JP2004166002A - 通信装置、境界ルータ装置、サーバ装置、通信システム、通信方法、ルーティング方法、通信プログラム及びルーティングプログラム - Google Patents

通信装置、境界ルータ装置、サーバ装置、通信システム、通信方法、ルーティング方法、通信プログラム及びルーティングプログラム Download PDF

Info

Publication number
JP2004166002A
JP2004166002A JP2002329950A JP2002329950A JP2004166002A JP 2004166002 A JP2004166002 A JP 2004166002A JP 2002329950 A JP2002329950 A JP 2002329950A JP 2002329950 A JP2002329950 A JP 2002329950A JP 2004166002 A JP2004166002 A JP 2004166002A
Authority
JP
Japan
Prior art keywords
packet
response packet
address
server device
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002329950A
Other languages
English (en)
Other versions
JP3813571B2 (ja
Inventor
Tatsuya Shinmyo
達哉 神明
Masahiro Ishiyama
政浩 石山
Yuzo Tamada
雄三 玉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002329950A priority Critical patent/JP3813571B2/ja
Priority to CNB2003101149157A priority patent/CN100481832C/zh
Priority to US10/705,976 priority patent/US20040146045A1/en
Publication of JP2004166002A publication Critical patent/JP2004166002A/ja
Application granted granted Critical
Publication of JP3813571B2 publication Critical patent/JP3813571B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】エニキャストアドレスを用いたサービスにおいて、送信元の正当性を検証し、なりすましによる被害を防止する通信装置、境界ルータ装置、サーバ装置、通信システム、通信方法、ルーティング方法、通信プログラム及びルーティングプログラムを提供する。
【解決手段】応答パケットの送信元アドレスを検出し、送信元アドレスが、宛先アドレスと異なる場合に応答パケットのエニキャストアドレスを示す識別子を検出し、応答パケットの検証を行う通信装置10a、10b、10c,…と応答パケット内の識別子を検出し、予め記憶されたサーバ装置に関する情報より、応答パケットがサーバから送信された応答パケットであることを検証する境界ルータ20と、応答パケットの送信元アドレスに、エニキャストアドレスを示す識別子を付与する手段を持つAサーバ30a等を用いて送受信の際にフィルタリングを行う。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、IPv6のエニキャストアドレスを用いた環境における応答のなりすましを防止する技術に係り、通信装置、境界ルータ装置、サーバ装置、通信システム、通信方法、ルーティング方法、通信プログラム及びルーティングプログラムに関する。
【0002】
【従来の技術】
近年、世界最大のコンピュータネットワーク「インターネット(Internet)」の利用が普及してきており、インターネットと接続し、公開された情報やサービスを利用したり、逆にインターネットを通じてアクセスしてくる外部ユーザに対し、情報やサービスを提供することで、新たなコンピュータビジネスが開拓されている。
【0003】
またインターネットにおいて利用される新たな技術の開発が活発に行われている。インターネットでは、接続された各計算機(ノード、サーバなど)がそれぞれIPアドレスという識別子を持ち、このIPアドレスを元にパケットの交換により通信が行われる。
【0004】
IPアドレスの形式はIPv4と呼ばれる32ビット長のアドレス体系が用いられていたが、近年新たにIPv6と呼ばれる128ビット長のアドレス体系に移行しつつある。
【0005】
このIPv6の特徴の一つに、エニキャストアドレスの導入が挙げられる。エニキャストアドレスは、経路制御上はユニキャストと同様に利用されるが、ユニキャストアドレスと異なり、複数ノード上の複数インターフェースに割り当てられる。
【0006】
したがって、あるノードからエニキャストアドレス宛に出したパケットは、経路上最も近いノードに配送される。仮にエニキャストアドレスを割り当てられたノードに不良が生じたとしても、経路情報が収束した後に、同じアドレスを持つ次善のルータへ自動的に切り替えることができる。
【0007】
エニキャストアドレスの持つこうした特性を利用して、あるサービスを提供する複数のサーバに既知のエニキャストアドレスを割り当てることにより、エンドホストに特別な設定や変更を施さずに冗長性の高いサービスが実現できる。
【0008】
ただし、IPv6のエニキャストアドレスは、送信元アドレスとして使ってはいけないという制限が課せられている。したがって、エニキャストアドレス宛のパケットを受け取ったサーバは、応答を返すときには自身のユニキャストアドレスを送信元アドレスとして用いる必要がある。
【0009】
ここで、一般的にエニキャストアドレスを利用する場合には、「なりすまし」による悪意の第三者からの攻撃を受けやすくなる。エニキャストアドレス宛にパケットを出すクライアント端末にとって、応答を返すサーバのユニキャストアドレスを事前に知ることはできないので、どのような送信元アドレスを持つ応答パケットであっても受け入れなければならない。
【0010】
このため、実際にはサービスを提供する権限を持たないノードからの不正な「なりすまし」による応答であっても、クライアント端末が受け入れてしまう可能性という問題があった。
【0011】
またユニキャストアドレスを用いたサービスでは、たとえば、問い合わせパケットの宛先と応答パケットの送信元を比較する、といった簡単な検証方法があり、実際に利用されてもいる。
【0012】
送信元アドレスを偽ること自体は容易であるため、これは完全な検証とはなり得ない。しかし、たとえば、ネットワーク境界のルータで送信元アドレスに対する正当性検証を行うフィルタリングと併用することで、攻撃を受ける範囲をある程度狭めることはできる。
【0013】
しかしながらエニキャストアドレスの場合には、送信元アドレスを偽ることなく不正な応答を返すことができるため、なりすましによる悪意の第三者からの攻撃を受ける可能性がユニキャストを用いた場合よりも高くなってしまうという問題があった。
【0014】
【非特許文献1】
IETF RFC2460 Internet Protocol, Version 6 (IPv6) Specification, December 1998
【0015】
【発明が解決しようとする課題】
前述したように、IPv6におけるにエニキャストアドレスを用いたサービスでは、そのエニキャストアドレスを持った送信元の送信元アドレスに、エニキャストアドレスを使うことができないという制約があるために、送信元の正当性を検証することが困難であるという問題があった。
【0016】
この場合、悪意の第三者による送信元アドレスの改ざんにより、なりすましによる攻撃を受ける可能性がユニキャストを用いた場合よりも高くなってしまう危険性があった。
【0017】
本発明は、上記問題点を解決する為になされたものであり、エニキャストアドレスを用いたサービスにおいて、送信元の正当性を検証することにより、なりすましによる被害を防止する為の通信装置、境界ルータ装置、サーバ装置、通信システム、通信方法、ルーティング方法、通信プログラム及びルーティングプログラムに関する。
【0018】
【課題を解決するための手段】
本発明の第1の特徴は、(イ)所定の宛先アドレス宛にパケットを送信する送信手段と、(ロ)パケットの応答として応答パケットを受信する受信手段と、(ハ)受信した応答パケットに含まれる送信元アドレスを検出する第1の検出手段と、(ニ)検出した送信元アドレスが宛先アドレスと異なる場合、応答パケットに含まれる、宛先アドレスを持つ他の通信装置がエニキャストアドレスを付与されていることを示す識別子を検出する第2の検出手段と、(ホ)検出した識別子に基づいて応答パケットの検証を行う検証手段とを具備する通信装置であることを要旨とする。
【0019】
上記の発明によると、通信装置は、応答パケット及びその送信元アドレスにより、応答パケットが適切なサーバ等より送信されているか否かを明らかにすることができる。
【0020】
本発明の第2の特徴は、(イ)エニキャストアドレスを持つサーバ装置が属する第1のネットワークと第2のネットワークとの境界に位置する境界ルータ装置であって、第2のネットワーク側の通信装置から所定のエニキャストアドレスを持つサーバ装置宛のパケットを受信する第1の受信手段と、(ロ)パケットをサーバ装置に転送する第1の転送手段と、(ハ)サーバ装置からパケットに対する応答パケットを受信する第2の受信手段と、(ニ)応答パケットに含まれる、エニキャストアドレスとは異なる送信元アドレスが付与されていることを示す識別子を検出する検出手段と、(ホ)検出手段において識別子が検出された場合、予め保持している第2のネットワーク内におけるエニキャストアドレスを持つサーバ装置に関する情報に基づいて、応答パケットがサーバ装置から送信された応答パケットであることを検証する検証手段と、(ヘ)この検証手段の結果に基づいて、応答パケットを通信装置に転送するか否かを制御する転送制御手段と、(ト)制御手段にてパケットを転送すると判断した場合には応答パケットを通信装置に転送する第2の転送手段とを具備する境界ルータ装置であることを要旨とする。
【0021】
上記の発明によると、境界ルータ装置は、応答パケット及びその送信元アドレスにより、応答パケットが適切なサーバ等より送信されているか否かを明らかにすることができる。
【0022】
本発明の第3の特徴は、(イ)第1のネットワークに接続され、所定のエニキャストアドレスを持つサーバ装置において、第2のネットワーク側に接続された通信装置からエニキャストアドレス宛に送信されたパケットを受信する受信手段と、(ロ)パケットに応答する応答パケットに、この応答パケットの送信元がエニキャストアドレスを持つことを示す識別子を付与する識別子付与手段と、(ハ)応答パケットを通信装置へ送信する送信手段とを具備するサーバ装置であることを要旨とする。
【0023】
上記の発明によると、サーバ装置がエニキャスト通信を示す識別子を付与することが可能となる。ひいては、応答パケットを送受信する他の装置が適切なサーバ等より送信された応答パケットか否かを判断することができる。
【0024】
本発明の第4の特徴は、(イ)所定のエニキャストアドレスを持ち第1のネットワークに接続されたサーバ装置と、第2のネットワークに接続された通信装置と、第1のネットワークと第2のネットワークとの境界に位置する境界ルータ装置とからなる通信システムにおいて、(ロ)通信装置は、エニキャストアドレス宛にパケットを送信する第1の送信手段、(ハ)パケットの応答としてサーバから応答パケットを受信する第1の受信手段とを具備し、(ニ)サーバ装置は、通信装置からエニキャストアドレス宛に送信されたパケットを受信する第2の受信手段、(ホ)パケットに応答する応答パケットに、サーバ装置がエニキャストアドレスを持つことを示す識別子を付与する識別子付与手段、(ヘ)応答パケットを通信装置へ送信する第2の送信手段とを具備し、(ト)境界ルータ装置は、通信装置から所定のエニキャストアドレスを持つサーバ装置宛のパケットを受信する第3の受信手段、(チ)パケットをサーバ装置に転送する第1の転送手段、(リ)サーバ装置からパケットに対する応答パケットを受信する第4の受信手段、(ヌ)応答パケットに含まれる、エニキャストアドレスとは異なる送信元アドレスが付与されていることを示す識別子を検出する検出手段、(ル)検出手段において識別子が検出された場合、予め保持している第1のネットワーク内におけるエニキャストアドレスを持つサーバ装置に関する情報に基づいて、応答パケットがサーバから送信された応答パケットであることを検証する検証手段、(ヲ)検証手段の結果に基づいて、応答パケットを通信装置に転送するか否かを制御する転送制御手段、(ワ)制御手段にてパケットを転送すると判断した場合には応答パケットを通信装置に転送する第2の転送手段とを具備する通信システムであることを要旨とする。
【0025】
上記の発明によると、サーバ装置が付与したエニキャスト通信を示す識別子を、通信装置及び境界ルータ装置が検知、判断することより、ユニキャストアドレスを用いた通信システムと同様の安全性をエニキャストアドレスを用いた通信システムにて確保することができる。
【0026】
本発明の第5の特徴は、(イ)所定の宛先アドレス宛にパケットを送信し、(ロ)パケットの応答として応答パケットを受信し、(ハ)受信した応答パケットに含まれる応答パケットの送信元アドレスを検出し、(ニ)検出した送信元アドレスが、宛先アドレスと異なる場合、応答パケットに含まれる、この応答パケットを送信した他の通信装置がエニキャストアドレスを持つことを示す識別子を検出し、(ホ)識別子に基づいて応答パケットの検証を行う通信方法であることを要旨とする。
【0027】
本発明の第6の特徴は、(イ)エニキャストアドレスを持つサーバ装置が属する第1のネットワークと第2のネットワークとの境界に位置する境界ルータ装置におけるルーティング方法であって、第2のネットワーク側の通信装置から所定のエニキャストアドレスを持つサーバ装置宛のパケットを受信し、(ロ)パケットをサーバ装置に転送し、(ハ)サーバ装置からパケットに対する応答パケットを受信し、(ニ)応答パケットに含まれる、エニキャストアドレスとは異なる送信元アドレスが付与されていることを示す識別子を検出し、(ホ)識別子が検出された場合、予め保持している第2のネットワーク内におけるエニキャストアドレスを持つサーバ装置に関する情報に基づいて、応答パケットがサーバ装置から送信された応答パケットであることを検証し、(ヘ)この検証の結果に基づいて、応答パケットを通信装置に転送するか否かを制御するルーティング方法であることを要旨とする。
【0028】
本発明の第7の特徴は、(イ)第1のネットワークに接続され、所定のエニキャストアドレスを持つサーバ装置における通信方法であって、(ロ)第2のネットワーク側に接続された通信装置からエニキャストアドレス宛に送信されたパケットを受信し、(ハ)パケットに応答する応答パケットに、サーバ装置がエニキャストアドレスを持つことを示す識別子を付与し、(ニ)応答パケットを通信装置へ送信する通信方法であることを要旨とする。
【0029】
本発明の第8の特徴は、(イ)所定の宛先アドレス宛にパケットを送信し、(ロ)パケットの応答として応答パケットを受信し、(ニ)受信した応答パケットに含まれる応答パケットの送信元アドレスを検出し、(ホ)検出した送信元アドレスが、宛先アドレスと異なる場合、応答パケットに含まれる、この応答パケットを送信した他の通信装置がエニキャストアドレスを持つことを示す識別子を検出し、(ヘ)識別子に基づいて応答パケットの検証を行うことをコンピュータに実行させる為の通信プログラムであることを要旨とする。
【0030】
本発明の第9の特徴は、(イ)エニキャストアドレスを持つサーバ装置が属する第1のネットワークと第2のネットワークとの境界に位置する境界ルータ装置においてルーティング処理を行うコンピュータに、第2のネットワーク側の通信装置から所定のエニキャストアドレスを持つサーバ装置宛のパケットを受信し、(ロ)パケットをサーバ装置に転送し、(ハ)サーバ装置からパケットに対する応答パケットを受信し、(ニ)応答パケットに含まれる、エニキャストアドレスとは異なる送信元アドレスが付与されていることを示す識別子を検出し、(ホ)識別子が検出された場合、予め保持している第2のネットワーク内におけるエニキャストアドレスを持つサーバ装置に関する情報に基づいて、応答パケットがサーバ装置から送信された応答パケットであることを検証し、(ヘ)この検証の結果に基づいて、応答パケットを通信装置に転送するか否かを制御することを実行させる為のルーティングプログラムであることを要旨とする。
【0031】
本発明の第10の特徴は、(イ)第1のネットワークに接続され、所定のエニキャストアドレスを持つサーバ装置において通信を行うコンピュータに、第2のネットワーク側に接続された通信装置からエニキャストアドレス宛に送信されたパケットを受信し、(ロ)パケットに応答する応答パケットに、サーバ装置がエニキャストアドレスを持つことを示す識別子を付与し、(ハ)応答パケットを通信装置へ送信することを実行させる為の通信プログラムであることを要旨とする。
【0032】
【発明の実施の形態】
(通信システム)
始めに、エニキャストアドレスを用いたネットワーク及び通信システムの概要について説明する。通信システム100は、図1に示すように、第2のネットワーク9内に位置する通信装置10a、10b、10c,…、インターネット1、境界ルータ20、Aルータ3、Bルータ4、内部ネットワークである第1のネットワーク7に属するAサーバ30a、端末5a…5n、第1のネットワーク7に属するBサーバ30b及び端末6a…6nとを備えている。
【0033】
インターネット1は、第1のネットワーク7と第2のネットワーク9を繋げるための通信回線である。これはケーブル等で接続される専用回線、衛星通信等の遠距離無線通信、BlueTooth等の近距離無線通信等であっても構わない。
【0034】
Aルータ3及びBルータ4は、パケットをネットワーク層でルーティングする装置であり、第1のネットワーク7上のあらゆるノード間同士でのデータ転送を担当する。Aサーバ30aは、Aルータ3が管理するノードの中心となり処理を行うコンピュータである。Bサーバ30bは、Bルータ4が管理するノードの中心となり処理を行うコンピュータである。
【0035】
Aルータ3の下位ノードとしては、図2のように、Aサーバ30a、端末5a、5b、5cが存在する。Bルータ4の下位ノードには、図2のように、Bサーバ30b、端末6a、6b、6cが存在する。第1のネットワーク7の全ての装置はLANケーブル8にて接続されている。
【0036】
尚、通信装置10a、10b、10c,…、境界ルータ20、Aサーバ30a及びBサーバ30b等の装置は、一般的なコンピュータに所定の機能を実現するソフトウェアプログラムをインストールすることにより実現される。
【0037】
また全ての装置のそれぞれのインターフェースは、図2に示すようにインターフェースアドレス(ここではIPv6アドレス)が付与されている。ここではLANケーブル8の物理層はイーサネット(TM)であり、IPv6アドレスが付与されていると仮定する。それぞれのIPv6アドレスは、自インターフェースにあらかじめ付与されたMACアドレスを用いて64ビットのインターフェース識別子を生成する。インターフェース識別子を下位64ビットとして、またルータから受信したプレフィックスを上位64ビットとし、合計128ビットのアドレスを自動生成するものとする。
【0038】
IPv6アドレスの形態にはリンクローカルアドレスやグローバルアドレスといった分類があるが、ここで説明するのは全てグローバルアドレスであると仮定する。
【0039】
境界ルータ20の下に属するネットワークを管理する管理者は、Aサーバ30aのインターフェース及び、Bサーバのインターフェースに同一のエニキャストアドレスSを付与する。エニキャスト宛てのパケットは、経路的にもっとも近いエニキャストアドレスを持つインターフェースに配送される。
【0040】
ここでは境界ルータ20から見た場合に、経路的にもっとも近いエニキャストアドレスSをもつサーバはAサーバ30aであると仮定する。
【0041】
ここでAルータ3及びBルータ4は、それぞれ自ルータの下に属するノードがエニキャストアドレスを割り当てられているか否かを知っているものとする。例えば、Aルータ3は、Aサーバ30aがエニキャストアドレスSを持っていることを示すテーブルを記憶しておく。同様にBサーバ4はBサーバ30bがエニキャストアドレスSを持っていることを示すテーブルを記憶しているとする。
【0042】
これらのテーブルはその前述の管理者が手動設定してもよいし、ルータとサーバ間で何らかのプロトコルを用いて自動設定としてもよい。
【0043】
(通信装置)
図1に示した通信装置10a、10b、10c,…は、それぞれ図3に示すように、入力装置11、出力装置12、通信制御装置13、主記憶装置14、処理制御装置(CPU)16等から構成される。CPU16は、送信手段16a、受信手段16b、第1の検出手段16c、第2の検出手段16d及び検証手段16e等を備えている。
【0044】
送信手段16aは、パケットのヘッダにある宛先アドレスをチェックし、その宛先アドレス宛にパケットを送信するモジュールである。受信手段16bは、パケットの応答として、送信相手のサーバ等より送信されてきた応答パケットを受信するモジュールである。
【0045】
第1の検出手段16cは、受信した応答パケットに含まれる、送信元アドレスを検出するモジュールである。第2の検出手段16dは、検出した送信元アドレスが、宛先アドレスと異なる場合、送信元アドレスに含まれるエニキャストアドレスを示す識別子を検出するモジュールである。検証手段16eは、識別子に基づいて応答パケットの検証を行うモジュールである。
【0046】
入力装置11は、キーボード、マウス等により構成される。又、通信制御装置13を介し外部装置より入力を行っても良い。ここで外部装置とは、CD−ROM、MO、ZIPなどの記憶媒体及びそのドライブ装置等を指す。出力装置12は、液晶ディスプレイ、CRTディスプレイ等の表示装置、インクジェットプリンタ、レーザープリンタ等の印刷装置等により構成される。
【0047】
通信制御装置13は、通信回線を介してデータを他の汎用機、サーバ等に送受信する為の制御信号を生成するモジュールである。主記憶装置14は、処理の手順を記述したプログラムや処理されるべきデータを一時的に記憶し、CPU16の要請に従ってプログラムの機械命令やデータを引き渡す。CPU16で処理されたデータは主記憶装置に書き込まれる。主記憶装置14とCPU16はアドレスバス、データバス、制御信号等で結ばれている。
【0048】
(通信装置による通信方法)
次に、通信装置10a、10b、10c,…を用いた通信方法について、図1及び図3を参照しながら、図6のフローチャートを用いて説明する。
【0049】
(a)ステップS101では、図3に示す送信手段16aが、パケットのヘッダにある宛先アドレスをチェックし、その宛先アドレス宛にパケットを送信する。パケットは図1に示すインターネット1等を介して宛先アドレス宛てに送信される。
【0050】
パケットを受け取ったサーバ等の相手装置は、このパケットに対する応答パケットを、通信装置10a、10b、10c,…に向けて再び送信する。又、この送信の際に、サーバ等の相手装置は、応答パケットに自らの属するエニキャストアドレスを証明する識別子を付与する。
【0051】
(b)ステップS102では、受信手段16bが、パケットの応答として、サーバ等の相手装置より送信されてきた応答パケットを受信する。
【0052】
(c)ステップS103では、第1の検出手段16cが、受信手段16bが受信した応答パケットに含まれる、送信元アドレスを検出する。これにより送信元の通信相手を特定することができる。
【0053】
(d)ステップS104では、検出した送信元アドレスが宛先アドレスと異なる場合、第2の検出手段16dが、送信元アドレスに含まれるエニキャストアドレスを示す識別子を検出する。
【0054】
(e)ステップS105では、検証手段16eが、検出した識別子に基づいて、送信元のサーバ等の相手装置がなりすましでないことを認証する。
【0055】
このように通信装置10a、10b、10c,…にてエニキャストアドレス通信を示す識別子を検出することにより、ユニキャストアドレスと同等の安全性をエニキャストアドレスにて確保することが可能となる。
【0056】
(境界ルータ装置)
境界ルータ20は、図1に示すように、複数のエニキャストアドレス保有サーバ装置が属する第1のネットワーク7と、外部のネットワークである第2のネットワーク9との境界に位置する。境界ルータ20は、図4に示すように入力装置21、出力装置22、通信制御装置23、主記憶装置24、処理制御装置(CPU)26及び補助記憶装置27等から構成される。
【0057】
補助記憶装置27は、第1のネットワーク7内のインターフェースのアドレスを記憶する。CPU26は、第1の受信手段26a、第1の転送手段26b、第2の受信手段26c、検出手段26d、検証手段26e、転送制御手段26f及び第2の転送手段26gを備えている。第1の受信手段26aは、第2のネットワーク9側の通信装置10a、10b、10c,…から、複数のエニキャストアドレス保有サーバ装置宛のパケットを受信するモジュールである。
【0058】
第1の転送手段26bは、パケットを複数のエニキャストアドレス保有サーバ装置の内、最も経路的に近距離にあるサーバ装置に転送するモジュールである。第2の受信手段26cは、経路的に最も近距離にあるサーバ装置から、パケットに対する応答パケットを受信するモジュールである。
【0059】
検出手段26dは、応答パケットに含まれる、エニキャストアドレスとは異なる送信元アドレスが付与されていることを示す識別子を検出するモジュールである。検証手段26eは、検出手段26dにおいて識別子が検出された場合、応答パケットがエニキャストアドレス保有サーバの内の1つのサーバから送信された応答パケットであることを検証するモジュールである。
【0060】
転送制御手段26fは、応答パケットを通信装置10a、10b、10c,…に転送するか否かを制御するモジュールである。第2の転送手段26gは、転送制御手段の制御によって、応答パケットを通信装置10a、10b、10c,…に転送するモジュールである。
【0061】
入力装置21、出力装置22、通信制御装置23及び主記憶装置24については、通信装置10a、10b、10c,…と同様であるため説明を省略する。
【0062】
(ルーティング方法)
次に境界ルータ20を用いたルーティング方法について図7のフローチャートを基に説明する。
【0063】
(a)ステップS201では、第1の受信手段26aが、図1のクライアント側の通信装置10a、10b、10c,…から、エニキャストアドレス保有サーバ装置宛のパケットを受信する。
【0064】
(b)ステップS202では、第1の転送手段26bが、受信したパケットを、エニキャストアドレス保有サーバ装置の内、最も経路的に近距離にあるサーバ装置に転送する。図1の場合、Aサーバ30aに転送する。
【0065】
(c)ステップS203では、第2の受信手段26cが、パケットに対する回答である、Aサーバ30aからの応答パケットを受信する。
【0066】
(d)ステップS204では、検出手段26dが、応答パケットに含まれる、エニキャストアドレスとは異なる送信元アドレスが付与されていることを示す識別子を検出する。
【0067】
(e)ステップS205では、検証手段26eが、検出手段26dにおいて識別子が検出された場合、応答パケットがエニキャストアドレス保有サーバの内の1つのサーバから送信された応答パケットであることを検証する。
【0068】
(f)ステップS207では、転送制御手段26fは、応答パケットを通信装置10a、10b、10c,…に転送するか否かを制御する。
【0069】
転送すると判断されると、ステップS208にて、第2の転送手段26gは、転送制御手段の制御によって、応答パケットを通信装置10a、10b、10c,…に転送する。又、転送しないと判断された場合、パケットは廃棄される。
【0070】
上記によると、境界ルータ20にてエニキャストアドレス通信を示す識別子のフィルタリングを実施することにより、ユニキャストアドレスと同等の安全性をエニキャストアドレスにて確保することが可能となる。
【0071】
(エニキャストアドレスを保有するサーバ装置)
エニキャストアドレスを保有するサーバ装置であるAサーバ30a及びBサーバ30bは、図5に示すように、入力装置31、出力装置32、通信制御装置33、主記憶装置34、処理制御装置(CPU)36及び識別子記憶装置37等から構成される。
【0072】
識別子記憶装置37は、エニキャストアドレスを保有することを示す識別子を記憶する。
【0073】
CPU36は、受信手段36a、識別子付与手段36b及び送信手段36cを備える。受信手段36aは、第2のネットワーク9に接続された通信装置10a、10b、10c,…からエニキャストアドレス宛に送信されたパケットを受信するモジュールである。
【0074】
識別子付与手段36bは、パケットに応答する応答パケットの送信元アドレスに、エニキャストアドレスを保有することを示す識別子を付与するモジュールである。送信手段36cは、応答パケットを通信装置10a、10b、10c,…へ送信するモジュールである。
【0075】
入力装置31、出力装置32、通信制御装置33及び主記憶装置34に関しては通信装置10a、10b、10c,…と同様であるため説明を省略する。
【0076】
(エニキャストアドレスを保有するサーバ装置の通信方法)
次に、Aサーバ30a及びBサーバ30bの通信方法について説明する。
【0077】
(a)ステップS301では、受信手段36aが、通信装置10a、10b、10c,…から、インターネット1を介して、エニキャストアドレス宛に送信されたパケットを受信する。
【0078】
(b)ステップS302では、識別子付与手段36bが、パケットに応答する応答パケットの送信元アドレスに、エニキャストアドレスを保有することを示す識別子を付与する。この識別子は識別子記憶装置37に記憶される識別子を使用する。
【0079】
(c)ステップS303では、送信手段36cが、識別子を付与した応答パケットを、通信装置10a、10b、10c,…へ送信する。
【0080】
上記によると、Aサーバ30aがエニキャスト通信を示す識別子を付与することにより、他の装置がフィルタリングを行うことが可能となり、ひいてはユニキャストアドレスと同等の安全性をエニキャストアドレスにて確保することが可能となる。
【0081】
(通信装置、境界ルータ装置及びサーバ装置を使用する通信方法)
以下、図1に示す通信装置10a、10b、10c,…を用いてAサーバ30a宛てにパケットの送受信を行う過程について図9を用いて説明する。
【0082】
(a)ステップS401にて、通信装置10a、10b、10c,…の入力装置11等を介してパケット送信要求が入力されると、送信手段16aが、パケットのヘッダにあるAサーバ30aの宛先アドレスをチェックし、その宛先アドレス宛にパケットを送信する。パケットはインターネット1を通じて宛先アドレス宛てに送信される。Aサーバが属する第1のネットワーク7にて受信されたパケットはステップS402のように境界ルータ20及びAルータ3に転送され、最終的に宛先アドレスのAサーバ30aに送信される。
【0083】
(b)ステップS403にて、Aサーバ30aの受信手段36aがパケットを受信する。この後ステップS404にて、識別子付与手段36bは返信するパケットに識別子を付与する。この識別子は識別子記憶装置37に記憶しているものを使用する。
【0084】
識別子付与後、ステップS405にて、送信手段36cは、通信装置10a、10b、10c,…に向けて応答パケットを送信する。応答パケットは、Aルータ3にルーティングされ、境界ルータ20に送信される。
【0085】
(c)ステップS406にて、境界ルータ20の第2の受信手段26cが応答パケットを受信すると、ステップS407にて、検出手段26dが応答パケットよりエニキャストアドレスを示す識別子を検出する。
【0086】
(d)ステップS408では、検証手段26eが、検出された識別子が適切であるか否かの検証を行う。検証の結果、パケットが適切である場合、ステップS410にて、第2の転送手段26gが、通信装置10a、10b、10c,…に向けて、インターネット1を介し、応答パケットを送信する。パケットが適切でない場合、そのパケットはステップS411にて廃棄される。
【0087】
(e)ステップS412では、通信装置10a、10b、10c,…の受信手段16bが、応答パケットを受信する。第1の検出手段16cが、受信された応答パケットの送信元アドレスを検出し、第2の検出手段16dが、応答パケットよりエニキャストアドレスを示す識別子を検出する。
【0088】
(f)ステップS413にて、エニキャストアドレスを示す識別子を保有しているか否かを基に、この応答パケットが、適切なサーバ、つまりAサーバ30aから送信されたものかどうかの検証を行う。適切な識別子を保有している場合、ステップS414にてこの応答パケットの読込を行い、適切な識別子を保有していない場合、ステップS415にてこの応答パケットを廃棄する。
【0089】
上記によると、Aサーバ30aがエニキャスト通信を示す識別子を付与し、通信装置10a、10b、10c,…及び境界ルータ20においてこの識別子のフィルタリングを実施することにより、ユニキャストアドレスと同等の安全性をエニキャストアドレスにて確保することが可能となる。
【0090】
【発明の効果】
本発明により、エニキャストアドレス利用時のなりすまし攻撃に対し、ユニキャストアドレスと同等の耐性が得られ、ユニキャストアドレスと同等の安全性の上で、エニキャストアドレス通信の利点である、プラグアンドプレイ機能を用いた不特定多数の通信装置、通信端末との通信を行うことが可能な通信装置、境界ルータ装置、サーバ装置、通信システム、通信方法、ルーティング方法、通信プログラム及びルーティングプログラムを提供することができる。
【図面の簡単な説明】
【図1】本発明の一実施の形態に係る通信システムの概要図である。
【図2】本発明の一実施の形態に係るエニキャストアドレス通信の構成図である。
【図3】本発明の一実施の形態に係る通信装置の構成図である。
【図4】本発明の一実施の形態に係るルータ装置の構成図である。
【図5】本発明の一実施の形態に係るサーバ装置の構成図である。
【図6】本発明の一実施の形態に係る通信装置の通信方法を示すフローチャートである。
【図7】本発明の一実施の形態に係るルータ装置のルーティング方法を示すフローチャートである。
【図8】本発明の一実施の形態に係るサーバ装置の通信方法を示すフローチャートである。
【図9】本発明の一実施の形態に係る通信システムの通信方法を示すフローチャートである。
【符号の説明】
1…インターネット
3…Aルータ
4…Bルータ
5a、5b、5c…端末
6a、6b、6c…端末
7…第1のネットワーク
8…LANケーブル
9…第2のネットワーク
10a、10b、10c……通信装置

Claims (10)

  1. 所定の宛先アドレス宛にパケットを送信する送信手段と、
    前記パケットの応答として応答パケットを受信する受信手段と、
    受信した前記応答パケットに含まれる送信元アドレスを検出する第1の検出手段と、
    検出した前記送信元アドレスが前記宛先アドレスと異なる場合、前記応答パケットに含まれる、前記宛先アドレスを持つ他の通信装置がエニキャストアドレスを付与されていることを示す識別子を検出する第2の検出手段と、
    検出した前記識別子に基づいて前記応答パケットの検証を行う検証手段
    とを具備したことを特徴とする通信装置。
  2. エニキャストアドレスを持つサーバ装置が属する第1のネットワークと第2のネットワークとの境界に位置する境界ルータ装置であって、
    前記第2のネットワーク側の通信装置から所定のエニキャストアドレスを持つ前記サーバ装置宛のパケットを受信する第1の受信手段と、
    前記パケットを前記サーバ装置に転送する第1の転送手段と、
    前記サーバ装置から前記パケットに対する応答パケットを受信する第2の受信手段と、
    前記応答パケットに含まれる、前記エニキャストアドレスとは異なる送信元アドレスが付与されていることを示す識別子を検出する検出手段と、
    前記検出手段において前記識別子が検出された場合、予め保持している前記第2のネットワーク内における前記エニキャストアドレスを持つサーバ装置に関する情報に基づいて、前記応答パケットが前記サーバ装置から送信された応答パケットであることを検証する検証手段と、
    この検証手段の結果に基づいて、前記応答パケットを前記通信装置に転送するか否かを制御する転送制御手段と、
    前記制御手段にて前記パケットを転送すると判断した場合には前記応答パケットを前記通信装置に転送する第2の転送手段
    とを具備したことを特徴とする境界ルータ装置。
  3. 第1のネットワークに接続され、所定のエニキャストアドレスを持つサーバ装置において、
    第2のネットワーク側に接続された通信装置から前記エニキャストアドレス宛に送信されたパケットを受信する受信手段と、
    前記パケットに応答する応答パケットに、この応答パケットの送信元がエニキャストアドレスを持つことを示す識別子を付与する識別子付与手段と
    前記応答パケットを前記通信装置へ送信する送信手段
    とを具備したことを特徴とするサーバ装置。
  4. 所定のエニキャストアドレスを持ち第1のネットワークに接続されたサーバ装置と、第2のネットワークに接続された通信装置と、前記第1のネットワークと前記第2のネットワークとの境界に位置する境界ルータ装置とからなる通信システムにおいて、前記通信装置は、
    前記エニキャストアドレス宛にパケットを送信する第1の送信手段、
    前記パケットの応答として前記サーバから応答パケットを受信する第1の受信手段とを具備し、前記サーバ装置は、
    前記通信装置から前記エニキャストアドレス宛に送信された前記パケットを受信する第2の受信手段、
    前記パケットに応答する前記応答パケットに、前記サーバ装置がエニキャストアドレスを持つことを示す識別子を付与する識別子付与手段、
    前記応答パケットを前記通信装置へ送信する第2の送信手段
    とを具備し、前記境界ルータ装置は、
    前記通信装置から所定のエニキャストアドレスを持つ前記サーバ装置宛のパケットを受信する第3の受信手段、
    前記パケットを前記サーバ装置に転送する第1の転送手段、
    前記サーバ装置から前記パケットに対する応答パケットを受信する第4の受信手段、
    前記応答パケットに含まれる、前記エニキャストアドレスとは異なる送信元アドレスが付与されていることを示す識別子を検出する検出手段、
    前記検出手段において前記識別子が検出された場合、予め保持している前記第1のネットワーク内における前記エニキャストアドレスを持つサーバ装置に関する情報に基づいて、前記応答パケットが前記サーバから送信された応答パケットであることを検証する検証手段、
    前記検証手段の結果に基づいて、前記応答パケットを前記通信装置に転送するか否かを制御する転送制御手段、
    前記制御手段にて前記パケットを転送すると判断した場合には前記応答パケットを前記通信装置に転送する第2の転送手段
    とを具備したことを特徴とする通信システム。
  5. 所定の宛先アドレス宛にパケットを送信し、
    前記パケットの応答として応答パケットを受信し、
    受信した該応答パケットに含まれる該応答パケットの送信元アドレスを検出し、
    検出した前記送信元アドレスが、前記宛先アドレスと異なる場合、前記応答パケットに含まれる、この応答パケットを送信した他の通信装置がエニキャストアドレスを持つことを示す識別子を検出し、
    前記識別子に基づいて前記応答パケットの検証を行う
    ことを特徴とする通信方法。
  6. エニキャストアドレスを持つサーバ装置が属する第1のネットワークと第2のネットワークとの境界に位置する境界ルータ装置におけるルーティング方法であって、
    前記第2のネットワーク側の通信装置から所定のエニキャストアドレスを持つ前記サーバ装置宛のパケットを受信し、
    前記パケットを前記サーバ装置に転送し、
    前記サーバ装置から前記パケットに対する応答パケットを受信し、
    前記応答パケットに含まれる、前記エニキャストアドレスとは異なる送信元アドレスが付与されていることを示す識別子を検出し、
    前記識別子が検出された場合、予め保持している前記第2のネットワーク内における前記エニキャストアドレスを持つサーバ装置に関する情報に基づいて、前記応答パケットが前記サーバ装置から送信された応答パケットであることを検証し、
    この検証の結果に基づいて、前記応答パケットを前記通信装置に転送するか否かを制御する
    ことを特徴とするルーティング方法。
  7. 第1のネットワークに接続され、所定のエニキャストアドレスを持つサーバ装置における通信方法であって、
    第2のネットワーク側に接続された通信装置から前記エニキャストアドレス宛に送信されたパケットを受信し、
    前記パケットに応答する応答パケットに、前記サーバ装置がエニキャストアドレスを持つことを示す識別子を付与し、
    前記応答パケットを前記通信装置へ送信する
    ことを特徴とする通信方法。
  8. 所定の宛先アドレス宛にパケットを送信し、
    前記パケットの応答として応答パケットを受信し、
    受信した該応答パケットに含まれる該応答パケットの送信元アドレスを検出し、
    検出した前記送信元アドレスが、前記宛先アドレスと異なる場合、前記応答パケットに含まれる、この応答パケットを送信した他の通信装置がエニキャストアドレスを持つことを示す識別子を検出し、
    前記識別子に基づいて前記応答パケットの検証を行う
    ことをコンピュータに実行させる為の通信プログラム。
  9. エニキャストアドレスを持つサーバ装置が属する第1のネットワークと第2のネットワークとの境界に位置する境界ルータ装置においてルーティング処理を行うコンピュータに、
    前記第2のネットワーク側の通信装置から所定のエニキャストアドレスを持つ前記サーバ装置宛のパケットを受信し、
    前記パケットを前記サーバ装置に転送し、
    前記サーバ装置から前記パケットに対する応答パケットを受信し、
    前記応答パケットに含まれる、前記エニキャストアドレスとは異なる送信元アドレスが付与されていることを示す識別子を検出し、
    前記識別子が検出された場合、予め保持している前記第2のネットワーク内における前記エニキャストアドレスを持つサーバ装置に関する情報に基づいて、前記応答パケットが前記サーバ装置から送信された応答パケットであることを検証し、
    この検証の結果に基づいて、前記応答パケットを前記通信装置に転送するか否かを制御する
    ことを実行させる為のルーティングプログラム。
  10. 第1のネットワークに接続され、所定のエニキャストアドレスを持つサーバ装置において通信を行うコンピュータに、
    第2のネットワーク側に接続された通信装置から前記エニキャストアドレス宛に送信されたパケットを受信し、
    前記パケットに応答する応答パケットに、前記サーバ装置がエニキャストアドレスを持つことを示す識別子を付与し、
    前記応答パケットを前記通信装置へ送信する
    ことを実行させる為の通信プログラム。
JP2002329950A 2002-11-13 2002-11-13 境界ルータ装置、通信システム、ルーティング方法、及びルーティングプログラム Expired - Fee Related JP3813571B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2002329950A JP3813571B2 (ja) 2002-11-13 2002-11-13 境界ルータ装置、通信システム、ルーティング方法、及びルーティングプログラム
CNB2003101149157A CN100481832C (zh) 2002-11-13 2003-11-13 通信装置、边界路由器装置、服务器装置、通信系统和通信方法
US10/705,976 US20040146045A1 (en) 2002-11-13 2003-11-13 Communication scheme for preventing attack by pretending in service using anycast

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002329950A JP3813571B2 (ja) 2002-11-13 2002-11-13 境界ルータ装置、通信システム、ルーティング方法、及びルーティングプログラム

Publications (2)

Publication Number Publication Date
JP2004166002A true JP2004166002A (ja) 2004-06-10
JP3813571B2 JP3813571B2 (ja) 2006-08-23

Family

ID=32732668

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002329950A Expired - Fee Related JP3813571B2 (ja) 2002-11-13 2002-11-13 境界ルータ装置、通信システム、ルーティング方法、及びルーティングプログラム

Country Status (3)

Country Link
US (1) US20040146045A1 (ja)
JP (1) JP3813571B2 (ja)
CN (1) CN100481832C (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7436833B2 (en) 2004-07-15 2008-10-14 Kabushiki Kaisha Toshiba Communication system, router, method of communication, method of routing, and computer program product
JP2009015520A (ja) * 2007-07-03 2009-01-22 Canon Inc 情報処理装置及び情報処理装置を制御するプログラム及びプログラムを記憶した記憶媒体
JP2010268164A (ja) * 2009-05-13 2010-11-25 Canon Inc ネットワーク通信装置及び方法とプログラム
JP2013229935A (ja) * 2013-07-11 2013-11-07 Canon Inc ネットワーク通信装置及び方法とプログラム

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0328756D0 (en) * 2003-12-11 2004-01-14 Nokia Corp Controlling transportation of data packets
US20070006294A1 (en) * 2005-06-30 2007-01-04 Hunter G K Secure flow control for a data flow in a computer and data flow in a computer network
US8614732B2 (en) * 2005-08-24 2013-12-24 Cisco Technology, Inc. System and method for performing distributed multipoint video conferencing
US8427956B1 (en) * 2006-03-06 2013-04-23 Cisco Technology, Inc. Facilitating packet flow in a communication network implementing load balancing and security operations
GB0610302D0 (en) * 2006-05-24 2006-07-05 Ibm A method, apparatus and computer program for validating that a clients request has been routed to an appropriate server
CN1878056B (zh) * 2006-07-13 2011-07-20 杭州华三通信技术有限公司 局域网中确定是否存在仿冒的网络设备的方法
US10063392B2 (en) * 2007-08-21 2018-08-28 At&T Intellectual Property I, L.P. Methods and apparatus to select a voice over internet protocol (VOIP) border element
US9124603B2 (en) * 2007-08-27 2015-09-01 At&T Intellectual Property I., L.P. Methods and apparatus to select a peered voice over internet protocol (VoIP) border element
US9258268B2 (en) * 2007-08-27 2016-02-09 At&T Intellectual Property, I., L.P. Methods and apparatus to dynamically select a peered voice over internet protocol (VoIP) border element
CN101174970A (zh) * 2007-11-30 2008-05-07 华为技术有限公司 任播服务的实现方法、发送任播请求的方法、任播路由器
US8520663B2 (en) 2008-02-26 2013-08-27 At&T Intellectual Property I, L. P. Systems and methods to select peered border elements for an IP multimedia session based on quality-of-service
US8954548B2 (en) * 2008-08-27 2015-02-10 At&T Intellectual Property Ii, L.P. Targeted caching to reduce bandwidth consumption
US9426213B2 (en) * 2008-11-11 2016-08-23 At&T Intellectual Property Ii, L.P. Hybrid unicast/anycast content distribution network system
US8122213B2 (en) 2009-05-05 2012-02-21 Dell Products L.P. System and method for migration of data
US8560597B2 (en) 2009-07-30 2013-10-15 At&T Intellectual Property I, L.P. Anycast transport protocol for content distribution networks
US8966033B2 (en) * 2009-08-17 2015-02-24 At&T Intellectual Property I, L.P. Integrated proximity routing for content distribution
US8560598B2 (en) 2009-12-22 2013-10-15 At&T Intellectual Property I, L.P. Integrated adaptive anycast for content distribution
US8613089B1 (en) 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6826181B1 (en) * 1997-05-13 2004-11-30 Matsushita Electric Industrial Co., Ltd. Packet transmitter
EP1628454B1 (en) * 1998-04-28 2018-12-26 Nokia Technologies Oy A method of and a network for handling wireless session protocol (wsp) sessions
JP2000049898A (ja) * 1998-07-31 2000-02-18 Sony Computer Entertainment Inc 情報受信装置及び方法、情報受信システム、情報送信装置及び方法、並びに情報送受信システム
JP4060021B2 (ja) * 2000-02-21 2008-03-12 富士通株式会社 移動通信サービス提供システム、および移動通信サービス提供方法
AU8932601A (en) * 2000-11-28 2002-05-30 Eaton Corporation Motor vehicle communication protocol with automatic device address assignment
DE60122782T2 (de) * 2001-03-02 2007-08-30 Nokia Corp. Adressierungsverfahren und system zur verwendung einer anycast-adresse
JP4572476B2 (ja) * 2001-03-13 2010-11-04 ソニー株式会社 通信処理システム、通信処理方法、および通信端末装置、データ転送制御装置、並びにプログラム
JP2003051837A (ja) * 2001-08-07 2003-02-21 Sony Corp アドレス管理システム、エニーキャスト・アドレス設定処理装置、通信端末装置、情報格納装置、およびアドレス管理方法、並びにコンピュータ・プログラム
US20040019664A1 (en) * 2002-02-15 2004-01-29 Franck Le Method and system for discovering a network element in a network such as an agent in an IP network
US20030211842A1 (en) * 2002-02-19 2003-11-13 James Kempf Securing binding update using address based keys

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7436833B2 (en) 2004-07-15 2008-10-14 Kabushiki Kaisha Toshiba Communication system, router, method of communication, method of routing, and computer program product
JP2009015520A (ja) * 2007-07-03 2009-01-22 Canon Inc 情報処理装置及び情報処理装置を制御するプログラム及びプログラムを記憶した記憶媒体
JP2010268164A (ja) * 2009-05-13 2010-11-25 Canon Inc ネットワーク通信装置及び方法とプログラム
JP2013229935A (ja) * 2013-07-11 2013-11-07 Canon Inc ネットワーク通信装置及び方法とプログラム

Also Published As

Publication number Publication date
US20040146045A1 (en) 2004-07-29
CN1501659A (zh) 2004-06-02
JP3813571B2 (ja) 2006-08-23
CN100481832C (zh) 2009-04-22

Similar Documents

Publication Publication Date Title
JP3813571B2 (ja) 境界ルータ装置、通信システム、ルーティング方法、及びルーティングプログラム
JP5398410B2 (ja) ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム
Arkko et al. Secure neighbor discovery (SEND)
JP4625125B2 (ja) マルチ鍵暗号化生成アドレスを用いたセキュアなアドレスプロキシ
US9686279B2 (en) Method and system for providing GPS location embedded in an IPv6 address using neighbor discovery
Wu et al. A source address validation architecture (sava) testbed and deployment experience
JP2011515049A (ja) Ipアドレス委任
JP2019515555A (ja) 識別情報指向型ネットワークの匿名識別情報及びプロトコル
WO2011020254A1 (zh) 防范网络攻击的方法和装置
WO2011044808A1 (zh) 一种匿名通信的溯源方法及系统
US20130332586A1 (en) Providing ipv6 connectivity through shared external interfaces on electronic devices
Beck et al. Monitoring the neighbor discovery protocol
Lu et al. An SDN-based authentication mechanism for securing neighbor discovery protocol in IPv6
Ataullah et al. ES-ARP: an efficient and secure address resolution protocol
JPWO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
WO2010130181A1 (zh) 防止IPv6地址被欺骗性攻击的装置与方法
Atkinson et al. A proposal for unifying mobility with multi-homing, NAT, & security
US20050271063A1 (en) Data communication apparatus, data communication method, program, and storage medium
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
JP4895793B2 (ja) ネットワーク監視装置及びネットワーク監視方法
WO2011072549A1 (zh) 非lisp站点与lisp站点通信的方法、装置及系统
JP4827868B2 (ja) ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法
US9455837B2 (en) Method and system for exchange multifunction job security using IPV6 neighbor discovery options
JP2005086700A (ja) 名前解決・認証方法及び装置
JP2019009637A (ja) ネットワーク監視装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060523

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060531

LAPS Cancellation because of no payment of annual fees