JP2005080242A - Method of providing ip interface information, providing apparatus thereof, providing program thereof and access authenticating apparatus - Google Patents

Method of providing ip interface information, providing apparatus thereof, providing program thereof and access authenticating apparatus Download PDF

Info

Publication number
JP2005080242A
JP2005080242A JP2003312017A JP2003312017A JP2005080242A JP 2005080242 A JP2005080242 A JP 2005080242A JP 2003312017 A JP2003312017 A JP 2003312017A JP 2003312017 A JP2003312017 A JP 2003312017A JP 2005080242 A JP2005080242 A JP 2005080242A
Authority
JP
Japan
Prior art keywords
terminal
interface information
encryption key
granting
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003312017A
Other languages
Japanese (ja)
Other versions
JP4236167B2 (en
Inventor
Mayumi Yanagiya
真由美 柳谷
Koji Takagi
康志 高木
Akira Kurokawa
章 黒川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003312017A priority Critical patent/JP4236167B2/en
Publication of JP2005080242A publication Critical patent/JP2005080242A/en
Application granted granted Critical
Publication of JP4236167B2 publication Critical patent/JP4236167B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To enable a terminal to confirm the validity of a message transmitted from a router or a DHCP server, even if the router or the DHCP used by the terminal dynamically change. <P>SOLUTION: An encryption key to be used for authentication which an authentication server uses to authenticate a terminal when the terminal requests communication is delivered to the router and the DHCP server as well as delivers to the terminal, thereby sharing the encryption key between the terminal and the router and between the terminal and the DHCP server, even if the router or the DHCP used by the terminal dynamically change. Also, in transmitting IP interface information from the router or the DHCP server to the terminal, the shared encryption key is used to generate message digest of the IP interface information or to perform challenge and response, thereby confirming the validity of the IP interface information or its transmission source. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、通信ネットワークにおける装置及び通信データの正当性の確認方法,その確認のための装置及びプログラムに関する。   The present invention relates to a device in a communication network, a method for confirming the validity of communication data, a device and a program for the confirmation.

IPネットワークにおいて、端末が通信の開始を要求するに際して、IPアドレスやネットワークプレフィックス,DNS(Domain Name System)アドレス,SIP(Session Initiation Protocol)サーバアドレス,ホスト名のうち少なくとも一つを含むIPインタフェース情報が、端末に対して動的に付与されることがある。その際に利用される代表的なプロトコルに、Neighbor DiscoveryとDHCPv6(Dynamic Host Configuration Protocol for IPv6)がある。   In an IP network, when a terminal requests to start communication, IP interface information including at least one of an IP address, a network prefix, a DNS (Domain Name System) address, a SIP (Session Initiation Protocol) server address, and a host name is included. , May be dynamically assigned to the terminal. Typical protocols used at that time include Neighbor Discovery and DHCPv6 (Dynamic Host Configuration Protocol for IPv6).

Neighbor Discoveryでは、IPv6におけるIPアドレスの一部であるネットワークプレフィックスを、ルータからRouter Advertisementメッセージを用いて、当該ルータに所属する端末に対して付与する。通常、Router Advertisementメッセージは、マルチキャスト機能を利用して、ルータから各端末に対して、定期的に通知されているが、端末がルータに対してRouter Solicitationメッセージを送信して、Router Advertisementメッセージを要求することも可能である。この場合、端末は要求すべきルータのIPアドレスがわからないため、Router Solicitationメッセージをマルチキャスト機能を利用して送信する。その際、当該端末を特定するためのインタフェースIDは、端末のMAC(Media Access Control)アドレス等から生成される(非特許文献1,2を参照)。   In Neighbor Discovery, a network prefix, which is a part of an IP address in IPv6, is assigned from a router to a terminal belonging to the router by using a Router Advertisement message. Usually, the Router Advertisement message is regularly notified from the router to each terminal using the multicast function, but the terminal sends a Router Solicitation message to the router to request a Router Advertisement message. It is also possible to do. In this case, since the terminal does not know the IP address of the router to be requested, it transmits a Router Solicitation message using the multicast function. At that time, an interface ID for specifying the terminal is generated from the MAC (Media Access Control) address of the terminal (see Non-Patent Documents 1 and 2).

DHCPv6では、次のようなサーバ−クライアント型の形態での手続を用いて、端末に対してIPインタフェース情報が付与される。端末は、マルチキャスト機能を利用して、DHCPSOLICITメッセージにより、IPネットワーク内で利用可能なDHCPサーバの探索を行う。DHCPサーバは、端末からのDHCPSOLICITメッセージを受信すると、DHCPOFFERメッセージを送信して、当該端末に対してDHCPサーバの存在を通知する。次に端末は、DHCPREQUESTメッセージを用いてIPインタフェース情報の送信を要求し、DHCPサーバは、DHCPACKメッセージを用いて、IPインタフェース情報を端末に対して付与する(非特許文献3を参照)。
T.Narten 外2名、”RFC2461:Neighbor Discove ry for IP Version6(IPv6)”、[online]、1998年12 月、IETF、[平成15年8月25日検索]、インターネット<ftp://ftp.rfc-ed itor.org/in-notes/rfc2461.txt> S.Thomson 外1名、”RFC2462:IPv6 Stateless Address Autoconfiguration”、[online]、1998年1 2月、IETF、[平成15年8月25日検索]、インターネット<ftp://ftp.rfc- editor.org/in-notes/rfc2462.txt> R.Eroms 外5名、”RFC3315:Dynamic Host Conf iguration Protocol for IPv6 (DHCPv6)”、 [online]、2003年6月、IETF、[平成15年8月25日検索]、インターネ ット<ftp://ftp.rfc-editor.org/in-notes/rfc3315.txt> In DHCPv6, IP interface information is assigned to a terminal using the following server-client type procedure. The terminal searches for a DHCP server that can be used in the IP network by using a DHCPSOLICIT message using the multicast function. When the DHCP server receives a DHCPSOLICIT message from the terminal, the DHCP server transmits a DHCPOFFER message to notify the terminal of the existence of the DHCP server. Next, a terminal requests | requires transmission of IP interface information using a DHCPREQUEST message, and a DHCP server provides IP interface information with respect to a terminal using a DHCPACK message (refer nonpatent literature 3).
T.A. Narten et al., “RFC 2461: Neighbor Discovery for IP Version 6 (IPv6)”, [online], December 1998, IETF, [searched on August 25, 2003], Internet <ftp: //ftp.rfc -ed itor.org/in-notes/rfc2461.txt> S. Thomson and others, "RFC 2462: IPv6 Stateless Address Autoconfiguration", [online], February 1998, IETF, [August 25, 2003 search], Internet <ftp://ftp.rfc-editor.org /in-notes/rfc2462.txt> R. 5 people from "Eroms", "RFC3315: Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", [online], June 2003, IETF, [Search August 25, 2003], Internet <ftp: // ftp.rfc-editor.org/in-notes/rfc3315.txt>

NeighborDiscoveryとDHCPv6では、手順やメッセージの形式はそれぞれ異なるが、端末がIPインタフェース情報を付与するルータやDHCPサーバを探索するに際して、いずれもマルチキャスト機能を利用することが共通している。   Although Neighbor Discovery and DHCPv6 have different procedures and message formats, it is common that a terminal uses a multicast function when searching for a router or DHCP server to which IP interface information is added.

しかしながらマルチキャスト機能を利用した場合、ある端末が送信したIPインタフェース情報を要求するメッセージを、同一のネットワーク内に存在する他の端末が受信することは、原理的に可能である。この場合、同一ネットワーク内に存在する悪意を持つ端末や誤ってルータやDHCPサーバとして設定されている端末が、IPインタフェース情報を要求した端末に対し、不正なIPインタフェース情報を送信してくる可能性がある。   However, when the multicast function is used, in principle, it is possible for another terminal in the same network to receive a message requesting IP interface information transmitted from a certain terminal. In this case, there is a possibility that a malicious terminal existing in the same network or a terminal erroneously set as a router or a DHCP server may send illegal IP interface information to a terminal that has requested IP interface information. There is.

これに対して、端末と正当なルータやDHCPサーバとの間で、事前に暗号鍵を共有しておくことにより、端末が認証を行ない、当該ルータやDHCPサーバの正当性及びそれらから送信されたメッセージの正当性を確認することは可能である。   On the other hand, by sharing the encryption key in advance between the terminal and a legitimate router or DHCP server, the terminal performs authentication, and the legitimacy of the router or DHCP server and the transmitted from them. It is possible to confirm the validity of the message.

しかし端末が利用するルータやDHCPサーバが動的に変化する場合には、端末とルータやDHCPサーバとの間で、暗号鍵を事前に共有しておく方法では、ルータやDHCPサーバが変わる都度に暗号鍵を、再度、共有しなくてはならず、運用が困難になるという問題があった。   However, if the router or DHCP server used by the terminal changes dynamically, the method in which the encryption key is shared between the terminal and the router or DHCP server in advance will change every time the router or DHCP server changes. There was a problem that the encryption key had to be shared again, making it difficult to operate.

