JP2004072633A - IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM - Google Patents
IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM Download PDFInfo
- Publication number
- JP2004072633A JP2004072633A JP2002232058A JP2002232058A JP2004072633A JP 2004072633 A JP2004072633 A JP 2004072633A JP 2002232058 A JP2002232058 A JP 2002232058A JP 2002232058 A JP2002232058 A JP 2002232058A JP 2004072633 A JP2004072633 A JP 2004072633A
- Authority
- JP
- Japan
- Prior art keywords
- address
- node
- ipv6
- router
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、IPv6ノードのネットワーク接続技術に関する。
【0002】
【従来の技術】
IPv6(Internet Protocol Version 6)に関し、IETF(The Internet Engineering Task Force)規格のRFC2461”Neighbor Discovery for IP Version 6 (IPv6)”およびRFC2463”IPv6 Stateless Address Autoconfiguration”に、ネットワークへの接続に際して、ノードがIP通信に必要な最低限のコンフィグレーションを自動で行う手順(自動コンフィギュレーション)が規定されている。
【0003】
図18は、IPv6の自動コンフィギュレーションの動作手順を説明するためのシーケンス図である。図示するように、自動コンフィギュレーションは、3つの段階ST1001〜ST1003で構成される。
【0004】
(1)ST1001:リンクローカルアドレスの仮決め
先ず、ノードは、インターフェースIDを、MAC(Media Access Control)アドレスをベースとして生成する。MACアドレスからインタフェースIDを生成する方法は、RFC2373”IP Version 6 Addressing Architecture”に規定されている。そして、このインターフェースIDにリンクローカルアドレス用の固定プレフィックスを付加し、これをリンク(サブネット)内でのみ使用可能なIPアドレスであるリンクローカルアドレスに仮決めする。
【0005】
(2)ST1002:リンクローカルアドレスの正式決定
次に、ノードは、仮決めしたリンクローカルアドレスが同一リンク内で既に使用されているか否かを、ICMP(Internet Control Message Protocol)メッセージによりリンク内にマルチキャストで問合せる(アドレス重複問合せ:Neighbor Solicit)。ここで、アドレス重複問合せのソースアドレスは0である(srcIPaddr=0)。そして、規定時間内に、リンク内の他ノードから応答(アドレス重複通知:Neighbor Advertise)がなかった場合は、仮決めしたリンクローカルアドレスを正式採用する。
【0006】
もし、リンク内の他のノードがそれに応答した場合は、この他のノードが同一のリンクローカルアドレスを既に使用中である。アドレス重複問合せをしたノードは、このリンクローカルアドレスを使用することはできない。つまり、自動コンフィグレーションは失敗となる。アドレス重複問合せをしたノードは、ユーザの介在等により適切なIPv6アドレスをノードに割当てなければ、IP通信を行なうことができない。
【0007】
(3)ST1003:グローバル(サイトローカル)アドレスの決定
次に、ノードは、ルータがICMP(Internet Control Message Protocol)メッセージによりリンク内で定期的にマルチキャストで広告しているルータ広告(Router Advertise)を受信する。そして、ルータ広告からグローバル(サイトローカル)アドレス用プレフィックスを取得し、これを正式採用したリンクローカルアドレスに付加することで、ノードがルータを超えたIP通信に必要なグローバル(サイトローカル)アドレスを決定する。
【0008】
グローバル(サイトローカル)アドレス用プレフィックスは、グローバル(サイトローカル)内でユニークであることが保証されている。これにより、ノードは、ルータを経由したグローバル(サイトローカル)でのIP通信が可能になる。なお、ルータ広告を受信することで、ノードは、ルータのMACアドレス、IPv6アドレスを学習する。
【0009】
以上のように、ノードがIP通信を行う上で必要な最低限のコンフィグレーションを、ユーザの介在なしに自動で行えるのがIPv6の利点のひとつである。
【0010】
ところで、現在主流のIPv4(Internet Protocol Version 4)で実現されているアクセスサービスの1つに、公衆無線LANアクセスサービスがある。
【0011】
公衆無線LANアクセスサービスは、喫茶店や駅に、ブリッジとして動作する無線LANの基地局であるAP(Access Point)を設置し、これをISP(Internet Service Provider)に接続することで、無線LANとのインターフェースを備えたホストのインターネットアクセスを実現するものである。
【0012】
公衆無線LANアクセスサービスにおいて、ホストを収容する方法としては、PPP(Point−to−Point Protocol)をホスト−ISP間で確立する方法と、LAN(Local Area Network、IEEE802.3シリーズのネットワーク)によりPPPを使用しないでホストを収容する方法とがある。
【0013】
後者は、前者に比べ、IP通信開始時のオーバヘッドが小さいことや、通常のLAN接続と同様の設定で手軽にネットワークアクセスできることなどの利点がある。後者においてホストの認証には、IEEE802.1委員会が規定した802.1X規格が使用される。IEEE802.1X規格は、ブリッジが、それにアクセスしてきたノードを認証した上で、そのノードのMACフレーム(IEEE802.3シリーズのフレーム)の送受信を許可するプロトコルである。公衆無線LANアクセスサービスでは、APがノードに対してユーザ名とパスワードを要求して入手し、これらをRADIUS(Remote Authentication Dial−In User Service)サーバへ送信して認証を依頼する。そして、RADIUSサーバでの認証結果に基づいて、APがノードのネットワークアクセスを制御する。
【0014】
【発明が解決しようとする課題】
さて、IPv6において、LANによりPPPを使用しないでホストを収容する方法を用いて公衆無線LANアクセスサービスを実現しようとした場合、IPv6の特徴である自動コンフィグレーションを活かしつつ、如何にしてノードを収容するリンク(サブネット)の可用性を高めるかが問題となる。
【0015】
例えば、図18のST1002において、あるノードが行なったアドレス重複問合せに対し、リンク内の他のノードがそれに応答しアドレス重複通知を行なうことで、前記あるノードがこのアドレスを使用するのを禁止することができる。このため、悪意を持ったノードの存在により自動コンフィギュレーションが成功しなくなる可能性がある。
【0016】
また、図18のST1003において、ルータ以外のあるノードがルータ広告を行なうことにより、このノード以外のノードは、ルータ広告を行なったノードをルータと認識して、ネットワークアクセスを試みてしまう。このため、悪意を持ったノードの存在によりネットワークアクセスできなくなる可能性がある。
【0017】
これらの問題は、IPv6において、LANによりPPPを使用しないでホストを収容する方法を用いて、加入者宅からのインターネットアクセスサービスを実現しようとした場合にも、同様に生じる。
【0018】
本発明は、上記事情に鑑みてなされたものであり、本発明の目的は、IPv6において、LANによりPPPを使用しないでホストを収容する場合に生じる問題を解決することにある。例えば、IPv6の特徴である自動コンフィギュレーションを有効活用できるようにすることにある。また、ネットワークアクセスできなくなる可能性を低減することにある。
【0019】
【課題を解決するための手段】
上記課題を解決するために、本発明では、各ノードへのアドレス割当てにルータを介在させ、ルータに、ノード間のアドレス重複が生じないように、各ノードにアドレスを割当てることにより、IPv6においてLANによりPPPを使用しないでノードを収容する。
【0020】
例えば、ノードの各々に異なるグローバル(サイトローカル)アドレス用プレフィックスを付与することにより、各リンクローカル内に1つのノードが属するようにする。具体的には、ノード毎に固有のプレフィックスが設定されたルータ広告用ICMPメッセージを生成し、このICMPメッセージを、宛先IPアドレスにマルチキャストIPアドレスが設定されたIPv6パケットに格納する。さらに、このIPv6パケットを、宛先MACアドレスに前記固有のプレフィックスを設定すべきIPv6ノードのMACアドレスが設定されたMACフレームに格納して、LAN上に送出する。なお、ノードのMACアドレスは、当該ノードの認証(IEEE802.1X規格による認証)を通じて入手すればよい。
【0021】
このようにすることで、本来はIPアドレスおよびMACアドレスの双方が共にマルチキャストであるルータ広告を、特定のノードに対して、そのノードのIPアドレスが不明でも送達できる。これにより、そのノードに、当該ノード専用のプレフィックスを割当てることができる。そして、各ノードに専用のプレフィックスを割当てれば、ノード間でのインタフェースIDの重複は発生しない。したがって、各ノードのIPv6アドレスのユニーク性を保証でき、IPv6の特徴である自動コンフィグレーションを有効活用できる。
【0022】
また、上記課題を解決するために、本発明では、ノード間のアドレス重複通知を禁止する。例えば、ノード固有の暗号鍵を用いて、ルータとノードとの間の通信、あるいは、ルータおよびノード間を接続するブリッジとノードとの間の通信を行なうようにする。これにより、ノードがルータ以外の他ノードと直接通信できないようにする。さらに、本発明では、認証(IEEE802.1X規格による認証)に成功した各ノードのIPアドレスおよびMACアドレスを管理する。そして、あるノードからアドレス重複問合せを受信した場合に、前記問合せの対象IPアドレスが他のIPv6ノードで使用中であるか否かを判定する。使用中である場合に、前記問合せをしたノードに対してアドレス重複通知を行なう。なお、使用中のIPアドレスに対するアドレス重複問合せがあった場合は、ルータがネットワーク管理装置に通知することで、どのユーザ間でアドレス重複が発生したかを管理するようにしてもよい。
【0023】
このようにすることで、各ノードのIPv6アドレスのユニーク性を保証でき、IPv6の特徴である自動コンフィグレーションを有効活用できる。また、悪意を持ったノードの存在によりネットワークアクセスできなくなる可能性を低減できる。
【0024】
【発明の実施の形態】
以下、本発明の実施の形態について説明する。
【0025】
先ず、本発明の第1実施形態について説明する。
【0026】
図1は、本発明の第1実施形態が適用される公衆無線LANアクセスサービスシステムの概略図を示している。
【0027】
図示するように、喫茶店や駅といったスポット10毎に、ブリッジとして動作する無線LANの基地局であるAP12が設置される。無線LANカードなどの無線通信機能を有するIPv6対応のノード14は、自身が位置するスポット10に設置されているAP12と無線通信を行なう。この無線通信に用いられる通信規格としては、IEEE802.11bやIEEE802.11aなどがある。
【0028】
AP12は、自身が設置されているスポット10に位置するノード14を、IPv6ネットワーク40へのアクセスサービスを提供するISP20に接続する。本実施形態では、LANによりPPPを使用しないでノード14をISP20に収容するようにしている。したがって、ISP20およびノード14間は、MACフレームにより通信が行なわれる。
【0029】
なお、本実施形態では、AP12をISP20に接続するためのアクセス回線として、ADSL(Asymmetric Digital Subscriber Line)回線を想定している。このため、AP12は、10Base−TなどのLANケーブルでADSLモデム16と接続し、ADSLモデム16は、電話線(メタル線)を介して、DSLAM(Digital Subscriber Line Access Multiplexer)30と接続する。そして、DSLAM30は、100Base−TXなどのLANケーブルでISP20内のルータ22と接続する。但し、AP12をISP20に接続するためのアクセス回線は、ADSL回線に限られるものではなく、光ファイバなどを利用してもよい。
【0030】
ISP20は、LANによりPPPを使用しないでノード14を収容するルータ22と、IEEE802.1X規格に従いノード14のユーザを認証を行なうRADIUSサーバ24と、ルータ22をIPv6ネットワーク40に接続するGW(ゲートウエイ)26と、ルータ22の保守情報を管理する管理装置28とが、LAN接続されて構成される。
【0031】
以上のような構成において、ノード14のユーザは、ISP20の運営事業者と契約を行う。そして、ISP20の運営事業者は、契約したユーザのユーザ名およびパスワードをRADIUSサーバ24に登録する。
【0032】
さて、ノード14のユーザがあるスポット10を訪れ、自身のノード14を用いてIPv6ネットワーク40へのネットワーク接続を開始すると、IEEE802.1X規格に従った認証が開始される。先ず、AP12は、ネットワーク接続を開始したノード14に、ユーザ名およびパスワードを要求し入手する。そして、入手したユーザ名およびパスワードをRADIUSサーバ24に転送し、認証を依頼する。次に、AP12は、RADIUSサーバ24から認証結果を受け取ると、それが認証成功であるならば、このノード14およびルータ22間の通信を中継する。これにより、ノード14は、AP12、ルータ22およびGW26を介してIPv6ネットワーク40へのアクセスが可能となる。
【0033】
なお、ここでは、無線通信によりノード14およびAP12間の通信を行なうものとして説明しているが、当然のことながら、ノード14およびAP12間をLANケーブルで接続して通信を行なうようにしてもよい。
【0034】
図2は、AP12の概略構成図である。
【0035】
図示するように、AP12は、ノード14と無線通信を行なうための無線IF(インターフェース)部121と、ADSLモデム16よりのLANケーブルを接続するためのLANコネクタ122と、無線IF部121およびLANコネクタ122のそれぞれに対して設けられた、対応する無線IF部121あるいはLANコネクタ122と送受する信号の物理レイヤの処理を行うPHY(physicallayer)処理部123と、PHY処理部122毎に設けられた、ノード14およびルータ22間のMACフレームの送受を制御するための処理を行なうMACFWD部124と、IEEE802.1Xメッセージを制御するPROC部125と、を有する。各MACFWD部124およびPROC部125は、バス126によりバス接続されている。
【0036】
MACFWD部124は、MACアドレス毎に、このMACアドレスが付与された装置およびこの装置へMACフレームを中継するMACFWD部124の情報を登録するMACアドレステーブル127を有している。
【0037】
図3に、MACアドレステーブル127の登録内容例を示す。図示するように、MACアドレステーブル127は、MACアドレスを登録するためのフィールド1271と、このMACアドレスが付与された装置との接続ポートを示すポート番号を登録するためのフィールド1272と、この接続ポートに接続された装置の属性を示すポート属性を登録するためのフィールド1273と、このMACアドレスが付与された装置との通信に利用する暗号鍵を登録するためのフィールド1274と、このMACアドレスが付与された装置との通信に対するIEEE802.1X規格による認証の要否および必要な場合はその状態を示す認証状態を登録するためのフィールド1275とを備えて1つのレコードが形成される。
【0038】
例えば、ルータ22に付与されたMACアドレスがフィールド1271に登録されているレコードは、フィールド1272にルータ22との接続ポート番号が登録され、フィールド1273にポート属性「ルータ」が登録され、そして、フィールド1275に、IEEE802.1X規格による認証が不要であることを示す認証状態「認証不要」が登録される。なお、ルータ22との通信に暗号化が不要であれば、フィールド1274に暗号鍵は登録されない。
【0039】
