JP2005218088A - IPv6ネットワークで認証を処理する方法及びその装置 - Google Patents

IPv6ネットワークで認証を処理する方法及びその装置 Download PDF

Info

Publication number
JP2005218088A
JP2005218088A JP2005009821A JP2005009821A JP2005218088A JP 2005218088 A JP2005218088 A JP 2005218088A JP 2005009821 A JP2005009821 A JP 2005009821A JP 2005009821 A JP2005009821 A JP 2005009821A JP 2005218088 A JP2005218088 A JP 2005218088A
Authority
JP
Japan
Prior art keywords
node
authentication
information
message
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005009821A
Other languages
English (en)
Other versions
JP4033868B2 (ja
Inventor
Byoung-Chul Kim
ビョン−チュル、キム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2005218088A publication Critical patent/JP2005218088A/ja
Application granted granted Critical
Publication of JP4033868B2 publication Critical patent/JP4033868B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/167Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 IPv6保安網で保安を担当する認証機関が、IPv6保安網に接続するノードを初期認証しながら、保安情報を知らせて、認証機関で認証を受けた各ノードが認証機関を通じないで、相互認証を通じて通信ができるようにするIPv6ネットワークで認証を処理する方法及びその装置を提供する。
【解決手段】 本発明の一側面による認証処理システムは、 少なくとも一つ以上のノード情報及び前記ノードに割り当てるアドレス情報を保存し、ネットワークに接続するノードから接続メッセージが受信されると、ノードに割り当てられるアドレス情報と、保安情報とを含む認証メッセージを伝送する認証サーバーと、認証サーバーに接続して、接続メッセージを前記認証サーバーへ伝送し、前記認証メッセージを通じて伝送されるアドレス情報を用いて、IPアドレスを生成し、IPアドレス及び保安情報を通じて他のノードと相互認証を処理する少なくとも一つ以上のノードと、を含む。
【選択図】 図9