そこで本発明では、暗号鍵の共有を容易にし、それを用いて端末がルータやDHCPサーバの正当性及びそれら送信されたメッセージの正当性を確認できるようにすることを目的とする。   Therefore, an object of the present invention is to facilitate sharing of an encryption key so that a terminal can confirm the validity of a router or a DHCP server and the validity of those transmitted messages.

前記課題を解決するため、本発明では、端末が通信を要求した際に認証サーバが配布する当該端末の暗号鍵を、同時にルータやDHCPサーバにも配布することにより、端末の利用するルータやDHCPサーバが動的に変化した場合でも、当該端末とルータやDHCPサーバとの間での暗号鍵を共有できることを特徴とする。   In order to solve the above-described problem, in the present invention, the encryption key of the terminal distributed by the authentication server when the terminal requests communication is also distributed to the router and the DHCP server at the same time. Even when the server dynamically changes, the encryption key can be shared between the terminal and the router or the DHCP server.

さらにルータやDHCPサーバから端末へのIPインタフェース情報を送信するに際して、共有した暗号鍵を用いてメッセージダイジェストの生成やチャレンジ&レスポンスを行うことにより、当該IPインタフェース情報の改ざんや送信元のなりすましを発見でき、ルータやDHCPサーバ及びIPインタフェース情報の正当性を確認できることを特徴とする。   In addition, when sending IP interface information from a router or DHCP server to a terminal, by using a shared encryption key to generate a message digest or challenge and response, discover the alteration of the IP interface information or impersonate the sender The validity of the router, the DHCP server, and the IP interface information can be confirmed.

以上説明したように、請求項1に記載の発明によれば、暗号鍵を端末及びルータ,DHCPサーバへ配布することにより、端末とルータ,DHCPサーバとの間での暗号鍵の共有を実現する。   As described above, according to the first aspect of the present invention, the encryption key is distributed to the terminal, the router, and the DHCP server to realize sharing of the encryption key between the terminal, the router, and the DHCP server. .

請求項2,3の発明によれば、請求項1で共有した暗号鍵を用いたメッセージダイジェストにより、ルータ,DHCPサーバ及びIPインタフェース情報の正当性を確認することができる。   According to the second and third aspects of the invention, the validity of the router, the DHCP server, and the IP interface information can be confirmed by the message digest using the encryption key shared in the first aspect.

請求項4,5の発明によれば、請求項1で共有した暗号鍵を用いたチャレンジ&レスポンスにより、ルータ,DHCPサーバ及びIPインタフェース情報の正当性を確認することができる。   According to the fourth and fifth aspects of the present invention, the validity of the router, the DHCP server, and the IP interface information can be confirmed by a challenge and response using the encryption key shared in the first aspect.

請求項6の発明によれば、請求項1の発明で利用されるアクセス認証装置を実現できる。   According to the invention of claim 6, the access authentication device used in the invention of claim 1 can be realized.

請求項7の発明によれば、請求項2,4の発明で利用されるIPインタフェース情報付与装置を実現できる。   According to the seventh aspect of the present invention, the IP interface information providing apparatus used in the second and fourth aspects of the present invention can be realized.

請求項8の発明によれば、請求項3,5の発明で利用される端末用プログラムを実現できる。   According to the invention of claim 8, the terminal program used in the inventions of claims 3 and 5 can be realized.

次に本発明の実施形態について、適宜図面を参照しながら詳細に説明する。図1は、本発明の実施形態例を示すネットワーク構成図である。当該実施形態例を示すネットワークは、端末11,ネットワーク接続装置12,パケット転送装置13,通信ネットワーク14,認証クライアント15,アクセス認証装置16,IPインタフェース情報付与装置17,暗号鍵管理データベース18,サブネット19とを備えて構成される。   Next, embodiments of the present invention will be described in detail with reference to the drawings as appropriate. FIG. 1 is a network configuration diagram showing an embodiment of the present invention. The network showing the embodiment includes a terminal 11, a network connection device 12, a packet transfer device 13, a communication network 14, an authentication client 15, an access authentication device 16, an IP interface information adding device 17, an encryption key management database 18, and a subnet 19 And is configured.

図1において端末11は、通信開始の要求及びIPインタフェース情報の要求を行う。ネットワーク接続装置12は、端末11からの通信要求を受け付け、端末11と他の装置との通信を中継する機能を有する。パケット転送装置13は、端末11から送信されたIPパケットを、端末11が所望する端末または装置へ転送する、またはその逆の転送をする機能を有する。通信ネットワーク14は、パケット転送装置13,アクセス認証装置16,IPインタフェース情報付与装置17,暗号鍵管理データベース18から構成される。認証クライアント15は、ネットワーク接続装置12に組み込まれており、通信開始時に端末11より通知されたユーザIDやパスワード,電子証明書を含む認証情報と、MACアドレスを含む端末識別子を、アクセス認証装置16へ通知する機能を有する。アクセス認証装置16は、認証クライアント15より通知された端末11の認証情報と、事前に保持していた端末11の認証情報とを比較することにより、端末11がネットワーク接続装置12を利用可能か否かを判断する機能を有する。またアクセス認証装置16は、前記において利用可能と判断した場合に、端末11に対して暗号鍵を配布し、自身と端末11との間で暗号鍵を共有する機能、及びIPインタフェース情報付与装置17に対して、端末11の端末識別子と共に同じ暗号鍵を配布し、端末11とIPインタフェース情報付与装置17との間で暗号鍵を共有する機能を有する。IPインタフェース情報付与装置17は、IPインタフェース情報を、端末11の通知する機能を有する。暗号鍵管理データベース18は、アクセス認証装置16が管理する暗号鍵を記憶する。サブネット19は、端末11,ネットワーク接続装置12,認証クライアント15から構成される。   In FIG. 1, a terminal 11 makes a request for communication start and a request for IP interface information. The network connection device 12 has a function of accepting a communication request from the terminal 11 and relaying communication between the terminal 11 and another device. The packet transfer device 13 has a function of transferring an IP packet transmitted from the terminal 11 to a terminal or device desired by the terminal 11, or vice versa. The communication network 14 includes a packet transfer device 13, an access authentication device 16, an IP interface information adding device 17, and an encryption key management database 18. The authentication client 15 is incorporated in the network connection device 12. The access authentication device 16 receives the authentication information including the user ID, password, and electronic certificate notified from the terminal 11 at the start of communication, and the terminal identifier including the MAC address. It has a function to notify. Whether the terminal 11 can use the network connection device 12 by comparing the authentication information of the terminal 11 notified from the authentication client 15 with the authentication information of the terminal 11 held in advance. It has the function to judge whether. Further, the access authentication device 16 distributes the encryption key to the terminal 11 when the access authentication device 16 determines that the access authentication device 16 can be used, and shares the encryption key between itself and the terminal 11, and the IP interface information providing device 17 On the other hand, it has a function of distributing the same encryption key together with the terminal identifier of the terminal 11 and sharing the encryption key between the terminal 11 and the IP interface information adding device 17. The IP interface information adding device 17 has a function of notifying the terminal 11 of IP interface information. The encryption key management database 18 stores encryption keys managed by the access authentication device 16. The subnet 19 includes a terminal 11, a network connection device 12, and an authentication client 15.

図16は、アクセス認証装置16の構成を示す。図16において受信部161は、認証クライアント15からの端末11の認証情報を受信し、処理部163が受信した認証情報に基づいて端末11の正当性の確認を行なった後に、送信部162が暗号鍵を端末11に対して送信する。さらに送信部はIPインタフェース情報付与装置17へも暗号鍵を送信する。   FIG. 16 shows the configuration of the access authentication device 16. In FIG. 16, the reception unit 161 receives the authentication information of the terminal 11 from the authentication client 15 and confirms the validity of the terminal 11 based on the authentication information received by the processing unit 163, and then the transmission unit 162 performs encryption. The key is transmitted to the terminal 11. Further, the transmission unit also transmits the encryption key to the IP interface information adding device 17.

図17は、IPインタフェース情報付与装置17の構成を示す。図17において、受信部171はアクセス認証装置16から端末11の暗号鍵を受信する。また受信部171は、端末11からIPインタフェース情報の付与を要求する信号、さらに必要な場合には乱数を受信する。処理部173は、受信した暗号鍵を用いて、IPインタフェース情報または受信した乱数の暗号化を行う。送信部172は、IPインタフェース情報と共に、当該暗号化IPインタフェース情報または当該暗号化乱数を送信する。   FIG. 17 shows the configuration of the IP interface information adding device 17. In FIG. 17, the receiving unit 171 receives the encryption key of the terminal 11 from the access authentication device 16. In addition, the receiving unit 171 receives a signal for requesting addition of IP interface information from the terminal 11 and, if necessary, a random number. The processing unit 173 encrypts the IP interface information or the received random number using the received encryption key. The transmission unit 172 transmits the encrypted IP interface information or the encrypted random number together with the IP interface information.

図18は、端末11の構成を示す。図18において、受信部181はアクセス認証装置16から暗号鍵を受信する。また受信部181はIPインタフェース情報付与装置からIPインタフェース情報及び暗号化IPインタフェース情報または暗号化乱数を受信する。処理部183は、必要に応じて乱数の生成を行う。また処理部183は、受信した暗号鍵を用いた受信したIPインタフェース情報の暗号化及び当該暗号化IPインタフェース情報と受信した暗号化IPインタフェース情報との比較を行ない、受信したIPインタフェース情報およびIPインタフェース情報付与装置の正当性の確認を行う。また処理部183は、受信した暗号鍵を用いた生成した乱数の暗号化及び当該暗号化乱数と受信した暗号化乱数の比較を行ない、受信したIPインタフェース情報の正当性の確認を行う。   FIG. 18 shows the configuration of the terminal 11. In FIG. 18, the receiving unit 181 receives an encryption key from the access authentication device 16. The receiving unit 181 receives the IP interface information and the encrypted IP interface information or the encrypted random number from the IP interface information adding device. The processing unit 183 generates a random number as necessary. The processing unit 183 also encrypts the received IP interface information using the received encryption key, compares the encrypted IP interface information with the received encrypted IP interface information, and receives the received IP interface information and IP interface. The validity of the information adding device is confirmed. The processing unit 183 also encrypts the generated random number using the received encryption key, compares the encrypted random number with the received encrypted random number, and confirms the validity of the received IP interface information.

図2は、端末11による通信開始要求から、アクセス認証装置16により端末11が認証されて端末11に対して暗号鍵が配布されるのと同時に、IPインタフェース情報付与装置17に対しても、暗号鍵が配布されるまでのシーケンスを示している。   FIG. 2 shows that when the terminal 11 is authenticated by the access authentication device 16 from the communication start request by the terminal 11 and the encryption key is distributed to the terminal 11, the encryption is also made to the IP interface information adding device 17. This shows the sequence until the key is distributed.

端末11はネットワーク接続装置12に対して通信要求を行ない(S201)、ネットワーク接続装置12内の認証クライアント15からの認証情報要求を受ける(S202)。その後、端末11は、認証クライアント15を介してアクセス認証装置16へ端末識別子を送信し(S203)、アクセス認証装置16により正当な端末であると判断された場合、暗号鍵の配布を受ける(S204)。この結果、端末11とアクセス認証装置16は暗号鍵を共有したこととなる。その後、アクセス認証装置16は、IPインタフェース情報付与装置17に対して、端末11の端末識別子と共に、暗号鍵を配布する(S205)。これにより端末11とIPインタフェース情報付与装置17は、暗号鍵を共有したこととなる。その後、アクセス認証装置16は、認証クライアント15を介して、端末11に対して認証が成功したことを通知する(S206)。ここではアクセス認証装置16は、端末11の暗号鍵をIPインタフェース情報付与装置17に対して配布した後に、端末11に対して認証が成功したことを通知したが、アクセス認証装置16が、端末11に対して認証が成功したことを通知した後に、IPインタフェース情報付与装置17に対して、暗号鍵を配布してもよい。また前記説明では、暗号鍵はアクセス認証装置16から端末11に対して配布されるものとしたが、先に共有する情報を元にして、それぞれが同一の暗号鍵を生成することにより、暗号鍵を共有する方法としてもよい。以下、各方法の説明において、暗号鍵の共有は同様の方法で実現可能である。   The terminal 11 makes a communication request to the network connection device 12 (S201), and receives an authentication information request from the authentication client 15 in the network connection device 12 (S202). Thereafter, the terminal 11 transmits a terminal identifier to the access authentication device 16 via the authentication client 15 (S203), and receives an encryption key distribution when the access authentication device 16 determines that the terminal is a valid terminal (S204). ). As a result, the terminal 11 and the access authentication device 16 share the encryption key. Thereafter, the access authentication device 16 distributes the encryption key together with the terminal identifier of the terminal 11 to the IP interface information adding device 17 (S205). As a result, the terminal 11 and the IP interface information providing apparatus 17 share the encryption key. Thereafter, the access authentication device 16 notifies the terminal 11 that the authentication has succeeded via the authentication client 15 (S206). Here, the access authentication device 16 notifies the terminal 11 that the authentication has succeeded after distributing the encryption key of the terminal 11 to the IP interface information adding device 17. After notifying that the authentication is successful, the encryption key may be distributed to the IP interface information adding device 17. In the above description, the encryption key is distributed from the access authentication device 16 to the terminal 11. However, the encryption key is generated by generating the same encryption key based on the previously shared information. It is good also as a method of sharing. Hereinafter, in the description of each method, encryption key sharing can be realized by the same method.

図3では、まず端末11による通信開始要求から、アクセス認証装置16により端末11が認証され、端末11に対して暗号鍵が配布された後に、端末11からのIPインタフェース情報付与装置17の探索が行なわれたのを契機として、アクセス認証装置16からIPインタフェース情報付与装置17に対して、暗号鍵が配布されるまでのシーケンスを示している。   In FIG. 3, first, after a communication start request by the terminal 11, the terminal 11 is authenticated by the access authentication device 16 and an encryption key is distributed to the terminal 11. The sequence until the encryption key is distributed from the access authentication device 16 to the IP interface information adding device 17 is shown by the fact that it is performed.

端末11はネットワーク接続装置12に対して通信要求を行ない(S301)、ネットワーク接続装置12内の認証クライアント15からの認証情報要求を受ける(S302)。その後、端末11は、認証クライアント15を介してアクセス認証装置16へ端末識別子を送信し(S303)、アクセス認証装置16により正当な端末であると判断された場合、暗号鍵の配布を受ける(S304)。この結果、端末11とアクセス認証装置16は暗号鍵を共有したこととなる。その後、アクセス認証装置16は、認証クライアント15を介して、端末11に対して認証が成功したことを通知する(S305)。端末11からのIPインタフェース情報付与装置17の探索が行なわれたのを契機として(S306)、IPインタフェース情報付与装置17からアクセス認証装置16に対して暗号鍵が要求され(S307)、アクセス認証装置16は、IPインタフェース情報付与装置17に対して、端末11の端末識別子と共に暗号鍵を配布する(S308)。これにより端末11とIPインタフェース情報付与装置17は、暗号鍵を共有したこととなる。   The terminal 11 makes a communication request to the network connection device 12 (S301), and receives an authentication information request from the authentication client 15 in the network connection device 12 (S302). Thereafter, the terminal 11 transmits a terminal identifier to the access authentication device 16 via the authentication client 15 (S303). When the access authentication device 16 determines that the terminal is a valid terminal, the terminal 11 receives distribution of the encryption key (S304). ). As a result, the terminal 11 and the access authentication device 16 share the encryption key. Thereafter, the access authentication device 16 notifies the terminal 11 that the authentication has succeeded via the authentication client 15 (S305). In response to the search for the IP interface information providing device 17 from the terminal 11 (S306), the IP interface information providing device 17 requests the access authentication device 16 for an encryption key (S307), and the access authentication device. 16 distributes the encryption key together with the terminal identifier of the terminal 11 to the IP interface information providing apparatus 17 (S308). As a result, the terminal 11 and the IP interface information providing apparatus 17 share the encryption key.

図4は、アクセス認証装置16からIPインタフェース情報付与装置17に対して暗号鍵が配布された後であり、端末11によるIPインタフェース情報付与の要求を行うメッセージの送信から、IPインタフェース情報付与装置17が、IPインタフェース情報を送信するまでの、メッセージダイジェストによる認証を用いた場合のシーケンスを示している。   FIG. 4 shows the state after the encryption key is distributed from the access authentication device 16 to the IP interface information adding device 17, and from the transmission of a message for requesting IP interface information addition by the terminal 11 to the IP interface information adding device 17. Shows a sequence in the case of using message digest authentication until IP interface information is transmitted.

端末11は、IPネットワークにおけるマルチキャスト機能を用いて、IPインタフェース情報付与装置17に対して、IPインタフェース情報の付与を要求するメッセージを、自分の端末識別子を付加して送信する(S401)。これを受信したIPインタフェース情報付与装置17は、端末識別子から端末11の暗号鍵を選択した後(S402)、端末11に付与するIPインタフェース情報を作成し(S403)、当該暗号鍵を用いてIPインタフェース情報のメッセージダイジェスト(MDと呼ぶ)を作成する(S404)。その後、IPインタフェース情報とMDをIPインタフェース情報回答メッセージとして、IPv6のセキュリティプロトコルであるIPsecの認証ヘッダ(AHヘッダと呼ぶ)を利用して、端末11に対して送信する(S405)。端末11では、自分の暗号鍵と送られてきたIPインタフェース情報からMDを作成し(S406)、これと送られてきたMDが一致するか否かを比較する(S407)。一致した場合、IPインタフェース情報付与装置17の正当性とIPインタフェース情報の改ざんがないことを確認できる。その後、端末11は、得たIPインタフェース情報を今後の通信に利用する。ここで(S402)と(S403)は、順序が逆になっても差し支えない。   Using the multicast function in the IP network, the terminal 11 sends a message requesting the addition of IP interface information to the IP interface information adding device 17 with its own terminal identifier added (S401). Upon receiving this, the IP interface information adding device 17 selects the encryption key of the terminal 11 from the terminal identifier (S402), creates IP interface information to be assigned to the terminal 11 (S403), and uses the encryption key to create an IP interface information. A message digest (referred to as MD) of interface information is created (S404). Thereafter, the IP interface information and MD are transmitted to the terminal 11 as an IP interface information reply message using an IPsec authentication header (referred to as an AH header) that is an IPv6 security protocol (S405). The terminal 11 creates an MD from its encryption key and the sent IP interface information (S406), and compares whether or not the sent MD matches (S407). If they match, it can be confirmed that the IP interface information adding device 17 is correct and that the IP interface information has not been falsified. Thereafter, the terminal 11 uses the obtained IP interface information for future communication. Here, (S402) and (S403) may be reversed in order.

前記において(S401)を実施する際に、IPインタフェース情報付与装置17は、端末11が送信したIPインタフェース情報付与要求メッセージが改ざんされる、または他の端末がなりすますことを防止するために、共有する暗号鍵を用いて、(S404)から(S407)までで行なったものと同様の手順で、端末11の認証を行うことも可能である。その際、MDの作成の元となるデータには、任意のデータを利用し、この任意のデータと作成したMDをIPインタフェース情報付与装置17に送付する。   When performing (S401) in the above, the IP interface information adding device 17 shares the IP interface information adding request message transmitted by the terminal 11 in order to prevent falsification or impersonation of other terminals. Using the encryption key, the terminal 11 can be authenticated in the same procedure as that performed from (S404) to (S407). At this time, arbitrary data is used as the data for creating the MD, and the arbitrary data and the created MD are sent to the IP interface information adding device 17.

図5は、アクセス認証装置16からIPインタフェース情報付与装置17に対して暗号鍵が配布された後であり、端末11によるIPインタフェース情報付与の要求を行うメッセージの送信から、IPインタフェース情報付与装置17が、IPインタフェース情報を送信するまでの、チャレンジ&レスポンスによる認証を用いた場合のシーケンスを示している。   FIG. 5 shows the state after the encryption key is distributed from the access authentication device 16 to the IP interface information adding device 17, and from the transmission of a message for requesting IP interface information addition by the terminal 11 to the IP interface information adding device 17. Shows a sequence in the case of using challenge and response authentication until IP interface information is transmitted.

端末11は、チャレンジデータとなる乱数を生成した上で(S501)、IPネットワークにおけるマルチキャスト機能を用いて、IPインタフェース情報付与装置17に対して、IPインタフェース情報の付与を要求するメッセージを、自分の端末識別子とチャレンジデータを付加して送信する(S502)。これを受信したIPインタフェース情報付与装置17は、端末識別子から端末11の暗号鍵を選択し(S503)、選択した暗号鍵でチャレンジデータを暗号化して、レスポンスデータを生成する(S504)。その後、IPインタフェース情報付与装置17は、端末11に対して付与するIPインタフェース情報を作成し(S505)、レスポンスデータと共に、IPインタフェース情報回答メッセージとして、端末11に対して送信する(S506)。端末11では、自分の暗号鍵でチャレンジデータを暗号化し(S507)、その結果とIPインタフェース情報付与装置17から送られたレスポンスデータが一致するか否かを比較する(S508)。一致した場合、端末11は、IPインタフェース情報付与装置17の正当性を確認する。その後、端末11は、得たIPインタフェース情報を今後の通信に利用する。ここで(S503),(S504)と(S505)は、順序が逆になっても差し支えない。   The terminal 11 generates a random number as challenge data (S501), and then uses the multicast function in the IP network to send a message requesting the IP interface information adding device 17 to add IP interface information. A terminal identifier and challenge data are added and transmitted (S502). Upon receiving this, the IP interface information providing apparatus 17 selects the encryption key of the terminal 11 from the terminal identifier (S503), encrypts the challenge data with the selected encryption key, and generates response data (S504). Thereafter, the IP interface information adding device 17 creates IP interface information to be assigned to the terminal 11 (S505), and transmits it to the terminal 11 as an IP interface information reply message together with the response data (S506). The terminal 11 encrypts the challenge data with its own encryption key (S507), and compares the result with the response data sent from the IP interface information adding device 17 (S508). If they match, the terminal 11 confirms the validity of the IP interface information adding device 17. Thereafter, the terminal 11 uses the obtained IP interface information for future communication. Here, (S503), (S504), and (S505) may be reversed in order.

(実施形態例1)
次に、本発明の具体的な実施形態例について説明する。(実施形態例1)は、IPインタフェース情報を取得するためのプロトコルとしてNeighbor Discoveryを用い、端末とネットワーク接続装置である無線LANアクセスポイントが、IEEE802.1xによる認証機能を備えた無線LANで接続され、アクセス認証装置にはRADIUSサーバ、パケット転送装置にはルータが使用されたネットワーク構成において本発明を実施した場合を、図6〜10を用いて説明している。 (Example 1)
Next, specific embodiments of the present invention will be described. (Embodiment 1) uses Neighbor Discovery as a protocol for acquiring IP interface information, and a wireless LAN access point that is a terminal and a network connection device is connected by a wireless LAN having an authentication function based on IEEE 802.1x. A case where the present invention is implemented in a network configuration in which a RADIUS server is used as the access authentication device and a router is used as the packet transfer device will be described with reference to FIGS.

図6は、本発明の実施例を示すネットワーク構成図である。当該実施例を示すネットワークは、端末61,無線LANアクセスポイント62,ルータ63,RADIUSサーバ64,通信ネットワーク65,サブネットワーク66とを備えて構成される。   FIG. 6 is a network configuration diagram showing an embodiment of the present invention. The network according to this embodiment includes a terminal 61, a wireless LAN access point 62, a router 63, a RADIUS server 64, a communication network 65, and a subnetwork 66.

図6において端末61は、通信の開始に際して、IPインタフェース情報を要求する。無線LANアクセスポイント62は、ネットワーク接続装置に相当する。無線LANアクセスポイント62には、認証クライアントに相当するRADIUSクライアント67が組み込まれている。ルータ63は、パケット転送装置に相当する。RADIUSサーバ64は、アクセス認証装置に相当する。通信ネットワーク65、RADIUSサーバ64とルータ63により構成される。サブネットワーク66は、端末61と無線LANアクセスポイント62により構成される。   In FIG. 6, the terminal 61 requests IP interface information when starting communication. The wireless LAN access point 62 corresponds to a network connection device. The wireless LAN access point 62 incorporates a RADIUS client 67 corresponding to an authentication client. The router 63 corresponds to a packet transfer device. The RADIUS server 64 corresponds to an access authentication device. A communication network 65, a RADIUS server 64, and a router 63 are included. The subnetwork 66 includes a terminal 61 and a wireless LAN access point 62.

図7は、端末61による通信開始要求から、RADIUSサーバ64により端末61が認証され、端末61に対して暗号鍵が配布されるのと同時に、ルータ63に対しても、暗号鍵が配布されるまでのシーケンスを示している。またRADIUSサーバ64による端末61の認証と暗号鍵の配布は、LANの認証プロトコルであるIEEE802.1xを用いて行なわれる。   In FIG. 7, the terminal 61 is authenticated by the RADIUS server 64 from the communication start request by the terminal 61 and the encryption key is distributed to the terminal 61. At the same time, the encryption key is also distributed to the router 63. The sequence up to is shown. The authentication of the terminal 61 and the distribution of the encryption key by the RADIUS server 64 are performed using IEEE 802.1x which is a LAN authentication protocol.

