TOP > 国内特許検索 > パケット転送装置、パケット転送システム及びパケット転送方法

パケット転送装置、パケット転送システム及びパケット転送方法 NEW

国内特許コード P170014310
整理番号 (TDU-252)
掲載日 2017年6月26日
出願番号 特願2016-519125
出願日 平成27年1月13日(2015.1.13)
国際出願番号 JP2015050618
国際公開番号 WO2015174100
国際出願日 平成27年1月13日(2015.1.13)
国際公開日 平成27年11月19日(2015.11.19)
優先権データ
  • 特願2014-100321 (2014.5.14) JP
発明者
  • 小林 浩
  • 末廣 友貴
  • 八槇 博史
  • 佐々木 良一
  • 上野 洋一郎
  • 佐野 香
出願人
  • 学校法人東京電機大学
発明の名称 パケット転送装置、パケット転送システム及びパケット転送方法 NEW
発明の概要 本発明では、不正に流入したパケットを廃棄すること、さらに、すり抜けてインターネットに流入した攻撃パケットや不正パケットについて以後のインターネットへの流出又は流入を阻止することを目的とする。
本発明にかかるパケット転送装置は、複数のポート又は複数のチャネルと、ポート又はチャネルの識別情報と、送信元物理アドレスと送信元論理アドレスとの対応関係を記憶しておくバインディングテーブルと、要請に応じて生成又は更新する廃棄テーブルと、送信元物理アドレスと送信元論理アドレスとの対がバンディングテーブルに存在するときは、次ホップノードへ転送し、バインディングテーブルに存在しないときはパケットを廃棄し、廃棄テーブルに該当するときはパケットを廃棄する転送部と、を備える。
従来技術、競合技術の概要


年々巧妙化・組織化しているサイバー攻撃は、2011年全世界で1兆米ドルの損害を与えたと言われるほど、地球規模での大きな脅威となってきた。とりわけ、ボットウィルスに感染した無数のPCでボットネットを形成し、それを操りWebサイトなどへ攻撃を仕掛けるDDoS攻撃は、これまでの「自分を守ろうとするセキュリティ技術」では防ぐことができず、インターネット全体での対策が必要となっている。



ところで、警察庁の発表によれば、2012年中に観測されたボットネットによる攻撃では、約97%がSYN(SYNchronize) flood攻撃とUDP(User Datagram Protocol) flood攻撃で、その大半が送信元IPアドレスを詐称(以下、IPアドレス詐称もしくはアドレス詐称)していたことが特徴となっている。IPアドレス詐称対策を行うことが、サイバー攻撃対策として大きな効果を挙げるものと期待される。



IPアドレス詐称が成功する背景には、インターネット上でのルーティングがパケットの宛先IPアドレスだけを見ていることにある。IPアドレス詐称パケットのインターネットへの流入を阻止しようとするイングレス・フィルタリング技術の一つに、受信したパケットの送信元アドレスが経路表に経路情報として存在するかを調べ、経路情報が見つかればそのパケットを転送し、見つからなければ廃棄するuRPF(Unicast Reverse Path Forwarding)があるが、経路表に記載されたネットワークアドレスのアドレス空間内でのアドレス詐称パケットを中継転送としてしまう不完全性のため、広く導入するまでには至っていない。



また、予め決められた端末以外がネットワークにアクセスしないように認証によってポートに疎通許可を与えるIEEE802.1X規格がある。これにMACアドレスベースのイングレス・フィルタング機能を付加して、たとえリピータハブを介して未認証端末からフレームが送信されても阻止できる製品もあるが、データリンク層での対策であるため、認証を受けた端末がボットウィルスなどに感染しIPアドレス詐称パケットを送信しても、認証LANスイッチはそれを阻止することはできない。