Description

本発明は、IPv6(Internet Protocol Version 6)ネットワークで認証を処理する方法及びその装置に関し、より詳しくは、IPv6保安網に接続する各ノードが、重複アドレス発見機能を実行しながら認証機関から伝送される保安情報により、各ノード間の相互認証を処理するIPv6ネットワークで認証を処理する方法及びその装置に関する。
IPv6は、RFC(Request for Comments)2460(obsolates 1883)標準に規定されている。
このIPv6は、自身の機能である隣接発見機能(ND: Neighbor Discovery mechanism)と、アドレス自動設定機能(ACC: Address Auto-Configuration)と、重複アドレス発見機能(DAD : Duplicate Address Detection)とにより、自身のグローバルアドレス(global address)を直接生成する。
このIPv6の自身の機能の中で、一番目の隣接発見機能(ND)は、IPv4でのARP(Address Resolution Protocol)の機能と、ネットワーク位相の変化を検出してリンクの状態を測定するための機能である。
NDは、活動している隣接ノードへの経路についての到着可能情報を保持して、周辺のルーター及びプレフィックス(prefix)を検出する。
二番目のアドレス自動設定機能(AAC)は、ノードにアドレスを付与するための設定作業が必要ないIPv6の‘Plug-and-Play'機能で、ルーティングが可能なアドレスを自動で生成し、基本ルーター(default router)を自動で設定する。
これは、NDを用いた追加機能であり、プレフィックスと、基本ルーターと、アドレス重複可否とを把握することにより、ネットワークを構成して管理する。
図1は、一般的なIPv6アドレス構成を説明するための図であり、図1を参照すると、IPv6アドレスは、128ビットの中でnビットからなるネットワークプレフィックスと、(128−n)ビットからなるインターフェースIDで構成されている。
図2は、IPv6のアドレス自動設定機能を説明するための図であり、図3は、アドレス自動設定機能で生成されたIPv6アドレスのインターフェースIDを説明するための図である。
図2及び図3を参照して、グローバルIPv6アドレスを生成する過程について説明する。
まず、128ビットのアドレスの中で、自身の48ビットMAC(Media Access Control)アドレスを用いてグローバルIPv6アドレスの下位64ビットを構成する。
イーサネット(登録商標)上のIPv6で、インターフェースIDとは、EUI−64インターフェースID(Interface Identifier)を表す。
即ち、図2及び図3に示すように、48ビットのMACアドレス‘00:90:27:17:fc:0f'の中間に、2バイトの中間アドレスである‘ff:fe'を付加して、その中で最上位バイト‘00’内の最上位ビット(most significant bit)から7番目のビットであるb1を‘1’で設定することにより、グローバルIPv6アドレスの下位64ビットインターフェースIDである‘02:90:27:ff:fe:17:fc:0f'を得る。
上記のように得られた下位64ビットのインターフェースIDである‘02:90:27:ff:fe:17:fc:0f'は、図3のようであり、図1に示されたIPv6アドレスのインターフェースIDである。
三番目の重複アドレス発見機能(DAD)は、生成されたIPv6アドレスを他のノードが使用中であるか否かを確認する機能として、NS(Neighbor Solicitation)及びNA(Neighbor Advertisement)メッセージを使用する。
即ち、アドレス自動設定機能によりIPv6アドレスを生成したノードが、ネットワークに接続している全てのノードへ、NSメッセージを伝送し、任意のノードが、NSメッセージを伝送したノードが生成したIPv6アドレスと同一のIPv6アドレスを使用している場合には、応答メッセージであるNAメッセージを伝送する。
また、ノードは、NSメッセージをブロードキャスト方式で全てのノードへ伝送し、NAメッセージが伝送されない場合には、生成されたIPv6アドレスを使用し、NAメッセージが伝送される場合には、アドレス自動設定機能によりIPv6アドレスを再設定する。
このようなIPv6アドレスを使用するノードが、認証が必要なIPv6保安網に接続するためには、該当ノードを認証することができる認証機関(CA:Certificate Authority)から認証を受けなければならない。
即ち、ノードAとノードBが、IPv6保安網を通じて通信しようとする場合には、ノードAとノードBは 、IPv6保安網に接続しながら認証機関から認証を受けて、使用者から他のノードとの通信が要請される場合には、再度、認証機関に該当ノードと通信するための認証を受ける必要がある。
しかしながら、このような通信方式は、IPv6保安網に接続するノードが増えたり、通信量が増加したりするようになれば、認証のためにノードと認証機関との間で交換されるメッセージの個数が、指数的に増加するようになり、IPv6保安網の使用効率が急激に低下することとなる。
また、IPv6保安網で交換されるメッセージの個数が増加するようになれば、認証機関で各ノードの認証を処理するプロセッサの負荷が増加するようになり、結果的に、保安網のサービス品質が、低下するという問題が発生する。
したがって、本発明は上述したような従来技術の問題点を解決するためになされたもので、その目的は、IPv6保安網で保安を担当する認証機関が、IPv6保安網に接続するノードを初期認証しながら、保安情報を知らせて、認証機関で認証を受けた各ノードが認証機関を通じることなく、相互認証を通じて通信を行うことを可能とするIPv6ネットワークで認証を処理する方法及びその装置を提供することにある。
上記目的を達成するための本発明の一側面による認証処理システムは、少なくとも一つのノード情報及び前記ノードに割り当てるアドレス情報を保存し、ネットワークに接続するノードから接続メッセージが受信されると、ノードに割り当てられるアドレス情報と、保安情報とを含む認証メッセージを伝送する認証サーバーと、認証サーバーに接続して、接続メッセージを前記認証サーバーへ伝送し、前記認証メッセージを通じて伝送されるアドレス情報を用いて、IPアドレスを生成し、IPアドレス及び保安情報を通じて他のノードと相互認証を処理する少なくとも一つ以上のノードと、を含む。
本発明の他の側面によるIPv6ネットワークで認証を処理するシステムは、ノード情報を暗号化して、認証要請メッセージで他のノードへ伝送し、認証要請メッセージについての応答メッセージを認証サーバーから伝送された秘密キーで復号化して、他のノードの保安情報を把握し、各情報が前記認証サーバーからでんそうされた保安情報と同一であれば、他のノードを認証する認証確認メッセージを伝送する第1のノードと、第1のノードから認証要請メッセージが受信されると、保安情報を認証サーバーから伝送された秘密キーで暗号化して、応答メッセージを伝送し、第1のノードから認証確認メッセージが伝送されると、第1のノードを認証する第2のノードと、を含む。
また、本発明のさらに他の側面によるIPv6ネットワークのノードは、他のノードとの通信要請があれば、暗号化されたノード情報が含まれる認証要請メッセージを伝送し、認証要請メッセージについての応答メッセージを認証サーバーから伝送された秘密キーで復号化して、他のノードの保安情報を把握し、把握された保安情報が前記認証サーバーから伝送された保安情報と同一であれば、他のノードを認証する認証確認メッセージを伝送して、他のノードと通信を開始すること、を特徴とする。
また、本発明のさらに他の側面によるIPv6ネットワークの認証サーバーは、少なくとも一つのノード情報及び該当ノードに割り当てるアドレス情報を保存する保存部と、IPネットワークを通じて、ノードから伝送される接続メッセージが受信されると、ノードが、接続が許可されたか否かを保存部から検索して確認し、接続が許可された場合には、ノードに該当するアドレス情報を秘密キーで暗号化した暗号情報と、秘密キー情報が含まれる認証メッセージとをノードへ伝送する認証処理部と、を含む。
一方、本発明のさらに他の側面による認証を処理する方法は、認証サーバーが、少なくとも一つのノード情報及びノードに割り当てるアドレス情報を設定する段階と、任意のノードが、認証サーバーに接続して、ノード情報が含まれる接近メッセージを伝送する段階と、認証サーバーが、接続メッセージを受信すれば、ノードが接続が許可されたか否かを判断して、許可された場合には、ノードに割り当てられたアドレス情報及び保安情報が含まれる認証メッセージをノードへ伝送する段階と、ノードが、アドレス情報を用いてIPアドレスを生成し、保安情報を通じて他のノードと相互認証処理する段階と、を含む。
また、本発明による認証を処理する方法の相互認証を処理する段階は、使用者から他のノードとの通信が要請されると、他のノードへ認証要請メッセージを伝送し、認証要請メッセージについての応答メッセージから保安情報を把握する段階と、他のノードの保安情報と、自機の保安情報とを比較して、他のノードの保安情報が有効であれば、他のノードを認証する段階と、を含む。
また、本発明のさらに他の側面によるIPv6ネットワークでノード間の相互認証を処理する方法は、第1のノードが、ノード情報を暗号化した認証要請メッセージを第2のノードへ伝送する段階と、第2のノードが、認証要請メッセージについての応答メッセージとして、保安情報を認証サーバーから伝送された秘密キーで暗号化して伝送する段階と、第2のノードから応答メッセージが伝送される場合には、認証サーバーから伝送された秘密キーで復号化して、第2のノードの保安情報を把握し、各情報が認証サーバーから伝送された保安情報と同一であれば、第2のノードを認証する認証確認メッセージを伝送する段階と、第2のノードが前記認証確認メッセージを受信する場合は、第1のノードを認証する段階と、を含む。