端末61は、無線LANアクセスポイント62に対して通信要求を行ない(S701)、無線LANアクセスポイント62内のRADIUSクライアント67からの認証情報要求を受ける(S702)。その後、端末61から、RADIUSクライアント67を介して、RADIUSサーバ64に対して、ユーザIDやパスワード,電子証明書,MACアドレスが通知され(S703)、端末61の正当性が確認される(S704)。RADIUSサーバ64が、端末61は正当であると判断した場合、RADIUSサーバ64は、生成した暗号鍵をRADIUSクライアント67と端末61へ配布する(S705)。この結果、端末61とRADIUSサーバ64は、暗号鍵を共有したこととなる。RADIUSクライアント67は、暗号鍵を端末61のMACアドレスと共に無線LANアクセスポイント62に記憶させ(S706)、当該暗号鍵は、端末61と無線LANアクセスポイント62との間の無線LAN区間の通信データの暗号化に利用される。その後、RADIUSサーバ64は、RADIUSクライアント67を介して、端末61に対して認証が成功したことを通知する(S707)。次にRADIUSサーバ64は、ルータ63に対して、端末61のMACアドレスと共に、暗号鍵を配布する(S708)。これにより端末61とルータ63は、暗号鍵を共有したこととなる。   The terminal 61 makes a communication request to the wireless LAN access point 62 (S701), and receives an authentication information request from the RADIUS client 67 in the wireless LAN access point 62 (S702). Thereafter, the user ID, password, electronic certificate, and MAC address are notified from the terminal 61 to the RADIUS server 64 via the RADIUS client 67 (S703), and the validity of the terminal 61 is confirmed (S704). . When the RADIUS server 64 determines that the terminal 61 is valid, the RADIUS server 64 distributes the generated encryption key to the RADIUS client 67 and the terminal 61 (S705). As a result, the terminal 61 and the RADIUS server 64 share the encryption key. The RADIUS client 67 stores the encryption key in the wireless LAN access point 62 together with the MAC address of the terminal 61 (S706), and the encryption key is stored in the communication data of the wireless LAN section between the terminal 61 and the wireless LAN access point 62. Used for encryption. Thereafter, the RADIUS server 64 notifies the terminal 61 of successful authentication via the RADIUS client 67 (S707). Next, the RADIUS server 64 distributes the encryption key together with the MAC address of the terminal 61 to the router 63 (S708). As a result, the terminal 61 and the router 63 share the encryption key.

図8では、まず端末61による通信開始要求から、RADIUSサーバ64により端末61が認証され、端末61に対して暗号鍵が配布された後、端末61からIPインタフェース情報が要求された際に、RADIUSサーバ64からルータ63に対して、暗号鍵が配布されるシーケンスを示している。   In FIG. 8, when the terminal 61 is first authenticated by the RADIUS server 64 from the communication start request by the terminal 61, the encryption key is distributed to the terminal 61, and the IP interface information is requested from the terminal 61, the RADIUS is requested. The sequence in which the encryption key is distributed from the server 64 to the router 63 is shown.

端末61の通信要求から認証成功までが、図7に示す(S701)から(S707)と同様に行なわれた後、端末61からRouterSolicitiationメッセージによりIPインタフェース情報が要求され(S801)、それを契機としてルータ63からRADIUSサーバ64に対して暗号鍵が要求され(S802)、その後、RADIUSサーバ64からルータ63に対して暗号鍵が配布される(S803)。これにより端末61とルータ63は、暗号鍵を共有したこととなる。   After the communication request from the terminal 61 to the authentication success is performed in the same manner as (S701) to (S707) shown in FIG. 7, the IP interface information is requested from the terminal 61 by the RouterSolution message (S801). The encryption key is requested from the router 63 to the RADIUS server 64 (S802), and then the encryption key is distributed from the RADIUS server 64 to the router 63 (S803). As a result, the terminal 61 and the router 63 share the encryption key.

図9は、RADIUSサーバ64からルータ63に対して暗号鍵が配布された後であり、端末61によるIPインタフェース情報付与要求メッセージの送信から、端末61がIPインタフェース情報の正当性を検証するまでの、IPsecによる認証技術を用いた場合のシーケンスを示している。   FIG. 9 shows the state after the encryption key is distributed from the RADIUS server 64 to the router 63, from the transmission of the IP interface information addition request message by the terminal 61 to the time when the terminal 61 verifies the validity of the IP interface information. The sequence in the case of using the authentication technology by IPsec is shown.

端末61はRouterSolicitiationメッセージを送信することにより、ルータ63に対して、RouterAdvertisementメッセージを利用したIPインタフェース情報の付与を要求する(S901)。RouterSolicitiationメッセージを受信したルータ63は、端末61のMACアドレスを元にして、端末61の暗号鍵を選択する(S902)。ルータ63は、IPインタフェース情報を作成した後(S903)、選択した暗号鍵を用いてメッセージダイジェスト生成の一方法であるMD5を利用してIPインタフェース情報のMDを作成し(S904)、それをIPsecのAHヘッダに付加して、IPインタフェース情報と共に、端末61に対して、RouterAdvertisemantメッセージとして送信する(S905)。端末61は、受信したRouterAdvertisemantメッセージからIPインタフェース情報を取り出し、自分の暗号鍵を用いてMD5(Message Digest 5)によりMDを作成する(S906)。端末61は、作成したMDとルータ63より送られたMDが一致するか否かを比較し(S907)、一致した場合、ルータ63は正当なルータであり、IPインタフェース情報の改ざんはないと判断する。その後、端末61は付与されたIPインタフェース情報を用いて通信を行う。   The terminal 61 requests the router 63 to add IP interface information using the Router Advertisement message by transmitting the Router Solicitation message (S901). The router 63 that has received the RouterSolution message selects the encryption key of the terminal 61 based on the MAC address of the terminal 61 (S902). After creating the IP interface information (S903), the router 63 creates MD of the IP interface information using MD5 which is one method of message digest generation using the selected encryption key (S904). Is transmitted to the terminal 61 together with the IP interface information as a Router Advertisement message (S905). The terminal 61 extracts IP interface information from the received RouterAdvertisement message, and creates an MD using MD5 (Message Digest 5) using its own encryption key (S906). The terminal 61 compares whether the created MD matches the MD sent from the router 63 (S907). If they match, it is determined that the router 63 is a valid router and the IP interface information has not been tampered with. To do. Thereafter, the terminal 61 performs communication using the assigned IP interface information.

図10は、RADIUSサーバ64からルータ63に対して暗号鍵が配布された後であり、端末61によるIPインタフェース情報付与要求メッセージの送信から、端末61がIPインタフェース情報の正当性を検証するまでの、チャレンジ&レスポンスによる認証技術を用いた場合のシーケンスを示している。   FIG. 10 shows the state after the encryption key is distributed from the RADIUS server 64 to the router 63, from when the terminal 61 sends the IP interface information addition request message to when the terminal 61 verifies the validity of the IP interface information. The sequence in the case of using authentication technology by challenge and response is shown.

端末61は、チャレンジデータとなる乱数を生成した上で(S1001)、IPネットワークにおけるマルチキャスト機能を用いて、ルータ63に対して、IPインタフェース情報の付与を要求するRouterSolicitationメッセージを、自分のMACアドレスとチャレンジデータを付加して送信する(S1002)。その際、チャレンジデータは、RouterSolicitationメッセージのOptionフィールドに収納する。これを受信したルータ63は、MACアドレスから端末61の暗号鍵を選択し(S1003)、当該暗号鍵でチャレンジデータを暗号化することにより、レスポンスデータを生成する(S1004)。その後、ルータ63は、端末61に対して付与するIPインタフェース情報を作成し(S1005)、レスポンスデータと共に、RouterAdvertisementメッセージとして、端末61に対して送信する(S1006)。端末61は、自分の暗号鍵を用いてチャレンジデータを暗号化し(S1007)、その結果とルータ63から送られたレスポンスデータが一致するか否かを比較する(S1008)。一致した場合、ルータ63は正当であると判断する。その後、端末61は、得たIPインタフェース情報を今後の通信に利用する。   The terminal 61 generates a random number as challenge data (S1001), and then uses a multicast function in the IP network to send a RouterSolution message for requesting the router 63 to add IP interface information to its own MAC address. Challenge data is added and transmitted (S1002). At that time, the challenge data is stored in the Option field of the RouterSolution message. Receiving this, the router 63 selects the encryption key of the terminal 61 from the MAC address (S1003), and encrypts the challenge data with the encryption key to generate response data (S1004). Thereafter, the router 63 creates IP interface information to be assigned to the terminal 61 (S1005), and transmits it to the terminal 61 as a Router Advertisement message together with the response data (S1006). The terminal 61 encrypts the challenge data using its own encryption key (S1007), and compares the result with the response data sent from the router 63 (S1008). If they match, the router 63 determines that it is valid. Thereafter, the terminal 61 uses the obtained IP interface information for future communication.

(実施形態例2)
(実施形態例2)は、IPインタフェース情報を取得するためのプロトコルとしてDHCPv6を用い、実施例1と同じネットワーク構成において(ただしルータはDHCPサーバとなる)本発明を実施した場合を、図11〜15を用いて説明している。 Embodiment 2
(Embodiment 2) uses DHCPv6 as a protocol for acquiring IP interface information, and shows the case where the present invention is implemented in the same network configuration as that of Embodiment 1 (however, the router becomes a DHCP server). 15 is used for explanation.

図11は、本発明の実施例を示すネットワーク構成図である。当該実施例を示すネットワークは、端末111,無線LANアクセスポイント112,ルータ113,RADIUSサーバ114,通信ネットワーク115,サブネットワーク116とを備えて構成される。   FIG. 11 is a network configuration diagram showing an embodiment of the present invention. The network showing the embodiment includes a terminal 111, a wireless LAN access point 112, a router 113, a RADIUS server 114, a communication network 115, and a subnetwork 116.

端末111は、通信の開始に際して、IPインタフェース情報を要求する。無線LANアクセスポイント112は、ネットワーク接続装置に相当する。無線LANアクセスポイント112には、認証クライアントに相当するRADIUSクライアント117が組み込まれている。ルータ113は、パケット転送装置に相当し、DHCPサーバが組み込まれている。RADIUSサーバ114は、アクセス認証装置に相当する。通信ネットワーク115、RADIUSサーバ114とルータ113により構成される。サブネットワーク116は、端末111と無線LANアクセスポイント112により構成される。   The terminal 111 requests IP interface information at the start of communication. The wireless LAN access point 112 corresponds to a network connection device. The wireless LAN access point 112 incorporates a RADIUS client 117 corresponding to an authentication client. The router 113 corresponds to a packet transfer device, and a DHCP server is incorporated. The RADIUS server 114 corresponds to an access authentication device. A communication network 115, a RADIUS server 114, and a router 113 are included. The subnetwork 116 includes a terminal 111 and a wireless LAN access point 112.

図12及び図13は、図7及び図8と、ルータ113がDHCPサーバ機能を有することを除き、同一のシーケンスである。   FIGS. 12 and 13 are the same sequence as FIGS. 7 and 8 except that the router 113 has a DHCP server function.

図14は、RADIUSサーバ114からルータ113に対して暗号鍵が配布された後であり、端末111によるIPインタフェース情報付与要求メッセージの送信から、端末111がIPインタフェース情報の正当性を検証するまでの、IPsecによる認証技術を用いた場合のシーケンスを示している。   FIG. 14 shows the state after the encryption key is distributed from the RADIUS server 114 to the router 113, from the transmission of the IP interface information addition request message by the terminal 111 to the verification of the validity of the IP interface information by the terminal 111. The sequence in the case of using the authentication technology by IPsec is shown.

端末111はDHCPSOLICITメッセージを送信することにより、ルータ113に対して、IPインタフェース情報の付与を要求する(S1401)。DHCPSOLICITメッセージを受信したルータ113は、端末111のMACアドレスを元にして、端末111の暗号鍵を選択する(S1402)。ルータ113は、IPインタフェース情報を作成した後(S1403)、選択した暗号鍵を用いたMD5によりIPインタフェース情報のMDを作成し(S1404)、それをIPsecのAHヘッダに付加して、IPインタフェース情報と共に、端末111に対して、DHCPOFFERメッセージとして送信する(S1405)。端末111は、受信したDHCPOFFERメッセージからIPインタフェース情報を取り出し、自分の暗号鍵を用いたMD5によりMDを作成する(S1406)。端末111は、作成したMDとルータ113より送られたMDが一致するか否かを比較し(S1407)、一致した場合、ルータ113は正当なルータであり、IPインタフェース情報の改ざんはないと判断する。その後、端末111は付与されたIPインタフェース情報を用いて通信を行う。   The terminal 111 requests the router 113 to add IP interface information by transmitting a DHCPSOLICIT message (S1401). The router 113 that has received the DHCPSOLICIT message selects the encryption key of the terminal 111 based on the MAC address of the terminal 111 (S1402). After creating the IP interface information (S1403), the router 113 creates an MD of the IP interface information by MD5 using the selected encryption key (S1404), and adds it to the IPsec AH header to obtain the IP interface information. At the same time, a DHCPOFFER message is transmitted to the terminal 111 (S1405). The terminal 111 extracts IP interface information from the received DHCPOFFER message, and creates an MD using MD5 using its own encryption key (S1406). The terminal 111 compares whether or not the created MD matches the MD sent from the router 113 (S1407). If they match, it is determined that the router 113 is a valid router and the IP interface information has not been falsified. To do. Thereafter, the terminal 111 performs communication using the assigned IP interface information.

図15は、RADIUSサーバ114からルータ113に対して暗号鍵が配布された後であり、端末111によるIPインタフェース情報付与要求メッセージの送信から、端末111がIPインタフェース情報の正当性を検証するまでの、チャレンジ&レスポンスによる認証技術を用いた場合のシーケンスを示している。   FIG. 15 is after the encryption key is distributed from the RADIUS server 114 to the router 113, from the transmission of the IP interface information addition request message by the terminal 111 to the time when the terminal 111 verifies the validity of the IP interface information. The sequence in the case of using authentication technology by challenge and response is shown.

端末111は、チャレンジデータとなる乱数を生成した上で(S1501)、IPネットワークにおけるマルチキャスト機能を用いて、ルータ113に対して、IPインタフェース情報の付与を要求するDHCPSOLICITメッセージを、自分のMACアドレスとチャレンジデータを付加して送信する(S1502)。その際、チャレンジデータは、DHCPSOLICITメッセージのOptionフィールドに収納する。これを受信したルータ113は、MACアドレスから端末111の暗号鍵を選択し(S1503)、当該暗号鍵でチャレンジデータを暗号化することにより、レスポンスデータを生成する(S1504)。その後、ルータ113は、端末111に対して付与するIPインタフェース情報を作成し(S1505)、レスポンスデータと共に、DHCPOFFERメッセージとして、端末111に対して送信する(S1506)。端末111は、自分の暗号鍵を用いてチャレンジデータを暗号化し(S1507)、その結果とルータ113から送られたレスポンスデータが一致するか否かを比較する(S1508)。一致した場合、ルータ113は正当であると判断する。その後、端末111は、得たIPインタフェース情報を今後の通信に利用する。   The terminal 111 generates a random number serving as challenge data (S1501), and uses a multicast function in the IP network to send a DHCPSOLICIT message requesting the router 113 to add IP interface information to its own MAC address. The challenge data is added and transmitted (S1502). At that time, the challenge data is stored in the Option field of the DHCPSOLICIT message. Receiving this, the router 113 selects the encryption key of the terminal 111 from the MAC address (S1503), and encrypts the challenge data with the encryption key to generate response data (S1504). Thereafter, the router 113 creates IP interface information to be given to the terminal 111 (S1505), and transmits it to the terminal 111 as a DHCPOFFER message together with the response data (S1506). The terminal 111 encrypts the challenge data using its own encryption key (S1507), and compares the result with the response data sent from the router 113 (S1508). If they match, the router 113 determines that it is valid. Thereafter, the terminal 111 uses the obtained IP interface information for future communication.

ネットワーク構成を示す。The network configuration is shown. 端末へ暗号鍵を配布するのと同時にIPインタフェース情報付与装置にも暗号鍵を配布する場合のシーケンスを示す。The sequence in the case of distributing the encryption key to the IP interface information adding apparatus at the same time as distributing the encryption key to the terminal is shown. 端末からIPインタフェース情報付与要求がなされた後にIPインタフェース情報付与装置へ暗号鍵を配布する場合のシーケンスを示す。A sequence in the case where an encryption key is distributed to an IP interface information providing apparatus after an IP interface information addition request is made from a terminal is shown. 端末がIPsecの認証ヘッダによる認証を用いてIPインタフェース情報付与装置の認証を行う場合のシーケンスを示す。The sequence in the case where the terminal authenticates the IP interface information adding apparatus using authentication by the IPsec authentication header is shown. 端末がチャレンジ&レスポンスによる認証を用いてIPインタフェース情報付与装置の認証を行う場合のシーケンスを示す。The sequence in the case where the terminal authenticates the IP interface information providing apparatus using authentication by challenge and response is shown. NeighborDiscoveryプロトコルを用いた場合のネットワーク構成を示す。The network structure at the time of using NeighborDiscovery protocol is shown. NeighborDiscoveryプロトコルを用いたネットワークにおいて、端末へ暗号鍵を配布するのと同時にルータにも暗号鍵を配布する場合のシーケンスを示す。In the network using the NeighborDiscovery protocol, a sequence when distributing the encryption key to the router at the same time as distributing the encryption key to the terminal is shown. NeighborDiscoveryプロトコルを用いたネットワークにおいて、端末からIPインタフェース情報付与要求がなされた後にルータへ暗号鍵を配布する場合のシーケンスを示す。A sequence in a case where an encryption key is distributed to a router after an IP interface information addition request is made from a terminal in a network using the Neighbor Discovery protocol is shown. NeighborDiscoveryプロトコルを用いたネットワークにおいて、端末がIPsecの認証ヘッダによる認証を用いてルータの認証を行う場合のシーケンスを示す。A sequence when a terminal authenticates a router using authentication by an IPsec authentication header in a network using the NeighborDiscovery protocol is shown. NeighborDiscoveryプロトコルを用いたネットワークにおいて、端末がチャレンジ&レスポンスによる認証を用いてルータの認証を行う場合のシーケンスを示す。A sequence in a case where a terminal authenticates a router using authentication by challenge and response in a network using the NeighborDiscovery protocol is shown. DHCPv6プロトコルを用いた場合のネットワーク構成を示す。The network structure at the time of using DHCPv6 protocol is shown. DHCPv6プロトコルを用いたネットワークにおいて、端末へ暗号鍵を配布するのと同時にルータ(DHCPサーバ)にも暗号鍵を配布する場合のシーケンスを示す。In the network using the DHCPv6 protocol, the sequence in the case of distributing the encryption key to the router (DHCP server) simultaneously with the distribution of the encryption key to the terminal is shown. DHCPv6プロトコルを用いたネットワークにおいて、端末からIPインタフェース情報付与要求がなされた後にルータ(DHCPサーバ)へ暗号鍵を配布する場合のシーケンスを示す。A sequence in a case where an encryption key is distributed to a router (DHCP server) after an IP interface information addition request is made from a terminal in a network using the DHCPv6 protocol. DHCPv6プロトコルを用いたネットワークにおいて、端末がIPsecの認証ヘッダによる認証を用いてルータ(DHCPサーバ)の認証を行う場合のシーケンスを示す。A sequence in a case where a terminal performs authentication of a router (DHCP server) using authentication by an IPsec authentication header in a network using the DHCPv6 protocol is shown. DHCPv6プロトコルを用いたネットワークにおいて、端末がチャレンジ&レスポンスによる認証を用いてルータ(DHCPサーバ)の認証を行う場合のシーケンスを示す。A sequence when a terminal authenticates a router (DHCP server) using challenge and response authentication in a network using the DHCPv6 protocol is shown. アクセス認証装置の構成を示す。The structure of an access authentication apparatus is shown. IPインタフェース情報付与装置の構成を示す。The structure of an IP interface information provision apparatus is shown. 端末の構成を示す。The structure of a terminal is shown.

