JP2017506846A - 公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのシステムおよび方法 - Google Patents

公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのシステムおよび方法 Download PDF

Info

Publication number
JP2017506846A
JP2017506846A JP2016551194A JP2016551194A JP2017506846A JP 2017506846 A JP2017506846 A JP 2017506846A JP 2016551194 A JP2016551194 A JP 2016551194A JP 2016551194 A JP2016551194 A JP 2016551194A JP 2017506846 A JP2017506846 A JP 2017506846A
Authority
JP
Japan
Prior art keywords
source route
digital signature
source
packet
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016551194A
Other languages
English (en)
Inventor
タオ・ワン
ピーター・アッシュウッド−スミス
メハディ・アラシュミド・アクハヴァイン・モハマディ
グオリ・イン
ヤペン・ウー
Original Assignee
ホアウェイ・テクノロジーズ・カンパニー・リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ホアウェイ・テクノロジーズ・カンパニー・リミテッド filed Critical ホアウェイ・テクノロジーズ・カンパニー・リミテッド
Publication of JP2017506846A publication Critical patent/JP2017506846A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/34Source routing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するために実施形態が提供される。保護されるソースルートが改ざんされる場合、公開鍵に基づく方法は、下流のノードが改ざんを検出することを可能にする。本方法は、ソースルートの完全性を保護するためにデジタル署名を使用することに基づく。トラフィックフローのためのソースルートを作成するとき、指定されたネットワーク要素がデジタル署名を計算し、パケットにデジタル署名を加える。パケットがルート上のノードで受信されるとき、ノードはデジタル署名および公開鍵を使用してソースルートを検証し、それに基づいてソースルートが改ざんされたか否かを決定する。改ざんが検出される場合、受信ノードはパケットの転送を停止する。

Description

本出願は、2014年2月11日付で提出された「公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのシステムおよび方法」という名称の米国非仮出願14/177,913号の利益を主張するものであり、当該出願は参照により本明細書に組み込まれる。
本発明は、ネットワーク通信およびルーティングの分野に関し、特定の実施形態では、公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのシステムおよび方法に関する。
ネットワークにおいてソースルーティングを使用すると、パケットは、パケット内で示されるソースルートに従って、受信ノードから次のノードにルーティングされる。典型的には、MPLSセグメントルーティング等のルーティングプロトコルは、パケット内のソースルートの完全性の維持に関してセキュリティ保護を伴わないソースルーティングメカニズムを採用する。例えば、ソースルートは、通常、いかなる保護も伴わず平文でパケット内に示される。従って、パケット内のソースルートは、例えばルーティング経路上のノードによる変更、削除、および挿入等の改ざんに晒され得る。改ざんは、そのようなパケットを意図しない送り先に再ルーティングすることを引き起こし得る。この改ざんは、ソースルートを指示するネットワークオペレータのセキュリティポリシーに違反するものであり、ネットワークおよびユーザセキュリティに危害を及ぼす。ソースルートの完全性を保護するための効果的なセキュリティメカニズムの必要性が存在する。
本開示の実施形態に従えば、公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのネットワーク要素による方法は、ネットワーク内のトラフィックをルーティングするために決定されるソースルートのためのデジタル署名を、ネットワーク要素の秘密鍵を使用して生成するステップを含む。ソースルートは、ネットワーク内のノードの順序を示す。当該方法は、デジタル署名およびソースルートの組み合わせとして安全なソースルートを提供するステップをさらに含む。安全なソースルートはトラフィックのパケットに加えられ、パケットはソースルート上で送信される。
本開示の他の実施形態に従えば、公開鍵を使用してソースルーティングを保全するためのネットワーク要素は、少なくとも1つのプロセッサと、プロセッサによる実行のためのプログラミングを記録する非一時的コンピュータ可読記録媒体とを含む。プログラミングは、ネットワーク内のトラフィックをルーティングするために決定されるソースルートのための電子署名を、公開鍵を使用して生成するための命令を含む。ソースルートは、ネットワーク内のノードの順序を示す。プログラミングは、デジタル署名およびソースルートの組み合わせとして、安全なソースルートを提供するための命令をさらに含む。プログラミングは、安全なソースルートをトラフィックのパケットに加え、ソースルート上でパケットを送信するようにネットワーク要素をさらに構成する。
本開示の他の実施形態に従えば、公開鍵を使用してソースルーティングを保全するためのネットワークノードによる方法は、ソースルートと、ソースルートおよびネットワークノードに知られていない秘密鍵に従って生成されるデジタル署名とを含むパケットを受信するステップを含む。ソースルートは、ネットワーク内のノードの順序を示す。前記方法は、デジタル署名、およびネットワークノードに知られる公開鍵を使用してソースルートを検証するステップをさらに含む。ソースルートの不一致を決定する際に、ソースルートの改ざんを示す通知メッセージが、ネットワークへ送信される。
本開示のさらなる他の実施形態に従えば、反復的特異値分解における早期終了のためのネットワークノードは、少なくとも1つのプロセッサと、プロセッサによる実行のためのプログラミングを記録する非一時的コンピュータ可読記録媒体とを含む。プログラミングは、ソースルートと、ソースルートおよびネットワークノードに知られていない秘密鍵に従って生成されるデジタル署名とを含むパケットを受信するための命令を含む。ソースルートは、ネットワーク内のノードの順序を示す。プログラミングは、デジタル署名およびネットワークノードに知られる公開鍵を使用しソースルートを検証するための命令をさらに含む。ネットワークノードは、ソースルートの不一致を決定する際に、ソースルートの改ざんを示す通知メッセージをネットワークに送信するようにさらに構成される。
上記の記載は、以下の本発明の詳細な説明をより良く理解することができるように、本発明の実施形態の特徴をやや大まかに概説してきた。本発明の特許請求の範囲の特定事項を形作る本発明の実施形態の追加の特徴および利点が、以下で説明される。開示される概念および特定の実施形態が、本発明の同一の目的を遂行するためのその他の構成または過程を変更または設計するために基礎として容易に利用可能であることは、当業者により理解されるべきである。また、このような等価な構成は、添付の特許請求の範囲で規定される本発明の主旨および範囲から逸脱しないことも、当業者により理解されるべきである。
本発明、およびその利点の理解をより完全なものにするために下記の添付の図面と併せて以下の説明を参照する。
ソースルートを改ざんしパケットを再ルーティングする例示的なシナリオを示す。 保護されるソースルートの実施形態を示す。 ソースルートを保護するための方法の実施形態を示す。 様々な実施形態を実施するために使用可能な処理システムの概略図を示す。
異なる図面内の対応する符号および記号は、別段の表示がない限り通常、対応する部分を示す。図面は、実施形態の関連する態様を明確に説明するために描かれ、必ずしも正確な出尺で描かれない。
現在の好ましい実施形態の作成および使用が、以下で詳細に説明される。一方で、本発明が、多種多様な特定の文脈で実現可能である様々な適用可能な発明概念を提供することが理解されるべきである。説明される特定の実施形態は、本発明を作成および使用するための特定の方法を単に説明するものであり、本発明の範囲を限定するものではない。
公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するために、ここで実施形態が提供される。保護されるソースルートが改ざんされる場合、公開鍵に基づく方法は、下流のノードが改ざんを検出すること可能にする。本方法は、ソースルートの完全性を保護するためにデジタル署名を使用することに基づく。トラフィックフローのためのソースルートを作成するときに、ソフトウェア・デファインド・ネットワーキング(SDN)コントローラなどの指定されたネットワークノードは、デジタル署名を計算し、パケットにデジタル署名を加える。パケットがルート上のノードで受信されるとき、ノードは、ソースルートを検証するためにデジタル署名および公開鍵を使用し、それに基づいてソースルートが改ざんされているか否かを決定する。改ざんが検出される場合、ノードは、パケットの転送を停止する。
図1は、ソースルートを改ざんしパケットを再ルーティングする例示的なシナリオ100を示す。このシナリオ100では、SDNコントローラ(図示せず)が、ネットワークのセキュリティポリシーに合うように、与えられたトラフィックのフローのためにノード[A, B, E, F]に沿いその順でソースルートを決定する。ネットワークは、A、B、C、D、E、およびFを含む複数のノードを含む。ノードは、ルータ、スイッチ、ゲートウェイ、ブリッジ、またはネットワーク内でパケットを転送するその他のネットワークノードであり得る。全てのノードが適切に挙動し、ソースルートに従ってトラフィックを転送する場合、セキュリティポリシーが施行され得る。一方で、不正な動作をするノードBは、トラフィックを受信すると、下流ノード(E、D、またはF)のいずれにも検出されることなく、パケット内のソースルートを不正な経路[A, B, D, F]に変更することが可能である。この場合、Bは、トラフィックのための特定のセキュリティサービス(例えば、仮想ファイアウォール)をホストし得るEにトラフィックを転送しないことで、セキュリティポリシーを避けることができる。
この状況を避けるために、SDNコントローラが、例えばソースノードを決定する際に、ソースルートのためのデジタル署名を生成するように構成される。図2は、保護されるソースルート200の実施形態を示す。保護されるまたは安全なソースルート200は、SDNコントローラにのみ知られ、ネットワークノードと共有されない秘密鍵に従いSDNコントローラによって生成されるデジタル署名を含む。安全なソースルート200は、実際のソースルートと、場合によりフロールールとをさらに含む。フロールールは、各ノードで事前設定されたフロールールを示すフロー識別子、フローを識別するために使用されるパケット内のフィールドの位置および対応する長さ、またはその他の形態を含むいくつかの形態を取り得るが、これらに限定されるものではない。フロールールは、デジタル署名を生成するために使用されるパケット内の追加の値(例えば、宛先アドレス)を識別するために使用される。例えば、ソースルートは、シナリオ100の正当なソースルート[A, B, E, F]であり、フロールールは、ソース・インターネットプロトコル(IP)・アドレス(sip)および/または宛先IPアドレス(dip)を識別する。デジタル署名は、ソースルートと、例えばsig([A, B, E, F], [sip|dip])であるフロールールに従う識別されたアドレスとの関数であり得る。安全なソースルート200を形成するソースルート、フロールール、およびデジタル署名は、パケットヘッダ内に含まれ得る。
安全なソースルート200を有するパケットを受信するとき、ノードは、ノードおよびSDNコントローラに共有される公開鍵を使用してデジタル署名に対してソースルートを検証する。例えば、公開鍵は、各ノードで通常事前設定されるSDNコントローラの公開鍵証明書内で見つけられ得る。代替的に、公開鍵は、SDNコントローラまたはネットワークによってノードにブロードキャストまたはマルチキャストされ得る。受信ノードは、パケット内の公開鍵およびデジタル署名の関数を使用してソースルートを検証することができる。関数が不一致の結果を生じる場合、エラーおよび/または通知メッセージが、さらなる動作を取るために、ノードによってSDNコントローラへ送信される。ノードは、ソースルートが例えばルート上の先行するノードにより改ざんされたことをSDNコントローラに伝える。例えば、シナリオ100においてノードFは、公開鍵に基づく関数を使用し、受信されたパケット内のソースルートの改ざんを検出する。
SDNコントローラのみが秘密鍵の情報を有しているので、その他のノードは、偽装されたソースルートについて有効なデジタル署名を作成することができない。このことが、ソースルートについての完全性保護を提供する。さらに、デジタル署名の送信からのオーバーヘッドを低減するために、デジタル署名自体の代わりにデジタル署名のハッシュまたはハッシュの一部がパケットに含まれてよい。検証に際して、まずノードは上記のデジタル署名を計算し、その後デジタル署名のハッシュを計算し、続いてパケットに含まれるデジタル署名に対する計算されたハッシュを検証する。デジタル署名の送信および検証の両方からのオーバーヘッドをさらに低減するために、一度ノードが検証されると安全なソースルートは、ノードにおいてキャッシュされてよく、将来のパケットは、例えば、保護されるソースルート200の一部に過ぎない実際のソースルート等の通常のソースルートを含みさえすればよい。受信ノードは、後続のパケット内のソースルートを、キャッシュされた安全なソースルートと比較する、またはキャッシュされたデジタル署名と公開鍵を使用して比較することができる。
図3は、ソースルートを保護するための方法300の実施形態である。ステップ310において、公開鍵証明書が、例えばSDNコントローラまたは任意の信頼できるネットワークエンティティによって、ネットワーク内の複数のノードに配布される。ステップ320において、ソースルートが、ネットワーク内でトラフィックを転送するために決定される。ステップ330において、SDNコントローラまたは信頼できるエンティティがソースルートのためのデジタル署名を、コントローラまたはエンティティにのみ知られる秘密鍵と、検討中のソースルートと、任意でソース/宛先アドレスなどのフロールールを使用して識別され得る追加の情報との関数として生成する。ステップ340において、ソースルートと、デジタル署名(またはデジタル署名のハッシュもしくはデジタル署名のハッシュの一部)と、任意でデジタル署名を生成するための追加の情報を識別するためのフロールールとの組み合わせであり得る安全なソースルートが、ソースルート上で転送されるパケット内で送信される。ステップ350において、ソースルート上の各受信ノードは、公開鍵およびデジタル署名を使用し、パケット内に含まれるソースルートを検証する。ステップ360において、受信ノードは、ソースルートが改ざんされたか否か、例えばパケット内のソースルートと公開鍵によってデジタル署名を処理した結果との間に不一致があるか否かを決定する。ソースルートが改ざんされている場合、ステップ370において、その後そのような改ざんをネットワーク(またはコントローラ)に通知する。パケットは廃棄されてよく、転送は停止される。そうでなければ、ステップ380において、ノードは、通常通りパケットの転送または処理を継続する。方法200において、ステップ310から340は、コントローラまたはネットワークエンティティによって実施される。ステップ350から380は、各受信ノードまたは宛先ノードによって実施される。
図4は、様々な実施形態を実施するために使用され得る例示的な処理システムのブロック図である。処理システムは、コントローラ(もしくはネットワークエンティティ)または、ソースルーティングに従ってパケットを受信および/または送信するノードの一部であってよい。一実施形態において、処理システム400は、異なる構成要素が、各々から分離した、または遠隔の構成要素に位置するとともに、1つまたは複数のネットワークを介して接続され得るクラウドまたは分散されたコンピューティング環境の一部であってよい。処理システム400は、スピーカ、マイクロフォン、マウス、タッチスクリーン、キーパッド、キーボード、プリンタ、ディスプレイ等の1つまたは複数の入出力デバイスを備えた処理ユニット401を含み得る。処理ユニット401は、バスに結合される中央処理ユニット(CPU)410、メモリ420、大容量記録装置430、ビデオアダプタ、および入出力(I/O)インターフェイスを含み得る。バスは、メモリバスまたはメモリコントローラ、周辺バス、およびビデオバス等を含むいくつかのバスアーキテクチャの任意の種類のうちの1つまたは複数であり得る。
CUP410は、電子データプロセッサの任意の種類を含んでよい。メモリ420は、例えば、静的ランダムアクセスメモリ(SRAM)、動的ランダムアクセスメモリ(DRAM)、シンクロナスDRAM(SDRAM)、リードオンリメモリ(ROM)、またはそれらの組み合わせ等のシステムメモリの任意の種類を含む。一実施形態において、メモリ420は、起動時において使用するためのROM、ならびにプログラムのためのDRAMおよびプログラム実行時に使用するためのデータ記録装置を含み得る。大容量記録装置430は、データ、プログラム、およびその他の情報を記録し、バスを介してアクセス可能なデータ、プログラム、およびその他の情報を作成するように構成される記録装置の任意の種類を含んでよい。大容量記録装置430は、例えば、ソリッドステートドライブ、ハードディスクドライブ、磁気ディスクドライブ、または光学ディスクドライブ等のうちの1つまたは複数を含み得る。
ビデオアダプタ440およびI/Oインターフェイス490は、外部入力および出力装置を処理ユニットに結合するためにインターフェイスを提供する。図示されるように、入出力装置の例示は、ビデオアダプタ440に結合されるディスプレイ460、およびI/Oインターフェイス490に結合されるマウス/キーボード/プリンタ470の任意の組み合わせを含み得る。その他の装置は、処理ユニット401に結合されてよく、追加のまたは数少ないインターフェイスカードが用いられ得る。例えば、シリアルインターフェイスカード(図示せず)が、プリンタのためのシリアルインターフェイスを提供するために使用されてよい。
処理ユニット401は、ノードまたは1つもしくは複数のネットワーク480にアクセスするための、例えばイーサネット(登録商標)ケーブル等の有線リンクおよび/または無線リンクを含み得る1つまたは複数のネットワークインターフェイス450をも含む。ネットワークインターフェイス450は、処理ユニット401がネットワーク480を介して遠隔のユニットと通信を行うことを可能にする。例えば、ネットワークインターフェイス450は、1つまたは複数の送信機/送信アンテナ、および1つまたは複数の受信機/受信アンテナを介する無線通信を提供し得る。一実施形態では、処理ユニット401は、データ処理のためのローカルエリアネットワークまたはワイドエリアネットワークに結合され、例えば他の処理ユニット、インターネット、または遠隔記録施設等の遠隔装置と通信する。
いくつかの実施形態が本開示において提供されてきたが、開示されたシステムおよび方法が、本開示の主旨および範囲から逸脱しない多数の他の特定の形態で実施され得ることは理解されるべきである。本例示は、説明のためであり限定するものではないと考えられるべきであり、ここで与えられた詳細に限定する意図はない。例えば、様々な要素または構成要素が、その他のシステムにおいて組み合わされ、または統合されてよく、いくつかの特徴が省略され、または実施されなくてよい。
さらに、個別のまたは分離したものとして様々な実施形態で説明または図示された技術、システム、サブシステム、および方法は、その他のシステム、モジュール、技術、または方法と、本開示の範囲を逸脱せずに組み合わされ、または統合されてよい。各々と結合もしくは直接的に結合または通信するとして示され、または説明されたその他のアイテムは、電気的、機械的、またはその他の形態であろうといくつかのインターフェイス、装置、または中間構成要素を介して間接的に結合または通信してよい。変更、代用、および改変が、当業者によって確認され、ここで開示された主旨および範囲に逸脱することなく行われ得る。
200 ソースルート
400 処理システム
401 処理ユニット
410 中央処理ユニット(CPU)
420 メモリ
430 大容量記録装置
440 ビデオアダプタ
450 ネットワークインターフェイス
460 ディスプレイ
470 マウス/キーボード/プリンタ
480 ネットワーク
490 インターフェイス
本開示の他の実施形態に従えば、公開鍵を使用してソースルーティングを保全するためのネットワーク要素は、少なくとも1つのプロセッサと、プロセッサによる実行のためのプログラミングを記録する非一時的コンピュータ可読記録媒体とを含む。プログラミングは、ネットワーク内のトラフィックをルーティングするために決定されるソースルートのための電子署名を、秘密鍵を使用して生成するための命令を含む。ソースルートは、ネットワーク内のノードの順序を示す。プログラミングは、デジタル署名およびソースルートの組み合わせとして、安全なソースルートを提供するための命令をさらに含む。プログラミングは、安全なソースルートをトラフィックのパケットに加え、ソースルート上でパケットを送信するようにネットワーク要素をさらに構成する。
図3は、ソースルートを保護するための方法300の実施形態である。ステップ310において、公開鍵証明書が、例えばSDNコントローラまたは任意の信頼できるネットワークエンティティによって、ネットワーク内の複数のノードに配布される。ステップ320において、ソースルートが、ネットワーク内でトラフィックを転送するために決定される。ステップ330において、SDNコントローラまたは信頼できるエンティティがソースルートのためのデジタル署名を、コントローラまたはエンティティにのみ知られる秘密鍵と、検討中のソースルートと、任意でソース/宛先アドレスなどのフロールールを使用して識別され得る追加の情報との関数として生成する。ステップ340において、ソースルートと、デジタル署名(またはデジタル署名のハッシュもしくはデジタル署名のハッシュの一部)と、任意でデジタル署名を生成するための追加の情報を識別するためのフロールールとの組み合わせであり得る安全なソースルートが、ソースルート上で転送されるパケット内で送信される。ステップ350において、ソースルート上の各受信ノードは、公開鍵およびデジタル署名を使用し、パケット内に含まれるソースルートを検証する。ステップ360において、受信ノードは、ソースルートが改ざんされたか否か、例えばパケット内のソースルートと公開鍵によってデジタル署名を処理した結果との間に不一致があるか否かを決定する。ソースルートが改ざんされている場合、ステップ370において、その後そのような改ざんをネットワーク(またはコントローラ)に通知する。パケットは廃棄されてよく、転送は停止される。そうでなければ、ステップ380において、ノードは、通常通りパケットの転送または処理を継続する。方法300において、ステップ310から340は、コントローラまたはネットワークエンティティによって実施される。ステップ350から380は、各受信ノードまたは宛先ノードによって実施される。

Claims (20)

  1. 公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのネットワーク要素による方法であって、
    ネットワーク内のトラフィックをルーティングするために決定されるソースルートのためのデジタル署名を前記ネットワーク要素の秘密鍵を使用して生成するステップであって、前記ソースルートが前記ネットワーク内のノードの順序を示す、ステップと、
    前記デジタル署名および前記ソースルートの組み合わせとして、安全なソースルートを提供するステップと、
    前記安全なソースルートを前記トラフィックのパケットに加えるステップと、
    前記ソースルート上で前記パケットを送信するステップと
    を含む方法。
  2. 前記ソースルートを検証するための公開鍵を前記ノードに配布するステップをさらに含む、請求項1に記載の方法。
  3. 前記公開鍵を配布するステップが、前記ノードにおいて前記公開鍵の証明書を事前設定するステップを含む、請求項1に記載の方法。
  4. 前記安全なソースルートを提供するステップが、前記パケット内で前記デジタル署名および前記ソースルートと共にフロールールを加えるステップをさらに含む、請求項1に記載の方法。
  5. 前記デジタル署名が、前記ソースルート、および前記フロールールにより識別されるフロー情報の関数であり、前記フロー情報が、ソースアドレスおよび宛先アドレスのうちの少なくとも1つを含む、請求項4に記載の方法。
  6. 前記ネットワーク要素の秘密鍵が前記ノードと共有されない、請求項1に記載の方法。
  7. 公開鍵を使用してソースルーティングを保全するためのネットワーク要素であって、
    少なくとも1つのプロセッサと、
    前記プロセッサによる実行のためのプログラミングを記録する非一時的コンピュータ可読記録媒体とを含み、前記プログラミングは、
    ネットワーク内のトラフィックをルーティングするために決定されるソースルートのためのデジタル署名を、公開鍵を使用して生成することであって、前記ソースルートが前記ネットワーク内のノードの順序を示す、ことと、
    前記デジタル署名および前記ソースルートの組み合わせとして、安全なソースルートを提供することと、
    前記安全なソースルートを前記トラフィックのパケットに加えることと、
    前記ソースルートで前記パケットを送信することと
    を行うための命令を含む、ネットワーク要素。
  8. 前記プログラミングが、前記ソースルートを検証するための公開鍵を前記ノードに配布するための命令をさらに含む、請求項7に記載のネットワーク要素。
  9. 前記安全なソースルートを提供するための命令が、前記パケット内に、前記デジタル署名および前記ソースルートと共にフロールールを含めるための命令をさらに含み、前記デジタル署名が、前記ソースルートおよび前記フロールールにより識別されるフロー情報の関数である、請求項7に記載のネットワーク要素。
  10. 前記ネットワーク要素が、ソフトウェア・デファインド・ネットワーキング(SDN)コントローラである、請求項7に記載のネットワーク要素。
  11. 公開鍵を使用してソースルーティングを保全するためのネットワークノードによる方法であって、
    ソースルートおよびデジタル署名を含むパケットを受信するステップであって、前記デジタル署名が、前記ソースルートと前記ネットワークノードに知られていない秘密鍵とに従って生成され、前記ソースルートがネットワーク内のノードの順序を示す、ステップと、
    前記デジタル署名と前記ネットワークノードに知られる公開鍵とを使用して前記ソースルートを検証するステップと、
    前記ソースルートの不一致を決定する際に、前記ソースルートの改ざんを示す通知メッセージを前記ネットワークに送信するステップと
    を含む方法。
  12. 前記パケットが、フロー情報を含むフロールールをさらに含み、前記フロー情報は、ソースアドレスおよび宛先アドレスのうちの少なくとも1つを識別し、前記デジタル署名が、前記ソースルートおよび前記フロー情報の関数である、請求項11に記載の方法。
  13. 前記デジタル署名および前記公開鍵を使用して前記ソースルートを検証するステップが、
    前記デジタル署名および前記公開鍵の関数としてローカルなソースルートを取得するステップと、
    前記ローカルなソースルートを前記パケット内の前記ソースルートと比較するステップと
    を含む、請求項11に記載の方法。
  14. 前記ネットワークから前記公開鍵の証明書を受信するステップをさらに含む、請求項11に記載の方法。
  15. 前記ネットワークノードにおいて前記ソースルートまたは前記デジタル署名をキャッシュするステップと、
    前記キャッシュされたソースルートを使用するか、または前記キャッシュされたデジタル署名および前記公開鍵を使用して前記パケットの後で、第2の受信されるパケット内の第2のソースルートを検証するステップと
    をさらに含む、請求項11に記載の方法。
  16. 前記第2のパケットがデジタル署名を含まない、請求項15に記載の方法。
  17. 反復的特異値分解における早期終了のためのネットワークノードであって、
    少なくとも1つのプロセッサと、
    前記プロセッサの実行のためのプログラミングを記録する非一時的コンピュータ可読記録媒体とを含み、前記プログラミングは、
    ソースルートおよびデジタル署名を含むパケットを受信することであって、前記デジタル署名が、前記ソースルートと前記ネットワークノードに知られていない秘密鍵とに従って生成され、前記ソースルートがネットワーク内のノードの順序を示す、ことと、
    前記デジタル署名と前記ネットワークノードに知られる公開鍵とを使用して前記ソースルートを検証することと、
    前記ソースルートの不一致を決定する際に、前記ソースルートの改ざんを示す通知メッセージを前記ネットワークに送信すること
    を行うための命令を含む、ネットワークノード。
  18. 前記パケットが、フロー情報を含むフロールールをさらに含み、前記フロー情報は、ソースアドレスおよび宛先アドレスのうちの少なくとも1つを識別し、前記デジタル署名が、前記ソースルートおよび前記フロー情報の関数である、請求項17に記載のネットワークノード。
  19. 前記パケットが、フロー情報を含むフロールールをさらに含み、前記フロー情報は、ソースアドレスおよび宛先アドレスのうちの少なくとも1つを識別し、前記デジタル署名が、前記ソースルートおよび前記フロー情報の関数である、請求項17に記載のネットワークノード。
  20. 前記プログラミングは、
    前記ネットワークノードにおいて前記ソースルートまたは前記デジタル署名をキャッシュすることと、
    前記キャッシュされたソースルートを使用するか、または前記キャッシュされたデジタル署名および前記公開鍵を使用して前記パケットの後で第2の受信されるパケット内の第2のソースルートを検証することと
    を行うための命令をさらに含む、請求項17に記載のネットワークノード。
JP2016551194A 2014-02-11 2015-02-09 公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのシステムおよび方法 Pending JP2017506846A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/177,913 US20150229618A1 (en) 2014-02-11 2014-02-11 System and Method for Securing Source Routing Using Public Key based Digital Signature
US14/177,913 2014-02-11
PCT/CN2015/072482 WO2015120783A1 (en) 2014-02-11 2015-02-09 System and method for securing source routing using public key based digital signature

Publications (1)

Publication Number Publication Date
JP2017506846A true JP2017506846A (ja) 2017-03-09

Family

ID=53775981

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016551194A Pending JP2017506846A (ja) 2014-02-11 2015-02-09 公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのシステムおよび方法

Country Status (6)

Country Link
US (1) US20150229618A1 (ja)
EP (1) EP3080959A4 (ja)
JP (1) JP2017506846A (ja)
CN (1) CN105960781A (ja)
CA (1) CA2935874A1 (ja)
WO (1) WO2015120783A1 (ja)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9729439B2 (en) 2014-09-26 2017-08-08 128 Technology, Inc. Network packet flow controller
US9967188B2 (en) * 2014-10-13 2018-05-08 Nec Corporation Network traffic flow management using machine learning
US10277506B2 (en) 2014-12-08 2019-04-30 128 Technology, Inc. Stateful load balancing in a stateless network
US9736184B2 (en) 2015-03-17 2017-08-15 128 Technology, Inc. Apparatus and method for using certificate data to route data
US9729682B2 (en) 2015-05-18 2017-08-08 128 Technology, Inc. Network device and method for processing a session using a packet signature
US9762485B2 (en) 2015-08-24 2017-09-12 128 Technology, Inc. Network packet flow controller with extended session management
US10673839B2 (en) 2015-11-16 2020-06-02 Mastercard International Incorporated Systems and methods for authenticating network messages
US9769142B2 (en) * 2015-11-16 2017-09-19 Mastercard International Incorporated Systems and methods for authenticating network messages
US9871748B2 (en) 2015-12-09 2018-01-16 128 Technology, Inc. Router with optimized statistical functionality
US9985883B2 (en) 2016-02-26 2018-05-29 128 Technology, Inc. Name-based routing system and method
US10205651B2 (en) 2016-05-13 2019-02-12 128 Technology, Inc. Apparatus and method of selecting next hops for a session
US10298616B2 (en) 2016-05-26 2019-05-21 128 Technology, Inc. Apparatus and method of securing network communications
US10091099B2 (en) 2016-05-31 2018-10-02 128 Technology, Inc. Session continuity in the presence of network address translation
US10257061B2 (en) 2016-05-31 2019-04-09 128 Technology, Inc. Detecting source network address translation in a communication system
US9832072B1 (en) 2016-05-31 2017-11-28 128 Technology, Inc. Self-configuring computer network router
US11075836B2 (en) 2016-05-31 2021-07-27 128 Technology, Inc. Reverse forwarding information base enforcement
US10841206B2 (en) 2016-05-31 2020-11-17 128 Technology, Inc. Flow modification including shared context
US10200264B2 (en) 2016-05-31 2019-02-05 128 Technology, Inc. Link status monitoring based on packet loss detection
US10009282B2 (en) 2016-06-06 2018-06-26 128 Technology, Inc. Self-protecting computer network router with queue resource manager
CN106254242A (zh) * 2016-08-04 2016-12-21 胡汉强 一种数据传输方法、集中控制器、转发面设备和本端通信装置
US11297070B2 (en) 2016-09-20 2022-04-05 Nec Corporation Communication apparatus, system, method, and non-transitory medium
US9985872B2 (en) 2016-10-03 2018-05-29 128 Technology, Inc. Router with bilateral TCP session monitoring
US10425511B2 (en) 2017-01-30 2019-09-24 128 Technology, Inc. Method and apparatus for managing routing disruptions in a computer network
EP3593498B1 (en) 2017-03-07 2023-05-03 128 Technology, Inc. Router device using flow duplication
US10432519B2 (en) 2017-05-26 2019-10-01 128 Technology, Inc. Packet redirecting router
US11165863B1 (en) 2017-08-04 2021-11-02 128 Technology, Inc. Network neighborhoods for establishing communication relationships between communication interfaces in an administrative domain
US10574561B2 (en) * 2017-10-04 2020-02-25 Cisco Technology, Inc. Centralized error telemetry using segment routing header tunneling
CN108092897B (zh) * 2017-11-23 2020-07-21 浙江大学 一种基于sdn的可信路由源管理方法
US10742607B2 (en) * 2018-02-06 2020-08-11 Juniper Networks, Inc. Application-aware firewall policy enforcement by data center controller
US20190253341A1 (en) 2018-02-15 2019-08-15 128 Technology, Inc. Service Related Routing Method and Apparatus
WO2019164637A1 (en) * 2018-02-23 2019-08-29 Futurewei Technologies, Inc. Advertising and programming preferred path routes using interior gateway protocols
WO2019190699A1 (en) 2018-03-28 2019-10-03 Futurewei Technologies, Inc. Method and apparatus for preferred path route information distribution and maintenance
EP3785405B1 (en) 2018-04-26 2025-02-26 Huawei Technologies Co., Ltd. Resource reservation and maintenance for preferred path routes in a network
WO2019212678A1 (en) 2018-05-04 2019-11-07 Futurewei Technologies, Inc. Explicit backups and fast re-route mechanisms for preferred path routes in a network
WO2019236221A1 (en) 2018-06-04 2019-12-12 Futurewei Technologies, Inc. Preferred path route graphs in a network
CN113454628B (zh) 2019-02-26 2025-03-28 华为技术有限公司 安全计算网络设备和方法
US11343261B2 (en) * 2019-04-05 2022-05-24 Cisco Technology, Inc. Technologies for proving packet transit through uncompromised nodes
CN115428411B (zh) 2020-04-23 2024-05-28 瞻博网络公司 使用会话建立度量的会话监测
US12363035B2 (en) 2021-09-29 2025-07-15 Juniper Networks, Inc. Opportunistic mesh for software-defined wide area network (SD-WAN)
CN117560157B (zh) * 2023-11-13 2025-07-11 南京新一代人工智能研究院有限公司 一种基于数字签名的业务流程安全保障方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060034179A1 (en) * 2004-08-02 2006-02-16 Novell, Inc. Privileged network routing
WO2011083846A1 (ja) * 2010-01-08 2011-07-14 日本電気株式会社 通信システム、転送ノード、経路管理サーバおよび通信方法
JP2012253539A (ja) * 2011-06-02 2012-12-20 Nippon Telegr & Teleph Corp <Ntt> 名前解決システム及び鍵更新方法
JP2013115570A (ja) * 2011-11-28 2013-06-10 Oki Electric Ind Co Ltd マルチホップ通信システム、通信装置及び通信プログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7216237B2 (en) * 2001-07-16 2007-05-08 Certicom Corp. System and method for trusted communication
US8078758B1 (en) * 2003-06-05 2011-12-13 Juniper Networks, Inc. Automatic configuration of source address filters within a network device
US7401217B2 (en) * 2003-08-12 2008-07-15 Mitsubishi Electric Research Laboratories, Inc. Secure routing protocol for an ad hoc network using one-way/one-time hash functions
JP2005286989A (ja) * 2004-03-02 2005-10-13 Ntt Docomo Inc 通信端末及びアドホックネットワーク経路制御方法
CN100337456C (zh) * 2004-11-23 2007-09-12 毛德操 通过路由器签名提高ip网络安全性的方法
US20070086382A1 (en) * 2005-10-17 2007-04-19 Vidya Narayanan Methods of network access configuration in an IP network
US20070101144A1 (en) * 2005-10-27 2007-05-03 The Go Daddy Group, Inc. Authenticating a caller initiating a communication session
US8695089B2 (en) * 2007-03-30 2014-04-08 International Business Machines Corporation Method and system for resilient packet traceback in wireless mesh and sensor networks
GB2453752A (en) * 2007-10-17 2009-04-22 Ericsson Telefon Ab L M Proxy mobile IP communications network
US9729424B2 (en) * 2012-06-11 2017-08-08 Futurewei Technologies, Inc. Defining data flow paths in software-defined networks with application-layer traffic optimization
US9485174B2 (en) * 2012-07-30 2016-11-01 Cisco Technology, Inc. Routing using cached source routes from message headers

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060034179A1 (en) * 2004-08-02 2006-02-16 Novell, Inc. Privileged network routing
WO2011083846A1 (ja) * 2010-01-08 2011-07-14 日本電気株式会社 通信システム、転送ノード、経路管理サーバおよび通信方法
JP2012253539A (ja) * 2011-06-02 2012-12-20 Nippon Telegr & Teleph Corp <Ntt> 名前解決システム及び鍵更新方法
JP2013115570A (ja) * 2011-11-28 2013-06-10 Oki Electric Ind Co Ltd マルチホップ通信システム、通信装置及び通信プログラム

Also Published As

Publication number Publication date
US20150229618A1 (en) 2015-08-13
WO2015120783A1 (en) 2015-08-20
EP3080959A4 (en) 2016-11-16
WO2015120783A9 (en) 2016-06-02
CA2935874A1 (en) 2015-08-20
EP3080959A1 (en) 2016-10-19
CN105960781A (zh) 2016-09-21

Similar Documents

Publication Publication Date Title
JP2017506846A (ja) 公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのシステムおよび方法
US12381741B2 (en) Systems and methods for verifying a route taken by a communication
US11463466B2 (en) Monitoring encrypted network traffic
US12199969B2 (en) Network enclave attestation for network and compute devices
EP2947845B1 (en) Border property validation for named data networks
EP4388706B1 (en) Advertising bgp destination secure path requirement in global internet
US20210281577A1 (en) Communication apparatus, system, method, and non-transitory medium
KR20150141362A (ko) 네트워크 노드 및 네트워크 노드의 동작 방법
US11122346B1 (en) Attestation in optical transport network environments
US11558198B2 (en) Real-time attestation of cryptoprocessors lacking timers and counters
US12224978B2 (en) Packet processing method and apparatus
CN101714974A (zh) 一种在匿名网络中提高匿名度的方法和网络设备
EP3442195A1 (en) Method and device for parsing packet
WO2019137554A1 (zh) 一种保证环网协议运行安全的方法及装置
CN115943603A (zh) 区块链增强路由授权
CN102447626A (zh) 具有策略驱动路由的主干网
CN105743863A (zh) 一种对报文进行处理的方法及装置
CN107395615B (zh) 一种打印机安全防护的方法和装置
Bernardo et al. Multi-layer security analysis and experimentation of high speed protocol data transfer for GRID
CN109769004B (zh) 基于保留格式加密的匿名通信方法、设备及系统
US9781076B2 (en) Secure communication system

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160817

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170801

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170731

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180313

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20181009