また、本発明のさらに他の側面によるIPv6ネットワークのノードが認証を処理する方法は、他のノードとの通信要請にある場合には、暗号化されたノード情報が含まれる認証要請メッセージを他のノードへ伝送する段階と、他のノードから受信される応答メッセージを認証サーバーから伝送された秘密キーで復号化して、他のノードの保安情報を把握する段階と、把握された保安情報が前記認証サーバーから伝送された保安情報と同一であるか否かを判断して、同一である場合には、他のノードを認証する認証確認メッセージを伝送し、他のノードと通信を開始する段階と、を含む。
また、本発明のさらに他の側面によるIPv6ネットワークの認証サーバーが認証を処理する方法は、 少なくとも一つのノード情報及び該当ノードに割り当てるアドレス情報を設定する段階と、IPネットワークを通じて接続する任意のノードから伝送される接続メッセージが受信されると、ノードが、接続が許可されたか否かを前記設定されたノード情報から確認する段階と、ノードが接続が許可された場合には、ノードに該当するアドレス情報を秘密キーで暗号化した暗号情報と、秘密キー情報が含まれる認証メッセージとを伝送する段階と、を含む。
また、本発明によるIPv6ネットワークの認証サーバーが認証を処理する方法における認証メッセージを伝送する段階は、接続メッセージからノードのノード情報を把握し、ノードを認証する認証サーバーであることを知らせるために、ノード情報を認証メッセージに含ませる段階を含む。
本発明によると、IPv6保安網の保安認証を管理する認証機関が、接続するノードの認証を処理しながら、各ノード間の相互認証を処理することができる保安情報を知らせて、IPv6保安網に接続したノードが他のノードと通信するために、認証機関と追加的なメッセージの交換なしに、相互認証を処理することができるという効果がある。
また、IPv6保安網で認証を処理する認証機関とIPv6保安網に接続するノードとの間に、最初に認証処理を実行する際に、交換されるメッセージを通じて相互認証を処理することにより、悪意を有してIPv6保安網に接続するノードを基本的に遮断することができるという効果がある。
以下、本発明の実施形態による認証を処理する方法及びその装置について、添付図面を参照して、詳細に説明する。
図4は、一般的なIPv6保安網の構成を説明するための全体ブロック図である。
図4に示すように、IPv6保安網は、複数個のノードA31、B32、C33と、各ノードA31、B32、C33を認証管理する認証機関(CA)10とを含む。
ノードA31、B32、C33とは、IPv6を具現した装置を意味し、CA10とは、保安適格可否と、メッセージの暗号化と復号化のための公開キー(public key)と、個人キー(private key)と、秘密キー(secret key)とを発給して管理する機関を意味する。
公開キーは、指定されたCA10から提供されるキー値として、この公開キーから生成された個人キーと結合し、メッセージ及び電子署名の暗号化と復号化に効果的に使用することができる。公開キーと個人キーを結合する方式は、非対称暗号作成法として知られており、公開キーを使用するシステムを、公開キー基盤構造(PKI)と呼ぶ。
個人キーは、暗号/復号化のために秘密メッセージを交換する当事者だけが知っているキーを意味し、秘密キーを用いた暗号作成及び解読技法で、秘密キーを知っている当事者だけが、各メッセージを暗号化して復号化することができるようにする。
図5は、本発明の好ましい実施形態によるノードの構成を説明するための内部ブロック図である。
図5を参照すると、本実施形態によるノードA31は、ネットワークインターフェース部31aと、暗号/復号化部31bと、メッセージ処理部31cとを含み、前記メッセージ処理部31cは、アドレス処理部31dを含む。
アドレス処理部31dは、アドレス自動設定機能により、ノード31が使用するIPv6アドレスを決定して、試験アドレス(tentative address)を生成し、CA10からIPv6アドレスを生成するための中間アドレスが伝送される場合には、その中間アドレスを用いて、IPv6アドレスを生成する。
また、メッセージ処理部31cは、乱数を生成し、乱数(random number)情報及びパスワード情報を用いて、NSメッセージを生成して、CA10へ伝送する。
そして、CA10から伝送されるNAメッセージから秘密キー情報及び中間アドレス情報を把握する。
また、メッセージ処理部31cは、CA10から認証を受けた以後に、使用者から他のノードB32、C33との通信要請がある場合には、通信要請メッセージを生成して他のノードA31、C33へ伝送し、他のノードB32、C33から伝送される応答メッセージにより、他のノードB32、C33が、CA10から認証を受けたノードであるか否かを判断する。
暗号/復号化部31bは、メッセージ処理部31cで生成されるメッセージを、該当ノードA31の公開キー又はCA10から伝送される秘密キーにより暗号化して、他のノードB32、C33又はCA10から伝送されるメッセージを、個人キー又は秘密キーで復号化する。
ネットワークインターフェース部31aは、CA10又は他のノードB32、C33からIPv6保安網20を通じて伝送されるメッセージを受信し、メッセージ処理部31cで生成されるメッセージを、IPv6保安網20を通じて、CA10又は他のノードB32、C33へ伝送する。
図6は、本発明の好ましい実施形態による認証機関の内部構成を説明するための内部ブロック図である。
図6を参照すると、本実施形態による認証機関(CA)10は、認証処理部11と、暗号/復号化処理部13と、IPインターフェース部14と、データベース(DB)12とを含む。
IPインターフェース部14は、ノードA31、B32、C33から、IPv6保安網20を通じて伝送されるNSメッセージを受信して、CA10で生成されるNAメッセージを、IPv6保安網20を通じて、ノードA31、B32、C33へ伝送する。
暗号/復号化処理部13は、ノードA31、B32、C33から伝送されるNAメッセージを、CA10の個人キーで復号化して、CA10で生成されるNAメッセージを、各ノード31、32、33の公開キーで暗号化する。
また、暗号/復号化処理部13は、Ca10から各ノードA31、B32、C33へ伝送する中間アドレス情報を、秘密キーで暗号化する。
DB12は、IPv6保安網20への接続許可を受けた各ノードA31、B32、C33に割り当てる中間アドレス情報を、中間アドレステーブルの形態で保存する。
このような中間アドレステーブルは、次の表1のように構成することができる。
Figure 2005218088
表1で説明されるように、中間アドレステーブルには、IPv6保安網20への接続許可を受けた各ノードA31、B32、C33情報と、該当ノードA31、B32、C33に割り当てられる中間アドレス情報とを保存している。
即ち、CA10は、ノードA31からNSメッセージが伝送される場合には、ノードA31が、IPv6保安網20への接続許可を受けた場合には、中間アドレス情報を‘1A:1B'としたIPv6アドレスを使用するようにし、ノードB32は、‘1B:1A'を中間アドレスとしたIPv6アドレスを使用するようにする。
このとき、中間アドレステーブルに保存される各中間アドレスは、一つのIPv6保安網20内で、重複しないようにして、一つのIPv6保安網20で同一のIPv6アドレスを使用する複数個のノードA31、B32、C33が発生しないようにすることが望ましい。
認証処理部11は、ノードA31、B32、C33からNSメッセージが伝送される場合には、該当ノードA31、B32、C33が、IPv6保安網20への接続が許可されたか否かを判断して、許可された場合には、DB12から該当ノードA31、B32、C33に割り当てる中間アドレス情報を検索して、その中間アドレス情報が含まれるNAメッセージを生成する。
また、認証処理部11は、IPv6保安網20への接続許可を受けた各ノードA31、B32、C33の間で通信ができるようにする保安情報を、生成されるNAメッセージに含ませる。
このとき、CA10が、各ノードA31、B32、C33へ伝送する保安情報には、IPv6保安網20に接続する各ノードA31、B32、C33が使用する秘密キー情報及び中間アドレス情報などが該当する。
図7は、本発明の好ましい実施形態による各ノードが認証機関から認証を受ける方法についての流れを説明するためのフローチャートである。
図7を参照すると、ノードA31のアドレス処理部31dは、IPv6保安網20に接続するために、アドレス自動設定機能により、IPv6アドレスを生成し、メッセージ処理部31cは、アドレス処理部31dで生成されるIPv6アドレス情報を用いて、NSメッセージを生成する(ステップ1。なお、図中では、ステップをSと略す。以下同じ。)。
次に、ノードA31の暗号/復号化部31bは、メッセージ処理部31cで生成されたNSメッセージを、CA10の公開キーで暗号化し、その暗号化されたNSメッセージを、IPv6保安網20を通じて、CA10へ伝送する(ステップ2)。
次に、CA10のIPインターフェース部14は、ノードA31から伝送されるNSメッセージを受信して、暗号/復号化処理部13は、CA10の個人キーで、NSメッセージを復号化する(ステップ3)。
そして、認証処理部11は、NSメッセージを伝送したノードA31が、IPv6保安網20に接続が許可されたか否かを、DB12に保存された中間アドレステーブルを検索して判断し、接続が許可された場合には、該当ノードA31に割り当てられた中間アドレス情報を検索する(ステップ4)。