符号の説明Explanation of symbols

11 端末
12 ネットワーク接続装置
13 パケット転送装置
14 通信ネットワーク
15 認証クライアント
16 アクセス認証装置
17 IPインタフェース情報付与装置
18 暗号鍵管理データベース
19 サブネット
61 端末
62 無線LANアクセスポイント
63 ルータ
64 RADIUSサーバ
65 通信ネットワーク
66 サブネット
67 RADIUSクライアント
111 端末
112 無線LANアクセスポイント
113 ルータ(DHCPサーバ)
114 RADIUSサーバ
115 通信ネットワーク
116 サブネット
117 RADIUSクライアント
161 認証装置受信部
162 認証装置送信部
163 認証装置処理部
164 認証装置記憶部
171 付与装置受信部
172 付与装置送信部
173 付与装置処理部
174 付与装置記憶部
181 端末受信部
182 端末送信部
183 端末処理部
184 端末記憶部 DESCRIPTION OF SYMBOLS 11 Terminal 12 Network connection apparatus 13 Packet transfer apparatus 14 Communication network 15 Authentication client 16 Access authentication apparatus 17 IP interface information provision apparatus 18 Encryption key management database 19 Subnet 61 Terminal 62 Wireless LAN access point 63 Router 64 RADIUS server 65 Communication network 66 Subnet 67 RADIUS client 111 Terminal 112 Wireless LAN access point 113 Router (DHCP server)
114 RADIUS Server 115 Communication Network 116 Subnet 117 RADIUS Client 161 Authentication Device Receiving Unit 162 Authentication Device Transmitting Unit 163 Authentication Device Processing Unit 164 Authentication Device Storage Unit 171 Giving Device Receiving Unit 172 Giving Device Transmitting Unit 173 Giving Device Processing Unit 174 Giving Device Storage Unit 181 terminal receiving unit 182 terminal transmitting unit 183 terminal processing unit 184 terminal storage unit

Claims (8)

通信サービスを利用する端末と、
前記端末の認証を行なうアクセス認証装置と、
前記端末に対してIPインタフェース情報を付与するIPインタフェース情報付与装置と
から構成される通信ネットワークにおいて、
前記IPインタフェース情報付与装置のIPアドレスが動的に変化する場合でも、
前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を保証するために、
前記アクセス認証装置は、認証装置受信部と認証装置送信部と認証装置処理部とを備え、
このアクセス認証装置は、
前記認証装置受信部が前記端末から通信要求信号を受信するステップと、
前記認証装置処理部が暗号鍵の生成又は取得を行うステップと、
前記認証装置送信部が前記暗号鍵を前記端末及び前記IPインタフェース情報付与装置へ送信するステップとを行うこと
を特徴とするIPインタフェース情報の付与方法。 A terminal using a communication service;
An access authentication device for authenticating the terminal;
In a communication network composed of an IP interface information giving device for giving IP interface information to the terminal,
Even when the IP address of the IP interface information assigning device changes dynamically,
In order to guarantee the validity of the IP interface information and the IP interface information adding device,
The access authentication device includes an authentication device receiver, an authentication device transmitter, and an authentication device processor.
This access authentication device
The authentication device receiving unit receiving a communication request signal from the terminal;
The authentication device processing unit generating or acquiring an encryption key;
And a step of transmitting the encryption key to the terminal and the IP interface information adding device. 前記IPインタフェース情報付与装置は、付与装置受信部と付与装置送信部と付与装置処理部と付与装置記憶部とを備え、
このIPインタフェース情報付与装置は、
前記付与装置受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記付与装置記憶部が受信した前記暗号鍵を記憶するステップと、
前記付与装置受信部が前記端末から前記IPインタフェース情報の付与を要求する信号を受信するステップと、
前記付与装置処理部が前記暗号鍵を用いて前記IPインタフェース情報のメッセージダイジェストを生成するステップと、
前記付与装置送信部が前記IPインタフェース情報及び前記メッセージダイジェストを前記端末へ送信するステップとを行うこと、
を特徴とする請求項1に記載のIPインタフェース情報の付与方法。 The IP interface information giving device includes a granting device receiving unit, a granting device transmitting unit, a granting device processing unit, and a granting device storage unit,
This IP interface information adding device
The granting device receiving unit receiving the encryption key from the access authentication device;
Storing the encryption key received by the assigning device storage unit;
The granting device receiving unit receiving a signal requesting the granting of the IP interface information from the terminal;
The granting device processing unit generating a message digest of the IP interface information using the encryption key;
The granting device sending unit sending the IP interface information and the message digest to the terminal;
The method for assigning IP interface information according to claim 1. 前記端末は、端末受信部と端末記憶部と端末処理部とを備え、
この端末は、
前記端末受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記端末記憶部が受信した前記暗号鍵を記憶するステップと、
前記端末受信部が前記IPインタフェース情報付与装置から前記IPインタフェース情報及び前記メッセージダイジェストを受信するステップと、
前記端末処理部が前記暗号鍵を用いて前記IPインタフェース情報のメッセージダイジェストを生成するステップと、
前記端末処理部が前記生成したメッセージダイジェスト及び前記受信したメッセージダイジェストを比較して、前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を判断するステップとを行うこと、
を特徴とする請求項2に記載のIPインタフェース情報の付与方法。 The terminal includes a terminal receiving unit, a terminal storage unit, and a terminal processing unit,
This device
The terminal receiving unit receiving the encryption key from the access authentication device;
Storing the encryption key received by the terminal storage unit;
The terminal receiving unit receiving the IP interface information and the message digest from the IP interface information adding device;
The terminal processing unit generating a message digest of the IP interface information using the encryption key;
The terminal processing unit compares the generated message digest and the received message digest to determine the validity of the IP interface information and the IP interface information adding device;
The method for assigning IP interface information according to claim 2. 前記IPインタフェース情報付与装置は、付与装置受信部と付与装置送信部と付与装置処理部と付与装置記憶部とを備え、
このIPインタフェース情報付与装置は、
前記付与装置受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記付与装置記憶部が受信した前記暗号鍵を記憶するステップと、
前記付与装置受信部が前記端末からIPインタフェース情報の付与を要求する信号をチャレンジデータと共に受信するステップと、
前記付与装置処理部が前記暗号鍵を用いてチャレンジデータのレスポンスデータを生成するステップと、
前記付与装置送信部が前記IPインタフェース情報及び前記レスポンスデータを前記端末へ送信するステップとを行うこと、
を特徴とする請求項1に記載のIPインタフェース情報の付与方法。 The IP interface information giving device includes a granting device receiving unit, a granting device transmitting unit, a granting device processing unit, and a granting device storage unit,
This IP interface information adding device
The granting device receiving unit receiving the encryption key from the access authentication device;
Storing the encryption key received by the assigning device storage unit;
The granting device receiving unit receiving a signal requesting granting of IP interface information from the terminal together with challenge data;
The granting device processing unit generating response data of challenge data using the encryption key;
The granting device sending unit sending the IP interface information and the response data to the terminal;
The method for assigning IP interface information according to claim 1. 前記端末は、端末受信部と端末記憶部と端末処理部とを備え、
この端末は、
前記端末受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記端末記憶部が受信した前記暗号鍵を記憶するステップと、
前記端末受信部が前記IPインタフェース情報付与装置から前記IPインタフェース情報及び前記レスポンスデータを受信するステップと、
前記端末処理部が前記暗号鍵を用いて前記端末記憶部に記憶しておいたチャレンジデータからレスポンスデータを生成するステップと、
前記端末処理部が前記生成したレスポンスデータ及び前記受信したレスポンスデータを比較して、前記IPインタフェース情報付与装置の正当性を判断するステップとを行うこと、
を特徴とする請求項4に記載のIPインタフェース情報の付与方法 The terminal includes a terminal receiving unit, a terminal storage unit, and a terminal processing unit,
This device
The terminal receiving unit receiving the encryption key from the access authentication device;
Storing the encryption key received by the terminal storage unit;
The terminal receiving unit receiving the IP interface information and the response data from the IP interface information providing device;
Generating response data from the challenge data stored in the terminal storage unit by the terminal processing unit using the encryption key;
The terminal processing unit comparing the generated response data and the received response data to determine the validity of the IP interface information providing device;
5. The method of assigning IP interface information according to claim 4, 通信サービスを利用する端末と、
前記端末の認証を行うアクセス認証装置と、
前記端末に対してIPインタフェース情報を付与するIPインタフェース情報付与装置と
から構成される通信ネットワークにおいて、
前記IPインタフェース情報付与装置のIPアドレスが動的に変化する場合でも、
前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を保証するために用いられるアクセス認証装置であって、
このアクセス認証装置は、
前記端末から通信要求信号を受信する認証装置受信部と、
暗号鍵を生成又は取得する認証装置処理部と、
前記暗号鍵を前記端末及び前記IPインタフェース情報付与装置へ送信する認証装置送信部とを備えること
を特徴とするIPインタフェース情報の付与のためのアクセス認証装置。 A terminal using a communication service;
An access authentication device for authenticating the terminal;
In a communication network composed of an IP interface information giving device for giving IP interface information to the terminal,
Even when the IP address of the IP interface information assigning device changes dynamically,
An access authentication device used to guarantee the validity of the IP interface information and the IP interface information providing device,
This access authentication device
An authentication device receiver for receiving a communication request signal from the terminal;
An authentication device processing unit for generating or acquiring an encryption key;
An access authentication apparatus for assigning IP interface information, comprising: an authentication apparatus transmitting unit that transmits the encryption key to the terminal and the IP interface information providing apparatus. 通信サービスを利用する端末と、
前記端末の認証を行うアクセス認証装置と、
前記端末に対してIPインタフェース情報を付与するIPインタフェース情報付与装置と
から構成される通信ネットワークにおいて、
前記IPインタフェース情報付与装置のIPアドレスが動的に変化する場合でも、
前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を保証するために用いられるIPインタフェース情報付与装置であって、
このIPインタフェース情報付与装置は、
前記アクセス認証装置から前記暗号鍵及び前記端末から前記IPインタフェース情報の付与を要求する信号を受信する付与装置受信部と、
前記アクセス認証装置から受信した暗号鍵を記憶する付与装置記憶部と、
前記暗号鍵を用いて前記IPインタフェース情報の暗号化を行う付与装置処理部と、
前記IPインタフェース情報及び前記暗号化IPインタフェース情報を前記端末へ送信する付与装置送信部とを備えること
を特徴とするIPインタフェース情報の付与のためのIPインタフェース情報付与装置。 A terminal using a communication service;
An access authentication device for authenticating the terminal;
In a communication network composed of an IP interface information giving device for giving IP interface information to the terminal,
Even when the IP address of the IP interface information assigning device changes dynamically,
An IP interface information giving device used for guaranteeing the validity of the IP interface information and the IP interface information giving device,
This IP interface information adding device
A granting device receiving unit that receives a signal requesting the granting of the encryption key and the IP interface information from the terminal from the access authentication device;
A granting device storage unit for storing an encryption key received from the access authentication device;
A granting device processing unit that encrypts the IP interface information using the encryption key;
An IP interface information assigning device for assigning IP interface information, comprising: an assigning device transmitting unit that transmits the IP interface information and the encrypted IP interface information to the terminal. 通信サービスを利用する端末と、
前記端末の認証を行うアクセス認証装置と、
前記端末に対してIPインタフェース情報を付与するIPインタフェース情報付与装置と
から構成される通信ネットワークにおいて、
前記IPインタフェース情報付与装置のIPアドレスが動的に変化する場合でも、
前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を保証するために用いられる端末用のプログラムであって、
端末受信部と端末記憶部と端末処理部とを備える前記端末の前記端末処理部に、
前記端末受信部が前記アクセス認証装置から受信した暗号鍵を前記端末記憶部に記憶する機能、
前記端末受信部が前記IPインタフェース情報付与装置から受信した前記IPインタフェース情報を、前記暗号鍵を用いて暗号化する機能、
前記暗号化IPインタフェース情報と前記IPインタフェース情報付与装置から受信した暗号化IPインタフェース情報との比較を行ない、前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を判断する機能、
を実行させることを特徴とする端末用プログラム。 A terminal using a communication service;
An access authentication device for authenticating the terminal;
In a communication network composed of an IP interface information giving device for giving IP interface information to the terminal,
Even when the IP address of the IP interface information assigning device changes dynamically,
A program for a terminal used to guarantee the validity of the IP interface information and the IP interface information adding device,
In the terminal processing unit of the terminal comprising a terminal receiving unit, a terminal storage unit, and a terminal processing unit,
A function of storing the encryption key received from the access authentication device by the terminal reception unit in the terminal storage unit;
A function of encrypting the IP interface information received from the IP interface information adding device by the terminal reception unit using the encryption key;
A function of comparing the encrypted IP interface information with the encrypted IP interface information received from the IP interface information providing device and determining the validity of the IP interface information and the IP interface information providing device;
A terminal program characterized by causing
JP2003312017A 2003-09-03 2003-09-03 Method of assigning IP interface information, granting device, granting program thereof, and access authentication device Expired - Fee Related JP4236167B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003312017A JP4236167B2 (en) 2003-09-03 2003-09-03 Method of assigning IP interface information, granting device, granting program thereof, and access authentication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003312017A JP4236167B2 (en) 2003-09-03 2003-09-03 Method of assigning IP interface information, granting device, granting program thereof, and access authentication device

Publications (2)

Publication Number Publication Date
JP2005080242A true JP2005080242A (en) 2005-03-24
JP4236167B2 JP4236167B2 (en) 2009-03-11

Family

ID=34413393

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003312017A Expired - Fee Related JP4236167B2 (en) 2003-09-03 2003-09-03 Method of assigning IP interface information, granting device, granting program thereof, and access authentication device

Country Status (1)

Country Link
JP (1) JP4236167B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007053681A (en) * 2005-08-19 2007-03-01 Ricoh Co Ltd Device, method, and program for communication
JP2009232199A (en) * 2008-03-24 2009-10-08 Nec Access Technica Ltd Communication system, communication apparatus, address allocation device, communication control method, and communication control method, and communication control program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007053681A (en) * 2005-08-19 2007-03-01 Ricoh Co Ltd Device, method, and program for communication
JP2009232199A (en) * 2008-03-24 2009-10-08 Nec Access Technica Ltd Communication system, communication apparatus, address allocation device, communication control method, and communication control method, and communication control program

Also Published As

Publication number Publication date
JP4236167B2 (en) 2009-03-11

Similar Documents

Publication Publication Date Title
JP4033868B2 (en) Method and apparatus for processing authentication in IPv6 network
EP1355447B1 (en) Public key certification providing apparatus
EP1361694B1 (en) Public key certification issuing apparatus
US8266427B2 (en) Secure mobile IPv6 registration
JP2009503916A (en) Multi-key encryption generation address
JP2008541566A (en) Secure address proxy using multi-key encryption generated address
EP2259542B1 (en) Method, apparatus and system for processing dynamic host configuration protocol message
WO2003007102A2 (en) Modular authentication and authorization scheme for internet protocol
WO2007092688A2 (en) Method and apparatus for address creation and validation
JP2004274521A (en) Server apparatus, terminal control apparatus, and terminal authentication method
CN101960814A (en) IP address delegation
CN102231725A (en) Method, equipment and system for authenticating dynamic host configuration protocol message
Cavalli et al. Secure hosts auto-configuration in mobile ad hoc networks
JP2009118267A (en) Communication network system, communication network control method, communication control apparatus, communication control program, service control device and service control program
JP2004007512A (en) Public key certificate providing device
CN101232369B (en) Method and system for distributing cryptographic key in dynamic state host computer collocation protocol
JP2006074451A (en) IPv6/IPv4 TUNNELING METHOD
JP6056970B2 (en) Information processing apparatus, terminal, information processing system, and information processing method
JP4236167B2 (en) Method of assigning IP interface information, granting device, granting program thereof, and access authentication device
US8621198B2 (en) Simplified protocol for carrying authentication for network access
JP2007166552A (en) Communication apparatus and encryption communication method
JP4208868B2 (en) Public key certificate issuance method
JP2004032699A (en) Apparatus for issuing public key certificate
JP2006115033A (en) Automatic setting system and method of user information
CN115694856A (en) DHCP (dynamic host configuration protocol) -based authentication method and related equipment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050720

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080916

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20081002

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20081003

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081209

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20081212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081212

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111226

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111226

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121226

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121226

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131226

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees