ホーム > 特許ランキング > 楽天シンフォニー株式会社
知財求人 - 知財ポータルサイト「IP Force」
特表2025-500555フロントホールリンクを中間者(MITM)攻撃から保護するための機構
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2025-01-09
(54)【発明の名称】フロントホールリンクを中間者(MITM)攻撃から保護するための機構
(51)【国際特許分類】
G06F 21/55 20130101AFI20241226BHJP
【FI】
G06F21/55 340
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024539037
(86)(22)【出願日】2022-07-11
(85)【翻訳文提出日】2024-06-26
(86)【国際出願番号】 US2022036648
(87)【国際公開番号】W WO2023191836
(87)【国際公開日】2023-10-05
(31)【優先権主張番号】202241019649
(32)【優先日】2022-03-31
(33)【優先権主張国・地域又は機関】IN
(81)【指定国・地域】
(71)【出願人】
【識別番号】323001546
【氏名又は名称】楽天シンフォニー株式会社
(74)【代理人】
【識別番号】100109380
【弁理士】
【氏名又は名称】小西 恵
(74)【代理人】
【識別番号】100109036
【弁理士】
【氏名又は名称】永岡 重幸
(74)【代理人】
【識別番号】100188879
【弁理士】
【氏名又は名称】渡邉 未央子
(72)【発明者】
【氏名】ラヴィラジュ,ラーフル
(72)【発明者】
【氏名】バイカンパディ,ナゲンドラ
(72)【発明者】
【氏名】バラゴパラン,サティシュ
(57)【要約】
ネットワーク通信システムにおいて、中間者(MiTM)攻撃からフロントホールリンクを保護するために、少なくとも1つのプロセッサによって実施される方法は、
認証者のポートを通って、イーサネットフレームを介して、サプリカントからポート認証の認証要求を受信することと、認証者によって、イーサネットフレームから、サプリカントと認証者との間のイーサネットフレームの伝送路におけるホップ数に対応するホップカウントを取得することと、ホップカウントを所定の閾値と比較して、ポートを無効にすべきかどうかを判定することと、ホップカウントが所定の閾値よりも大きいことに基づいてポートを無効にすることと、を含む。
認証者のポートを通って、イーサネットフレームを介して、サプリカントからポート認証の認証要求を受信することと、認証者によって、イーサネットフレームから、サプリカントと認証者との間のイーサネットフレームの伝送路におけるホップ数に対応するホップカウントを取得することと、ホップカウントを所定の閾値と比較して、ポートを無効にすべきかどうかを判定することと、ホップカウントが所定の閾値よりも大きいことに基づいてポートを無効にすることと、を含む。
【特許請求の範囲】
【請求項1】
ネットワーク通信システムにおいて、中間者(MiTM)攻撃からフロントホールリンクを保護するために、少なくとも1つのプロセッサによって実施される方法であって、認証者のポートを通って、イーサネットフレームを介して、サプリカントからポート認証の認証要求を受信することと、
前記認証者によって、前記イーサネットフレームから、前記サプリカントと前記認証者との間の前記イーサネットフレームの伝送路におけるホップ数に対応するホップカウントを取得することと、
前記ホップカウントを所定の閾値と比較して、前記ポートを無効にすべきかどうかを判定することと、
前記ホップカウントが前記所定の閾値よりも大きいことに基づいて前記ポートを無効にすることと、を含む方法。
【請求項2】
前記所定の閾値が、前記認証者の前記ポート内に構成され、前記ポートがL2インタフェースである、請求項1に記載の方法。
【請求項3】
前記ホップカウントが、前記イーサネットフレームのヘッダから取得される、請求項1に記載の方法。
【請求項4】
前記イーサネットフレームの前記ヘッダが、6バイトのプリアンブルと、前記ホップカウントが記録される1バイトのホップカウントフィールドとを含む、請求項3に記載の方法。
【請求項5】
前記ホップカウントフィールドが、前記プリアンブルと開始フレーム識別子(SFD)フィールドとの間にある、請求項4に記載の方法。
【請求項6】
前記ホップカウントが、前記伝送路に含まれる任意のデバイスによって前記イーサネットフレーム内でインクリメントされる、請求項1に記載の方法。
【請求項7】
前記ポート認証が、IEEE802.1xポート認証である、請求項1に記載の方法。