その後に、認証処理部11は、中間アドレステーブルから検索された中間アドレス情報、及び、IPv6保安網20で使用される秘密キー情報が含まれるNAメッセージを生成する(ステップ5)。
暗号/復号処理部13は、認証処理部11で生成したNAメッセージを、ノード31の公開キーで暗号化して、IPインターフェース部14を通じてノード31へ伝送する(ステップ6)。
ノード31の暗号/復号化部31bは、CA10から伝送されるNAメッセージを、個人キーで復号化し、メッセージ処理部31cは、NAメッセージに含まれている秘密キー情報及び中間アドレス情報を把握する(ステップ7)。
そして、アドレス処理部31dは、メッセージ処理部31cで把握された中間アドレス情報を用いて、IPv6アドレスを生成する(ステップ8)。
一例として、ノードA31が、CA10から認証を受ける方法について簡単に説明すると、まず、ノードA31は、アドレス自動設定機能により、試験アドレス(tentative address)を生成する。
即ち、ノードA31のインターフェースMACアドレスが‘0A:00:2B:3B:70:1E'で、ネットワークプレフィックス(Network Prefix)が‘3FFE:2E01:DEC1::/64'の場合には、ノードA31のアドレス処理部31dは、IPv6アドレスで‘3FFE:2E01:DEC1::0A00:2BFF:FE3B:701E'を生成する。
そして、ノードA31のメッセージ処理部31cは、乱数(RN(A))を生成し、その生成された乱数情報(RN(A))と、パスワード情報(PW(A))とを用いて、NSメッセージを生成する。
ここで、PW(A)は、CA10がノードA31を認証するための情報を意味し、このようなPW(A)には、ノードA31のID情報及びパスワード情報が該当する。
そして、RN(A)は、ノードA31が生成した乱数情報を意味し、このような乱数情報は、CA10が、悪意を持って接続する侵入ノード(図示せず)のメッセージを遮断するために使用される情報である。
ノードA31が、パスワード情報(PW(A))及び乱数情報(RN(A))を用いて、NSメッセージを生成することは、ノード31が、NSメッセージを、ネットワークにブロードキャスト方式で伝送するため、CA10ではない、悪意を有する目的でIPv6保安網20に接続するノード(図示せず)もNSメッセージを受信することができ、このような悪意を有するノードが、ノードA31で、不正に生成したNAメッセージを伝送する可能性が高くなる。
したがって、ノードA31は、悪意を有するノードが、NAメッセージを生成することを防止するために、乱数情報(RN(A))は、NSメッセージをCA10の公開キーで暗号化して伝送し、CA10だけを乱数情報(RN(A))を復号化できるようにして、CA10は、ノードA31から伝送される乱数情報(RN(A))を復号化して、ノードA31の公開キーで暗号化して、NAメッセージを伝送することにより、CA10が、認証のために伝送するNAメッセージであることを確認する。
また、CA10の認証処理部11は、ノードA31で割り当てる中間アドレス情報(DA(A))である‘1A:1B'を中間アドレステーブルから検索して、IPv6保安網20の秘密キーで暗号化して、秘密キーで暗号化された中間アドレス情報(DA(A))と、秘密キー情報(SS(A))と、ノードA31の乱数情報(RN(A))とを、ノードA31の公開キーで暗号化して、NAメッセージを生成して、その生成されたNAメッセージを、ノードA31へ伝送する。
そして、ノードA31の暗号/復号化部31bは、CA10から伝送されるNAメッセージを、自身の個人キーで復号化し、メッセージ処理部31cは、NAメッセージから乱数情報(RN(A))を把握して、自身が生成した乱数情報(RN(A))であるか否かを確認する。
そして、メッセージ処理部31cは、伝送されたNAメッセージの乱数情報が、自身が生成した乱数情報(RN(A))である場合には、中間アドレス情報(DA(A))及び秘密キー情報(SS(C))を把握し、把握された秘密キー情報(SS(C))を、暗号/復号化部31bに提供し、中間アドレス情報(DA(A))を、アドレス処理部31dに提供する。
アドレス処理部31dは、メッセージ処理部31cから提供される中間アドレス情報(DA(A))を用いて、IPv6アドレスを生成し、暗号/復号化部31bは、他のノードB32、C33と通信が設定される場合には、秘密キー(SS(C))で他のノードB32、C33と交換されるメッセージを暗号/復号化する。
即ち、アドレス処理部31dは、CA10から伝送された中間アドレス情報(DA(A))である‘1A:1B'を用いて、IPv6アドレスである‘3FFE:2E01:DEC1::0A00:2B1A:1B3B:701E'を生成する。
図8は、本発明の好ましい実施形態による各ノード間の相互認証方法についての流れを説明するためのフローチャートである。
図8を参照して、ノードA31がノードB32へ認証を要請する場合について説明する。
ノードA31のメッセージ処理部31cは、使用者からノードB32との通信が要請される場合には、乱数情報(RN(A))を生成し、暗号/復号化部31bは、認証要請メッセージをノードB32の公開キーで暗号化して、ネットワークインターフェース部31aを通じて、ノードB32へ伝送する(ステップ10)。
即ち、ノードA31は、認証要請メッセージをノードB32の公開キーで暗号化して伝送する。
ノードB32の暗号/復号化部32bは、ネットワークインターフェース部32aを通じて受信される認証要請メッセージを、ノードB32の個人キーで復号化し、メッセージ処理部32cは、乱数情報(RN(B))を生成する。
次に、メッセージ処理部32cは、ノードA31の乱数情報(RN(A))と、生成された乱数情報(RN(B))と、ノードA31の中間アドレス情報(DA(A))と、自身の中間アドレス情報(DA(B))を変数としたハッシュ関数の関数値の半分と、ノードA31の乱数情報(RN(A))と、ノードB32の乱数情報(RN(B))とをノードA31の公開キーで暗号化して、認証応答メッセージを生成して、その生成された認証応答メッセージを、ノードA31へ伝送する(ステップ11)。
ここで、ノードA31及びノードB32がCA10から伝送を受けた中間アドレス情報(DA(A)、DA(B))は、CA10から伝送された秘密キー情報(SS(C))を用いて復号化することにより把握することができる。
即ち、ノードB32は、ノードA31から伝送された認証要請メッセージについての認証応答メッセージを、ノードA31の公開キーで暗号化して伝送する。
そして、ノードA31の暗号/復号化部31bは、ネットワークインターフェース部31aを通じて受信される認証応答メッセージを、自身の個人キーで復号化して(ステップ12)、メッセージ処理部31cは、認証応答メッセージに含まれるハッシュ関数の関数値と自身のハッシュ関数値の半分を合わせて、一つのハッシュ関数値になるか否かを判断する(ステップ13)。
即ち、ノードA31のメッセージ処理部31cは、ノードB32から伝送される半分の関数値と、自身のハッシュ関数の半分の値を合算して、正しいハッシュ関数値になるか否かを判断して、正しいハッシュ関数値である場合には、ノードB32から伝送されるハッシュ関数値が有効であると判断する。
このとき、ノードB32から伝送される認証応答メッセージに前半部の半分のハッシュ関数値が含まれると、ノードA31は、後半部の半分のハッシュ関数値と、伝送されるハッシュ関数値を合算することができる。
また、ノードB32から伝送される認証応答メッセージに含まれるハッシュ関数値を、任意の部分から抜粋する場合には、認証要請メッセージを伝送したノードA31は、認証応答メッセージに含まれるハッシュ関数値に、他の部分のハッシュ関数値を合算することができる。
そして、ノードA31のメッセージ処理部31cは、認証応答メッセージに含まれるハッシュ関数値と自分のハッシュ関数値とを合算した全体ハッシュ関数値が、正しくはないと判断した場合には、ノードB32が、IPv6保安網20に接続が許可できないノードであると判断して、接続を終了する(ステップ14)。
一方で、ノードA31のメッセージ処理部31cは、全体ハッシュ関数値が正しいと判断した場合には、ノードB32から伝送されたハッシュ関数値を除去した残りのハッシュ関数値と、ノードB32の乱数情報(RN(B))とを、ノードB32の公開キーで暗号化して、認証確認メッセージを生成して、その生成された認証確認メッセージを、ノードB32へ伝送する(ステップ15)。
そして、ノードB32の暗号/復号化部32bは、認証確認メッセージを個人キーで復号化し、メッセージ処理部32cは、認証確認メッセージに含まれる残りの半分のハッシュ関数値が有効であるか否かを判断して、有効である場合には、ノードA31との相互認証が完了されたと判断して、ノードA31との通信を開始する(ステップ16)。
一例として、IPv6保安網20を通じて各ノードA31、B32との間で、相互認証を実行する方法について説明すれば、まず、ノードA31は、認証に使用される乱数(RN(A))を生成して、ノードB32の公開キーで(PK(B))で暗号化して、ノードB32へ認証要請メッセージを伝送する。
ノードB32は、ノードA31と相互認証のための乱数RN(B)を生成して、ハッシュ関数を用いて、相互認証を実行するための認証応答メッセージを生成する。
このとき、ハッシュ関数を使用して認証応答メッセージを生成する理由は、ハッシュ関数は、関数値から変数値を導出しにくいという特徴を利用して、ノード31、32の間の相互認証を実行するためである。
以下、ハッシュ関数について簡単に説明する。
次の数式1は、ハッシュ関数を示す。
