００は、主に、複数のＮＥ（Network Element：ネットワーク装置）１０とＮＭＳ（Network Management System：ネットワーク管理装置）２０を備えている。

　複数のＮＥ１０の間の主信号経路ｒ１で、ユーザデータのための主信号が転送され、複数のＮＥ１０とＮＭＳ２０との間の監視制御経路ｒ２で、ＮＥ１０を監視制御するための監視制御信号が送受信される。

　ＮＥ１０は、主信号転送部１１、監視制御処理部１２、経路分離部１３を備えている。主信号転送部１１は、他のＮＥ１０との間で主信号経路ｒ１を介して主信号を転送し、監視制御処理部１２は、ＮＭＳ２０との間で監視制御経路ｒ２を介して監視制御信号を送受信し処理する。経路分離部１３は、ＮＥ１０への不正アクセスが検知された場合、主信号経路ｒ１と監視制御経路ｒ２とを分離する。

　ＮＭＳ２０は、監視制御処理部２１、経路分離部２２を備えている。監視制御処理部２１は、ＮＥ１０との間で監視制御経路ｒ２を介して監視制御信号を送受信し処理する。経路分離部２２は、ＮＥ１０への不正アクセスが検知された場合、ＮＥ１０間の主信号経路ｒ１と監視制御経路ｒ２とを分離する。なお、経路分離部は、ＮＥ１０またはＮＭＳ２０のいずれかに設けられていればよい。また、ＮＥ１０またはＮＭＳ２０のいずれかに、ＮＥ１０への不正アクセスを検知する不正アクセス検知部を備えていてもよい。

　サイバー攻撃の高度化に伴い、セキュリティ問題が深刻化しているが、保守者は攻撃者の侵入に気付かないことが多い。また、ネットワークを構成するＮＥにおいては、不正アクセスを検出してその不正アクセスの排除や拡散防止等の対処を行いつつ、ユーザデータの通信サービスを停止させないという要求もある。

　そこで、実施の形態では、上記のように、ＮＥへの不正アクセスが検知された場合、ＮＥ間で主信号を転送する主信号経路と、ＮＥとＮＭＳ間で監視制御信号を送受信する監視制御経路とを分離する。経路の分離には、後述するように、ＮＥ間の経路切り替えやＮＥ内部の接続関係の切断などが含まれる。これにより、不正アクセスへの対策を行いつつ、主信号への影響を抑えることができる。

（実施の形態１）
　以下、図面を参照して実施の形態１について説明する。図２は、本実施の形態に係るネットワークシステム３００の構成例を示している。

　図２に示すように、本実施の形態に係るネットワークシステム３００は、主に、複数のＮＥ（Network Element）１－１～１－５（いずれかをＮＥ１とも称する）とＮＭＳ（Network Management System）２を備えている。

　ＮＥ１は、例えば、マイクロ波通信装置（無線通信装置）であり、ＮＥ１－１～１－５は、マイクロ波ネットワーク（無線ネットワーク）３０を構成する。ＮＥ１－１～１－５は、隣接（対向）する装置間でポイントツーポイント接続（対向接続）され、マイクロ波リンク（無線リンク）もしくは有線通信ケーブルを介して接続されている。ＮＥ１－１～１－５は、マイクロ波リンクもしくは有線通信ケーブルを介して、主信号（ユーザデータ）を転送する。

　例えば、ＮＥ１－１とＮＥ１－２の間、ＮＥ１－１とＮＥ１－３の間、ＮＥ１－４とＮＥ１－５の間は、それぞれマイクロ波リンクを介して無線通信可能に接続されている。ＮＥ１－２とＮＥ１－４の間、ＮＥ１－１とＮＥ１－３の間は、有線通信ケーブルを介して有線通信可能に接続されている。

　また、ＮＥ１－１は、ルータ３を介して基地局３１及び３２と接続されている。ＮＥ１－５は、ルータ４を介してコアネットワーク５０と接続されている。ＮＥ１－５は、ＤＣＮ（Data Communications Network）４０を介してＮＭＳ２と接続されている。

　ＮＭＳ２は、複数のＮＥ１を監視制御（管理）する監視制御装置（管理装置）である。ＮＭＳ２は、ＤＣＮ４０を介して、複数のＮＥ１との間で監視制御信号（管理信号）を送受信する。なお、ＮＭＳ２と複数のＮＥ１とで監視制御信号を送受信できればよいため、ＮＭＳ２は、ＮＥ１－５に限らず任意のＮＥ１と接続されてもよいし、全てのＮＥ１に接続されてもよい。ＮＭＳ２は、サーバなどのコンピュータ装置で実現され、図１の監視制御処理部や経路分離部など、本実施の形態の動作に必要な機能を備えている。