【請求項8】
ネットワーク通信システムにおいて、中間者(MiTM)攻撃からフロントホールリンクを保護するための装置であって、命令を格納するメモリと、
少なくとも1つのプロセッサであって、
認証者のポートを通って、イーサネットフレームを介して、サプリカントからポート認証の認証要求を受信し、
前記認証者によって、前記イーサネットフレームから、前記サプリカントと前記認証者との間の前記イーサネットフレームの伝送路におけるホップ数に対応するホップカウントを取得し、
前記ホップカウントを所定の閾値と比較して、前記ポートを無効にすべきかどうかを判定し、
前記ホップカウントが前記所定の閾値よりも大きいことに基づいて前記ポートを無効にするように前記命令を実行するように構成された、少なくとも1つのプロセッサと、
を備える、装置。
【請求項9】
前記所定の閾値が、前記認証者の前記ポート内に構成され、前記ポートがL2インタフェースである、請求項8に記載の装置。
【請求項10】
前記ホップカウントが、前記イーサネットフレームのヘッダから取得される、請求項8に記載の装置。
【請求項11】
前記イーサネットフレームの前記ヘッダが、6バイトのプリアンブルと、前記ホップカウントが記録される1バイトのホップカウントフィールドとを含む、請求項10に記載の装置。
【請求項12】
前記ホップカウントフィールドが、前記プリアンブルと開始フレーム識別子(SFD)フィールドとの間にある、請求項11に記載の装置。
【請求項13】
前記ホップカウントが、前記伝送路に含まれる任意のデバイスによって前記イーサネットフレーム内でインクリメントされる、請求項8に記載の装置。
【請求項14】
前記ポート認証が、IEEE802.1xポート認証である、請求項8に記載の装置。
【請求項15】
ネットワーク通信システムにおいて、中間者(MiTM)攻撃からフロントホールリンクを保護するための方法であって、認証者のポートを通って、イーサネットフレームを介して、サプリカントからポート認証の認証要求を受信することと、
前記認証者によって、前記イーサネットフレームから、前記サプリカントと前記認証者との間の前記イーサネットフレームの伝送路におけるホップ数に対応するホップカウントを取得することと、
前記ホップカウントを所定の閾値と比較して、前記ポートを無効にすべきかどうかを判定することと、
前記ホップカウントが前記所定の閾値よりも大きいことに基づいて前記ポートを無効にすることと、
を含む方法を実施するために少なくとも1つのプロセッサによって実行可能な命令を記録した非一時的コンピュータ可読記録媒体。
【請求項16】
前記所定の閾値が、前記認証者の前記ポート内に構成され、前記ポートがL2インタフェースである、請求項15に記載の非一時的コンピュータ可読記録媒体。
【請求項17】
前記ホップカウントが、前記イーサネットフレームのヘッダから取得される、請求項15に記載の非一時的コンピュータ可読記録媒体。
【請求項18】
前記イーサネットフレームの前記ヘッダが、6バイトのプリアンブルと、前記ホップカウントが記録される1バイトのホップカウントフィールドとを含み、前記ホップカウントフィールドが、前記プリアンブルと開始フレーム識別子(SFD)フィールドとの間にある、請求項17に記載の非一時的コンピュータ可読記録媒体。
【請求項19】
前記ホップカウントが、前記伝送路に含まれる任意のデバイスによって前記イーサネットフレーム内でインクリメントされる、請求項15に記載の非一時的コンピュータ可読記録媒体。
【請求項20】
前記ポート認証が、IEEE802.1xポート認証である、請求項15に記載の非一時的コンピュータ可読記録媒体。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2022年3月31日に出願されたインド仮出願第202241019649号に基づき、その優先権を主張するものであり、その開示は参照によりその全体が本明細書に組み込まれる。
本出願は、2022年3月31日に出願されたインド仮出願第202241019649号に基づき、その優先権を主張するものであり、その開示は参照によりその全体が本明細書に組み込まれる。
【0002】
本開示の例示的な実施形態と一致する装置および方法は、無線通信に関し、詳細には、中間者(MiTM)攻撃からフロントホールリンクを保護するための機構に関する。
【背景技術】
【0003】
従来、中間者(Man-in-the-Middle(MiTM))攻撃とは、ユーザ(例えば、サプリカント)とアプリケーション(例えば、認証者(authenticator/オーセンティケータ)との間の通信セッションの途中にいる犯罪者の総称である。犯罪者は、一方の当事者を盗聴またはなりすましによって対話を攻撃し、犯罪者とアプリケーションとの間の通信セッションを通常の情報交換として見せることができる。攻撃の目的は、一例として、ログイン認証情報、アカウント情報、クレジットカード番号などの個人情報を盗むことであり得る。犯罪者は、金融アプリケーション、企業ウェブサイト、電子商取引ウェブサイト、およびログインを必要とする他のウェブサイトのサプリカントを標的にすることができる。犯罪者は、攻撃中に取得された情報を使用して、個人情報窃盗、不正な資金振替、および不正なパスワード変更などを行う可能性がある。
【0004】
通信の前に、サプリカント(10)は認証サーバ(40)内の情報に基づいて認証者(30)(例えば、802.1xポート認証などを使用して)とのポート認証を完了しなければならない。しかしながら、認証プロセスの一部として、不正なブリッジ/エンティティ(20)が、サプリカント(10)と認証者(3)との間、すなわち、サプリカント(10)と認証者(30)との間の中間者MiTM(60)として介在し得る。不正なエンティティ(20)は、ポートが認証されるのを待ち、次いで攻撃を開始する(例えば、MiTM攻撃)。
【0005】
不正なエンティティ(20)は、図1に示すように、不正なスイッチ、不正なブリッジなどであり得る。具体的には、不正なエンティティ(20)は、データを送信するために認証者(30)のポートに接続される。しかしながら、いずれのデータも送信される前にポートを開く必要がある。すなわち、ポートを開き、データの送信を開始するために、ポート認証は成功したとみなされなければならない。サプリカント(10)は、不正なエンティティ(20)が認証者(30)(例えば、認証機能を備えたスイッチ)であると仮定して不正なエンティティ(20)に接続し、不正なエンティティ(20)と802.1x認証を開始する。例えば、サプリカント(10)は、認証者(30)に要求を送信する代わりに、不正なスイッチに認証要求を送信する。次に、不正なエンティティ(20)は、認証中に実際の認証者(30)にパケット(例えば、認証要求)を転送する。認証が成功すると、ポートは認証者で開かれる(30)。結果として、MiTM(60)は、不正なエンティティ(20)を使用してポートを介してネットワーク(50)(例えば、セルラネットワーク、クラウドネットワーク、無線ネットワークなど)との間でパケットを送受信することができる。したがって、MiTM攻撃は、ポートが開いた後に開始される。
【0006】
代替的に、MiTM攻撃は、図2に示すように、例えば、MiTM(60)として端末デバイス(例えば、電話、コンピュータなど)を介して人によって実行される場合がある。攻撃者の端末デバイスは、不正なエンティティ自体として機能し、不正なスイッチ/ブリッジなしで認証者(30)のポートに接続する。端末デバイスは、認証者(30)との間でパケットを転送する。認証が成功すると、認証者(30)のスイッチのポートが開き、MiTM(60)(すなわち、端末デバイス)によって使用されて、ネットワーク(40)への攻撃およびネットワークからのパケットスプーフィングを開始することができる。
【0007】
したがって、上述の不利益または他の欠点に対処すること、あるいはMiTM攻撃からのフロントホールリンクに対して有用な代替案を提供することが望ましい。
【発明の概要】
【課題を解決するための手段】
【0008】
実施形態によれば、フロントホールリンクを中間者(MiTM)攻撃から保護するシステムおよび方法が提供される。
実施形態によれば、ネットワーク通信システムにおいて、中間者(MiTM)攻撃からフロントホールリンクを保護するために、少なくとも1つのプロセッサによって実施される方法であって、認証者のポートを通って、イーサネットフレームを介して、サプリカントからポート認証の認証要求を受信することと、認証者によって、イーサネットフレームから、サプリカントと認証者との間のイーサネットフレームの伝送路におけるホップ数に対応するホップカウントを取得することと、ホップカウントを所定の閾値と比較して、ポートを無効にすべきかどうかを判定することと、ホップカウントが所定の閾値よりも大きいことに基づいてポートを無効にすることと、を含む方法。
実施形態によれば、ネットワーク通信システムにおいて、中間者(MiTM)攻撃からフロントホールリンクを保護するために、少なくとも1つのプロセッサによって実施される方法であって、認証者のポートを通って、イーサネットフレームを介して、サプリカントからポート認証の認証要求を受信することと、認証者によって、イーサネットフレームから、サプリカントと認証者との間のイーサネットフレームの伝送路におけるホップ数に対応するホップカウントを取得することと、ホップカウントを所定の閾値と比較して、ポートを無効にすべきかどうかを判定することと、ホップカウントが所定の閾値よりも大きいことに基づいてポートを無効にすることと、を含む方法。