また、ノード14に付与されたMACアドレスがフィールド1271に登録されているレコードは、フィールド1272にこのノード14との接続ポート番号が登録され、フィールド1273にポート属性「ノード」が登録され、そして、フィールド1275に、IEEE802.1X規格による認証を実行中であれば認証状態「認証中」が、また、認証が実行済みであれば認証状態「認証済」が登録される。そして、フィールド1275が「認証中」から「認証済」に変わると、フィールド1274に登録されている暗号鍵を用いて、このノード14との通信が行なわれる。
【0040】
さて、MACFWD部124は、対応するPHY処理部123からMACフレームを受け取ると、このMACフレームの送信元MACアドレスがフィールド1271に登録されているレコードをMACアドレステーブル127から検索する。そして、検出したレコード(注目レコードと呼ぶ)のフィールド1273に登録されているポート属性が「ノード」ならば、次の処理を行なう。
【0041】
すなわち、注目レコードのフィールド1275に登録されている認証状態が「認証済」であるか否かを調べる。「認証済」の場合、フィールド1274に暗号鍵が登録されているならば、この暗号鍵を用いてMACフレームの格納データを復号化する。それから、フィールド1273にポート属性「ルータ」が登録されているレコードを特定し、このレコードのフィールド1272に登録されているポート番号に対応するMACFWD部124、つまり、PHY処理部123を介してLANコネクタ122に接続されているMACFWD部124へ、このMACフレームを送信する。注目レコードのフィールド1274に暗号鍵が登録されていないならば、復号処理を行なうことなく、このMACフレームを、PHY処理部123を介してLANコネクタ122に接続されているMACFWD部124へ送信する。一方、注目レコードのフィールド1275に登録されている認証状態が「認証中」である場合、このMACフレームの宛先MACアドレスを調べ、それがAP12のMACアドレスもしくはポートアクセスエンティティである場合のみ、このMACフレームをPROC部125に転送する。それ以外は、このMACフレームを廃棄する。
【0042】
また、MACFWD部124は、注目レコードのフィールド1273に登録されているポート属性が「ルータ」ならば、次の処理を行なう。
【0043】
すなわち、このMACフレームの宛先MACアドレスを調べ、それがフィールド1271に登録されているレコードを特定する。そして、特定したレコードのフィールド1272に登録されているポート番号に対応するMACFWD部124、つまり、PHY処理部123を介して無線IF部121に接続されているMACFWD部124へ、このMACフレームを送信する。
【0044】
なお、注目レコードを検出できなかった場合、すなわち、MACフレームの送信元MACアドレスがフィールド1271に登録されているレコードが、MACアドレステーブル127に存在しない場合は、新たなレコードを追加し、このレコードのフィールド1271に送信元MACアドレスを、フィールド1272に受信ポート番号を、フィールド1273にポート属性「ノード」を、そして、フィールド1275に認証状態「認証中」を登録する。
【0045】
また、MACFWD部124は、バス126を介して他のMACFWD部124からMACフレームを受け取ると、このMACフレームの送信先MACアドレスがフィールド1271に登録されているレコードをMACアドレステーブル127から検索する。そして、検出したレコードのフィールド1274に暗号鍵が登録されているならば、この暗号鍵を用いてMACフレームの格納データを暗号化してから、対応するPHY処理部123へ送信する。暗号鍵が登録されていないならば、暗号化処理を行なうことなく、このMACフレームを対応するPHY処理部123へ送信する。
【0046】
PROC部125は、IEEE802.1Xメッセージを制御して、ノード14の認証を、ISP20に依頼する。そして、その状態(認証中か認証済か)に従ってMACFWD部124のMACアドレステーブル127を更新する。具体的には、認証対象のノード14のMACアドレスがフィールド1271に登録されているレコードをMACアドレステーブル127から特定し、このレコードのフィールド1275に認証状態を登録・更新する。
【0047】
また、PROC部125は、IEEE802.1Xメッセージを送信する場合は、これを格納したMACフレームを作成し、その宛先MACアドレスに対応するMACFWD部124に送信する。
【0048】
図4は、ルータ22の概略構成図である。
【0049】
図示するように、ルータ22は、DSLAM30よりのLANケーブルを接続するためのLANコネクタ221と、RADIUSサーバ24やGW26や管理装置28と接続するLANケーブルを接続するためのLANコネクタ222と、LANコネクタ221、222のそれぞれに対して設けられた、対応するLANコネクタ221、222と送受する信号の物理レイヤの処理を行うPHY処理部223と、PHY処理部223毎に設けられたIPv6の処理を行なうIPv6処理部224と、IEEE802.1Xメッセージを制御するPROC部225と、を有する。各IPv6処理部224およびPROC部225は、バス226によりバス接続されている。
【0050】
IPv6処理部224は、IPv6のルーティングを行なうためのルーティングテーブル227を有している。ルーティングテーブルには、プレフィックス毎に、そのプレフィックスにより特定されるネットワークに向かうための次ホップのIPアドレスと、次ホップのIPアドレスに対応するMACアドレスと、次ホップへの中継を行なうIPv6処理部224の識別情報とが、互いに対応付けられて登録されている。
【0051】
さて、IPv6処理部224は、対応するPHY処理部223からMACフレームを受信すると、このMACフレームからIPパケットを取り出す。そして、ルーティングテーブルを用いて、このIPパケットの最長適合プレフィックスに対応付けれれている次ホップのIPアドレスおよびMACアドレスと、IPv6処理部224の識別情報とを特定する。それから、このIPパケットを格納した、次ホップのMACアドレスを宛先とするMACフレームを生成し、特定した識別情報を持つIPv6処理部224へ送出する。また、IPv6処理部224は、バス226を介して、他のIPv6処理部224からMACフレームを受け取ると、これを対応するPHY処理部223へ送信する。
【0052】
なお、IPv6処理部224は、対応するPHY処理部223より受け取ったMACフレームに格納されているIPパケットが、RADIUSメッセージやICMPメッセージ等のルータ22宛のIPパケットである場合、これをPROC225に送信する。
【0053】
PROC部225は、IEEE802.1Xメッセージを制御して、ノード14の認証を、RADIUSサーバ24に依頼する。また、PROC部225は、ユーザ管理テーブル228を有しており、これを用いて、ノード14のユーザ毎にプレフィックスを管理する。
【0054】
図5に、ユーザ管理テーブル228の登録内容例を示す。図示するように、ユーザ管理テーブル228は、ノード14のIEEE802.1X規格による認証の状態を登録するフィールド2281と、ノード14のMACアドレスを登録するためのフィールド2282と、ノード14に割り当てたプレフィックスを登録するためのフィールド2283と、このノード14がルータ22と暗号通信を行なう場合に使用する暗号鍵を登録するためのフィールド2284と、このノード14のユーザ名を登録するフィールド2285と、を備えて1つのレコードが形成される。ここで、フィールド2281の認証状態が「認証中」である場合、そのレコードのフィールド2282に登録されているMACアドレスを送信元あるいは宛先とするMACフレームを送受信してはならないことを示している。
【0055】
管理装置28は、上述したように、ルータ22の保守情報を管理する。
【0056】
図6は、管理装置28の概略図である。
【0057】
図示するように、管理装置28は、ルータ22などと通信を行なうためのネットワークIF部281と、管理者より各種指示を受け付けたり、管理者に情報を表示したりするGUI部282と、ルータ22の保守情報を管理する保守管理部283と、を有する。保守管理部283は、GUI部282を制御して、ルータ22より受け取ったIPアドレスの重複報告メッセージを表示したり、ネットワークIF部281を介してルータ22にアクセスし、管理者より指示された情報を入手して表示したりする。
【0058】
管理装置28は、例えば図7に示すような、CPU801と、メモリ802と、HDD等の外部記憶装置803と、CD−ROMやDVD−ROM等の可搬性を有する記憶媒体804から情報を読み出す読取装置805と、キーボードやマウスなどの入力装置806と、CRTやLCDなどの表示装置807と、ルータ22などと通信を行なうための通信装置808と、を備えた一般的なコンピュータシステムにおいて、CPU801がメモリ802上にロードされた所定のプログラムを実行することにより実現することができる。この所定のプログラムは、読取装置805を介して記憶媒体804から、あるいは、通信装置808を介してインターネットなどの通信媒体から、メモリ802に直接ロードしてもよいし、あるいは、一旦、外部記憶装置809にダウンロードしてから、メモリ802にロードしてもよい。
【0059】
なお、ノード14、ADSLモデム16、DSLAM30、RADIUSサーバ24およびGW26は、IPv6対応の既存の装置を利用することができるので、その詳細な説明は省略している。
【0060】
図8は、図1に示す本実施形態の公衆無線LANアクセスサービスシステムを、ノード14を収容するリンク(サブネット)に注目し単純化して示したものである。
【0061】
上述したように、ルータ22、RADIUSサーバ24および管理装置28間は、LAN接続されている。このため、実際には、図示していないL2SW(Layer 2 switch)が、ルータ103、RADIUSサーバ24および管理装置28間の接続に用いられている。
【0062】
図示するように、本実施形態では、各ノード14は、それぞれ異なるリンクに収容される。すなわち、ルータ22は、個々のノード14に対して、異なるネットワークプレフィックスをルータ広告する。これにより、ノード14間でIPv6アドレスが重複するのを防止する。なお、個々のノード14にルータ広告されるネットワークプレフィックスのユニーク性は、ルータ22が保証する。
【0063】
さらに、本実施形態では、あるノード14が送信したアドレス重複通知パケットが、他のノード14に届かないようにしている。
【0064】
具体的には、ノード14およびAP12間の通信をノード14毎に異なる暗号鍵で暗号化することにより、ノード14が、ルータ22が送信するパケット以外のパケットを認識(復号)できないようにする方法(方法Aとする)、および、ノード14およびルータ22間の通信をノード14毎に異なる暗号鍵で暗号化もしくは認証情報を付加することにより、ノード14が、ルータ22が送信するパケット以外のパケットを認識(復号)できないようにする、もしくは不正パケットとして無視するようにする方法(方法Bとする)のいずれかを採用している。
【0065】
いずれの方法でも、ノード14およびRADIUSサーバ24は、予めユーザ名に対応した認証鍵と暗号鍵との組を格納しており、認証鍵はIEEE802.1Xの認証で用いられ、暗号鍵は認証成功後の暗号通信に用いられる。
【0066】
先ず、方法Aについて、図9を用いて説明する。
【0067】
図9は、ノード14毎に異なる暗号鍵で暗号化してノード14およびAP12間の通信を行なう場合、つまり方法Aが適用される場合における本実施形態の動作手順を説明するためのシーケンス図である。ノード14、AP12およびルータ22のMACアドレスは、それぞれm1、l0およびk0としている。
【0068】
ノード14は、電源が投入されると、ネットワーク接続を開始する。先ず、インターフェースIDを、MACアドレスをベースとして自動生成する(ST2001)。上述したように、MACアドレスからインタフェースIDを生成する方法は、RFC2373”IP Version 6 Addressing Architecture”に規定されている。図10に、MACアドレスと、MACアドレスをベースとして自動生成されるインタフェースIDとの関係を示す。
【0069】
図示するように、インターフェースID902は、MACアドレス901内の企業ID(図中cで示したビット列)と拡張ID(図中mで示したビット列)の間に、16ビットのビット列「1111111111111110」を挿入し、ユニバーサル/ローカルビット(図中、ビット値が「0」となっているビット)を反転させることで生成する。なお、図中「g」で示したビットは、個別/グループビットと呼ばれるビットである。リンクローカルアドレス903は、インタフェースID902の上位に、リンクローカルアドレス用の固定プレフィックス「FE80::」を付加したものである。
【0070】
また、図10において、要請ノードマルチキャストIPアドレス904は、インタフェースID902の下位3バイトに、「FF02:0:0:0:0:1:FF00::/104」を付加したものである。それに対応する要請ノードマルチキャストMACアドレス905は、要請ノードマルチキャストIPアドレス904の下位4バイトに、「0x3333」を付加したものである。
【0071】
また、図10において、全ノードマルチキャストIPアドレス906は、「FF02::1」であり、それに対応する全ノードマルチキャストMACアドレス907は、全ノードマルチキャストIPアドレス907の下位4バイトに、「0x3333」を付加したものである。全ノードマルチキャストIPアドレス906が宛先IPアドレスであるIPv6パケットのMACフレームは、通常、全ノードマルチキャストMACアドレス907を宛先MACアドレスに設定する。
【0072】
ノード14は、RFC2284で規定されている、RADIUSサーバ24がノード14の認証を行うためのプロトコルであるEAP(PPP Extensible Authentication Protocol)に従い、AP12とEAPメッセージ(EAPOL−Start、EAP−Req/Identity、EAP−Rsp/Identity、EAP−Req/MD5 Challenge、EAP−Rsp/MD5 resp)の送受信を行なう。ここで、EAPメッセージは、IEEE802.1X規格で規定されているEAPOL(EAP over LAN)パケットにより送受信される。
【0073】
一方、AP12は、EAPOLパケットによりノード14と送受信するEAPメッセージを、RADIUSパケット(RADIUS ACCESS−Req、−Challenge、−Acpt)によりRADIUSサーバ24と送受信する。AP12は、このためのIPアドレスを有している。なお、RADIUSプロトコルは、RFC2865〜2869に規定されている。
【0074】
さて、ノード14は、IEEE802.1X規格の認証開始を要求するEAPOL−Startメッセージを、ポートアクセスエンティティを意味するMACアドレス宛に送信する(ST2002)。これにより、EAPOL−Startメッセージがノード14からAP12へ送信される。
【0075】
AP12において、PROC部125は、無線IF部121側のPHY処理部123およびMACFWD部124を介して、ノード14よりEAPOL−Startメッセージを受け取ると、MACアドレステーブル127にレコードを追加し、このレコードのフィールド1271に、EAPOL−Startメッセージを送信したノード14のMACアドレスを、フィールド1272に、このノード14との接続ポートのポート番号を、そして、フィールド1275に、認証状態「認証中」を登録する(ST2003)。
【0076】
また、PROC部125は、ユーザ名を要求するEAP−Req/Identityメッセージを作成し、これを無線IF部121側のMACFWD部124およびPHY処理部123を介して、無線IF部121からEAPOL−Startメッセージを送信したノード14へ送信する(ST2004)。
【0077】
ノード14は、EAP−Req/Identityメッセージを受信すると、予め登録された、あるいは、ユーザより入力されたユーザ名を含んだEAP−Rsp/Identityメッセージを生成し、AP12に送信する(ST2005)。
【0078】
AP12において、PROC部125は、無線IF部121側のPHY処理部123およびMACFWD部124を介して、ノード14よりEAP−Rsp/Identityメッセージを受け取ると、RADIUS Access−Reqメッセージを作成し、このメッセージのCalling−Station−Idアトリビュートにノード14のMACアドレスを格納すると共に、EAP−MessageアトリビュートにこのEAP−Rsp/Identityメッセージを格納する。そして、RADIUS Access−Reqメッセージを、LANコネクタ122側のMACFWD部124およびPHY処理部123を介して、LANコネクタ122からルータ22へ送信する(ST2006)。
【0079】
ルータ22において、PROC部225は、LANコネクタ221側のPHY処理部223およびIPv6処理部224を介して、AP12よりRADIUSAccess−Reqメッセージを受け取ると、ユーザ管理テーブル228にレコードを追加し、このレコードのフィールド2281に、認証状態「認証中」を、フィールド2282に、EAP−Rsp/Identityメッセージを送信したノード14のMACアドレスを、そして、フィールド2285に、ノード14のユーザのユーザ名を登録する(ST2007)。
【0080】
また、PROC部225は、AP12より受け取ったRADIUS Access−Reqメッセージを、LANコネクタ222側のIPv6処理部224およびPHY処理部223を介して、LANコネクタ222からRADIUSサーバ24へ送信する(ST2008)。これにより、ノード14のユーザ名とMACアドレスとを、RADIUSサーバ24に通知する。
【0081】
RADIUSサーバ24は、RADIUS Access−Reqメッセージを受け取ると、RADIUS Access−Challengeメッセージを生成すると共に、認証乱数を生成し、これをRADIUS Access−ChallengeメッセージのEAP−Messageアトリビュート内のEAPメッセージに設定する。それから、このRADIUS Access−Challengeメッセージを、ルータ22を介して、AP12に送信する(ST2009)。
【0082】
AP12において、PROC部125は、LANコネクタ122側のPHY処理部123およびMACFWD部124を介して、RADIUSサーバ24よりRADIUS Access−Challengeメッセージを受け取ると、このメッセージに含まれている認証乱数を含んだ、EAP−Req/MD5 Challengeメッセージを作成する。そして、このメッセージを、無線IF部121側のMACFWD部124およびPHY処理部123を介して、無線IF部121からノード14へ送信する(ST2010)。
【0083】
ノード14は、AP12よりEAP−Req/MD5 Challengeメッセージを受信すると、このメッセージに含まれている認証乱数と、予め保持している認証鍵とを用いて認証演算を行う。そして、その結果を、EAP−Rsp/MD5 respメッセージに含めてAP12に送信する(ST2011)。
【0084】
AP12において、PROC部125は、無線IF部121側のPHY処理部123およびMACFWD部124を介して、ノード14よりEAP−Rsp/MD5 respメッセージを受信すると、RADIUS Access−Reqメッセージを生成し、このメッセージのEAP−Messageアトリビュートに、受信したEAP−Rsp/MD5 respメッセージを設定する。そして、RADIUS Access−Reqメッセージを、LANコネクタ122側のMACFWD部124およびPHY処理部123を介して、LANコネクタ122から、ルータ22経由で、RADIUSサーバ24に送信する(ST2012)。
【0085】
RADIUSサーバ24は、RADIUS Access−Reqメッセージを受信すると、これに設定されているEAP−Rsp/MD5 respメッセージに含まれている認証結果を用いて、ノード14のユーザの認証を行う。具体的には、このノード14のユーザ名に対応付けて予め登録されている認証鍵を用いて、ST2009で生成した認証乱数に対し認証演算を行う。その結果がノード14から受信したものと一致するか判定する(ST2013)。
【0086】
一致した場合は認証成功となる。この場合、RADIUSサーバ24は、RADIUS Access−Acptメッセージを生成し、これに、ノード14に割り当てるプレフィックスと、AP12が無線区間の暗号通信に利用する暗号鍵とを含めて、ルータ33に通知する(ST2014)。ここで、プレフィックスは、ノード14毎に異なる値とされ、RADIUS Access−AcptメッセージのFramed−IPv6−Prefixアトリビュートに設定される。また、暗号鍵は、RADIUS Access−Acptメッセージの例えばCallback−Idアトリビュートに設定される。
【0087】
さて、ルータ22において、PROC部225は、LANコネクタ222側のPHY処理部223およびIPV6処理部224を介して、RADIUSサーバ24よりRADIUS Access−Acptメッセージを受信すると、このメッセージに含まれているプレフィックスを、ST2007でユーザ管理テーブル228に追加したレコードのフィールド2283に登録する。また、フィールド2281に登録されている認証状態を「認証中」から「認証済」に変更する(ST2015)。これにより、PROC部225は、このノード14のMACアドレスを送信元あるいは宛先とするMACフレームを送受信できるように、各部を制御する。
【0088】
また、PROC部225は、RADIUSサーバ24より受信したRADIUS Access−Acptメッセージを、LANコネクタ221側のIPV6処理部224およびPHY処理部223を介して、LANコネクタ221から、AP12に送信する(ST2016)。
【0089】
AP12において、PROC部125は、LANコネクタ122側のPHY処理部223およびIPV6処理部224を介して、ルータ22よりRADIUSAccess−Acptメッセージを受信すると、このメッセージに含まれている暗号鍵を、ST2003でMACアドレステーブル127に追加したレコードのフィールド1274に登録する。また、フィールド1275に登録されている認証状態を「認証中」から「認証済」に変更する(ST2017)。これにより、PROC部125は、このノード14とルータ22との間で送受されるMACフレームがブリッジされるように、各部を制御する。
【0090】
また、PROC部125は、登録した暗号鍵を含んだEAP−Success−メッセージを生成し、無線IF部121側のMACFWD部124およびPHY処理部123を介して、無線IF部121からノード14に送信し、ノード14に、認証が成功したことを通知する(ST2018)。
【0091】
ノード14は、AP12よりEAP−Success−メッセージを受け取ると、これに含まれている暗号鍵を登録する(ST2019)。
【0092】
以上により、IEEE802.1規格に従った認証が終了する。以降、ノード14およびAP12は、この暗号鍵を用いてMACフレームの暗号通信を行なう。
【0093】
さて、ルータ22において、PROC部225は、RADIUSサーバ24より受信したRADIUS Access−Acptメッセージに含まれていたプレフィックスを、このプレフィックスが割り当てられるノード14に通知するため、ルータ広告であるRouter Advertiseメッセージを生成し、これを、LANコネクタ221側のIPV6処理部224およびPHY処理部223を介して、LANコネクタ221から、AP12経由でノード14に送信する(ST2020)。
【0094】
ここで、図11に、本実施形態で用いるIPv6パケットを格納したMACフレームのフォーマット構成例を示す。
【0095】
図示するように、本実施形態で用いるMACフレーム920は、宛先MACアドレス921と、送信元MACアドレス922と、格納データのタイプ923と、格納データ924と、CRC(Cyclic Redundancy Checking)925と、を含んでいる。タイプ923が「0x86DD」の場合、格納データ924がIPv6パケットであることを示している。
【0096】
IPv6パケット930は、IPヘッダと、IPペイロード934とを含んでいる。IPヘッダには、送信元IPアドレス931および宛先IPアドレス932が含まれる。さらに、IPヘッダには、拡張ヘッダとしてIPパケットの認証情報を設定するための認証ヘッダやIPペイロード7934を暗号化する場合に必要な暗号ペイロードヘッダ933を含めることができる。IPペイロード934には、ICMPパケットを設定することができる。
【0097】
Router Advertiseメッセージ940は、ICMPタイプ941が「134」のICMPパケットである。送信元リンクレイヤオプション942に送信元ルータのMACアドレスが登録され、プレフィックス情報オプション943にリンク(サブネット)のプレフィックスが登録される。
【0098】
図9のST2020において、ルータ22がRouter Advertiseメッセージを送信する場合、この時点ではノード14のIPアドレスが未だ確定していないため、IPヘッダの宛先IPアドレス932には全ノードマルチキャストIPアドレスを設定する必要がある。しかし、本実施形態では、各ノード14をそれぞれ異なるリンクに収容するようにしている。このため、Router Advertiseメッセージで送信するプレフィックスは、このプレフィックスが割り当てられるノード14以外に受信されないようにする必要がある。
【0099】
そこで、ルータ22において、PROC部225は、このRouter Advertiseメッセージを含むMACフレームの宛先MACアドレス921に、ユーザ管理テーブル228にてRouter Advertiseメッセージのプレフィックスがフィールド2283に登録されているレコードの、フィールド2282に登録されているMACアドレスを設定する。図9に示す例では、ノード14のMACアドレス「m1」が設定される。
【0100】
AP12において、LANコネクタ122側のMACFWD部124は、LANコネクタ122およびPHY処理部123を介して、ルータ22より、Router Advertiseメッセージを格納したMACフレームを受信すると、MACアドレステーブル127から、このMACフレームの宛先MACアドレス「m1」がフィールド1271に登録されているレコードを特定する。そして、特定したレコードのフィールド1272に登録されているポート番号に対応するMACFWD部124、つまり、PHY処理部123を介して無線IF部121に接続されているMACFWD部124へ、このMACフレームを送信する。
【0101】
これを受けて、無線IF部121側のMACFWD部124は、バス126を介してLANコネクタ122側のMACFWD部124からMACフレームを受け取ると、MACアドレステーブル127から、このMACフレームの宛先MACアドレス「m1」がフィールド1271に登録されているレコードを特定する。そして、特定したレコードのフィールド1275に登録されている認証状態が「認証済」であることを確認した後、このレコードのフィールド1274に暗号鍵が登録されているならば、この暗号鍵を用いてMACフレームの格納データを暗号化してから、対応するPHY処理部123へ送信する。これにより、格納データが暗号化されたMACフレームが、AP12からMACアドレス「m1」を持つノード14へ送信される。
【0102】
ノード14は、宛先MACアドレスが自身のMACフレームを受信すると、ST2019で登録した暗号鍵を用いて格納データを復号化し、Router Advertiseメッセージを得る。そして、このメッセージに含まれている自身専用のプレフィックスを入手する。また、このメッセージの送信元IPアドレスおよび送信元MACアドレスを、デフォルトルータとして認識する(ST2021)。
【0103】
さて、ノード14は、IEEE802.1規格に従った認証が終了した後、ST2001で生成したインターフェースIDが同一リンク(サブネット)内でユニークであるか否かを確認するために、Neghbor Solocitメッセージを送信して、アドレス重複問合せを行う(ST2022)。
【0104】
図11に示すように、Neghbor Solocitメッセージ950は、ICMPタイプ951が「135」のICMPパケットである。対象IPアドレス952は、インターフェースID「M1」から生成したリンクローカルアドレス(図10参照)が設定される。送信元リンクレイヤアドレスオプション953は含まれない。
【0105】
また、図11に示すように、このNeghbor Solocitメッセージ950を格納するIPv6パケット930の送信元IPアドレス931には、アドレス重複問合わせであることを示す「0」が設定され、宛先IPアドレス932には、インターフェースID「M1」から生成される要請ノードマルチキャストIPアドレス(図10参照)が設定される。
【0106】
また、図11に示すように、このNeghbor Solocitメッセージ950を格納するIPv6パケット930を格納するMACフレーム920の宛先MACアドレス921は、インタフェースID「M1」に対応する要請ノードマルチキャストMACアドレス(図10参照)が設定され、送信元MACアドレス922はノード14のMACアドレスである「m1」が設定される。
【0107】
ノード14は、このNeghbor Solocitメッセージを格納したMACフレームを、その格納データを暗号鍵で暗号化して送信する。
【0108】
AP12において、無線IF部121側のMACFWD部124は、無線IF部121およびPHY処理部123を介して、ノード14より、NeghborSolocitメッセージを格納したMACフレームを受信すると、MACアドレステーブル127から、このMACフレームの送信元MACアドレス「m1」がフィールド1271に登録されているレコードを特定する。そして、特定したレコードのフィールド1275に登録されている認証状態が「認証済」であることを確認した後、このレコードのフィールド1274に登録されている暗号鍵を用いて、このMACフレームの格納データを復号化する(ST2023)。
【0109】
次に、無線IF部121側のMACFWD部124は、このMACアドレステーブル127から、フィールド1273にポート属性「ルータ」が登録されているレコードを特定し、このレコードのフィールド1272に登録されているポート番号に対応するMACFWD部124、つまり、PHY処理部123を介してLANコネクタ122に接続されているMACFWD部124へ、このMACフレームを送信する。これにより、このMACフレームは、ルータ22へ送信される(ST2024)。
【0110】
ルータ22において、PROC部225は、LANコネクタ221側のPHY処理部223およびIPv6処理部224を介して、Neghbor Solocitメッセージを受信すると、このメッセージの対象IPアドレス952(図11参照)が自身のIPアドレスと一致しているか否かを調べる。そして、一致していなければ、このメッセージを無視する(ST2025)。
【0111】
ノード14は、アドレス重複問合せの応答であるNeighbor Advertiseメッセージを一定時間内に受信しなかった場合、自身のインタフェースIDがユニークであると判断し、このインターフェースIDと、RouterAdvertiseメッセージにより受信したプレフィックスとを用いて、リンクローカルアドレスおよびグローバル(あるいはサイトローカル)アドレスを生成し、自身のIPv6インタフェースに割り当てる(ST2026)。
【0112】
なお、他のノード14が送信したNeghbor Advertiseメッセージは、アドレス管理テーブル127にてNeghbor Advertiseメッセージの送信元MACアドレスに対応するポート属性が「ノード」であるため、Neighbor Solicitメッセージと同様、ポート属性が「ルータ」となっているポート番号のポート、つまり、ルータ22にしか送出されない。このため、そのメッセージがノード14のアドレス自動設定を妨害することはない。
【0113】
次に、方法Bについて、図12を用いて説明する。
【0114】
図12は、ノード14およびルータ22間の通信をノード14毎に異なる暗号鍵で暗号化もしくは認証情報を付加する場合、つまり方法Bが適用される場合における本実施形態の動作手順を説明するためのシーケンス図である。ノード14、AP12およびルータ22のMACアドレスは、図9に示す方法Aの場合と同様に、それぞれm1、l0およびk0としている。なお、方法Bでは、AP12に、IEEE802.1X認証のサポート機能を持たせる必要がない。
【0115】
先ず、ノード14は、MACアドレスをベースとして、インターフェースIDを自動生成し(ST2101)。その後、インターフェースIDが同一リンク(サブネット)内でユニークであるか否かを確認するために、Neghbor Solocitメッセージを送信して、アドレス重複問合せを行う(ST2102)。ここで、ノード14は、他のノード14がNeghbor Solocitメッセージを受信しないようにするために、送信IPパケットに対して暗号鍵による暗号化もしくは認証を行うようにしている。また、他のノード14からの、自身が送信したアドレス重複問合せに対するアドレス重複通知であるNeghbor Advertiseメッセージを受信しないようにするために、受信IPパケットに対して暗号鍵による復号化もしくは認証を行うようにしている。
【0116】
ルータ22において、PROC部225は、LANコネクタ221側のPHY処理部223およびIPv6処理部224を介して、LANコネクタ221からNeghbor Solocitメッセージを格納したMACフレームを受け取ると、このMACフレームの送信元MACアドレスがユーザ管理テーブ228に登録されているか否かを調べる。そして、未だ登録されていないこと、つまり、Neghbor Solocitメッセージを送信したノード14が認証されていないことを確認する(ST2103)。それから、EAP−Req/Identityメッセージを生成し、LANコネクタ221側のPHY処理部223およびIPv6処理部224を介して、LANコネクタ221からNeghbor Solocitメッセージを送信したノード14へ送信する(ST2104)。
【0117】
ノード14は、EAP−Req/Identityメッセージを受け取ると、これがIPv6パケットではなくEAPOLパケットであることを認識し、したがって、暗号鍵による認証/復号を行なわずに処理する。そして、EAP−Rsp/Identityメッセージを生成し、これに自身のユーザ名を設定してルータ22に送信する(ST2105)。
【0118】
ルータ22において、PROC部225は、LANコネクタ221側のPHY処理部223およびIPv6処理部224を介して、ノード14よりEAP−Rsp/Identityメッセージを受け取ると、ユーザ管理テーブル228にレコードを追加し、このレコードのフィールド2281に認証状態「認証中」を、フィールド2282にEAP−Rsp/Identityメッセージの送信元MACアドレス「m1」を、そして、フィールド2285に、EAP−Rsp/Identityメッセージに設定されているユーザ名を登録する(ST2106)。
【0119】
それから、PROC部225は、RADIUS Access−Reqメッセージを作成し、このメッセージのCalling−Station−Idアトリビュートに、EAP−Rsp/Identityメッセージの送信元MACアドレス「m1」を、EAP−Messageアトリビュートに、このEAP−Rsp/Identityメッセージを格納する。そして、RADIUS Access−Reqメッセージを、LANコネクタ222側のIPv6処理部224およびPHY処理部223を介して、LANコネクタ222からRADIUSサーバ24へ送信する(ST2107)。これにより、ノード14のユーザ名とMACアドレスとを、RADIUSサーバ24に通知する。
【0120】
RADIUSサーバ24は、RADIUS Access−Reqメッセージを受け取ると、RADIUS Access−Challengeメッセージを生成すると共に、認証乱数を生成し、これをRADIUS Access−ChallengeメッセージのEAP−Messageアトリビュート内のEAPメッセージに設定する。それから、このRADIUS Access−Challengeメッセージを、ルータ22に送信する(ST2108)。
【0121】
ルータ22において、PROC部225は、LANコネクタ222側のPHY処理部223およびIPv6処理部224を介して、RADIUSサーバ24よりRADIUS Access−Challengeメッセージを受け取ると、このメッセージに含まれている認証乱数を含んだ、EAP−Req/MD5 Challengeメッセージを作成する。そして、このメッセージを、LANコネクタ221側のIPv6処理部224およびPHY処理部223を介して、LANコネクタ221からノード14へ送信する(ST2109)。
【0122】
ノード14は、ルータ22よりEAP−Req/MD5 Challengeメッセージを受信すると、このメッセージに含まれている認証乱数と、予め保持している認証鍵とを用いて認証演算を行う。そして、その結果を、EAP−Rsp/MD5 respメッセージに含めてルータ22に送信する(ST2110)。
【0123】
ルータ22において、PROC部225は、LANコネクタ221側のPHY処理部223およびIPv6処理部224を介して、ノード14よりEAP−Rsp/MD5 respメッセージを受信すると、RADIUS Access−Reqメッセージを生成し、このメッセージのEAP−Messageアトリビュートに、受信したEAP−Rsp/MD5 respメッセージを設定する。そして、RADIUS Access−Reqメッセージを、LANコネクタ222側のIPv6処理部224およびPHY処理部223を介して、LANコネクタ222から、RADIUSサーバ24に送信する(ST2111)。
【0124】
RADIUSサーバ24は、RADIUS Access−Reqメッセージを受信すると、これに設定されているEAP−Rsp/MD5 respメッセージに含まれている認証結果を用いて、ノード14のユーザの認証を行う。具体的には、このノード14のユーザ名に対応付けて予め登録されている認証鍵を用いて、ST2108で生成した認証乱数に対し認証演算を行う。その結果がノード14から受信したものと一致するか判定する(ST2112)。
【0125】
一致した場合は認証成功となる。この場合、RADIUSサーバ24は、RADIUS Access−Acptメッセージを生成し、これに、ノード14に割り当てるプレフィックスと、ノード14およびルータ22間の暗号通信に利用する暗号鍵とを含めて、ルータ22に通知する(ST2113)。ここで、プレフィックスは、ノード14毎に異なる値とされ、RADIUS Access−AcptメッセージのFramed−IPv6−Prefixアトリビュートに設定される。また、暗号鍵は、RADIUS Access−Acptメッセージの例えばCallback−Idアトリビュートに設定される。
【0126】
さて、ルータ22において、PROC部225は、LANコネクタ222側のPHY処理部223およびIPV6処理部224を介して、RADIUSサーバ24よりRADIUS Access−Acptメッセージを受信すると、このメッセージに含まれているプレフィックスおよび暗号鍵を、ST2106でユーザ管理テーブル228に追加したレコードのフィールド2283およびフィールド2284にそれぞれ登録する。また、フィールド2281に登録されている認証状態を「認証中」から「認証済」に変更する(ST2114)。これにより、PROC部225は、このノード14のMACアドレスを送信元あるいは宛先とするMACフレームを暗号通信により送受信できるように、各部を制御する。
【0127】
また、PROC部225は、登録した暗号鍵を含んだEAP−Success−メッセージを生成し、LANコネクタ221側のIPv6処理部224およびPHY処理部223を介して、LANコネクタ221からノード14に送信し、ノード14に、認証が成功したことを通知する(ST2115)。
【0128】
ノード14は、ルータ22よりEAP−Success−メッセージを受け取ると、これに含まれている暗号鍵を登録する(ST2116)。
【0129】
以上によりIEEE802.1規格に従った認証が終了する。以降、ノード14およびルータ22は、この暗号鍵と、IPv6パケットの認証ヘッダ/暗号ペイロードヘッダ933とを用いて、IPv6パケットの認証付通信あるいは暗号通信を行なうことが可能となる。
【0130】
さて、ルータ22において、PROC部225は、RADIUSサーバ24より受信したRADIUS Access−Acptメッセージに含まれていたプレフィックスを、このプレフィックスが割り当てられるノード14に通知するため、ルータ広告であるRouter Advertiseメッセージを生成し、これを、宛先MACアドレス「m1」、宛先IPアドレス「全ノードマルチキャストIPアドレス」として、LANコネクタ221側のIPV6処理部224およびPHY処理部223を介して、LANコネクタ221からノード14に送信する(ST2117)。
【0131】
ノード14は、宛先MACアドレスが自身のMACフレームを受信すると、このフレームからRouter Advertiseメッセージを得る。そして、このメッセージに含まれている自身専用のプレフィックスを入手する。また、このメッセージの送信元IPアドレスおよび送信元MACアドレスを、デフォルトルータとして認識する(ST2118)。
【0132】
さて、ノード14は、IEEE802.1規格に従った認証が終了した後、ST2001で生成したインターフェースIDが同一リンク(サブネット)内でユニークであるか否かを確認するためのNeghbor Solocitメッセージを生成し送信して、アドレス重複問合せを行う(ST2119)。
【0133】
ルータ22において、PROC部225は、LANコネクタ221側のPHY処理部223およびIPv6処理部224を介して、Neghbor Solocitメッセージを受信すると、このメッセージを格納したMACフレームの送信元MACアドレスがユーザ管理テーブ228に登録されているか否かを調べる。そして、既に登録されていないこと、つまり、Neghbor Solocitメッセージを送信したノード14が認証されていることを確認する(ST2120)。それから、このメッセージの対象IPアドレス952(図11参照)が自身のIPアドレスと一致しているか否かを調べる。そして、一致していなければ、このメッセージを無視する(ST2121)。
【0134】
ノード14は、アドレス重複問合せの応答であるNeighbor Advertiseメッセージを一定時間内に受信しなかった場合、自身のインタフェースIDがユニークであると判断し、このインターフェースIDと、RouterAdvertiseメッセージにより受信したプレフィックスとを用いて、リンクローカルアドレスおよびグローバル(あるいはサイトローカル)アドレスを生成し、自身のIPv6インタフェースに割り当てる(ST2122)。
【0135】
なお、以上説明した方法Aおよび方法Bのいずれの方法においても、AP12が有線でノード14と接続するL2SWである場合は、ノード14間の通信をL2SWで禁止するようにしてもよい。この場合、ノード14が送信するフレームを他のノード14が傍受することはできない。したがって、ノード14−L2SW間(方法A)、あるいは、ノード14−ルータ22(方法B)間の通信を暗号化する必要がなくなる。
【0136】
以上、本発明の第1実施形態について説明した。
【0137】
本実施形態では、ノード14の各々に異なるグローバル(サイトローカル)アドレス用プレフィックスを付与することにより、各リンクローカル内に1つのノードが属するようにしている。このため、本来はIPアドレスおよびMACアドレスの双方が共にマルチキャストであるルータ広告を、特定のノード14に対して、そのノード14のIPアドレスが不明でも送達できる。これにより、そのノード14に、当該ノード専用のプレフィックスを割当てることができる。そして、各ノード14に専用のプレフィックスを割当てれば、ノード間でのインタフェースIDの重複は発生しない。したがって、本実施形態によれば、各ノード14のIPv6アドレスのユニーク性を保証でき、IPv6の特徴である自動コンフィグレーションを有効活用できる。
【0138】
また、本実施形態では、ノード14毎に、固有の暗号鍵を用いて、ノード14およびAP12あるいはルータ22間の通信を行なうようにしている。このようにすることで、ノード14がルータ22以外の他ノード14と直接通信できないようにすることができ、したがって、悪意を持ったノードの存在によりネットワークアクセスできなくなる可能性を低減できる。
【0139】
次に、本発明の第2実施形態について説明する。
【0140】
図13は、本発明の第2実施形態の公衆無線LANアクセスサービスシステムを、ノード14を収容するリンク(サブネット)に注目し単純化して示したものである。
【0141】
図示するように、本実施形態では、図8に示す第1実施形態と異なり、AP12配下の全てのノード14を1つのリンク(サブネット)50に収容するようにしている。なお、本実施形態の公衆無線LANアクセスサービスシステムは、図1に示す第1実施形態のものと基本的に同様である。ただし、図14に示すように、本実施形態のルータ22では、PROC部225に、ユーザ管理テーブル228に代えてIPアドレス管理テーブル229が保持される。
【0142】
図15に、IPアドレス管理テーブル229の登録内容例を示す。図示するように、IPアドレス管理テーブル229は、ノード14のIEEE802.1X規格による認証の状態を登録するフィールド2291と、ノード14のMACアドレスを登録するためのフィールド2292と、ノード14がルータ22と暗号通信を行なう場合に使用する暗号鍵を登録するためのフィールド2294と、このノード14のユーザ名を登録するフィールド2295と、複数のIPアドレスを管理するための使用中IPアドレステーブル2297に登録されている、使用中IPアドレスへのポインタを登録するためのフィールド2296と、を備えて1つのレコードが登録されている。
【0143】
本実施形態では、AP12配下の全てのノード14が同じリンクに属するため、ルータ22が全ての使用中IPアドレスを監視して、ユニーク性を保証する必要がある。使用中IPアドレステーブル2297は、ノード14のアドレス自動設定完了後、IP通信を開始する際のIPアドレス解決時に、NeighborCacheと共に更新される。
【0144】
Neighbor Cacheは、IPアドレスとMACアドレスとの対応リストであり、その更新方法はRFC2461に記載されている。ただし、RFC2461では、Neighor Cacheに対し、登録済みのIPアドレスに対応するMACアドレスの上書きは可能であるとしている。しかし、本実施形態では、この上書きを禁止とし、タイムアウトによるエントリ削除あるいは後述の不正IPアドレス使用禁止のためのエントリ強制削除によってのみ、MACアドレスの変更ができるようにしている。
【0145】
本実施形態においても、上記の第1実施形態と同様に、ノード14が送信するIPv6パケットが他のノード14に届かないようにする方法として、ノード14およびAP12間の通信をノード14毎に異なる暗号鍵で暗号化することにより、ノード14が、ルータ22が送信するパケット以外のパケットを認識(復号)できないようにする方法(方法A)、および、ノード14およびルータ22間の通信をノード14毎に異なる暗号鍵で暗号化もしくは認証情報を付加することにより、ノード14が、ルータ22が送信するパケット以外のパケットを認識(復号)できないようにする、もしくは不正パケットとして無視するようにする方法(方法B)のいずれかを採用している。
【0146】
ここでは、方法Aを例に取り説明する。
【0147】
図16は、ノード14毎に異なる暗号鍵で暗号化してノード14およびAP12間の通信を行なう場合、つまり方法Aが適用される場合における本実施形態の動作手順を説明するためのシーケンス図である。ここでも、図9の場合と同様に、ノード14、AP12およびルータ22のMACアドレスを、それぞれm1、l0およびk0としている。
【0148】
図16において、ST2201〜ST2219は、図9のST2001〜ST2019と基本的に同様である。
【0149】
ただし、本実施形態では、上述したように、ルータ22にユーザ管理テーブル228に代えてIPアドレス管理テーブル229を設けている。したがって、ST2207において、IPアドレス管理テーブル229に新たなレコードが追加され、このレコードのフィールド2291に認証状態「認証中」が、フィールド2292にノード14のMACアドレスが、そして、フィールド2295にノード14のユーザのユーザ名が登録される。
【0150】
また、本実施形態では、上述したように、AP12配下の全ノード14に対して同じプレフィックスを割り当てている。つまり、ノード14毎に異なるプレフィックスを割当てることはしない。このため、ST2214において、RADIUSサーバ24によるプレフィックスの割当て通知は行わない。その代わり、ルータ22に、AP12毎に、AP12配下のノード14に割り当てるプレフィックスを管理させるようにする。また、ST2215において、フレフィックスの登録は行なわない。ST2207でIPアドレス管理テーブル229に追加したレコードのフィールド2291に登録されている認証状態を「認証中」から「認証済」に変更する。これにより、PROC部225は、このノード14のMACアドレスを送信元あるいは宛先とするMACフレームを送受信できるように、各部を制御する。
【0151】
次に、図16において、ST2220〜ST2224も、図9のST2020〜ST2024と基本的に同様である。ただし、本実施形態では、上述したように、AP12配下の全ノード14に対して同じプレフィックスを割り当てている。このため、ST2220において、ルータ22は、Router Advertiseメッセージの宛先MACアドレスを、全ノードマルチキャストMACアドレスとしている。これにより、AP12配下の全てのノード14に同一のプレフィックスを通知する。
【0152】
なお、ST2220において、AP12は、Router Advertiseメッセージをノード14へ送信する場合、これを各ノード14に固有の暗号鍵で暗号化することはしない。暗号化を行なわないか、あるいは、AP12配下の全ノード14に共通の暗号鍵(マルチキャスト用暗号鍵)で暗号化する。
【0153】
一方、ST2222において、ノード14は、Neighbor Solicitメッセージを送信する場合、図9のST2022と同様に、ノード14に固有の暗号鍵で暗号化する。
【0154】
さて、第1実施形態では、ノード14毎に異なるプレフィックスを割り当てているため、ノード14のIPアドレスがルータ22のIPアドレスと重複していないことを確認すればよい。このため、図9のST2025に示すように、ルータ22は、ノード14がアドレス重複問合せのために送信したNeghbor Solicitメッセージのうち、対象IPアドレスが自身のIPアドレスでないものを無視していた。これに対し、本実施形態では、ノード14がアドレス重複問合せのために送信した全てのNeghbor Solicitメッセージを考慮し、ルータ22が、同一リンク内でのアドレス重複を判定するようにしている。
【0155】
図17は、ノード14が送信したアドレス重複問合せのためのNeighbor Solicitメッセージを、ルータ22が受信した以降の動作手順、つまり図16の続きを説明するためのシーケンス図である。
【0156】
図17(a)において、ルータ22のPROC部225は、LANコネクタ221側のPHY処理部223およびIPv6処理部224を介して受信したNeighbor Solicitメッセージの送信元アドレスにアドレス重複問合わせであることを示す「0」が設定されていることを確認する(ST2251)。それから、このメッセージの送信元MACアドレスと、このメッセージに格納されている対象IPアドレスとの関係が、図10に示すMACアドレス901とリンクローカルアドレス903との関係になっているか否かを調べる(ST2252)。そのような関係になっている場合、このメッセージに格納されている対象IPアドレスは、MACアドレスから自動生成したアドレスである。この場合、このアドレスを正当なアドレスと判定する。ノード14に対して、何も応答を返さない。その結果、ノード14は、対象IPアドレスに設定したアドレスをリンクローカルアドレスに正式採用する。これにより、アドレス自動設定を成功させる(ST2256)。
【0157】
なお、既にこのIPアドレスを使用している他のユーザ(ノード)が存在する場合、そのユーザにこのIPアドレスの使用を禁止させる必要がある。そこで、PROC部225は、IPアドレス管理テーブル229から、フィールド2296に、Neighbor Solicitメッセージに格納されている対象IPアドレスへのポインタが登録されているレコードを検索する(ST2253)。そのようなレコードが検出されなかった場合、このIPアドレスを使用している他のユーザは存在しないことになるので、処理を終了する。一方、そのようなレコードが検出された場合、IPアドレス管理テーブル229から検出したレコードを削除すると共に、Neighbor Cacheから、検出したレコードのフィールド2292に登録されているMACアドレスとこのIPアドレスとの対応関係を削除する(ST2254)。また、削除したレコードの情報を含む重複報告メッセージを作成し、これをLANコネクタ222側のIPv6処理装置224およびPHY処理部223を介して、LANコネクタ222から管理装置28に送信する(ST2255)。
【0158】
一方、ST2252において、Neighbor Solicitメッセージの送信元MACアドレスと、このメッセージに格納されている対象IPアドレスとの関係が、図10に示すMACアドレス901とリンクローカルアドレス903との関係になっていない場合、このメッセージに格納されている対象IPアドレスは、MACアドレスから自動生成したアドレスではない。この場合、このアドレスを、使用中のユーザ(ノード)が存在しない場合に限って認める正当でないアドレスと判定し、図17(b)のST2261に進む。
【0159】
図17(b)のST2261において、ルータ22のPROC部225は、IPアドレス管理テーブル229から、フィールド2296に、NeighborSolicitメッセージに格納されている対象IPアドレスへのポインタが登録されているレコードを検索する。そのようなレコードが検出された場合、Neighbor Solicitメッセージの送信元MACアドレスを宛先MACアドレスに設定したNeghbor Advertiseメッセージを生成し、これをLANコネクタ221側のIPv6処理装置224およびPHY処理部223を介して、LANコネクタ221から送信する(ST2262)。
【0160】
図11に示すように、Neighbor Advertiseメッセージは、ICMPタイプ961が「136」のICMPパケット960である。対象IPアドレス962と、この対象IPアドレスを使用中のノード14のMACアドレスが設定された対象リンクレイヤアドレスオプション963と、を含む。なお、Neighbor Advertiseメッセージの宛先IPアドレスは、全ノードマルチキャストIPアドレスである。しかし、宛先MACアドレスにNeighbor Solicitメッセージの送信元MACアドレスが設定されているため、Neighbor Advertiseメッセージは、Neighbor Solicitメッセージを送信したノード14に送信される。ノード14は、Neighbor Advertiseメッセージを受信すると、アドレス自動設定を失敗とする(ST2264)。
【0161】
また、Neighbor Solicitメッセージに含まれていた情報を含む重複報告メッセージを作成し、これをLANコネクタ222側のIPv6処理装置224およびPHY処理部223を介して、LANコネクタ222から管理装置28に送信する(ST2263)。
【0162】
一方、ST2261において、IPアドレス管理テーブル229から、フィールド2296に、Neighbor Solicitメッセージに格納されている対象IPアドレスへのポインタが登録されているレコードが検出されなかった場合、このIPアドレスを使用している他のユーザは存在しないことになる。この場合、このIPアドレスの使用を許可するべく、図17(c)のST2271に進む。
【0163】
図17(c)のST2271において、ルータ22のPROC部225は、使用を許可するIPアドレスを対象IPアドレスとし、送信元IPアドレスをルータ22のIPアドレスとしたNeighbor Solicitメッセージを生成する。そして、これをLANコネクタ221側のIPv6処理装置224およびPHY処理部223を介して、LANコネクタ221から送信する。このNeighbor Solicitメッセージは、送信元IPアドレスが「0」でないので、アドレス解決問合せを意味する。このため、アドレス自動設定中のノード(MACアドレス「m1」)がこのメッセージを受信しても、RFC246に従い、このメッセージを無視する(ST2272)。
【0164】
ここで、MACアドレス「m2」のノード14がNeighbor Solicitメッセージに設定されている対象IPアドレスを使用中であると仮定する。このノード14は、Neghbor Adevrtiseメッセージをルータ22に送信する(ST2273)。これを受けて、ルータ22は、図17(b)のST2261で対象IPアドレスがIPアドレス管理テーブル229に登録済みの場合と同様の処理を行う。
【0165】
なお、ST2271で送信したNeighbor Solicitメッセージに対する応答として、ルータ22配下のノード14からNeighbor Advertiseメッセージを受信していない場合、ルータ22は、Neighbor Solicitメッセージを送信したノード14に対して、何も応答を返さない。その結果、このノード14は、対象IPアドレスに設定したアドレスをリンクローカルアドレスに正式採用する。これによりアドレス自動設定を成功させる。
【0166】
以上、方法Aを例に取り説明したが、方法Bを本実施形態に適用する場合も、第1実施形態(図9)および第2実施形態(図16、図17)間における方法Aの変更内容を、図12に示す方法Bを用いた第1実施形態に適用することで実現できる。つまり、図12に以下の変更点を加えればよい。
【0167】
(1)ST2106において、IPアドレス管理テーブル229に新たなレコードが追加され、このレコードのフィールド2291に認証状態「認証中」が、フィールド2292にノード14のMACアドレスが、そして、フィールド2295にノード14のユーザのユーザ名が登録される。
【0168】
(2)ST2113において、RADIUSサーバ24によるプレフィックスの割当て通知は行わなない。その代わり、ルータ22に、AP12毎に、AP12配下のノード14に割り当てるプレフィックスを管理させる。
【0169】
(3)ST2114において、フレフィックスの登録は行なわない。ST2106でIPアドレス管理テーブル229に追加したレコードのフィールド2291に登録されている認証状態を「認証中」から「認証済」に変更する。
【0170】
(4)ST2117において、ルータ22は、Router Advertiseメッセージの宛先MACアドレスを、全ノードマルチキャストMACアドレスとする。
【0171】
(5)ノード14が送信したアドレス重複問合せのためのNeighbor Solicitメッセージを、ルータ22が受信した以降の動作手順に、図17で説明した動作手順が適用される。
【0172】
なお、本実施形態においても、AP12が有線でノード14と接続するL2SWである場合は、ノード14間の通信をL2SWで禁止するようにしてもよい。この場合、ノード14が送信するフレームを他のノード14が傍受することはできない。したがって、ノード14−L2SW間(方法A)、あるいは、ノード14−ルータ22(方法B)間の通信を暗号化する必要がなくなる。
【0173】
以上、本発明の第2実施形態について説明した。
【0174】
本実施形態では、ノード14毎に、固有の暗号鍵を用いて、ノード14およびAP12あるいはルータ22間の通信を行なうようにしている。また、ルータ22に、認証に成功した各ノード14のIPアドレス、MACアドレスおよびユーザ名を管理させると共に、あるノード14がアドレス重複問合せを行った場合に、対象IPアドレスが他のノード14で使用中であるか否かを判定させ、使用中である場合は、アドレス重複通知を行なわせる。あるいは、対象IPアドレスとアドレス重複問合せを行ったノードのMACアドレスとを比較させ、対象IPアドレスがMACアドレスベースで生成されたものか否かを判定させる。そして、MACアドレスベースで生成されたものでない場合は、アドレス重複通知を行なわせる。このため、各ノード14のIPv6アドレスのユニーク性を保証でき、IPv6の特徴である自動コンフィグレーションを有効活用できる。また、ノード14がルータ22以外の他ノード14と直接通信できないようにすることができ、したがって、悪意を持ったノードの存在によりネットワークアクセスできなくなる可能性を低減できる。
【0175】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
【0176】
例えば、図1に示した公衆無線LANアクセスサービスシステムにおいて、AP12およびADSLモデム16は、一体化されたものであってもよい。また、ISP20内にルータ22やRADIUSサーバ24やGW26や管理装置28は、いずれか2つ以上が同じコンピュータシステム上に構築されていてもよいし、それぞれが別々のコンピュータシステム上に構築されていてもよい。
【0177】
また、上記の実施形態では、本発明の公衆無線LANアクセスサービスシステムに適用した場合を例に取り説明しているが、本発明は、IPv6において、LANによりPPPを使用しないでホストを収容するシステムに広く適用できる。例えば、LANによりPPPを使用しないでホストを収容する、加入者宅からのIPv6ネットワークアクセスサービスシステムにも、同様に適用できる。
【0178】
【発明の効果】
以上説明したように、本発明によれば、IPv6においてLANによりPPPを使用しないでホストを収容する場合でも、IPv6の特徴である自動コンフィギュレーションを有効活用することができる。
【図面の簡単な説明】
【図1】本発明の第1実施形態が適用される公衆無線LANアクセスサービスシステムの概略図を示す図である。
【図2】図1に示すAP12の概略構成図である。
【図3】図2に示すMACアドレステーブル127の登録内容例を示す図である。
【図4】図1に示すルータ22の概略構成図である。
【図5】図4に示すユーザ管理テーブル228の登録内容例を示す図である。
【図6】図1に示す管理装置28の概略図である。
【図7】図6に示す管理装置28のハードウエア構成例を示す図である。
【図8】本発明の第1実施形態の公衆無線LANアクセスサービスシステムを、ノード14を収容するリンク(サブネット)に注目し単純化して示した図である。
【図9】ノード14毎に異なる暗号鍵で暗号化してノード14およびAP12間の通信を行なう場合における、本発明の第1実施形態の動作手順を説明するためのシーケンス図である。
【図10】MACアドレスと、MACアドレスをベースとして自動生成されるインタフェースIDとの関係を示す図である。
【図11】本発明の第1実施形態で用いるIPv6パケットを格納したMACフレームのフォーマット構成例を示す図である。
【図12】ノード14およびルータ22間の通信をノード14毎に異なる暗号鍵で暗号化もしくは認証情報を付加する場合における、本発明の第2実施形態の動作手順を説明するためのシーケンス図である。
【図13】本発明の第2実施形態の公衆無線LANアクセスサービスシステムを、ノード14を収容するリンク(サブネット)に注目し単純化して示した図である。
【図14】本発明の第2実施形態で用いられるルータ22の概略構成図である。
【図15】図14に示すIPアドレス管理テーブル229の登録内容例を示す図である。
【図16】ノード14毎に異なる暗号鍵で暗号化してノード14およびAP12間の通信を行なう場合における、本発明の第2実施形態の動作手順を説明するためのシーケンス図である。
【図17】本発明の第2実施形態において、図16の続きの動作手順を説明するためのシーケンス図である。
【図18】IPv6の自動コンフィギュレーションの動作手順を説明するためのシーケンス図である。
【符号の説明】
10…スポット、12…AP、14…ノード、16…ADSLモデム、20…ISP、22…ルータ、24…RADIUSサーバ、26…GW、28…管理装置、30…DSLAM、40…IPv6ネットワーク、121…無線IF部、122…LANコネクタ、123…PHY処理部、124…MACFWD部、125…PROC部、126…バス、127…MACアドレステーブル、221…LANコネクタ、222…LANコネクタ、223…PHY処理部、224…IPv6処理部、225…PROC部、226…バス、227…ルーティングテーブル、228…ユーザ管理テーブル、229…IPアドレス管理テーブル[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an IPv6 node network connection technology.
[0002]
[Prior art]
With regard to IPv6 (Internet Protocol Version 6), RFC 2461 of the IETF (The Internet Engineering Task Force) standard, “Neighbor Discovery for IP Version 6 (IPv6), and RFC 2463 for IPv6” A procedure (automatic configuration) for automatically performing the minimum configuration required for communication is specified.
[0003]
FIG. 18 is a sequence diagram for explaining the operation procedure of IPv6 automatic configuration. As shown, the automatic configuration includes three stages ST1001 to ST1003.
[0004]
(1) ST1001: provisional determination of link local address
First, the node generates an interface ID based on a MAC (Media Access Control) address. A method of generating an interface ID from a MAC address is defined in RFC 2373 “IP Version 6 Addressing Architecture”. Then, a fixed prefix for a link local address is added to this interface ID, and this is provisionally determined as a link local address which is an IP address that can be used only within the link (subnet).
[0005]
(2) ST1002: Formal determination of link local address
Next, the node inquires in a link whether or not the provisionally determined link local address has already been used in the same link by an ICMP (Internet Control Message Protocol) message in the link (address duplication inquiry: Neighbor Solicit). Here, the source address of the address duplication inquiry is 0 (srcIPaddr = 0). Then, if there is no response (address overlap notification: Neighbor Advertise) from another node in the link within the specified time, the provisionally determined link local address is formally adopted.
[0006]
If another node in the link responds, it is already using the same link local address. The node that has performed the address duplication inquiry cannot use this link local address. That is, automatic configuration fails. A node that has made an address duplication inquiry cannot perform IP communication unless an appropriate IPv6 address is assigned to the node due to user intervention or the like.
[0007]
(3) ST1003: Determination of Global (Site Local) Address
Next, the node receives a router advertisement (Router Advertise) that the router periodically advertises in a link by multicast using an Internet Control Message Protocol (ICMP) message. Then, the node determines the global (site-local) address necessary for IP communication beyond the router by obtaining the global (site-local) address prefix from the router advertisement and adding this to the officially adopted link-local address. I do.
[0008]
The prefix for the global (site-local) address is guaranteed to be unique within the global (site-local). This allows the node to perform global (site-local) IP communication via the router. By receiving the router advertisement, the node learns the MAC address and the IPv6 address of the router.
[0009]
As described above, one of the advantages of IPv6 is that the minimum configuration required for the node to perform the IP communication can be automatically performed without user intervention.
[0010]
By the way, a public wireless LAN access service is one of the access services realized by the current mainstream IPv4 (Internet Protocol Version 4).
[0011]
In a public wireless LAN access service, an AP (Access Point), which is a base station of a wireless LAN that operates as a bridge, is installed in a coffee shop or a station, and is connected to an ISP (Internet Service Provider) to establish a connection with the wireless LAN. This realizes Internet access of a host having an interface.
[0012]
In the public wireless LAN access service, as a method for accommodating a host, a method of establishing a point-to-point protocol (PPP) between a host and an ISP, and a method of establishing a PPP by a LAN (Local Area Network, IEEE802.3 series network). There is a method of accommodating a host without using a host.
[0013]
The latter has advantages over the former in that the overhead at the start of IP communication is small and that the network can be easily accessed with the same settings as in a normal LAN connection. In the latter case, the host is authenticated using the 802.1X standard defined by the IEEE 802.11 committee. The IEEE 802.1X standard is a protocol that allows a bridge to authenticate a node that has accessed the bridge and then allow the node to transmit and receive a MAC frame (IEEE 802.3 series frame). In the public wireless LAN access service, an AP requests and obtains a user name and a password from a node, and transmits them to a RADIUS (Remote Authentication Dial-In User Service) server to request authentication. Then, the AP controls the network access of the node based on the authentication result in the RADIUS server.
[0014]
[Problems to be solved by the invention]
By the way, in IPv6, when an attempt is made to realize a public wireless LAN access service by using a method of accommodating a host without using a PPP by a LAN, how to accommodate a node while taking advantage of the automatic configuration characteristic of IPv6. The problem is whether to increase the availability of the link (subnet) to be used.
[0015]
For example, in ST1002 of FIG. 18, another node in the link responds to the address duplication inquiry performed by a certain node and performs address duplication notification, thereby prohibiting the certain node from using this address. be able to. For this reason, automatic configuration may not be successful due to the presence of a malicious node.
[0016]
Also, in ST1003 of FIG. 18, a certain node other than the router performs router advertisement, so that the node other than this node recognizes the node that has performed router advertisement as a router and attempts network access. For this reason, network access may not be possible due to the presence of a malicious node.
[0017]
These problems also occur when an Internet access service from a subscriber's home is realized by using a method of accommodating a host without using PPP by a LAN in IPv6.
[0018]
The present invention has been made in view of the above circumstances, and an object of the present invention is to solve a problem that occurs in IPv6 when a host is accommodated in a LAN without using PPP. For example, it is to enable automatic configuration, which is a feature of IPv6, to be effectively used. Another object of the present invention is to reduce the possibility that network access is disabled.
[0019]
[Means for Solving the Problems]
In order to solve the above-mentioned problems, the present invention provides a router in IPv6 by assigning an address to each node so that addresses do not overlap between nodes. Accommodates nodes without using PPP.
[0020]
For example, by assigning a different global (site-local) address prefix to each of the nodes, one node belongs to each link-local. Specifically, a router advertisement ICMP message in which a unique prefix is set for each node is generated, and the ICMP message is stored in an IPv6 packet in which a multicast IP address is set as a destination IP address. Further, this IPv6 packet is stored in a MAC frame in which the MAC address of the IPv6 node to which the unique prefix is to be set in the destination MAC address is transmitted to the LAN. The MAC address of the node may be obtained through authentication of the node (authentication according to the IEEE 802.1X standard).
[0021]
In this way, a router advertisement in which both the IP address and the MAC address are both multicast can be delivered to a specific node even if the IP address of the node is unknown. Thus, a prefix dedicated to the node can be assigned to the node. Then, if a dedicated prefix is assigned to each node, duplication of the interface ID between the nodes does not occur. Therefore, the uniqueness of the IPv6 address of each node can be guaranteed, and the automatic configuration which is a feature of IPv6 can be effectively used.
[0022]
Further, in order to solve the above problem, in the present invention, notification of address duplication between nodes is prohibited. For example, the communication between the router and the node, or the communication between the bridge connecting the router and the node and the node is performed using the encryption key unique to the node. This prevents the node from directly communicating with other nodes other than the router. Furthermore, in the present invention, the IP address and the MAC address of each node that has succeeded in authentication (authentication according to the IEEE 802.1X standard) are managed. Then, when an address duplication inquiry is received from a certain node, it is determined whether or not the target IP address of the inquiry is being used by another IPv6 node. If the node is in use, an address duplication notification is sent to the inquired node. When there is an address duplication inquiry for the IP address in use, the router may notify the network management apparatus to manage which user has the address duplication.
[0023]
By doing so, the uniqueness of the IPv6 address of each node can be guaranteed, and the automatic configuration which is a feature of IPv6 can be effectively used. Further, it is possible to reduce the possibility that network access becomes impossible due to the presence of a malicious node.
[0024]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described.
[0025]
First, a first embodiment of the present invention will be described.
[0026]
FIG. 1 is a schematic diagram of a public wireless LAN access service system to which the first embodiment of the present invention is applied.
[0027]
As shown in the figure, an
[0028]
The
[0029]
In the present embodiment, an ADSL (Asymmetric Digital Subscriber Line) line is assumed as an access line for connecting the
[0030]
The
[0031]
In the above configuration, the user of the
[0032]
Now, when the user of the
[0033]
Although the description has been made here assuming that communication between the
[0034]
FIG. 2 is a schematic configuration diagram of the
[0035]
As shown, the
[0036]
The
[0037]
FIG. 3 shows an example of registration contents of the MAC address table 127. As shown in the figure, the MAC address table 127 includes a
[0038]
For example, in the record in which the MAC address given to the
[0039]
In the record in which the MAC address given to the
[0040]
When receiving the MAC frame from the corresponding
[0041]
That is, it is determined whether or not the authentication status registered in the
[0042]
If the port attribute registered in the
[0043]
That is, the destination MAC address of this MAC frame is checked, and the record identifies the record registered in the
[0044]
If the target record cannot be detected, that is, if the record in which the source MAC address of the MAC frame is registered in the
[0045]
When the
[0046]
The
[0047]
When transmitting an IEEE 802.1X message, the
[0048]
FIG. 4 is a schematic configuration diagram of the
[0049]
As shown in the figure, the
[0050]
The
[0051]
When the
[0052]
If the IP packet stored in the MAC frame received from the corresponding
[0053]
The
[0054]
FIG. 5 shows an example of registered contents of the user management table 228. As shown in the figure, the user management table 228 includes a
[0055]
The
[0056]
FIG. 6 is a schematic diagram of the
[0057]
As shown in the figure, the
[0058]
The
[0059]
Since the
[0060]
FIG. 8 is a simplified view of the public wireless LAN access service system of the present embodiment shown in FIG. 1 focusing on the link (subnet) accommodating the
[0061]
As described above, the
[0062]
As illustrated, in this embodiment, each
[0063]
Further, in the present embodiment, an address duplication notification packet transmitted by a
[0064]
More specifically, a method for preventing the
[0065]
In either method, the
[0066]
First, the method A will be described with reference to FIG.
[0067]
FIG. 9 is a sequence diagram for explaining an operation procedure of the present embodiment in a case where communication is performed between the
[0068]
When the power is turned on, the
[0069]
As shown in the figure, the
[0070]
In FIG. 10, the request node
[0071]
In FIG. 10, the all-node
[0072]
The
[0073]
On the other hand, the
[0074]
Now, the
[0075]
In the
[0076]
The
[0077]
Upon receiving the EAP-Req / Identity message,
[0078]
In the
[0079]
In the
[0080]
Further,
[0081]
Upon receiving the RADIUS Access-Req message, the
[0082]
In the
[0083]
Upon receiving the EAP-Req / MD5 Challenge message from the
[0084]
In the
[0085]
Upon receiving the RADIUS Access-Req message, the
[0086]
If they match, the authentication is successful. In this case, the
[0087]
Now, in the
[0088]
Further,
[0089]
In the
[0090]
Also, the
[0091]
[0092]
With the above, the authentication according to the IEEE 802.1 standard is completed. Thereafter, the
[0093]
Now, in the
[0094]
Here, FIG. 11 shows a format configuration example of a MAC frame storing an IPv6 packet used in the present embodiment.
[0095]
As illustrated, the MAC frame 920 used in the present embodiment includes a
[0096]
The
[0097]
The
[0098]
In ST2020 of FIG. 9, when
[0099]
Therefore, in the
[0100]
In the
[0101]
Upon receiving the MAC frame from the
[0102]
When the destination MAC address receives its own MAC frame, the
[0103]
Now, after the authentication according to the IEEE 802.1 standard is completed, the
[0104]
As shown in FIG. 11, the
[0105]
As shown in FIG. 11, the
[0106]
Also, as shown in FIG. 11, the
[0107]
The
[0108]
In the
[0109]
Next, the
[0110]
In the
[0111]
If the
[0112]
Since the port attribute corresponding to the transmission source MAC address of the Negative Advertise message in the address management table 127 of the Negative Advertise message transmitted by the
[0113]
Next, method B will be described with reference to FIG.
[0114]
FIG. 12 illustrates an operation procedure of the present embodiment in a case where communication between the
[0115]
First, the
[0116]
In the
[0117]
Upon receiving the EAP-Req / Identity message, the
[0118]
In the
[0119]
Then, the
[0120]
Upon receiving the RADIUS Access-Req message, the
[0121]
In the
[0122]
Upon receiving the EAP-Req / MD5 Challenge message from the
[0123]
In the
[0124]
Upon receiving the RADIUS Access-Req message, the
[0125]
If they match, the authentication is successful. In this case, the
[0126]
Now, in the
[0127]
The
[0128]
Upon receiving the EAP-Success-message from
[0129]
Thus, the authentication according to the IEEE 802.1 standard is completed. Thereafter, the
[0130]
Now, in the
[0131]
When the destination MAC address receives its own MAC frame, the
[0132]
Now, after the authentication according to the IEEE 802.1 standard is completed, the
[0133]
In the
[0134]
If the
[0135]
In any of the methods A and B described above, if the
[0136]
The first embodiment of the present invention has been described above.
[0137]
In the present embodiment, a different global (site-local) address prefix is assigned to each of the
[0138]
In this embodiment, communication between the
[0139]
Next, a second embodiment of the present invention will be described.
[0140]
FIG. 13 shows a simplified public wireless LAN access service system according to the second embodiment of the present invention, focusing on links (subnets) accommodating
[0141]
As shown in the drawing, in this embodiment, unlike the first embodiment shown in FIG. 8, all the
[0142]
FIG. 15 shows an example of registered contents of the IP address management table 229. As shown in the figure, the IP address management table 229 includes a
[0143]
In this embodiment, since all the
[0144]
The Neighbor Cache is a correspondence list between the IP address and the MAC address, and the updating method is described in RFC2461. However, RFC2461 states that Neighbor Cache can be overwritten with a MAC address corresponding to a registered IP address. However, in the present embodiment, the overwriting is prohibited, and the MAC address can be changed only by deleting the entry due to timeout or forcibly deleting the entry to prohibit the use of an illegal IP address described later.
[0145]
Also in the present embodiment, as in the first embodiment, as a method for preventing the IPv6 packet transmitted by the
[0146]
Here, the method A will be described as an example.
[0147]
FIG. 16 is a sequence diagram for explaining the operation procedure of the present embodiment when communication is performed between the
[0148]
16, ST2201 to ST2219 are basically the same as ST2001 to ST2019 of FIG.
[0149]
However, in the present embodiment, as described above, the
[0150]
In the present embodiment, as described above, the same prefix is assigned to all the
[0151]
Next, in FIG. 16, ST2220 to ST2224 are also basically the same as ST2020 to ST2024 in FIG. However, in the present embodiment, as described above, the same prefix is assigned to all the
[0152]
Note that in ST2220, when transmitting the Router Advertise message to the
[0153]
On the other hand, in ST2222, when transmitting the Neighbor Solicit message, the
[0154]
Now, in the first embodiment, since a different prefix is assigned to each
[0155]
FIG. 17 is a sequence diagram for explaining the operation procedure after the
[0156]
In FIG. 17A, the
[0157]
If there is another user (node) already using this IP address, it is necessary to prohibit that user from using this IP address. Therefore,
[0158]
On the other hand, in ST2252, when the relationship between the source MAC address of the Neighbor Solicit message and the target IP address stored in this message is not the relationship between
[0159]
In ST2261 of FIG. 17B, the
[0160]
As shown in FIG. 11, the Neighbor Advertise message is an
[0161]
In addition, a duplicate report message including the information included in the Neighbor Solicit message is created and transmitted from the
[0162]
On the other hand, in ST2261, if no record in which the pointer to the target IP address stored in the Neighbor Solicit message is registered in
[0163]
In ST2271 of FIG. 17C, the
[0164]
Here, it is assumed that the
[0165]
Note that, when a Neighbor Advertise message has not been received from the
[0166]
The method A has been described above as an example. However, even when the method B is applied to the present embodiment, the method A is changed between the first embodiment (FIG. 9) and the second embodiment (FIGS. 16 and 17). The contents can be realized by applying the method to the first embodiment using the method B shown in FIG. That is, the following changes may be made to FIG.
[0167]
(1) In ST2106, a new record is added to the IP address management table 229, and the authentication status “authentication” is added to the
[0168]
(2) In ST2113, the
[0169]
(3) In ST2114, registration of the flexfix is not performed. In ST2106, the authentication status registered in
[0170]
(4) In ST2117, the
[0171]
(5) The operation procedure described with reference to FIG. 17 is applied to the operation procedure after the
[0172]
In this embodiment, when the
[0173]
As above, the second embodiment of the present invention has been described.
[0174]
In the present embodiment, communication between the
[0175]
It should be noted that the present invention is not limited to the above embodiment, and various modifications are possible within the scope of the gist.
[0176]
For example, in the public wireless LAN access service system shown in FIG. 1, the
[0177]
Further, in the above embodiment, the case where the present invention is applied to the public wireless LAN access service system of the present invention is described as an example. Widely applicable to. For example, the present invention can be similarly applied to an IPv6 network access service system from a subscriber's house where a host is accommodated without using PPP by a LAN.
[0178]
【The invention's effect】
As described above, according to the present invention, even when a host is accommodated without using PPP by a LAN in IPv6, the automatic configuration which is a feature of IPv6 can be effectively used.
[Brief description of the drawings]
FIG. 1 is a diagram showing a schematic diagram of a public wireless LAN access service system to which a first embodiment of the present invention is applied;
FIG. 2 is a schematic configuration diagram of an
FIG. 3 is a diagram showing an example of registered contents of a MAC address table 127 shown in FIG. 2;
FIG. 4 is a schematic configuration diagram of a
FIG. 5 is a diagram showing an example of registered contents of a user management table 228 shown in FIG. 4;
FIG. 6 is a schematic diagram of the
7 is a diagram illustrating a hardware configuration example of a
FIG. 8 is a simplified diagram of the public wireless LAN access service system according to the first embodiment of the present invention, focusing on links (subnets) accommodating
FIG. 9 is a sequence diagram for explaining an operation procedure of the first embodiment of the present invention in a case where communication between the
FIG. 10 is a diagram showing a relationship between a MAC address and an interface ID automatically generated based on the MAC address.
FIG. 11 is a diagram showing a format configuration example of a MAC frame storing an IPv6 packet used in the first embodiment of the present invention.
FIG. 12 is a sequence diagram for explaining an operation procedure of the second embodiment of the present invention in a case where communication between the
FIG. 13 is a simplified view of a public wireless LAN access service system according to a second embodiment of the present invention, focusing on links (subnets) accommodating
FIG. 14 is a schematic configuration diagram of a
15 is a diagram showing an example of registered contents of an IP address management table 229 shown in FIG.
FIG. 16 is a sequence diagram for explaining an operation procedure according to the second embodiment of the present invention in a case where communication is performed between the node and the
FIG. 17 is a sequence diagram for explaining an operation procedure following FIG. 16 in the second embodiment of the present invention.
FIG. 18 is a sequence diagram illustrating an operation procedure of IPv6 automatic configuration.
[Explanation of symbols]
10 spot, 12 AP, 14 node, 16 ADSL modem, 20 ISP, 22 router, 24 RADIUS server, 26 GW, 28 management device, 30 DSLAM, 40 IPv6 network, 121 Wireless IF section, 122 LAN connector, 123 PHY processing section, 124 MACFWD section, 125 PROC section, 126 bus, 127 MAC address table, 221 LAN connector, 222 LAN connector, 223
Claims (9)
前記ルータが、IPv6ノード毎に固有のプレフィックスが設定された、ルータ広告を表すICMP(Internet Control Message Protocol)メッセージを生成し、このICMPメッセージを、宛先IPアドレスにマルチキャストIPアドレスが設定されたIPv6パケットに格納し、さらに、このIPv6パケットを、宛先MAC(Media Access Control)アドレスに前記固有のネットワークプレフィックスを設定すべきIPv6ノードのMACアドレスが設定されたMACフレームに格納して、前記LAN上に送出すること
を特徴とするIPv6ノード収容方法。An IPv6 node accommodating method for accommodating a plurality of IPv6 (Internet Protocol Version 6) nodes in a router by a LAN (Local Area Network),
The router generates an ICMP (Internet Control Message Protocol) message indicating a router advertisement in which a unique prefix is set for each IPv6 node, and transmits the ICMP message to an IPv6 packet in which a multicast IP address is set as a destination IP address. And stores the IPv6 packet in a MAC frame in which the MAC address of an IPv6 node to which the unique network prefix is to be set at a destination MAC (Media Access Control) address is transmitted to the LAN. A method for accommodating IPv6 nodes.
前記ルータが、自身に接続された認証サーバでのIPv6ノードの認証を通じて、当該IPv6ノードのMACアドレスを入手すること
を特徴とするIPv6ノード収容方法。The IPv6 node accommodating method according to claim 1, wherein
The IPv6 node accommodating method, wherein the router obtains a MAC address of the IPv6 node through authentication of the IPv6 node by an authentication server connected to the router.
IPv6ノード間のアドレス重複通知を禁止すると共に、
前記ルータが、自身に接続された認証サーバでの認証に成功したIPv6ノード各々のIPアドレスおよびMAC(Media Access Control)アドレスを管理すると共に、IPv6ノードからアドレス重複問合せを受信した場合に、前記問合せの対象IPアドレスが他のIPv6ノードで使用中であるか否かを判定し、使用中である場合に、前記問合せをした前記IPv6ノードに対してアドレス重複通知を行なうこと
を特徴とするIPv6ノード収容方法。An IPv6 node accommodating method for accommodating a plurality of IPv6 (Internet Protocol Version 6) nodes in a router by a LAN (Local Area Network),
In addition to prohibiting address duplication notification between IPv6 nodes,
The router manages the IP address and the MAC (Media Access Control) address of each IPv6 node that has been successfully authenticated by the authentication server connected to the router, and receives the address duplication inquiry from the IPv6 node. Determining whether the target IP address is being used by another IPv6 node, and if so, sending an address duplication notification to the inquired IPv6 node. Containment method.
前記ルータが、IPv6ノードからアドレス重複問合せを受信した場合に、前記問合せの対象IPアドレスと前記問合わせをしたIPv6ノードのMACアドレスとを比較して、前記対象IPアドレスがMACアドレスベースで生成されたものか否かを判定し、MACアドレスベースで使用されたものでない場合に、前記問合せをしたIPv6ノードに対してアドレス重複通知を行なうこと
を特徴とするIPv6ノード収容方法。The IPv6 node accommodating method according to claim 3, wherein
When the router receives an address duplication inquiry from an IPv6 node, the router compares the target IP address of the inquiry with the MAC address of the inquired IPv6 node, and the target IP address is generated on a MAC address basis. A method for accommodating an IPv6 node, comprising: judging whether or not an IPv6 node has been used on a MAC address basis, and notifying the IPv6 node that made the inquiry of address duplication.
前記複数のIPv6ノード各々が、前記ルータあるいは前記ルータおよび前記複数のIPv6ノード間を中継するブリッジのみが復号可能な暗号鍵を用いて、通信を行なうこと
を特徴とするIPv6ノード収容方法。The IPv6 node accommodating method according to claim 1, 2, 3, or 4,
An IPv6 node accommodating method, wherein each of the plurality of IPv6 nodes performs communication using an encryption key that can be decrypted only by the router or a bridge that relays between the router and the plurality of IPv6 nodes.
前記認証サーバは、
認証に成功したIPv6ノードに付与すべき固有のプレフィックスを生成して、これを当該IPv6ノードのMAC(Media Access Control)アドレスと共に、前記ルータに通知し、
前記ルータは、
前記認証サーバより通知された固有のプレフィックスが設定された、ルータ広告を表すICMP(Internet Control Message Protocol)メッセージを生成し、このICMPメッセージを、宛先IPアドレスにマルチキャストIPアドレスが設定されたIPv6パケットに格納し、さらに、このIPv6パケットを、宛先MACアドレスに前記認証サーバより通知されたMACアドレスが設定されたMACフレームに格納して、前記LAN上に送出すること
を特徴とするIPv6ノード収容システム。An IPv6 node accommodating system comprising: a router accommodating a plurality of IPv6 (Internet Protocol Version 6) nodes by a LAN (Local Area Network); and an authentication server for authenticating the plurality of IPv6 nodes.
The authentication server,
Generate a unique prefix to be assigned to the IPv6 node that has been successfully authenticated, and notify the router of the unique prefix together with the MAC (Media Access Control) address of the IPv6 node;
The router is
It generates an ICMP (Internet Control Message Protocol) message indicating a router advertisement in which a unique prefix notified by the authentication server is set, and converts the ICMP message into an IPv6 packet in which a multicast IP address is set as a destination IP address. Storing the IPv6 packet in a MAC frame in which a MAC address notified from the authentication server is set as a destination MAC address, and transmitting the IPv6 packet to the LAN.
前記複数のIPv6ノード各々は、前記ルータあるいは前記ルータおよび前記複数のIPv6ノード間を中継するブリッジのみが復号可能な暗号鍵を用いて、通信を行ない、
前記認証サーバは、
認証に成功したIPv6ノードのMAC(Media Access Control)アドレスとを前記ルータに通知し、
前記ルータは、
前記認証サーバより通知されたMACアドレスとこのMACアドレスを有するIPv6ノードが使用中のIPアドレスとを管理すると共に、IPv6ノードからアドレス重複問合せを受信した場合に、前記問合せの対象IPアドレスが他のIPv6ノードで使用中であるか否かを判定し、使用中である場合に、前記問合せをした前記IPv6ノードに対してアドレス重複通知を行なうこと
を特徴とするIPv6ノード収容システム。An IPv6 node accommodating system comprising: a router accommodating a plurality of IPv6 (Internet Protocol Version 6) nodes by a LAN (Local Area Network); and an authentication server for authenticating the plurality of IPv6 nodes.
Each of the plurality of IPv6 nodes performs communication using an encryption key that can be decrypted only by the router or a bridge that relays between the router and the plurality of IPv6 nodes,
The authentication server,
Notify the router of the MAC (Media Access Control) address of the IPv6 node that has been successfully authenticated,
The router is
While managing the MAC address notified by the authentication server and the IP address being used by the IPv6 node having the MAC address, when receiving an address duplication inquiry from the IPv6 node, the inquiry target IP address is set to another IP address. An IPv6 node accommodating system, wherein it is determined whether or not an IPv6 node is being used, and if it is being used, an address duplication notification is sent to the inquired IPv6 node.
IPv6ノード毎に固有のプレフィックスが設定された、ルータ広告を表すICMP(Internet Control Message Protocol)メッセージを生成し、このICMPメッセージを、宛先IPアドレスにマルチキャストIPアドレスが設定されたIPv6パケットに格納し、さらに、このIPv6パケットを、宛先MAC(Media Access Control)アドレスに前記固有のネットワークプレフィックスを設定すべきIPv6ノードのMACアドレスが設定されたMACフレームに格納して、前記LAN上に送出すること
を特徴とするルータ。A router accommodating a plurality of IPv6 (Internet Protocol Version 6) nodes by a LAN (Local Area Network),
Generate an ICMP (Internet Control Message Protocol) message indicating a router advertisement in which a unique prefix is set for each IPv6 node, and store the ICMP message in an IPv6 packet in which a multicast IP address is set as a destination IP address; Further, the IPv6 packet is stored in a MAC frame in which a MAC address of an IPv6 node to which the unique network prefix is to be set in a destination MAC (Media Access Control) address is transmitted to the LAN. And router.
自身に接続された認証サーバでの認証に成功したIPv6ノード各々のIPアドレスおよびMAC(Media Access Control)アドレスを管理すると共に、IPv6ノードからアドレス重複問合せを受信した場合に、前記問合せの対象IPアドレスが他のIPv6ノードで使用中であるか否かを判定し、使用中である場合に、前記問合せをした前記IPv6ノードにアドレス重複通知を行なうこと
を特徴とするルータ。A router accommodating a plurality of IPv6 (Internet Protocol Version 6) nodes by a LAN (Local Area Network),
It manages the IP address and MAC (Media Access Control) address of each IPv6 node that has been successfully authenticated by the authentication server connected to itself, and, when receiving an address duplication inquiry from the IPv6 node, the target IP address of the inquiry Determining whether the IPv6 node is being used by another IPv6 node, and if so, sending an address duplication notification to the IPv6 node that made the inquiry.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002232058A JP2004072633A (en) | 2002-08-08 | 2002-08-08 | IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002232058A JP2004072633A (en) | 2002-08-08 | 2002-08-08 | IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004072633A true JP2004072633A (en) | 2004-03-04 |
Family
ID=32017631
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002232058A Pending JP2004072633A (en) | 2002-08-08 | 2002-08-08 | IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004072633A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006115344A (en) * | 2004-10-15 | 2006-04-27 | Matsushita Electric Ind Co Ltd | Radio network system, radio terminal housing device and communication equipment |
JP2006352503A (en) * | 2005-06-16 | 2006-12-28 | Hewlett-Packard Development Co Lp | Communication system and its method |
JP2008278134A (en) * | 2007-04-27 | 2008-11-13 | Chuden Cti Co Ltd | Network control unit, network control method, and computer program |
WO2008146384A1 (en) * | 2007-05-31 | 2008-12-04 | Fujitsu Limited | Sip server and its error connection preventing method |
JP2009239952A (en) * | 2009-06-26 | 2009-10-15 | Hitachi Communication Technologies Ltd | Ipv6 address allocation method |
JP2010251928A (en) * | 2009-04-13 | 2010-11-04 | Fujitsu Ltd | Network connection device, switching circuit device, and method for learning and processing of address |
JP2011250168A (en) * | 2010-05-27 | 2011-12-08 | Ntt Docomo Inc | Terminal device, prefix distribution device, ipv6 address generation system, and ipv6 address generation method |
JP2016509457A (en) * | 2013-03-13 | 2016-03-24 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Name / prefix augmentation based on routing protocols with trust anchors in information-centric networks |
-
2002
- 2002-08-08 JP JP2002232058A patent/JP2004072633A/en active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006115344A (en) * | 2004-10-15 | 2006-04-27 | Matsushita Electric Ind Co Ltd | Radio network system, radio terminal housing device and communication equipment |
JP4689225B2 (en) * | 2004-10-15 | 2011-05-25 | パナソニック株式会社 | Wireless network system, wireless terminal accommodating device, and communication device |
JP2006352503A (en) * | 2005-06-16 | 2006-12-28 | Hewlett-Packard Development Co Lp | Communication system and its method |
JP2008278134A (en) * | 2007-04-27 | 2008-11-13 | Chuden Cti Co Ltd | Network control unit, network control method, and computer program |
WO2008146384A1 (en) * | 2007-05-31 | 2008-12-04 | Fujitsu Limited | Sip server and its error connection preventing method |
JP2010251928A (en) * | 2009-04-13 | 2010-11-04 | Fujitsu Ltd | Network connection device, switching circuit device, and method for learning and processing of address |
US8559430B2 (en) | 2009-04-13 | 2013-10-15 | Fujitsu Limited | Network connection device, switching circuit device, and method for learning address |
JP2009239952A (en) * | 2009-06-26 | 2009-10-15 | Hitachi Communication Technologies Ltd | Ipv6 address allocation method |
JP2011250168A (en) * | 2010-05-27 | 2011-12-08 | Ntt Docomo Inc | Terminal device, prefix distribution device, ipv6 address generation system, and ipv6 address generation method |
JP2016509457A (en) * | 2013-03-13 | 2016-03-24 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Name / prefix augmentation based on routing protocols with trust anchors in information-centric networks |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3869392B2 (en) | User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method | |
US7437145B2 (en) | Wireless control apparatus, system, control method, and program | |
US8107396B1 (en) | Host tracking in a layer 2 IP ethernet network | |
JP4727126B2 (en) | Providing secure network access for short-range wireless computing devices | |
CA2482648C (en) | Transitive authentication authorization accounting in interworking between access networks | |
US8239549B2 (en) | Dynamic host configuration protocol | |
Forsberg et al. | Protocol for carrying authentication for network access (PANA) | |
US7475241B2 (en) | Methods and apparatus for dynamic session key generation and rekeying in mobile IP | |
JP4347335B2 (en) | Network relay program, network relay device, communication system, and network relay method | |
US8068414B2 (en) | Arrangement for tracking IP address usage based on authenticated link identifier | |
EP1987629B1 (en) | Techniques for authenticating a subscriber for an access network using dhcp | |
US8806565B2 (en) | Secure network location awareness | |
EP1560396A2 (en) | Method and apparatus for handling authentication on IPv6 network | |
US20110016309A1 (en) | Cryptographic communication system and gateway device | |
US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
JP2006086907A (en) | Setting information distribution device and method, program, medium, and setting information receiving program | |
JP2008066907A (en) | Packet communication device | |
US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
JP2003338814A (en) | Communication system, administrative server, control method therefor and program | |
JP2004072633A (en) | IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM | |
JP2014013960A (en) | Communication control method, communication control apparatus, communication equipment, and program | |
KR20040001329A (en) | Network access method for public wireless LAN service | |
JP2010187314A (en) | Network relay apparatus with authentication function, and terminal authentication method employing the same | |
JP2006074451A (en) | IPv6/IPv4 TUNNELING METHOD | |
JP2006109152A (en) | Connection requesting device, response device, connection management device and communication system for performing communication on network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050208 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20050208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061107 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070410 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070807 |