　複数のＮＥ１は、無線リンクを介して、ＯＳＩ（Open Systems Interconnection）参照モデルのレイヤ２プロトコルに準拠した通信（レイヤ２通信）を行う。したがって、複数のＮＥ１は、レイヤ２通信によってユーザデータを中継（転送）する。例えば、複数のＮＥ１にそれぞれＭＡＣアドレスが割り当てられており、ユーザデータ用のレイヤ２ネットワークを構成する。このネットワークが、ユーザデータ（主信号）を通信するデータプレーンネットワーク（主信号ネットワーク）であり、ネットワークに含まれる経路がユーザデータ経路（主信号経路）であると言える。

　ルータ３及び４は、複数のＮＥ１が構成するマイクロ波ネットワーク３０（データプレーン）を介して、ユーザデータを送受信する。ルータ３及び４は、レイヤ３通信によってユーザデータを送受信する。例えば、ルータ３及び４にそれぞれＩＰアドレスが割り当てられており、ユーザデータ用のレイヤ３ネットワークを構成する。

　ＮＭＳ２と複数のＮＥ１は、レイヤ３プロトコルに準拠した通信（レイヤ３通信）を行う。したがって、ＮＭＳ２は、複数のＮＥ１との間で、レイヤ３通信によって監視制御信号を送受信する。例えば、ＮＭＳ２及び複数のＮＥ１にそれぞれＩＰアドレスが割り当てられており、監視制御用（管理用）のレイヤ３ネットワークを構成する。このネットワークが、監視制御信号（管理信号）を通信するマネジメントプレーンネットワーク（管理ネットワーク）であり、ネットワークに含まれる経路が監視制御経路（管理経路）であると言える。

　図３は、本実施の形態に係るＮＥ１のハードウェア構成及びソフトウェア構成を示している。図３に示すように、ＮＥ１は、ハードウェア構成として、ＬＣＴポート１０１、ＮＭＳポート１０２、ＧｂＥ（Gigabit Ethernet）ポート１０３、ＭＯＤＥＭ（モデム）ポート１０４、レイヤ２スイッチ（Ｌ２ＳＷ）１１０、ＣＰＵ（Central Processing Unit）１２０を備えている。また、各種プログラムやデータを記憶するメモリや入出力インタフェース等を備えている。

　ＮＥ１は、ソフトウェア構成として、ＯＳ（Operating System）２００に、ネットワークドライバ２０１、ＩＰスタック２０２、ソフトウェアブリッジ２０３、マネジメントプレーンアプリケーション２０４、セキュリティ処理部２２０を備えている。

　ＬＣＴポート（ローカルポート）１０１は、保守作業のためのＬＣＴ（Local Craft Terminal）端末５とローカル接続するための物理ポートである。ＬＣＴポート１０１は、ローカル接続用のローカルポートであるため、主信号転送用には使用されない。例えば、保守者が保守作業を行う際に、ＬＣＴポート１０１とＬＣＴ端末５との間をＬＡＮケーブル（ＬＡＮ接続）等により直接接続する。

　ＮＭＳポート１０２は、ＤＣＮ４０を介してＮＭＳ２との間で監視制御通信を行うために接続される物理ポートである。ＮＭＳポート１０２は、監視制御経路にリモート接続するための監視制御ポートであるため、主信号転送用には使用されない。例えば、ＮＭＳポート１０２とＤＣＮ４０との間や、他のＮＥ１のＮＭＳポート１０２との間をＬＡＮケーブル等により有線接続する。また、複数のＮＭＳポート１０２を備えて、複数のＬＡＮケーブルを接続してもよい。

　ＧｂＥポート１０３は、イーサネット（登録商標）を介してユーザデータ（主信号）通信を行うために接続される物理ポートである。例えば、ルータ３及び４や他のＮＥ１のＧｂＥポート１０３との間をＬＡＮケーブル等により有線接続する。なお、複数のＧｂＥポート１０３を備えて、複数のＬＡＮケーブルを接続してもよい。

　ＭＯＤＥＭポート１０４は、無線リンクを介して他のＮＥ１と無線通信を行うために接続される物理ポートである。ＭＯＤＥＭポート１０４には、マイクロ波通信用のアンテナが接続される。なお、複数のＭＯＤＥＭポート１０４を備えて、複数のアンテナを接続してもよい。ＧｂＥポート１０３及びＭＯＤＥＭポート１０４は、主信号経路に接続するための主信号ポートである。

　ＬＣＴポート１０１、ＮＭＳポート１０２、ＧｂＥポート１０３、ＭＯＤＥＭポート１０４は、物理ポートであるとともに、レイヤ２インタフェースでもある。すなわち、それぞれＭＡＣアドレスが割り当てられており、接続された装置間でＭＡＣアドレスを用いてレイヤ２通信を行う。