【0009】
所定の閾値は、認証者のポートに構成され、ポートはL2インタフェースである。
【0010】
ホップカウントは、イーサネットフレームのヘッダから取得される。
【0011】
イーサネットフレームのヘッダは、6バイトのプリアンブルと、ホップカウントが記録される1バイトのホップカウントフィールドとを含む。
【0012】
ホップカウントフィールドは、プリアンブルと開始フレーム識別子(Start Frame Delimiter(SFD))フィールドとの間にある。
【0013】
ホップカウントは、伝送路に含まれる任意のデバイスによってイーサネットフレーム内でインクリメントされる。
【0014】
ポート認証は、IEEE802.1xポート認証である。
【0015】
実施形態によれば、ネットワーク通信システムにおいて、中間者(MiTM)攻撃からフロントホールリンクを保護するための装置であって、命令を格納するメモリと、少なくとも1つのプロセッサであって、認証者のポートを通って、イーサネットフレームを介して、サプリカントからポート認証の認証要求を受信し、認証者によって、イーサネットフレームから、サプリカントと認証者との間のイーサネットフレームの伝送路におけるホップ数に対応するホップカウントを取得し、ホップカウントを所定の閾値と比較して、ポートを無効にすべきかどうかを判定し、ホップカウントが所定の閾値よりも大きいことに基づいてポートを無効にするように命令を実行するように構成された、少なくとも1つのプロセッサとを含む装置。
【0016】
所定の閾値は、認証者のポートに構成され、ポートはL2インタフェースである。
【0017】
ホップカウントは、イーサネットフレームのヘッダから取得される。
【0018】
イーサネットフレームのヘッダは、6バイトのプリアンブルと、ホップカウントが記録される1バイトのホップカウントフィールドとを含む。
【0019】
ホップカウントフィールドは、プリアンブルと開始フレーム識別子(SFD)フィールドとの間にある。
【0020】
ホップカウントは、伝送路に含まれる任意のデバイスによってイーサネットフレーム内でインクリメントされる。
【0021】
ポート認証は、IEEE802.1xポート認証である。
【0022】
実施形態によれば、ネットワーク通信システムにおいて、中間者(MiTM)攻撃からフロントホールリンクを保護するための方法であって、認証者のポートを通って、イーサネットフレームを介して、サプリカントからポート認証の認証要求を受信することと、認証者によって、イーサネットフレームから、サプリカントと認証者との間のイーサネットフレームの伝送路におけるホップ数に対応するホップカウントを取得することと、ホップカウントを所定の閾値と比較して、ポートを無効にすべきかどうかを判定することと、ホップカウントが所定の閾値よりも大きいことに基づいてポートを無効にすることと、を含む方法を実施するために少なくとも1つのプロセッサによって実行可能な命令を記録した非一時的コンピュータ可読記録媒体。
【0023】
所定の閾値は、認証者のポートに構成され、ポートはL2インタフェースである。
【0024】
ホップカウントは、イーサネットフレームのヘッダから取得される。
【0025】
イーサネットフレームのヘッダは、6バイトのプリアンブルと、ホップカウントが記録される1バイトのホップカウントフィールドとを含み、ホップカウントフィールドは、プリアンブルと開始フレーム識別子(SFD)フィールドとの間にある。
【0026】
ホップカウントは、伝送路に含まれる任意のデバイスによってイーサネットフレーム内でインクリメントされる。
【0027】
ポート認証は、IEEE802.1xポート認証である。
【0028】
したがって、本明細書の実施形態は、認証のシナリオ(例えば、802.1xポート認証)においてイーサネット層で中間者(MiTM)攻撃の不正なエンティティを検出することによって、MiTM攻撃からフロントホールリンクを保護するための機構を開示する。MiTMは、不正なエンティティが不正なエンティティ(例えば、不正なブリッジ)を使用して/使用せずにサプリカントと認証者との間で接続する場所である。
【0029】
一実施形態では、本方法は、不正なエンティティが定位置(例えば、不正なエンティティが認証プロセスを開始するために認証者と通信されると)に存在することを検出することと、検出すると、予防措置としてポートを無効にすることと、を含む。
【0030】
一実施形態では、本方法は、認証中(例えば、802.1xポート認証)にイーサネットレイヤ内のホップカウントを使用することによってMiTM攻撃を防止することを含む。
【0031】
さらなる態様は、以下の説明に部分的に記載され、部分的には、説明から明らかになるか、または本開示の提示された実施形態の実施によって実現され得る。
【図面の簡単な説明】
【0032】
本発明は添付の図面に示されており、図面を通して、同様の参照文字は様々な図の対応する部分を示す。本明細書の実施形態は、図面を参照して以下の説明からよりよく理解されるであろう。
【0033】
【図1】関連技術による、不正なスイッチ/ブリッジを使用するMiTM攻撃を示す。
【図2】関連技術による、不正なスイッチ/ブリッジを使用しないMiTM攻撃を示す。
【図3】従来技術によるイーサネットヘッダおよびフレームを示す。
【図4】本明細書に開示する実施形態による、MiTM攻撃を防止するためのホップカウントを有するイーサネットヘッダフォーマットを示す。
【図5】本明細書に開示される実施形態による、MiTM攻撃を防止するためにホップカウントを使用するイーサネットフレームフローを示す。
【図6】例示的な実施形態による、中間者(MiTM)攻撃からフロントホールリンクを保護するための例示的なプロセスのフローチャートである。
【発明を実施するための形態】
【0034】
例示的な実施形態の以下の詳細な説明は、添付の図面を参照する。異なる図面における同じ参照符号は、同じまたは類似の要素を識別し得る。
【0035】
前述の開示は、例示および説明を提供するが、網羅的であること、または実装形態を開示した正確な形態に限定することを意図するものではない。上記の開示に照らして変更および変形が可能であり、または実装形態の実施から取得され得る。さらに、一実施形態の1つ以上の特徴またはコンポーネントは、別の実施形態(または別の実施形態の1つ以上の特徴)に組み込まれてもよく、または別の実施形態(または別の実施形態の1つ以上の特徴)と組み合わせられてもよい。加えて、以下に提供される作業のフローチャートおよび説明では、1つ以上の作業が省略されてもよく、1つ以上の作業が追加されてもよく、1つ以上の作業が(少なくとも部分的に)同時に実行されてもよく、1つ以上の作業の順序が差し替えられてもよいことが理解される。
【0036】
本明細書に記載のシステムおよび/または方法は、ハードウェア、ファームウェア、またはハードウェアとソフトウェアの組合せの様々な形態で実装されてもよいことは明らかであろう。これらのシステムおよび/または方法を実装するために使用される実際の専用の制御ハードウェアまたはソフトウェアコードは、実装形態を限定するものではない。したがって、本明細書では特定のソフトウェアコードを参照せずにシステムおよび/または方法の作業および挙動を説明した。本書の説明に基づいてシステムおよび/または方法を実装するようにソフトウェアとハードウェアが設計され得ることは理解される。
【0037】
特徴の特定の組合せが特許請求の範囲に記載され、および/または本明細書で開示されるとしても、これらの組合せは、可能な実装形態の開示を限定することを意図していない。実際、これらの特徴の多くは、特許請求の範囲に具体的に記載されていない、および/または本明細書で開示されていない方法で組み合わされてもよい。以下に列挙されている各従属請求項は1つの請求項のみに直接従属し得るが、可能な実装形態の開示では、各従属請求項は、請求項一式における他のすべての請求項と組み合わせて含んでいる。
【0038】
本明細書で使用されている要素、動作、または命令は、明示的に説明されていない限り、重要または必須であると解釈されるべきではない。また、本明細書で使用されている冠詞「a」および「an」は、1つ以上の項目を含むことを意図しており、「1つ以上」と交換可能に使用され得る。1つの項目のみが意図される場合は、「1つ」という用語または同様の文言を使用する。また、本明細書で使用されている「有する(has)」、「有する(have)」、「有している(having)」、「含む(include)」、「含んでいる(including)」などの用語は、非限定的な用語であることを意図している。さらに、「に基づいて」という語句は、特に別段明記されていない限り、「に少なくとも部分的に基づいて」を意味することを意図している。さらに、「[A]および[B]のうちの少なくとも1つ」や「[A]または[B]のうちの少なくとも1つ」などの表現は、Aのみ、Bのみ、またはAとBの両方を含むと理解されるべきである。
【0039】
本明細書の実施形態ならびにその様々な特徴および有利な詳細は、添付の図面に示され、以下の説明に詳述される非限定的な実施形態を参照してより完全に説明される。本明細書の実施形態を不必要に不明瞭にしないために、周知の構成要素および処理技術の説明は省略する。また、本明細書に記載の様々な実施形態は、いくつかの実施形態を1つまたは複数の他の実施形態と組み合わせて新しい実施形態を形成することができるため、必ずしも相互に排他的ではない。本明細書で使用される「または」という用語は、特に明記しない限り、非排他的またはを指す。本明細書で使用される例は、本明細書の実施形態を実施することができる方法の理解を容易にすること、および当業者が本明細書の実施形態を実施することをさらに可能にすることのみを意図している。したがって、実施例は、本明細書の実施形態の範囲を限定するものと解釈されるべきではない。
【0040】
当分野では伝統的であるように、実施形態は、記載された1つまたは複数の機能を実行するブロックに関して説明および図示され得る。本明細書ではユニットまたはモジュールなどと呼ばれることがあるこれらのブロックは、論理ゲート、集積回路、マイクロプロセッサ、マイクロコントローラ、メモリ回路、パッシブ電子コンポーネント、アクティブ電子コンポーネント、光学コンポーネント、ハードワイヤード回路、などのアナログまたはデジタル回路によって物理的に実装されてもよく、任意でファームウェアによって駆動されてもよい。回路は、例えば、1つ以上の半導体チップ内で、またはプリント回路基板などの基板支持体上で具現化されてもよい。ブロックを構成する回路は、専用ハードウェアによって、またはプロセッサ(例えば、1つまたは複数のプログラムされたマイクロプロセッサおよび関連する回路)によって、またはブロックのいくつかの機能を実施するための専用ハードウェアとブロックの他の機能を実施するためのプロセッサとの組合せによって、実装されてもよい。実施形態の各ブロックは、本発明の範囲から逸脱することなく、2つ以上の相互作用する個別のブロックに物理的に分離されてもよい。同様に、実施形態のブロックは、本発明の範囲から逸脱することなく、より複雑なブロックに物理的に結合されてもよい。
【0041】
添付の図面は、様々な技術的特徴を容易に理解するのを助けるために使用され、本明細書に提示される実施形態は添付の図面によって限定されないことを理解されたい。したがって、本開示は、添付の図面に特に記載されているものに加えて、任意の変更、等価物、および代替物にも及ぶと解釈されるべきである。
【0042】
本開示の例示的な実施形態は、イーサネット層認証(例えば、802.1xポート認証)において不正なエンティティを使用して中間者(MiTM)攻撃からフロントホールリンクを保護するための方法およびシステムを提供する。MiTM攻撃は、不正なエンティティが、不正なデバイス(例えば、不正ブリッジ)を使用して/使用せずにサプリカントと認証者との間で接続するときに発生し得る。
【0043】
【0044】
図4は、いくつかの実施形態による、MiTM攻撃を防止するために使用されるホップカウントを有するイーサネットヘッダフォーマット(400)を示す。イーサネットヘッダフォーマット(400)は、図3に示すような従来の7バイトではなく6バイトのプリアンブルを含む。また、ヘッダフォーマットは、1バイトのホップカウントと、1バイトの開始フレーム識別子(SFD)と、6バイトの宛先アドレスと、6バイトの送信元アドレスと、2バイトの長さと、データの範囲(45~1500バイト)と、4バイトのフレームチェックシーケンス(Frame Check Sequence(CRC))とを含む。すなわち、6バイトのプリアンブルを利用するようにヘッダをフォーマットすることにより、1バイトのホップカウントの実装が可能になる。結果として、ホップカウントは、MiTM攻撃を防ぐ予防手段として有利に機能する。
【0045】
例えば、認証プロセス中、サプリカント(10)は、イーサネットフレーム(複数可)を介して認証者(30)へ認証要求を送信する。イーサネットフレーム(複数可)内のホップカウントは、イーサネットフレーム(複数可)が不正なエンティティ(20)または中間者デバイス(60)を使用してネットワーク(50)を介して送信される場合に、L2レイヤで追加のホップを検出するために使用される。不正なエンティティは、不正なスイッチ、不正なブリッジなどを含み得る。イーサネットフレーム(複数可)は64バイトであり、ホップカウントは0~255の値を有する1バイト長になる。ホップカウントは、1バイト、すなわち8ビットを消費する7バイトのプリアンブルから導入され、0~255の値の範囲に割り当てられ得る。すなわち、プリアンブルは6バイトに短縮され得、1バイトのホップカウントがプリアンブルの最後に付加される。ホップカウントは、図4に示されるように、プリアンブルの後かつSFDの前に提供され得る。
【0046】
いくつかの実施形態では、ホップカウントは、イーサネットフレーム(複数可)の開始から0の値で開始することができる。イーサネットフレーム(複数可)を消費し、パケットを転送/ブロードキャストする任意のスイッチ/ブリッジ/ハブは、ホップカウント値をインクリメントすることができる。イーサネットフレーム(複数可)を消費するか、またはイーサネットフレーム(複数可)を変更する認証者(30)、ルータ、ゲートウェイ、またはシステムなどの任意のエンドエンティティ/デバイスは、イーサネットフレーム(複数可)内のホップカウントを確認し、最小値と比較することができる。いくつかの実施形態によれば、最小値は、ネットワーク(50)のトポロジに基づいてネットワーク管理者、セキュリティ管理者などによって構成された所定の閾値を表すことができる。
【0047】
いくつかの実施形態では、フレーム内のホップカウント値が設定された最小所定閾値より大きい場合、認証者(30)はポートを無効にすることができる。より大きいホップカウント値は、MiTMエンティティが存在する可能性があること、またはいくつかの外部の不正なエンティティがデータの送信に関与し、最終的にホップカウントをインクリメントしたことを示す。したがって、認証者(30)は、MiTMと認証者(30)との間の任意の伝送路を防止および歪めるための予防措置としてポートを無効にする。
【0048】
加えて、IPパケットをルーティングするのに必要なホップ数をチェックするトレースルートの概念もここで使用することができる(例えば、追加のホップが導入された場合、一定の間隔でチェックするためのイーサネットホップカウント)。
【0049】
図5は、本明細書に記載のシステムおよび/または方法が実装され得る例示的な環境500の図である。図5に示すように、環境500は、サプリカント(10)と、MiTM(60)と、認証者(30)と、認証サーバ(40)と、ネットワーク(50)とを含み得る。環境500のデバイスは、有線接続、無線接続、または有線接続と無線接続との組合せによって相互接続し得る。いくつかの実施形態では、以下の図6を参照して説明される機能および動作のいずれも、図4~図5に示される要素の任意の組合せによって実施され得る。
【0050】
サプリカント(10)は、ネットワーク(50)へのアクセスを要求するシステムエンドユーザの任意の端末またはデバイスに対応し得る。サプリカント(10)は、例えば図4に示すようにイーサネットフレームを介して認証要求を提出し得る。このように、サプリカントは、イーサネットフレーム(例えば、イーサネットフレームのデータフィールド)または後続フレームを介して認証要求において認証情報(例えば、認証に使用される認証情報)を提供し得る。例えば、認証情報は、ユーザ名およびパスワードを含むことができる。さらに、認証者(30)は、サプリカント(10)と認証サーバ(40)との間の制御アクセスポイントに対応し、そのような制御アクセスポイントとして機能し得る。
【0051】
MiTM(60)デバイスは、サプリカント(10)および認証者(30)との間で任意の情報を収集、転送または送信しようと試みる任意の不正なエンティティに対応し得る。
【0052】
認証サーバ(40)は、ポート認証を実行するバックエンドサーバに対応することができる。認証サーバ(40)は、ネットワーク(50)に接続するために各サプリカント10によって使用される各認証情報に対応する情報データベースを含み得る。認証者(30)は認証のために認証者サーバ(40)にサプリカント(10)の認証情報を送信してよい。サプリカント(10)の認証情報が格納された情報と一致する場合、ポート認証は成功したとみなされ、ポートが開放される。しかしながら、サプリカント(10)の認証情報が一致しない場合、ポート認証は失敗し、ポートは無効化される。
【0053】
ネットワーク(50)は、1つ以上の有線および/または無線ネットワークを含んでもよい。例えば、ネットワーク(50)は、セルラネットワーク(例えば、第5世代(5G)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、第3世代(3G)ネットワーク、符号分割多元接続(CDMA)ネットワークなど)、クラウドネットワーク、公衆陸上移動ネットワーク(PLMN)、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、メトロポリタンエリアネットワーク(MAN)、電話ネットワーク(例えば、公衆交換電話網(PSTN))、プライベートネットワーク、アドホックネットワーク、イントラネット、インターネット、光ファイバベースのネットワークなど、および/またはこれらもしくは他のタイプのネットワークの組合せを含み得る。
【0054】
図5は、本明細書に開示される実施形態による、MiTM攻撃を防止するためにホップカウントを使用するイーサネットフレームフロー500を示す。
【0055】
規則的なフロー(501)の場合のイーサネットフレーム(複数可)のフローが太線で示されており、MiTMエンティティが存在する場合(502~503)、点線で示されている。認証者(30)は、ホップカウントに基づいて、サプリカント(10)と認証者(30)との間にMiTMが存在するか否かを判定する。例えば、サプリカント(10)と認証者(30)との間のホップカウントは、0または所定の閾値以下でなければならず、これは有効な認証要求を意味する。その場合、ホップカウントが0でないかまたは所定の閾値(503)より大きい場合、認証者(30)は、MiTMがサプリカント(10)と認証者(30)との間に存在することを検出し、様々な対抗措置を実施する。例えば、認証者(30)は、MiTM攻撃を防ぐための予防措置としてポートを無効にすることができる。いくつかの実施形態では、所定の閾値は、0より大きい数であってもよい。いくつかの実施形態によれば、サプリカント(10)と認証者(30)との間のホップカウントが所定の閾値未満であれば、認証要求は有効であり、ホップカウントが所定の閾値以上であれば、認証者(30)はMiTMの存在を検出する。
【0056】
図6は、潜在的なMiTM攻撃に応じるための例示的なプロセスのフローチャートである。図6に示すプロセスは、S610で開始することができ、認証者(30)は、認証者(30)のポートを通ってイーサネットフレームを介してサプリカント(10)から認証要求を受信する。プロセスはステップS620に進むことができ、認証者(30)は次いで、イーサネットフレームから、サプリカント(10)と認証者(30)との間の伝送路におけるホップ数に対応するホップカウントを取得する。イーサネットフレームが、サプリカント(10)と認証者(30)との間の伝送路内の任意のデバイスまたはエンティティを介してホップされた(例えば、受信および転送された)場合、イーサネットフレーム内のホップカウントがインクリメントされる。
【0057】
処理はステップS630に進み、認証者(30)は、ホップカウントを所定の閾値と比較して、ホップカウントが所定の閾値より大きいか否かを判定する。所定の閾値は、ホップの許容値を表す。閾値は、ネットワーク(50)のトポロジに基づいて、ネットワーク管理者、セキュリティ管理者などによって構成され得る。ホップカウントが所定の閾値より大きい場合(Yes)、S640に示すように、認証要求が無効と判定され、認証が失敗したため、ポートは無効にされる。ホップカウントが所定の閾値よりも大きいとみなされず(No)、ポート認証が成功した場合、ステップS650に示すように、ポートが開かれる。
【0058】
他の実施形態では、ホップカウントを導入する効果により、イーサネットフレーム(複数可)の変更の影響がすべてのL2エンティティで考慮される。ホップカウントの変化をチェックするために、一定の間隔で追加のフレームを導入するために、トレースルートを組み込むこともできる。
【0059】
他の実施形態では、所定の閾値の追加の構成は、最大送信ユニット(MTU)、媒体アクセス制御(MAC)アドレスなどの構成と同様のL2リンク内にあるように制限されてもよい。ホップカウントには、デフォルトの0/255が使用され得る。
【0060】
他の実施形態では、MiTM(60)は、サプリカント(10)からイーサネットフレーム(複数可)を観察し、ホップカウント値を変更またはリセットしてもよい。
【0061】
本明細書で開示される実施形態は、少なくとも1つのハードウェアデバイスを使用し、要素を制御するためのネットワーク管理機能を実施して実装することができる。
【0062】
特定の実施形態の前述の説明は、本明細書の実施形態の一般的な性質を十分に明らかにするので、他者は、現在の知識を適用することによって、上位概念から逸脱することなく、そのような特定の実施形態を様々な用途に容易に修正および/または適合させることができ、したがって、そのような適合および修正は、開示された実施形態の均等物の意味および範囲内で理解されるべきであり、理解されるように意図される。本明細書で使用される表現または用語は、説明のためのものであり、限定のためのものではないことを理解されたい。したがって、本明細書の実施形態を好ましい実施形態に関して説明してきたが、当業者であれば、本明細書の実施形態は、本明細書に記載の実施形態の範囲内で修正して実施することができることを認識するであろう。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【国際調査報告】