(数式1)
h(M) → H
ここで、‘h'は、ハッシュ関数を表し、‘M'は、ハッシュ関数に使用される変数を表し、‘H'は、変数‘M'から導出されるハッシュ関数値を表す。
相互認証に使用されるハッシュ関数は、送信者が、ハッシュ関数の関数値と変数とを同時に伝送して、受信者は、同一のハッシュ関数を使用して、変数から関数値を導出し、その導出された関数値と伝送される関数値とを比較する。
そして、受信者は、導出された関数値と伝送される関数値が同一である場合には、送信者を認証する。
即ち、ノードB32は、CA10から認証を受けながら伝送を受けた秘密キー(SS(C))を用いて、自身が割り当てを受けた中間アドレス情報(DA(B))と、ノードA31が割り当てを受けた中間アドレス情報(DA(A))とを把握する。
そして、ノードB32のメッセージ処理部32cは、ノードA31の乱数情報(RN(A))と、自身の乱数情報(RN(B))と、ノードA31の中間アドレス情報(DA(A))と、自身の中間アドレス情報(DA(B))とを変数とするハッシュ関数値の半分の値と、ノードA31の乱数情報(RN(A))と、自身の乱数情報(RN(B))とを、ノードA31の公開キーで暗号化して、認証応答メッセージで伝送する。
このとき、ノードB32は、ノードA31がCA10から認証を受けたノードである場合には、IPv6アドレスの下位64ビットの中で、16ビットは、CA10から伝送を受けた秘密キー(SS(C))で暗号化されているので、ノードA31から伝送される認証要請メッセージのIPv6アドレスが、CA10から伝送を受けた秘密キー(SS(C))により正しく復号化されると、ノードA31が、認証を受けたノードであることを判断することができる。
また、ノードB32が伝送する認証応答メッセージに含まれるハッシュ関数の変数が、ノードA31の中間アドレス情報(DA(A))と、ノードB32の中間アドレス情報(DA(B))とともに、ノードA31の乱数情報(RN(A))及びノードB32の乱数情報(RN(B))を使用することにより、ハッシュ関数値が固定的ではなく、認証を試みる度に変化するようになるため、一層、保安性が保障される。
そして、ノードA31の暗号/復号化部31bは、ノードB32から伝送される認証応答メッセージを自身の個人キーで復号化し、メッセージ処理部31cは、認証応答メッセージにハッシュ関数値が半分だけ含まれているので、自身が持っているハッシュ関数値を合算して、伝送されたハッシュ関数値が有効であるか否かを判断する。
また、メッセージ処理部31cは、ハッシュ関数値が有効であると判断した場合には、ノードB32についての相互認証が完了されたことを知らせる認証確認メッセージをノードB32へ伝送する。
このとき、ノードA31は、認証確認メッセージにノードB32から伝送されたハッシュ関数値を除去して、残りのハッシュ関数値を含ませて伝送する。
そして、ノードB32は、ノードA31から伝送される認証確認メッセージに含まれたハッシュ関数の半分の値が有効であるか否かを判断し、有効である場合には、ノードA31についての相互認証が完了されたと判断して、ノードA31との通信を開始する。
図9は、本発明の好ましい実施形態によるIPv6保安網を通じてノードが通信を実行する方法についての流れを説明するためのフローチャートである。
図9を参照すると、まず、ノードB32は、CA10から認証を受けて、CA10から伝送される中間アドレス情報(DA(B))を用いたIPv6アドレスを使用して、IPv6保安網20に接続している(ステップ20)。
そして、ノードA31が、IPv6保安網20に新規接続する場合は、ノードA31のアドレス処理部31dは、アドレス自動設定機能により試験アドレスを生成する。
そして、メッセージ処理部31cは、乱数(RN(A))を生成して、パスワード情報(PW(A))及び乱数情報(RN(A))を用いて、NSメッセージを生成し、暗号/復号化部31bは、NSメッセージをCA10の公開キーで暗号化して(ENPK(C))、ネットワークインターフェース部31aを通じてCA10へ伝送する(ENPK(C)(PW(A)、RN(A))(ステップ21)。
そして、CA10は、ノードA31からNSメッセージが伝送されると、NSメッセージを個人キーで復号化して、ノードA31がIPv6保安網20に接続が許可されたか否かを、中間アドレステーブルから検索して判断し、接続が許可された場合には、ノードA31に割り当てる中間アドレス情報(DA(A))を検索する。
また、CA10は、検索された中間アドレス情報(DA(A))を秘密キーで暗号化して、秘密キー情報(SS(C))と、把握されたノードA31の乱数情報(RN(A))と、秘密キーで暗号化された中間アドレス情報(ENPK(C)DA(A))とを、ノードA31の公開キーで暗号化して(ENPK(A))、NAメッセージへ伝送する(ENPK(A)(RN(A)、SS(C)、ENPK(C)(DA(A))(ステップ22)。
ノードA31の暗号/復号化部31bは、CA10から伝送されるNAメッセージを個人キーで復号化して、メッセージ処理部31cは、CA10から伝送される秘密キー情報(SS(C))を把握する。
また、メッセージ処理部31cは、NAメッセージに含まれる自身の乱数情報(RN(A))が正しい場合には、NAメッセージを伝送したCA10がIPv6保安網10の正しいCA10と判断する。即ち、悪意の目的でIPv6保安網20に接続して、ノードA31から伝送されるNSメッセージについての、不正NAメッセージを伝送する悪意を有するノードではなく、IPv6保安網20の正しいCA10であると判断する。
そして、暗号/復号化部31bは、メッセージ処理部31cが把握した秘密キー(SS(C))で中間アドレス情報(DA(A))を復号化して、アドレス処理部31dは、暗号/復号化部31bで復号された中間アドレス情報(DA(A))を使用して、IPv6アドレスを生成する。
ノードA31のメッセージ処理部31cは、使用者からノードBとの通信が要請されると、乱数(RN(A))を生成して、認証要請メッセージを生成する。
そして、暗号/復号化部31bは、生成される認証要請メッセージをノードB32の公開キーで暗号化して(ENPK(B))、ネットワークインターフェース部31aを通じてノードB32へ伝送する(ENPK(B)(RN(A)))(ステップ23)。
ノードB32の暗号/復号化部32bは、ノードA31から伝送される認証要請メッセージを、個人キーで復号化して、メッセージ処理部32cは、ノードA31との相互認証のための乱数(RN(B))を生成する。
そして、メッセージ処理部32cは、ノードA31の中間アドレス情報(DA(A))と、自分の中間アドレス情報(DA(B))と、ノードA31の乱数情報(RN(A))と、生成される乱数情報(RN(B))とを変数としたハッシュ関数値の半分の値と、ノードA31の乱数情報(RN(A))と、生成された乱数情報(RN(B))とをノードA31の公開キーで暗号化して(ENPK(A))、認証応答メッセージを伝送する(ENPK(A)(RN(A)、RN(B)、h2/1(RN(A)、RN(B)、DA(A)、DA(B)))(ステップ24)。
ノードA31の暗号/復号化部31bは、個人キーでノードB32から伝送される認証応答メッセージを復号化して、メッセージ処理部31cは、認証応答メッセージに含まれる半分のハッシュ関数値に、自身が有する半分のハッシュ関数値を合算した関数値が有効であるか否かを判断して、有効であれば、自身が有する残りの半分のハッシュ関数値及びノードB32の乱数情報(RN(B))を、ノードB32の公開キーで暗号化して(ENPK(B))、認証確認メッセージで伝送する(ENPK(B)(RN(B)、 h2/2(RN(A)、RN(B)、DA(A)、DA(B))))(ステップ25)。
そして、ノードB32の暗号/復号化部32bは、ノードA31から伝送される認証確認メッセージを個人キーで復号化して、メッセージ処理部32cは、認証確認メッセージに含まれる半分のハッシュ関数値が有効であるか否かを判断して、有効であれば、IPv6保安網20を通じて通信を実行するための相互認証が完了されたと判断して、ノードA31と通信を開始するようになる。
本発明は、本発明の技術的思想から逸脱することなく、他の種々の形態で実施することができる。前述の実施形態は、あくまでも、本発明の技術内容を明らかにするものであって、そのような具体例のみに限定して狭義に解釈されるべきものではなく、本発明の精神と特許請求の範囲内で、様々に変更して実施することができるものである。
一般的なIPv6アドレス構成を説明するための図である。 IPv6のアドレス自動設定機能を説明するための図である。 アドレス自動設定機能で生成されたIPv6アドレスのインターフェースIDを説明するための図である。 一般的なIPv6保安網の構成を説明するための全体ブロック図である。 本発明の好ましい実施形態によるノードの構成を説明するための内部ブロック図である。 本発明の好ましい実施形態による認証機関の内部構成を説明するための内部ブロック図である。 本発明の好ましい実施形態による各ノードが認証機関から認証を受ける方法についての流れを説明するためのフローチャートである。 本発明の好ましい実施形態による各ノード間の相互認証方法についての流れを説明するためのフローチャートである。 本発明の好ましい実施形態によるIPv6保安網を通じてノードが通信を実施する方法についての流れを説明するためのフローチャートである。
符号の説明
10 認証機関(CA)
11 認証処理部
12 データベース(DB)
13 暗号/復号処理部
14 IPインターフェース部
20 IPv6保安網
31、32、33 ノード
31a ネットワークインターフェース部
31b 暗号/復号化部
31c メッセージ処理部
31d アドレス処理部