　レイヤ２スイッチ１１０は、ＬＣＴポート１０１、ＮＭＳポート１０２、ＧｂＥポート１０３、ＭＯＤＥＭポート１０４に接続され、各ポート間でレイヤ２フレームを転送する。また、レイヤ２スイッチ１１０は、ＣＰＵ１２０にも接続され、ＣＰＵ１２０と各ポート間で監視制御信号を転送する。レイヤ２スイッチ１１０は、主信号経路の主信号及び監視制御経路の監視制御信号をスイッチングするスイッチ回路であり、主信号転送部であると言える。なお、レイヤ２スイッチに限らず、レイヤ３スイッチやその他のスイッチでもよい。

　レイヤ２スイッチ１１０は、アドレステーブル（不図示）を記憶しており、アドレステーブルの設定にしたがってレイヤ２フレームを転送する。例えば、アドレステーブルには、ＶＬＡＮＩＤ、ＭＡＣアドレス及びポート番号（物理ポートまたはＣＰＵ）が関連付けられたエントリが設定されている。アドレステーブルのエントリは、ＣＰＵ（制御部）１２０から設定されてもよいし、ＳＴＰ（Spanning Tree Protocol）やＥＲＰ（Ethernet Ring Protection）等の各種プロトコルにしたがって自動的に設定してもよい。

　この例では、各ポートとＣＰＵ１２０との間をそれぞれ接続するためのＶＬＡＮ（Virtual Local Area Network）が設定されている。ＶＬＡＮは、仮想ネットワーク接続の一例であり、他の仮想接続により接続されてもよい。ＬＣＴポート１０１とＣＰＵ１２０との間にＬＣＴ用のＶＬＡＮｖ１が設定され、ＮＭＳポート１０２とＣＰＵ１２０との間にＮＭＳ用のＶＬＡＮｖ２が設定され、ＧｂＥポート１０３とＣＰＵ１２０との間にインバンド管理用のＶＬＡＮｖ３が設定され、ＭＯＤＥＭポート１０４とＣＰＵ１２０との間にＭＯＤＥＭ用のＶＬＡＮｖ４が設定されている。なお、ＧｂＥポート１０３とＭＯＤＥＭポート１０４の間に主信号経路が設定され、ユーザデータが転送される。

　ネットワークドライバ２０１は、レイヤ２スイッチ１１０（ＣＰＵ１２０）とＩＰスタック２０２の間で監視制御信号を転送する。ネットワークドライバ２０１は、ＬＣＴ用のＶＬＡＮｖ１のフレームをＩＰスタック２０２のＬＣＴ用ＩＦ２１１に転送し、ＮＭＳ用のＶＬＡＮｖ２のフレームをＩＰスタック２０２のＮＭＳ用ＩＦ２１２に転送し、インバンド管理用のＶＬＡＮｖ３のフレームをＩＰスタック２０２のインバンド用ＩＦ２１３に転送し、ＭＯＤＥＭ用のＶＬＡＮｖ４のフレームをＩＰスタック２０２のＭＯＤＥＭ用ＩＦ２１４に転送する。レイヤ２スイッチ１１０を介してＣＰＵ１２０と各ポート間で監視制御信号を転送し、さらに、ネットワークドライバ２０１を介してレイヤ２スイッチ１１０とＩＰスタック２０２の間で監視制御信号を転送することで、ＣＰＵ１２０（ＯＳ２００内のブロック含む）が監視制御通信を実現していると言える。

　ＩＰスタック２０２は、ＩＰ（Internet Protocol）プロトコルにしたがってフレームを処理するＩＰ処理部であり、ソフトウェアブリッジ２０３を有する。ＩＰスタック２０２は、ＬＣＴ用（ローカル用）のＩＰ処理を行うため、ＬＣＴ用ＩＦ２１１が設定されている。例えば、ＬＣＴ用ＩＦ２１１は、レイヤ３インタフェースであり、ＬＣＴ用のＩＰアドレスが設定されている。ＬＣＴ用ＩＦ２１１とＬＣＴポート１０１がＶＬＡＮｖ１で仮想的に接続され、ＩＰスタック２０２はＬＣＴ端末５とレイヤ３通信を行う。ＩＰスタック２０２は、必要に応じてＮＡＰＴ（Network Address Port Translation）などのアドレス変換を行ってもよい。例えば、ＬＣＴポート１０１（ローカルネットワークのＩＰアドレス）よりソフトウェアブリッジ２０３（ＤＣＮネットワークのＩＰアドレス）を使用して、ＤＣＮ４０経由で他のＮＥ１（ＤＣＮネットワークのＩＰアドレス）にアクセスするためにアドレス変換を行う。