さらに、企業などの内部ネットワーク向けに、DHCP(Dynamic Host Configuration Protocol)によるアドレス割り当てを監視し、それと整合しないパケットをフィルタリングするDHCP snooping技術や、単一のポリシーのもとに情報へのアクセス認可などをコントロールするTrusted Network Connect技術、他にもIPアドレス詐称パケットの発信源を特定しようとするIP trace back技術など、様々な試みや製品が出回っているが、いずれもサイバー攻撃を根絶する有効な解決手段とはなっていない(例えば、特許文献1を参照。)。

産業上の利用分野


本発明は、パケット転送装置、パケット転送システム及びパケット転送方法に関する。

特許請求の範囲 【請求項1】
互いにパケットをフレームにカプセル化して送受信する少なくとも一つのノード又は少なくとも一つのエンティティを収容する複数のポート又は複数のチャネルと、
前記ポート又は前記チャネルの識別情報と前記ノード又は前記エンティティが送信する前記フレームの送信元物理アドレスと前記フレームをデカプセル化して取り出したパケットの送信元論理アドレスとの対応関係を記憶しておくマルチレイヤ・バインディングテーブルと、
前記フレームを受信した前記ポート又は前記チャネルをキーに前記マルチレイヤ・バインディングテーブルを検索し、前記フレームの送信元物理アドレスと送信元論理アドレスとの対が前記マルチレイヤ・バンディングテーブルに存在するときは、前記フレームから取り出されたパケットをフレームにカプセル化して前記パケットの送信先論理アドレスに向けて次ホップノードへ転送し、前記マルチレイヤ・バインディングテーブルに存在しないときは前記パケットを廃棄する転送部と、を備える
ことを特徴とするパケット転送装置。

【請求項2】
互いにパケットをフレームにカプセル化して送受信する少なくとも一つのノード又は少なくとも一つのエンティティを収容する複数のポート又は複数のチャネルと、
前記ポート又は前記チャネルの識別情報と前記ノード又は前記エンティティが送信する前記フレームの送信元物理アドレスと前記フレームをデカプセル化して取り出したパケットの送信元論理アドレスとの対応関係を記憶しておくマルチレイヤ・バインディングテーブルと、
前記フレームを受信した前記ポート又は前記チャネルをキーに前記マルチレイヤ・バインディングテーブルを検索し、前記フレームの送信元物理アドレスと送信元論理アドレスとの対が前記バンディングテーブルに存在するときは、前記フレームから取り出されたパケットの送信先論理アドレスに向けて転送するルータへ転送し、前記マルチレイヤ・バインディングテーブルに存在しないときは前記パケットを廃棄する転送部と、を備える
ことを特徴とするパケット転送装置。

【請求項3】
前記パケット転送装置は、
予め接続された他のパケット転送装置に備わる前記転送部から、受信したポート又はチャネルの識別情報とともに送られてきた認証要求パケット又はフレームについて、認証サーバーへの認証要求を仲介し、前記認証サーバーが認証した認証結果を取得し、前記認証結果に基づいて決定した通信サービス品質を前記マルチレイヤ・バインディングテーブルの記憶の対象にし、
前記ポート又は前記チャネルを介して前記認証要求の要求元のノード又はエンティティの実在確認を行って、前記マルチレイヤ・バインディングテーブルを更新し、
前記マルチレイヤ・バインディングテーブルを他のパケット転送装置に備わる前記転送部に伝達する制御部を備え、
前記転送部は、
前記制御部が伝達してきた前記マルチレイヤ・バインディングテーブルを更新する
ことを特徴とする請求項1に記載のパケット転送装置。

【請求項4】
前記制御部は、
前記ポート又はチャネルに接続されるいずれかのノード又はエンティティからの廃棄要請を受け付け、或いは予め定められた所定のノード又はエンティティを定期的にアクセスし取得した廃棄要請に応じて前記転送部の廃棄テーブルを更新し、
前記転送部は、
前記廃棄テーブルに該当するフレーム又はパケットを廃棄する
ことを特徴とする請求項1から3のいずれかに記載のパケット転送装置。

【請求項5】
前記転送部と前記制御部は、互いに連携して、
前記ノード又は前記エンティティがブロードキャスト送信した自装置宛アドレス解決要求フレームに呼応して、前記ノード又は前記エンティティに対してアドレス解決要求フレームを同じポート又はチャネルからブロードキャスト送信し、
前記ポート又は前記チャネルを介して返ってきたアドレス解決応答フレームの送信元物理アドレスと送信元論理アドレスの対と、前記自装置宛アドレス解決要求フレームの送信元物理アドレスと送信元論理アドレスの対とを照合することによって、前記ノード又は前記エンティティの物理アドレスと論理アドレスの真正性を検証し認証する
ことを特徴とする請求項1から4のいずれかに記載のパケット転送装置。

【請求項6】
前記制御部及び前記転送部は、
前記ノード又は前記エンティティが固定のプロセス識別アドレスを有する場合、前記プロセス識別アドレスを前記マルチレイヤ・バインディングテーブルに記憶する対象にする
ことを特徴とする請求項1から5のいずれかに記載のパケット転送装置。

【請求項7】
DHCP(Dynamic Host Configuration Protocol)、レイヤ2スイッチ及びW-LAN(Wireless Local Area Network)各機能の一部又はすべてを含めた一体構造である
ことを特徴とする請求項1から6のいずれかに記載のパケット転送装置。

【請求項8】
前記転送部または前記制御部は、
認証されたノード又はエンティティが送信したパケットを受信した場合、前記パケットの通信プロトコルに応じて予め定められた値を受信したパケットの所定のフィールドに書き込み、未認証のノード又はエンティティが送信したパケットを受信した場合、前記所定のフィールドをリセットする
ことを特徴とする請求項1から7のいずれかに記載のパケット転送装置。

【請求項9】
インターネット利用者側に配置されるパケット転送装置と、
請求項1から8のいずれかに記載のインターネット側に配置されるパケット転送装置と、を備え、インターネット側に配置される前記パケット転送装置は、インターネット利用者側に配置される前記パケット転送装置を迂回又はすり抜けてアドレス詐称パケットが送られても、インターネットへの流入を阻止する
ことを特徴とするパケット転送システム。

【請求項10】
互いにパケットをフレームにカプセル化して送受信する少なくとも一つのノード又は少なくとも一つのエンティティを収容する複数のポート又は複数のチャネルの識別情報と前記ノード又は前記エンティティが送信する前記フレームの送信元物理アドレスと送信元論理アドレスとの対応関係を記憶しておくマルチレイヤ・バインディングテーブルを、フレームが送られてきたポート又はチャネルの識別情報をキーに検索し、
前記フレームの送信元物理アドレスと送信元論理アドレスとの対が前記バンディングテーブルに存在するときは、前記フレームから取り出したパケットをフレームにカプセル化して前記パケットの送信先論理アドレスに向けて次ホップノードへ転送し、前記マルチレイヤ・バインディングテーブルに存在しないときは前記パケットを廃棄する転送手順を有する
ことを特徴とするパケット転送方法。

【請求項11】
互いにパケットをフレームにカプセル化して送受信する少なくとも一つのノード又は少なくとも一つのエンティティを収容する複数のポート又は複数のチャネルの識別情報と前記ノード又は前記エンティティが送信する前記フレームの送信元物理アドレスと送信元論理アドレスとの対応関係を記憶しておくマルチレイヤ・バインディングテーブルを、フレームが送られてきたポート又はチャネルの識別情報をキーに検索し、
前記フレームの送信元物理アドレスと送信元論理アドレスとの対が前記バンディングテーブルに存在するときは、前記フレームから取り出したパケットの送信先論理アドレスに向けて転送するルータへ転送し、前記マルチレイヤ・バインディングテーブルに存在しないときは前記パケットを廃棄する転送手順を有する
ことを特徴とするパケット転送方法。
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2016519125thum.jpg
出願権利状態 公開
ライセンスご希望の方、またシーズの詳細に関することについては、下記「問合せ先」まで直接お問い合わせくださいますよう,お願い申し上げます。


PAGE TOP

close
close
close
close
close
close
close