Claims (26)

  1. 複数のノードの認証を処理するシステムであって、
    少なくとも一つのノード情報及び前記複数のノードに割り当てられたアドレス情報を保持し、IPネットワークに接続するノードから接続メッセージを受信した場合には、前記ノードに割り当てられたアドレス情報と、保安情報とを含む認証メッセージを伝送する認証サーバーと、
    前記認証サーバーに接続して、前記接続メッセージを前記認証サーバーへ伝送し、前記認証メッセージを通じて伝送される前記アドレス情報を用いて、IPアドレスを生成し、前記IPアドレス及び前記保安情報を通じて、他のノードと相互認証を処理する少なくとも一つのノードと、を含むこと
    を特徴とする認証処理システム。
  2. 前記接続メッセージは、前記ノードのID情報と、パスワード情報と、ランダムに生成する乱数情報との中の少なくとも一つのノード情報を含むことを特徴とする請求項1記載の認証処理システム。
  3. 前記保安情報は、前記IPネットワークで使用される秘密キー情報と、前記秘密キーで暗号化されるアドレス情報と、前記ノード情報又は保安情報の中で少なくとも一つの情報を変数としてハッシュ関数処理して得られた関数値情報と、の中で少なくとも一つの情報であることを特徴とする請求項1記載の認証処理システム。
  4. 前記認証サーバーは、前記ノードから接続メッセージを受信した場合には、前記接続メッセージからノード情報を把握し、前記認証メッセージに前記ノード情報を含ませることを特徴とする請求項1記載の認証処理システム。
  5. 前記ノードは、前記認証メッセージに認証確認情報である前記ノード情報が含まれていない場合には、前記認証サーバーを、悪意を有するノードであると判断して、接続を終了することを特徴とする請求項4記載の認証処理システム。
  6. 前記認証サーバーは、前記秘密キーで暗号化された前記アドレス情報が含まれる前記認証メッセージを該当するノードの公開キーで暗号化し、前記接続メッセージを、個人キーで復号化することを特徴とする請求項1記載の認証処理システム。
  7. 前記各ノードは、前記接続メッセージを前記認証サーバーの公開キーで暗号化し、前記認証メッセージを前記各ノードの個人キーで復号化することを特徴とする請求項1記載の認証処理システム。
  8. 前記各ノードは、使用者から他のノードとの通信を要請された場合には、前記他のノードへ認証要請メッセージを伝送し、前記認証要請メッセージに対する応答メッセージから前記保安情報を把握し、前記他のノードの保安情報と、自身の保安情報とを比較して、前記他のノードの保安情報が有効である場合には、前記他のノードを認証して通信を開始することを特徴とする請求項1記載の認証処理システム。
  9. 認証サーバーと、少なくとも一つのノードとを含むシステムであって、
    ノード情報を暗号化して、認証要請メッセージとして他のノードへ伝送し、前記認証要請メッセージに対する応答メッセージを、前記認証サーバーから伝送された秘密キーを用いて復号化して、前記他のノードの保安情報を把握し、前記他のノードの保安情報が、前記認証サーバーから伝送された保安情報と同一である場合には、前記他のノードを認証する認証確認メッセージを伝送する第1のノードと、
    前記第1のノードから認証要請メッセージが受信された場合には、保安情報を認証サーバーから伝送された秘密キーで暗号化して、応答メッセージを伝送し、前記第1のノードから認証確認メッセージが伝送された場合には、前記第1のノードを認証する第2のノードと、を含むことを特徴とするIPv6ネットワークで認証を処理するシステム。
  10. 前記各ノードは、他のノードから認証確認メッセージが伝送された場合には、前記他のノードの保安情報を把握して、前記認証サーバーから伝送された保安情報と比較し、前記他のノードの保安情報が有効である場合には、前記他のノードを認証することを特徴とする請求項9記載のIPv6ネットワークで認証を処理するシステム。
  11. 前記保安情報は、前記IPv6ネットワークで使用される秘密キー情報と、前記秘密キーで暗号化されるアドレス情報と、前記ノード情報又は保安情報の中で少なくとも一つの情報を変数としてハッシュ関数処理した関数値情報と、の中で少なくとも一つの情報であることを特徴とする請求項9記載のIPv6ネットワークで認証を処理するシステム。
  12. 前記各ノードは、前記応答メッセージに、前記関数値情報の半分を含ませるとともに、前記認証確認メッセージに、前記関数値情報の半分を除いた関数値情報を含ませることを特徴とする請求項11記載のIPv6ネットワークで認証を処理するシステム。
  13. 認証サーバーを含む保安網に接続するノードであって、
    他のノードとの通信要請がある場合には、暗号化されたノード情報を含む認証要請メッセージを伝送し、前記認証要請メッセージに対する応答メッセージを、前記認証サーバーから伝送された秘密キーで復号化して、他のノードの保安情報を把握し、前記把握された保安情報が前記認証サーバーから伝送された保安情報と同一である場合には、前記他のノードを認証する認証確認メッセージを伝送して、前記他のノードと通信を開始することを特徴とするIPv6ネットワークのノード。
  14. 少なくとも一つのノードを認証処理する認証サーバーであって、
    少なくとも一つのノード情報及び該当ノードに割り当てられたアドレス情報を保持する保存部と、
    IPv6ネットワークを通じて、前記ノードから伝送される接続メッセージを受信した場合には、前記ノードが、接続が許可されたか否かを前記保存部から検索して確認し、接続が許可された場合には、前記ノードに該当するアドレス情報を秘密キーで暗号化した暗号情報と、前記秘密キー情報が含まれる認証メッセージとを、前記ノードへ伝送する認証処理部と、を含むことを特徴とするIPv6ネットワークの認証サーバー。
  15. 前記認証処理部は、前記接続メッセージから前記ノードのノード情報を把握し、前記認証メッセージに前記ノード情報を含ませて、前記ノードを認証する認証サーバーであることを知らせることを特徴とする請求項14記載のIPv6ネットワークの認証サーバー。
  16. 複数のノードと、認証サーバーとを含むIPネットワークで認証を処理する方法であって、
    前記認証サーバーが、少なくとも一つのノード情報及び前記ノードに割り当てられるアドレス情報を設定する段階と、
    任意のノードが、前記認証サーバーに接続して、ノード情報が含まれる接続メッセージを伝送する段階と、
    前記認証サーバーが、前記接続メッセージを受信した場合には、前記ノードが、接続が許可されたか否かを判断して、許可された場合には、前記ノードに割り当てられたアドレス情報及び保安情報が含まれる認証メッセージを前記ノードへ伝送する段階と、
    前記ノードが、前記アドレス情報を用いてIPアドレスを生成し、前記保安情報を通じて他のノードと相互に認証処理する段階と、を含むことを特徴とする認証を処理する方法。
  17. 前記ノード情報は、前記ノードのID情報と、パスワード情報と、ランダムに生成される乱数情報との中で少なくとも一つの情報であることを特徴とする請求項16記載の認証を処理する方法。
  18. 前記保安情報は、前記IPネットワークで使用される秘密キー情報と、前記秘密キーで暗号化されるアドレス情報と、前記ノード情報又は保安情報の中で少なくとも一つの情報を変数としてハッシュ関数処理した関数値情報と、の中で少なくとも一つの情報であることを特徴とする請求項16記載の認証を処理する方法。
  19. 前記認証サーバーは、前記ノードから接続メッセージが受信された場合には、前記ノード情報を把握して、前記ノード情報を前記認証メッセージに含ませることを特徴とする請求項16記載の認証を処理する方法。
  20. 前記ノードは、前記認証メッセージに前記認証確認情報であるノード情報が含まれていない場合には、前記認証サーバーを悪意を有するノードと判断して、接続を終了することを特徴とする請求項19記載の認証を処理する方法。
  21. 前記相互認証を処理する段階は、使用者から他のノードとの通信が要請された場合には、前記他のノードへ認証要請メッセージを伝送し、前記認証要請メッセージに対するの応答メッセージから前記保安情報を把握する段階と、
    前記他のノードの保安情報と、自身の保安情報とを比較して、前記他のノードの保安情報が有効である場合には、前記他のノードを認証する段階と、を含むことを特徴とする請求項16記載の認証を処理する方法。
  22. 認証サーバー及び複数個のノードを含むIPネットワークでノード間の相互認証を処理する方法であって、
    第1のノードが、ノード情報を暗号化した認証要請メッセージを第2のノードへ伝送する段階と、
    第2のノードが、前記認証要請メッセージについての応答メッセージとして、保安情報を認証サーバーから伝送された秘密キーで暗号化して伝送する段階と、
    前記第2のノードから応答メッセージが伝送される場合には、認証サーバーから伝送された秘密キーで復号化して、第2のノードの保安情報を把握し、前記保安情報が前記認証サーバーから伝送された保安情報と同一であれば、前記第2のノードを認証する認証確認メッセージを伝送する段階と、
    前記第2のノードが前記認証確認メッセージを受信する場合は、前記第1のノードを認証する段階と、を含むことを特徴とするIPv6ネットワークでノード間の相互認証を処理する方法。
  23. 前記第2のノードの認証は、前記第2のノードから保安情報が伝送されると、前記第2のノードの保安情報を把握し、前記保安情報が有効であるか否かを、前記認証サーバーから伝送された保安情報と比較して確認し、有効であれば、前記第2のノードを認証することを特徴とする請求項22記載のIPv6ネットワークでノード間の相互認証を処理する方法。
  24. 認証サーバーを含むIPv6ネットワークのノードが認証を処理する方法であって、
    他のノードとの通信要請がある場合には、暗号化されたノード情報が含まれる認証要請メッセージを前記他のノードへ伝送する段階と、
    前記他のノードから受信される応答メッセージを、認証サーバーから伝送された秘密キーで復号化して、前記他のノードの保安情報を把握する段階と、
    前記把握された保安情報が、前記認証サーバーから伝送された保安情報と同一であるか否かを判断して、同一である場合には、前記他のノードを認証する認証確認メッセージを伝送し、前記他のノードと通信を開始する段階と、を含むことを特徴とするIPv6ネットワークのノードが認証を処理する方法。
  25. 認証サーバーがノードの認証を処理する方法であって、
    少なくとも一つのノード情報及び該当ノードに割り当てるアドレス情報を設定する段階と、
    IPネットワークを通じて接続する任意のノードから伝送された接続メッセージを受信した場合には、前記ノードが、接続が許可されたか否かを、前記設定されたノード情報から確認する段階と、
    前記ノードが、接続を許可された場合には、前記ノードに該当するアドレス情報を秘密キーで暗号化した暗号情報と、前記秘密キー情報が含まれる認証メッセージとを伝送する段階と、を含むことを特徴とするIPv6ネットワークの認証サーバーが認証を処理する方法。
  26. 前記認証メッセージを伝送する段階は、前記接続メッセージから前記ノードのノード情報を把握し、前記ノードを認証する認証サーバーであることを知らせるために、前記ノード情報を前記認証メッセージに含ませる段階を含むことを特徴とする請求項25記載のIPv6ネットワークの認証サーバーが認証を処理する方法。