　また、ＩＰスタック２０２は、ＮＭＳ、ＧｂＥ、及びＭＯＤＥＭ用のＩＰ処理を行うため、ＮＭＳ用ＩＦ２１２、インバンド用ＩＦ２１３、ＭＯＤＥＭ用ＩＦ２１４、及びブリッジ用ＩＦ２１５が設定されている。例えば、ＮＭＳ用ＩＦ２１２、インバンド用ＩＦ２１３、及びＭＯＤＥＭ用ＩＦ２１４は、レイヤ２インタフェースであり、ＮＭＳ、ＧｂＥ、及びＭＯＤＥＭ用のＭＡＣアドレス（もしくはＶＬＡＮ）が設定されている。ブリッジ用ＩＦ２１５は、レイヤ３インタフェースであり、管理用（監視制御用）のＩＰアドレスが設定されている。ソフトウェアブリッジ２０３は、ＮＭＳ用ＩＦ２１２とブリッジ用ＩＦ２１５との間でフレームを転送し、インバンド用ＩＦ２１３とブリッジ用ＩＦ２１５との間でフレームを転送し、ＭＯＤＥＭ用ＩＦ２１４とブリッジ用ＩＦ２１５との間でフレームを転送する。

　マネジメントプレーンアプリケーション２０４は、管理用アプリケーション（監視制御処理部）であり、ＮＭＳ２との間で監視制御信号の送受信を行う。マネジメントプレーンアプリケーション２０４は、ＮＭＳ２からの監視制御信号にしたがって、各ポートやレイヤ２スイッチ１１０等を制御（設定）する。また、ローカル接続されたＬＣＴ端末５からも同様に制御可能である。

　ＮＭＳ用ＩＦ２１２とＮＭＳポート１０２がＶＬＡＮｖ２で仮想的に接続され、ＭＯＤＥＭ用ＩＦ２１４とＭＯＤＥＭポート１０４がＶＬＡＮｖ４で仮想的に接続され、インバンド用ＩＦ２１３とＧｂＥポート１０３がＶＬＡＮｖ３で仮想的に接続される。さらに、マネジメントプレーンアプリケーション２０４は、ブリッジ用ＩＦ２１５から、ＶＬＡＮｖ２～ｖ４及び各ポートを介してレイヤ３通信を行う。ブリッジ用ＩＦ２１５、ＮＭＳ用ＩＦ２１２、ＶＬＡＮｖ２、及びＮＭＳポート１０２を介した経路が監視制御信号を送受信する監視制御経路である。

　セキュリティ処理部２２０は、セキュリティ対策に必要な処理として、後述のように、攻撃の検知やポート閉塞等を行う。セキュリティ処理部２２０は、不正アクセス検知部やポート閉塞部（経路分離部）など含んでいる。物理ポートを閉塞する場合、各ポートの状態を有効（ENABLE）から無効（DISABLE）に切り替える。ＣＰＵ１２０と各ポートの接続を切断する場合、ＣＰＵ１２０と各ポート間のＶＬＡＮの状態を有効（ENABLE）から無効（DISABLE）に切り替える。

　図４のフローチャートは、本実施の形態に係るネットワークシステムの動作例を示している。

　図４に示すように、ネットワークシステムにおいて攻撃の有無を監視し、攻撃を検知する（Ｓ１０１）。例えば、ログ監視による不正イベント検出、ＣＰＵ及びメモリ使用率監視、ウイルス及びマルウェアスキャンによる異常検出、接続セッション数監視による不正アクセス及び不正通信検出などにより、ＮＥ１への攻撃を検知する。これらのうちいずれかの指標を用いてもよいし、任意の複数の指標を用いて検知してもよい。これらの複数の指標が通常の平均値よりも大幅に高い場合に攻撃検知と判断することで、精度よく攻撃を検知することができる。なお、その他の任意の方法で攻撃を検知してもよい。

　この攻撃の検知は、ＮＥ１またはＮＭＳ２０のいずれかで行ってもよい。すなわち、ＮＥ１のセキュリティ処理部２２０で検知し、検知結果をＮＭＳ２０へ通知してもよいし、ＮＭＳ２０がＮＥ１を監視し、攻撃されているＮＥ１を検知してもよい。

　次に、検知した攻撃への対応として、冗長経路の有無に応じた処理を行う（Ｓ１０２～Ｓ１０５）。ここでは、攻撃が検知されたＮＥ１を含む経路に冗長経路があるか否か判定する（Ｓ１０２）。冗長経路の有無は、ＮＥ１またはＮＭＳ２０のいずれかで判定してもよい。例えば、ＮＥ１では、レイヤ２スイッチ１１０がＳＴＰやＥＲＰ等を用いて、冗長経路を判定することができる。また、ＮＭＳ２０では、複数のＮＥ１の経路を管理しているため、冗長経路を判定することができる。

　冗長経路ありと判定された場合、ＮＥ１の物理ポートを閉塞し（Ｓ１０３）、ＮＥ１をネットワークから隔離する（Ｓ１０５）。この場合、ＮＥ１を隔離した後、主信号経路を冗長経路に切り替える。

　ＮＥ１は、物理ポートであるＮＭＳポート１０２、ＧｂＥポート１０３、ＭＯＤＥＭポート１０４を閉塞する。このとき、ＬＣＴポート１０１は閉塞せずに、ローカル接続のみ可能な状態にしておく。ＬＣＴ端末５をローカル接続することで復旧作業を行うことができる。

　冗長経路への切り替えは、ＮＥ１またはＮＭＳ２０のいずれかで行ってもよい。例えば、ＮＥ１では、レイヤ２スイッチ１１０がＳＴＰやＥＲＰ等を用いて経路を切り替えることができる。また、ＮＭＳ２０では、複数のＮＥ１の経路を管理しているため、冗長経路に切り替えることができる。

　冗長経路なしと判定された場合、ＮＥ１における物理ポートとＣＰＵ間の接続を切断し（Ｓ１０４）、ＮＥ１のＣＰＵ１２０をネットワークから隔離する（Ｓ１０５）。ＮＥ１は、物理ポートであるＮＭＳポート１０２、ＧｂＥポート１０３、ＭＯＤＥＭポート１０４とＣＰＵ１２０間のＶＬＡＮ接続（監視制御経路を含む接続）を切断する。物理ポートは閉塞しない、すなわち、主信号経路を切断しないため、主信号経路の転送は可能である。また、ＬＣＴポート１０１はＣＰＵとの接続を切断せずに、ローカル接続可能な状態にしておく。ＬＣＴ端末５をローカル接続することで復旧作業を行うことができる。なお、ＣＰＵ接続を切断してもレイヤ２スイッチ経由での侵入手段を攻撃者に発見される可能性があるため、主信号の冗長経路がある場合、冗長経路へ切り替えることが好ましい。

　ＮＥ１もしくはＮＥ１のＣＰＵ１２０をネットワークから隔離（分離）することで攻撃者の侵入経路を遮断することができる。本実施の形態では、ＮＥ１の主信号経路と監視制御経路の分離として、冗長経路ありの場合、冗長経路への切り替えと物理ポート閉塞を行うことによりＮＥ１をネットワークから分離し、冗長経路なしの場合、監視制御経路を含むＣＰＵ接続を切断することでＮＥ１のＣＰＵ１２０をネットワークから分離している。なお、攻撃が検知されたＮＥ１の不正アカウントをロックアウトし、不正アカウントではログインできない状態としてもよい。

　その後、復旧処理として、安全性が確認された後、ＮＥ１をネットワークへ再接続する（Ｓ１０６）。保守者が安全と判断した場合、ＬＣＴポート１０１にＬＣＴ端末５をローカル接続することで、物理ポートの開放、もしくは、物理ポートとＣＰＵを接続し、ネットワーク（他のＮＥ１及びＮＭＳ２）へ再接続を行う。このとき、保守者がＮＥ１の警報状態を攻撃検知状態（Ａｌａｒｍ）から通常状態（Ｃｌｅａｒｅｄ）へ変更後に再接続する。また、保守者が危険と判断した場合、ＮＥ１の初期化及び再設定後に再接続する。例えば、ＮＥ１の設定情報をバックアップし、再インストール及び再設定を行った後、ネットワークへ再接続を行う。

　図５は、冗長経路ありの場合の動作例を示している。図５の例では、ＮＥ１－２が攻撃を検知すると、ＮＥ１－２からＮＭＳ２へ攻撃の検知を通知する（Ｓ１１１）。ＮＥ１－２は、攻撃検知（Attack Detection Alarm）を設定した「ＳＮＭＰＴｒａｐ」メッセージをＮＭＳ２へ送信する。ＮＭＳ２は、攻撃の検知を受け付けると、必要に応じてＡｌａｒｍの表示等を行う。続いて、ＮＥ１－２は、冗長経路が存在するため、ＬＣＴポート１０１以外の物理ポート（ＮＭＳポート１０２、ＧｂＥポート１０３、ＭＯＤＥＭポート１０４）を閉塞し、ネットワークからＮＥ１－２を隔離する（Ｓ１１２）。

　続いて、ＮＭＳ２は、ＮＥ１－４に経路切り替えの設定を行い（Ｓ１１３）、ＮＥ１－４は、ＮＭＳ２から経路切り替えの設定を受け付けると、経路の切り替えを実行する（Ｓ１１４）。ＮＭＳ２は、ＮＥ１－２を介した経路を、ＮＥ１－３を介した経路への切り替えを設定した「ＳＮＭＰＳｅｔ」メッセージをＮＥ１－４へ送信する。ＮＥ１－４は、「ＳＮＭＰＳｅｔ」を受信すると、ＮＥ１－３を介した経路へ切り替える。なお、上記のように、経路切り替えはＮＭＳ２からの制御ではなく、ＮＥ１間でＳＴＰ／ＥＲＰ等を使用して自律的に実施してもよい。このように、経路を切り替えることで、ＮＥ１－３を介してユーザデータ（主信号）を中継することができる。

　図６は、冗長経路なしの場合の動作例を示している。図６の例では、ＮＥ１－２が攻撃を検知すると、図５と同様に、ＮＥ１－２からＮＭＳ２へ攻撃の検知を通知する（Ｓ１２１）。続いて、ＮＥ１－２は、冗長経路が存在しないため、ＬＣＴポート１０１以外の物理ポート（ＮＭＳポート１０２、ＧｂＥポート１０３、ＭＯＤＥＭポート１０４）とＣＰＵ１２０の接続を切断し、ネットワークからＮＥ１－２のＣＰＵ１２０を隔離する（Ｓ１２２）。ＮＥ１－２内部のＣＰＵ接続のみを切断することで、ＮＥ１－２のレイヤ２スイッチ１１０を介してユーザデータ（主信号）を中継することができる。

　図７は、ＮＥ１の再接続時の動作例を示している。本実施の形態では、保守者による安全性の確認後、ＮＭＳ２とＮＥ１間で相互認証を行い、ネットワークに再接続する。

　ＮＭＳ２は、ＮＥ１－２が再接続されると、ＮＥ１－２の警報状態を通常状態（Ｃｌｅａｒｅｄ）として、ＮＥ１－２の死活監視（Ｓ１０２、Ｓ２０２）と相互認証（Ｓ２０３、Ｓ２０４）を行う。

　ＮＭＳ２は、ＮＥ１－２の死活監視のため、ＮＥ１－２に登録済みのユーザ名を使用して一定周期で「ＳＮＭＰｖ３ｇｅｔ-ｒｅｑｕｅｓｔｆｏｒＴｉｍｅｓｔａｍｐｏｆＳｙｓＵｐＴｉｍｅ」メッセージをＮＥ１－２に送信し（Ｓ２０１）、ＮＥ１－２は、ＮＭＳ２へ「ＳＮＭＰｖ３ｇｅｔ-ｒｅｓｐｏｎｓｅｆｏｒＴｉｍｅｓｔａｍｐｏｆＳｙｓＵｐＴｉｍｅ」メッセージを送信する（Ｓ２０２）。なお、ここでは、ＳｙｓＵｐＴｉｍｅは時刻同期していない、または時刻同期できない環境を想定する。ＮＭＳ２は、所定期間内に「ＳＮＭＰｖ３ｇｅｔ-ｒｅｓｐｏｎｓｅｆｏｒＴｉｍｅｓｔａｍｐｏｆＳｙｓＵｐＴｉｍｅ」を受信した場合、ＮＥ１－２は正常であると判断する。

　また、ＮＭＳ２とＮＥ１－２の間で相互認証を行うため、Ｄｉｆｆｉｅ-Ｈｅｌｌｍａｎ鍵交換（Ｄｉｆｆｉｅ-ＨｅｌｌｍａｎＫｅｙＥｘｃｈａｎｇｅｆｏｒＤＯＣＳＩＳ-ＢａｓｅｄＳＮＭＰｖ３Ａｇｅｎｔｓ）処理を行う（Ｓ２０３）。例えば、ＮＭＳ２からＮＥ１－２への鍵送信は、「ＳＮＭＰｖ３ｇｅｔ-ｒｅｑｕｅｓｔ」（Ｓ２０５）、「ＳＮＭＰｖ３ｇｅｔ-ｒｅｓｐｏｎｓｅ」（Ｓ２０６）により行い、ＮＥ１－２からＮＭＳ２への鍵送信は、「ＳＮＭＰｖ３ＴｒａｐｗｉｔｈＴｉｍｅｓｔａｍｐｏｆＳｙｓＵｐＴｉｍｅ(ＫｅｙＥｘｃｈａｎｇｅＳｔａｔｕｓ: Ｓｕｃｃｅｓｓ)」により行う（Ｓ２０４）。ＮＭＳ２及びＮＥ１－２は、受信した鍵を互いに解読できた場合に、認証成功と判断する。なおこの例では、相互認証手段の例として、Ｄｉｆｆｉｅ-Ｈｅｌｌｍａｎ鍵交換を行うが、他の方法を用いてもよい。

　死活監視と相互認証により複数チェック（多層チェック）を行う。ＮＭＳ２は、最新のｇｅｔ-ｒｅｓｐｏｎｓｅとＫｅｙＥｘｃｈａｎｇｅＴｒａｐのＳｙｓＵｐＴｉｍｅを比較して正当性をチェックする。ｇｅｔ-ｒｅｓｐｏｎｓｅ (ＳｙｓＵｐＴｉｍｅ)＝Ｔｎとし、ＫｅｙＥｘｃｈａｎｇｅＴｒａｐ (ＳｙｓＵｐＴｉｍｅ)＝Ｔｋとして、例えば、（死活監視の定周期間隔）＞Ｔｋ - Ｔｎの関係を満たすかどうかで正当性をチェックする。これにより、ＵＤＰベースの信頼性が低いＳＮＭＰでも多層チェックにより安全性を高めることができる。

　攻撃の検知は、上記のように、ＮＥ１またはＮＭＳ２０の一方もしくは両方で行うことができる。例えば、ＮＭＳ２０は、正当性チェックで異常と判断すると、ＮＥ１－２の再接続を禁止するために、ＮＥ１－２の警報状態を攻撃検知状態(ＡｔｔａｃｋｄｅｔｅｃｔｉｏｎＡｌａｒｍ: Ａｌａｒｍ)に遷移させる。ＮＥ１－２は攻撃検知時にＮＭＳ２への通知に使用する、「ＳＮＭＰｖ３ＴｒａｐｗｉｔｈＴｉｍｅｓｔａｍｐｏｆＳｙｓＵｐＴｉｍｅ(ＡｔｔａｃｋｄｅｔｅｃｔｉｏｎＡｌａｒｍ: Ａｌａｒｍ)」をＮＭＳ２へ送信し（Ｓ２１０）、上述のような冗長経路に応じた処理を行う。このとき、ＮＥ１－２の警報状態は攻撃検知状態（Ａｌａｒｍ）である。

　以上のように、本実施の形態では、ネットワークを構成するＮＥにおいて不正アクセスを検知した場合、冗長経路があれば経路を切り替えてＮＥをネットワークから隔離し、冗長経路がなければＮＥ内部のＣＰＵ接続を切断しＮＥのＣＰＵをネットワークから隔離する。これにより、不正アクセスを検知した場合に、ユーザデータの通信を停止することなく、ユーザデータの通信を維持しながら、自装置、または自装置の最低限の通信機能以外をネットワークから切り離すことができる。したがって、主信号による通信サービスの停止を伴うことなく、攻撃対象のＮＥをネットワークより隔離して攻撃者のネットワーク侵入を遮断することができる。

　また、攻撃を検知したＮＥが自律的にネットワークより離脱した後、保守者による安全性が確認できれば、ＮＭＳとＮＥは相互認証を行い、ネットワークに再接続する。これにより、当該ＮＥを介して安全にサービスを再開することができる。

　なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。

　上述の実施形態における各構成は、ハードウェア又はソフトウェア、もしくはその両方によって構成され、１つのハードウェア又はソフトウェアから構成してもよいし、複数のハードウェア又はソフトウェアから構成してもよい。各装置の機能（処理）を、ＣＰＵやメモリ等を有するコンピュータにより実現してもよい。例えば、記憶装置に実施形態における制御方法を行うための制御プログラムを格納し、各機能を、記憶装置に格納された制御プログラムをＣＰＵで実行することにより実現してもよい。

　これらのプログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば光磁気ディスク）、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（random access memory））を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　この出願は、２０１７年３月３日に出願された日本出願特願２０１７－０４７５７４を基礎とする優先権を主張し、その開示の全てをここに取り込む。

１、１０　ＮＥ
２、２０　ＮＭＳ
３、４　　ルータ
５　　　　ＬＣＴ端末
１１　　　主信号転送部
１２　　　監視制御処理部
１３　　　経路分離部
２１　　　監視制御処理部
２２　　　経路分離部
３０　　　マイクロ波ネットワーク
３１、３２　基地局
５０　　　コアネットワーク
１００　　ネットワークシステム
１０１　　ＬＣＴポート
１０２　　ＮＭＳポート
１０３　　ＧｂＥポート
１０４　　ＭＯＤＥＭポート
１１０　　レイヤ２スイッチ
１２０　　ＣＰＵ
２００　　ＯＳ
２０１　　ネットワークドライバ
２０２　ＩＰスタック
２０３　　ソフトウェアブリッジ
２０４　　マネジメントプレーンアプリケーション
２１１　　ＬＣＴ用ＩＦ
２１２　　ＮＭＳ用ＩＦ
２１３　　インバンド用ＩＦ
２１４　　ＭＯＤＥＭ用ＩＦ
２１５　　ブリッジ用ＩＦ
２２０　　セキュリティ処理部
３００　　ネットワークシステム

Claims

　ユーザデータのための主信号を、他のネットワーク装置との間の主信号経路で転送する主信号転送手段と、
　監視制御のための監視制御信号を、監視制御装置との間の監視制御経路で送受信する監視制御処理手段と、
　不正アクセスが検知された場合、前記主信号経路と前記監視制御経路とを分離する経路分離手段と、
　を備える、ネットワーク装置。
　前記経路分離手段は、前記主信号経路に冗長経路がある場合、前記不正アクセスが検知されたネットワーク装置を含む主信号経路を前記冗長経路へ切り替える、
　請求項１に記載のネットワーク装置。
　前記経路分離手段は、前記監視制御装置からの制御に応じて前記主信号経路を前記冗長経路へ切り替える、
　請求項２に記載のネットワーク装置。
　前記経路分離手段は、前記他のネットワーク装置との間で前記主信号経路を制御する経路制御プロトコルにしたがって、前記主信号経路を前記冗長経路へ切り替える、
　請求項２に記載のネットワーク装置。
　前記主信号経路に接続する主信号ポートと、
　前記監視制御経路に接続する監視制御ポートと、を備え、
　前記経路分離手段は、前記主信号経路に冗長経路がある場合、前記主信号ポート及び前記監視制御ポートを閉塞する、
　請求項１乃至４のいずれか一項に記載のネットワーク装置。
　前記主信号ポートは、無線通信アンテナを接続する無線通信ポートまたは有線通信ケーブルを接続する有線通信ポートを含む、
　請求項５に記載のネットワーク装置。
　端末装置をローカル接続するローカルポートを備え、
　前記経路分離手段は、前記主信号経路に冗長経路がある場合、前記ローカルポートを閉塞せずに、前記主信号ポート及び前記監視制御ポートを閉塞する、
　請求項５または６に記載のネットワーク装置。
　前記主信号経路の主信号及び前記監視制御経路の監視制御信号をスイッチングするスイッチ回路を備え、
　前記経路分離手段は、前記主信号経路に冗長経路がない場合、前記スイッチ回路における前記主信号経路を切断せずに前記監視制御経路を切断する、
　請求項１乃至７のいずれか一項に記載のネットワーク装置。
　前記主信号経路及び前記監視制御経路は、前記スイッチ回路において仮想ネットワーク接続されており、
　前記経路分離手段は、前記主信号経路の仮想ネットワーク接続を切断せずに前記監視制御経路の仮想ネットワーク接続を切断する、
　請求項８に記載のネットワーク装置。
　前記主信号経路に接続する主信号ポートと、
　前記監視制御経路に接続する監視制御ポートと、を備え、
　前記経路分離手段は、前記主信号ポートを介した前記主信号経路を切断せずに、前記監視制御ポートを介した前記監視制御経路を切断する、
　請求項８または９に記載のネットワーク装置。
　端末装置をローカル接続するローカルポートを備え、
　前記経路分離手段は、前記ローカルポートを介した接続及び前記主信号ポートを介した前記主信号経路を切断せずに、前記監視制御ポートを介した前記監視制御経路を切断する、
　請求項１０に記載のネットワーク装置。
　前記主信号経路と前記監視制御経路とを分離した後、前記監視制御経路を含むネットワークに再接続する再接続処理手段を備える、
　請求項１乃至１１のいずれか一項に記載のネットワーク装置。
　前記再接続処理手段は、前記再接続する場合に、前記監視制御装置との間で相互認証処理を行う、
　請求項１２に記載のネットワーク装置。
　ネットワークを構成するネットワーク装置を監視制御する監視制御装置であって、
　監視制御のための監視制御信号を、前記ネットワーク装置との間の監視制御経路で送受信する監視制御処理手段と、
　前記ネットワーク装置への不正アクセスが検知された場合、前記ネットワーク装置がユーザデータのための主信号を転送する主信号経路と前記監視制御経路とを分離する経路分離手段と、
　を備える、監視制御装置。
　ネットワークを構成するネットワーク装置と前記ネットワーク装置を監視制御する監視制御装置とを備えたネットワークシステムであって、
　前記ネットワーク装置への不正アクセスを検知する不正アクセス検知手段と、
　前記不正アクセスが検知された場合、前記ネットワーク装置がユーザデータのための主信号を転送する主信号経路と、前記ネットワーク装置と前記監視制御装置との間で監視制御のための監視制御信号を送受信する監視制御経路と、を分離する経路分離手段と、
　を備える、ネットワークシステム。
　ネットワークを構成するネットワーク装置の制御方法であって、
　ユーザデータのための主信号を、他のネットワーク装置との間の主信号経路で転送し、
　監視制御のための監視制御信号を、監視制御装置との間の監視制御経路で送受信し、
　不正アクセスが検知された場合、前記主信号経路と前記監視制御経路とを分離する、
　ネットワーク装置の制御方法。
　ネットワークを構成するネットワーク装置を監視制御する監視制御装置の制御方法であって、
　監視制御のための監視制御信号を、前記ネットワーク装置との間の監視制御経路で送受信し、
　前記ネットワーク装置への不正アクセスが検知された場合、前記ネットワーク装置がユーザデータのための主信号を転送する主信号経路と前記監視制御経路とを分離する、
　監視制御装置の制御方法。
　ネットワークを構成するネットワーク装置と前記ネットワーク装置を監視制御する監視制御装置とを備えたネットワークシステムの制御方法であって、
　前記ネットワーク装置への不正アクセスを検知し、
　前記不正アクセスが検知された場合、前記ネットワーク装置がユーザデータのための主信号を転送する主信号経路と、前記ネットワーク装置と前記監視制御装置との間で監視制御のための監視制御信号を送受信する監視制御経路と、を分離する、
　ネットワークシステムの制御方法。