JP2005009821A 2004-01-29 2005-01-18 IPv6ネットワークで認証を処理する方法及びその装置 Expired - Fee Related JP4033868B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20040005864A KR100803272B1 (ko) 2004-01-29 2004-01-29 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치

Publications (2)

Publication Number Publication Date
JP2005218088A true JP2005218088A (ja) 2005-08-11
JP4033868B2 JP4033868B2 (ja) 2008-01-16

Family

ID=34651535

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005009821A Expired - Fee Related JP4033868B2 (ja) 2004-01-29 2005-01-18 IPv6ネットワークで認証を処理する方法及びその装置

Country Status (5)

Country Link
US (1) US20050172333A1 (ja)
EP (1) EP1560396A2 (ja)
JP (1) JP4033868B2 (ja)
KR (1) KR100803272B1 (ja)
CN (1) CN1649294A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009510963A (ja) * 2005-10-03 2009-03-12 ノキア コーポレイション ネットワークエンティティ間のデータ合意を認証するシステム、方法及びコンピュータプログラム製品
WO2010032391A1 (ja) * 2008-09-19 2010-03-25 日本電気株式会社 完全性検証のための通信システム、通信装置、及びそれらを用いた通信方法及びプログラム
US8737396B2 (en) 2011-03-10 2014-05-27 Fujitsu Limited Communication method and communication system
JP2014521143A (ja) * 2011-06-27 2014-08-25 サムスン エレクトロニクス カンパニー リミテッド 異種サービス端末にサービスを提供するための装置及び方法
JP2018174526A (ja) * 2017-03-31 2018-11-08 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド 生体認証セキュリティーを備えた、IOTデバイスを保護するためのIPv6リンクローカルセキュアネットワーク

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100669240B1 (ko) * 2004-12-07 2007-01-15 한국전자통신연구원 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법
US7881468B2 (en) * 2005-04-08 2011-02-01 Telefonaktiebolaget L M Ericsson (Publ) Secret authentication key setup in mobile IPv6
US7468952B2 (en) * 2005-11-29 2008-12-23 Sony Computer Entertainment Inc. Broadcast messaging in peer to peer overlay network
CN101001245B (zh) * 2006-01-10 2010-04-14 华为技术有限公司 一种边界网关协议中更新信息的验证方法
DE102006017940B4 (de) * 2006-04-18 2009-12-17 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Verfahren zur Herstellung einer Verbindung
US20090150670A1 (en) * 2006-06-01 2009-06-11 Nec Corporation Communication node authentication system and method, and communication node authentication program
KR100831327B1 (ko) * 2006-09-28 2008-05-22 삼성전자주식회사 무선 메쉬 네트워크의 인증 처리 방법 및 그 장치
CN101193103B (zh) * 2006-11-24 2010-08-25 华为技术有限公司 一种分配和验证身份标识的方法及系统
KR100818307B1 (ko) * 2006-12-04 2008-04-01 한국전자통신연구원 IPv6 공격 패킷 탐지장치 및 방법
KR100892616B1 (ko) * 2007-06-28 2009-04-09 연세대학교 산학협력단 무선 센서 네트워크에서의 새로운 장치 참여 방법
US8515996B2 (en) 2008-05-19 2013-08-20 Emulex Design & Manufacturing Corporation Secure configuration of authentication servers
US8548467B2 (en) 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US8862872B2 (en) * 2008-09-12 2014-10-14 Qualcomm Incorporated Ticket-based spectrum authorization and access control
US9148335B2 (en) * 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses
CN101534309B (zh) 2009-04-14 2013-03-13 华为技术有限公司 节点注册方法、路由更新方法、通讯系统以及相关设备
US20100322420A1 (en) * 2009-06-18 2010-12-23 Arris Group, Inc. Duplicate Address Detection Proxy in Edge Devices
CN108599964B (zh) * 2012-02-29 2022-02-22 交互数字专利控股公司 一种由wtru执行的方法及wtru
US9456344B2 (en) 2013-03-15 2016-09-27 Ologn Technologies Ag Systems, methods and apparatuses for ensuring proximity of communication device
US10177915B2 (en) 2013-03-15 2019-01-08 Ologn Technologies Ag Systems, methods and apparatuses for device attestation based on speed of computation
US9698991B2 (en) * 2013-03-15 2017-07-04 Ologn Technologies Ag Systems, methods and apparatuses for device attestation based on speed of computation
EP2995061B1 (en) 2013-05-10 2018-04-18 OLogN Technologies AG Ensuring proximity of wifi communication devices
CN103347102B (zh) * 2013-06-28 2016-08-10 华为技术有限公司 冲突地址检测报文的识别方法及装置
US9455998B2 (en) 2013-09-17 2016-09-27 Ologn Technologies Ag Systems, methods and apparatuses for prevention of relay attacks
US10949349B2 (en) * 2015-12-01 2021-03-16 Fastly, Inc. Anonymized network addressing in content delivery networks
CN116980151A (zh) * 2022-04-22 2023-10-31 戴尔产品有限公司 用于地址加密的方法、电子设备和计算机程序产品

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5903651A (en) * 1996-05-14 1999-05-11 Valicert, Inc. Apparatus and method for demonstrating and confirming the status of a digital certificates and other data
US6513117B2 (en) * 1998-03-04 2003-01-28 Gemstar Development Corporation Certificate handling for digital rights management system
US6230266B1 (en) * 1999-02-03 2001-05-08 Sun Microsystems, Inc. Authentication system and process
US6701434B1 (en) * 1999-05-07 2004-03-02 International Business Machines Corporation Efficient hybrid public key signature scheme
US6353891B1 (en) * 2000-03-20 2002-03-05 3Com Corporation Control channel security for realm specific internet protocol
JP2003008622A (ja) 2001-06-22 2003-01-10 Fujitsu Ltd サービス制御ネットワーク、及びそのサービス制御ネットワークにおいて使用されるルータ装置
KR100736536B1 (ko) * 2001-07-07 2007-07-06 엘지전자 주식회사 차세대 인터넷 프로토콜에서의 이동국 식별정보를 이용한인터페이스 식별 방법
JP3987710B2 (ja) * 2001-10-30 2007-10-10 株式会社日立製作所 認定システムおよび認証方法
US7577425B2 (en) * 2001-11-09 2009-08-18 Ntt Docomo Inc. Method for securing access to mobile IP network
US20030211842A1 (en) * 2002-02-19 2003-11-13 James Kempf Securing binding update using address based keys
JP3782788B2 (ja) 2002-04-17 2006-06-07 キヤノン株式会社 公開鍵証明書提供装置、方法、及び、接続装置
JP2003333122A (ja) 2002-05-16 2003-11-21 Canon Inc 通信用識別情報に基づき制御を実行する制御装置、方法、プログラム
US7046647B2 (en) * 2004-01-22 2006-05-16 Toshiba America Research, Inc. Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009510963A (ja) * 2005-10-03 2009-03-12 ノキア コーポレイション ネットワークエンティティ間のデータ合意を認証するシステム、方法及びコンピュータプログラム製品
JP4846805B2 (ja) * 2005-10-03 2011-12-28 ノキア コーポレイション ネットワークエンティティ間のデータ合意を認証するシステム、方法及びコンピュータプログラム製品
WO2010032391A1 (ja) * 2008-09-19 2010-03-25 日本電気株式会社 完全性検証のための通信システム、通信装置、及びそれらを用いた通信方法及びプログラム
US8737396B2 (en) 2011-03-10 2014-05-27 Fujitsu Limited Communication method and communication system
JP2014521143A (ja) * 2011-06-27 2014-08-25 サムスン エレクトロニクス カンパニー リミテッド 異種サービス端末にサービスを提供するための装置及び方法
JP2018174526A (ja) * 2017-03-31 2018-11-08 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド 生体認証セキュリティーを備えた、IOTデバイスを保護するためのIPv6リンクローカルセキュアネットワーク

Also Published As

Publication number Publication date
KR20050078434A (ko) 2005-08-05
CN1649294A (zh) 2005-08-03
EP1560396A2 (en) 2005-08-03
JP4033868B2 (ja) 2008-01-16
KR100803272B1 (ko) 2008-02-13
US20050172333A1 (en) 2005-08-04

Similar Documents

Publication Publication Date Title
JP4033868B2 (ja) IPv6ネットワークで認証を処理する方法及びその装置
JP4302398B2 (ja) インターネットプロトコルのアドレス機構
US8046577B2 (en) Secure IP access protocol framework and supporting network architecture
US7529926B2 (en) Public key certification providing apparatus
US7653813B2 (en) Method and apparatus for address creation and validation
JP5291725B2 (ja) Ipアドレス委任
Winter et al. Transport layer security (TLS) encryption for RADIUS
JP2009503916A (ja) マルチ鍵暗号化生成アドレス
JP4443558B2 (ja) IPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置
JP2002247047A (ja) セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
JP4006403B2 (ja) ディジタル署名発行装置
WO2004030290A1 (ja) コンテンツ配信システム
US7243368B2 (en) Access control system and method for a networked computer system
JP2010539839A (ja) サーバ基盤移動インターネットプロトコルシステムにおけるセキュリティ方法
CN110832806B (zh) 针对面向身份的网络的基于id的数据面安全
JP2005236728A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム及び通信方法
JP6056970B2 (ja) 情報処理装置、端末機、情報処理システム及び情報処理方法
JP2006109152A (ja) ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム
JP2006216014A (ja) メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体
JP2007166552A (ja) 通信装置及び暗号通信方法
JP2006197094A (ja) 通信システム
JP2002247023A (ja) セッション共有鍵共有方法、ネットワーク端末認証方法、ネットワーク端末および中継装置
JP4236167B2 (ja) Ipインタフェース情報の付与方法,その付与装置及びその付与プログラム並びにアクセス認証装置
TWI448128B (zh) 用於雙堆疊操作互通授權的方法及裝置
Altunbasak Layer 2 security inter-layering in networks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060822

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060829

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20061128

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20061201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070222

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070320

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070719

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070724

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070828

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070829

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070925

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071023

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees