JP2009177444A - Macアドレス管理装置 - Google Patents

Macアドレス管理装置 Download PDF

Info

Publication number
JP2009177444A
JP2009177444A JP2008013335A JP2008013335A JP2009177444A JP 2009177444 A JP2009177444 A JP 2009177444A JP 2008013335 A JP2008013335 A JP 2008013335A JP 2008013335 A JP2008013335 A JP 2008013335A JP 2009177444 A JP2009177444 A JP 2009177444A
Authority
JP
Japan
Prior art keywords
mac address
temporary mac
information
address
timing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008013335A
Other languages
English (en)
Inventor
Hiroaki Miyajima
弘明 宮島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008013335A priority Critical patent/JP2009177444A/ja
Publication of JP2009177444A publication Critical patent/JP2009177444A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】ネットワークの不正使用を防止すること。
【解決手段】ネットワークインタフェースカード毎に固有の情報であり、通信時に使用する一時MACアドレスを管理するアドレス管理装置であって、ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報を記憶する固定情報記憶手段と、一時MACアドレスが記憶される一時MACアドレス記憶手段と、を備えると共に、予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と固定情報とに基づいて、予め設定された生成規則にて一時MACアドレスを生成して一時MACアドレス記憶手段に記憶する一時MACアドレス生成手段を備えた。
【選択図】図2

Description

本発明は、MACアドレス管理装置にかかり、特に、MACアドレスを動的に変更設定するMACアドレス管理装置に関する。
ネットワーク通信において、OSI(Open System Interconnection)7階層モデルの第2層であるデータリンク層レベルのイーサネット(登録商標)や、Wi−Fi(無線LAN)ネットワークのアドレスには、48ビット長のMACアドレス(Media Access Control address)が使用される。MACアドレスは、ネットワーク・インターフェース・カード(以下、「NIC」と呼ぶ)が製造される際に、装備されている不揮発性メモリの中に、世界中で一意となるような値が書き込まれる。
そして、上記イーサネット(登録商標)やWi−Fiネットワークでは、NICと通信ポートの間をケーブルでつなぐだけで、ネットワーク接続が可能となる簡便さを持っている。しかし、そのために、ネットワーク接続しているNICが、正規の利用者によるものかを判断することが困難な場合が多く、セキュリティ上の問題の原因となる可能性がある。
そこで、セキュリティを向上させるための一つの方法として、通信装置においてMACアドレスを利用したフィルタリングを用いる方法がある。このフィルタリング方法は、例えば、通信を許可するMACアドレスを通信装置の許可リストにあらかじめ登録しておき、実際の通信において、通信装置が送信元のMACアドレスを見て、それが許可リストにある場合にだけ通信処理を継続する、という方法である。
ところが、MACアドレスは、パケット解析ソフトウェアなどを使用すると、簡単に盗聴することができる。最近のMS−Windows(登録商標)やLinux(登録商標)などの一般的なオペレーティングシステムソフトウェアでは、NICに対して、その製造時に設定されたMACアドレスの代わりに、適当なMACアドレスを設定して使用することが可能となっている。つまり、MACアドレスを利用したフィルタリングを行っても、攻撃者は事前にネットワーク上でMACアドレスを盗聴しておき、後でそのMACアドレスを適当なNICに設定することで、ネットワークの不正使用(なりすまし)が行われる、という問題があった。
特開2005−39810号公報 特開2005−79921号公報
また、特許文献1では、動的にクライアント装置のMACアドレスを変更する方法を開示している。しかしながら、かかる技術では、MACアドレスの変更する際に、クライアント装置とサーバ装置間での通信が発生し、この通信が盗聴されて、ネットワークの不正使用が行われる可能性がある。また、特許文献2では、端末とサーバとの通信時にIPv6アドレスを更新するシステムが開示されている。しかしながら、かかるシステムでは、IPv6アドレスを更新しているため、アドレスレゾリューション(MACアドレスとIPアドレスとの対応)の矛盾が生じ、通信処理上、好ましくない。また、接続を確立する際における処理が複雑となり、接続処理遅延の問題も生じうる。
このため、本発明の目的は、上述した課題である、ネットワークの不正使用を防止する、ことにある。
そこで、本発明の一形態であるアドレス管理装置は、
ネットワークインタフェースカード毎に固有の情報であり、通信時に使用する一時MACアドレスを管理するアドレス管理装置であって、
ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報を記憶する固定情報記憶手段と、
一時MACアドレスが記憶される一時MACアドレス記憶手段と、を備えると共に、
予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と固定情報とに基づいて、予め設定された生成規則にて一時MACアドレスを生成して一時MACアドレス記憶手段に記憶する一時MACアドレス生成手段を備えた、
という構成を採る。
また、本発明の他の形態であるプログラムは、
ネットワークインタフェースカード毎に固有の情報であり通信時に使用する一時MACアドレスを管理するアドレス管理装置に、
予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と、ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報と、に基づいて、予め設定された生成規則にて一時MACアドレスを生成し、一時MACアドレス記憶手段に記憶する一時MACアドレス生成手段、を実現させる、という構成を採る。
また、本発明の他の形態であるアドレス管理方法は、
ネットワークインタフェースカード毎に固有の情報であり通信時に使用する一時MACアドレスを管理するアドレス管理方法であって、
予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と、ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報と、に基づいて、予め設定された生成規則にて一時MACアドレスを生成するステップと、この生成した一時MACアドレスを一時MACアドレス記憶手段に記憶するステップと、を有する、という構成を採る。
また、本発明の他の形態である通信装置は、
他のコンピュータに装備されたネットワークインタフェースカード毎に固有の情報であり通信時に使用する一時MACアドレスを管理するアドレス管理装置を備えた通信装置であって、
アドレス管理装置は、
ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報を記憶する固定情報記憶手段と、
一時MACアドレスが記憶される一時MACアドレス記憶手段と、を備えると共に、
予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と固定情報とに基づいて、予め設定された生成規則にて一時MACアドレスを生成して一時MACアドレス記憶手段に記憶する一時MACアドレス生成手段を備えた、
という構成を採る。
また、本発明の他の形態であるコンピュータは、
ネットワークインタフェースカードと、このネットワークインタフェースカード毎に固有の情報であり通信時に使用する一時MACアドレスを管理するアドレス管理装置と、を備えたコンピュータであって、
アドレス管理装置は、
ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報を記憶する固定情報記憶手段と、
一時MACアドレスが記憶される一時MACアドレス記憶手段と、を備えると共に、
予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と固定情報とに基づいて、予め設定された生成規則にて一時MACアドレスを生成して一時MACアドレス記憶手段に記憶する一時MACアドレス生成手段を備えた、
という構成を採る。
さらに、本発明の他の形態である通信システムは、
相互に通信を行う通信装置とコンピュータとを備えた通信システムであって、
コンピュータは、ネットワークインタフェースカードと、このネットワークインタフェースカード毎に固有の情報であり通信時に使用する一時MACアドレスを管理するコンピュータ側アドレス管理装置と、を備え、
コンピュータ側アドレス管理装置は、
ネットワークインタフェースカードに予め設定された固有の情報である固定情報を記憶するコンピュータ側固定情報記憶手段と、一時MACアドレスが記憶されるコンピュータ側一時MACアドレス記憶手段と、を備えると共に、
予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報とコンピュータ側固定情報記憶手段に記憶された固定情報とに基づいて、予め設定された生成規則にて一時MACアドレスを生成してコンピュータ側一時MACアドレス記憶手段に記憶するコンピュータ側一時MACアドレス生成手段を備え、
通信装置は、コンピュータに装備されたネットワークインタフェースカードに固有の情報であり通信時に使用する一時MACアドレスを管理する通信装置側アドレス管理装置を備え、
通信装置側アドレス管理装置は、
固定情報を記憶する通信装置側固定情報記憶手段と、一時MACアドレスが記憶される通信装置側一時MACアドレス記憶手段と、を備えると共に、
予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と通信装置側固定情報記憶手段に記憶された固定情報とに基づいて、コンピュータ側一時MACアドレス生成手段に設定された生成規則と同一の生成規則にて一時MACアドレスを生成して通信装置側一時MACアドレス記憶手段に記憶する通信装置側一時MACアドレス生成手段を備えた、
という構成を採る。
本発明は、以上のように構成されるため、2台以上の通信装置にアドレス管理装置を装備して両装置にて同じ固定情報に基づいて一時MACアドレスを生成した場合に、当該両装置にて通信を行うことなく、同時期に同一の一時MACアドレスを生成することができる。その結果、一時MACアドレスが盗聴されることなく、通信装置間において、一時MACアドレスを用いたセキュアな通信を実現することができる、という優れた効果を有する。
本発明の一形態は、上述したように、ネットワークインタフェースカード毎に固有の情報であり、通信時に使用する一時MACアドレスを管理するアドレス管理装置であって、
ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報を記憶する固定情報記憶手段と、
一時MACアドレスが記憶される一時MACアドレス記憶手段と、を備えると共に、
予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と固定情報とに基づいて、予め設定された生成規則にて一時MACアドレスを生成して一時MACアドレス記憶手段に記憶する一時MACアドレス生成手段を備えた、
という構成を採る。
上記発明によると、アドレス管理装置は、予め設定されたタイミングで、このときに固有の情報であるタイミング情報と、予め設定された固定情報とに基づいて、予め設定された生成規則にて一時MACアドレスを生成して更新記憶する。そして、ネットワークインタフェースカードは、上記生成され記憶された一時MACアドレスを用いて通信を行う。これにより、アドレス管理装置は、ネットワークインタフェースカード毎に固有の情報である上記一時MACアドレスをタイミング情報の要素を反映させて生成しているため、生成した一時MACアドレスは所定のタイミング毎に固有の情報となる。従って、2台以上の通信装置にアドレス管理装置を装備して両装置にて同じ固定情報に基づいて一時MACアドレスを生成した場合に、当該両装置にて通信を行うことなく、同時期に同一の一時MACアドレスを生成することができる。その結果、一時MACアドレスが盗聴されることなく、通信装置間において、一時MACアドレスを用いたセキュアな通信を実現することができる。
また、上記一時MACアドレス生成手段は、過去に一時MACアドレスを生成した時刻を表すアドレス生成時刻情報を記憶し、このアドレス生成時刻情報に基づく予め設定されたタイミングにて一時MACアドレスを生成する、という構成を採る。そして、上記一時MACアドレス生成手段は、アドレス生成時刻情報を予め設定された時間単位で正規化し、この正規化されたアドレス生成時刻情報に基づく予め設定されたタイミングにて一時MACアドレスを生成する、という構成を採る。また、上記一時MACアドレス生成手段は、アドレス生成時刻情報から予め設定された時間を切り捨てて当該アドレス生成時刻情報を正規化する、という構成を採る。また、上記一時MACアドレス生成手段は、正規化されたアドレス生成時刻情報に基づいて予め設定された周期のタイミングにて一時MACアドレスを生成する、という構成を採る。
また、上記一時MACアドレス生成手段は、上記タイミング情報として一時MACアドレスを生成する時の時刻情報を用いて、一時MACアドレスを生成する、という構成を採る。また、上記一時MACアドレス生成手段は、上記タイミング情報として一時MACアドレスを生成する時の時刻情報を予め設定された時間単位で正規化した正規化時刻情報を用いて、一時MACアドレスを生成する、という構成を採る。また、上記一時MACアドレス生成手段は、上記タイミング情報として一時MACアドレスを生成する時の時刻情報から予め設定された時間を切り捨てて正規化した正規化時刻情報を用いて、一時MACアドレスを生成する、という構成を採る。
これにより、一時MACアドレスを生成するタイミングに多少のずれがあっても、生成タイミングの基準となる時刻や、タイミング情報に含まれる時刻情報を、所定の幅をもって正規化している。従って、通信装置間で同時期に同一の一時MACアドレスを生成することができ、よりセキュアで安定した通信を実現できる。
さらに、上記一時MACアドレス生成手段は、ネットワークインタフェースカードが未通信である場合に、一時MACアドレスを生成する、という構成を採る。これにより、ネットワークインタフェースカードが通信を行っていないときに一時MACアドレスを変更するため、通信時に一時MACアドレスが変更されることを抑制でき、通信の安定化を図ることができる。
なお、本発明は、上述した構成のプログラム、アドレス管理方法、通信装置、コンピュータ、通信システムであっても、上記アドレス管理装置と同様に作用するため、上述した本発明の目的を達成することができる。
以下、本発明の具体的な構成及び動作を、実施形態にて説明する。なお、本発明は、MACアドレスの値を利用して、各パソコンといった通信相手を識別するような通信装置やサーバ装置での利用が考えられるため、以下では、パソコン(PC)と通信装置との通信に利用する場合を説明する。
<実施形態1>
本発明の第1の実施形態を、図1乃至図5を参照して説明する。図1は、通信システムの構成を示すブロック図である。図2は、一時MACアドレス管理処理装置の構成を示すブロック図である。図3乃至図4は、一時MACアドレス管理処理装置が記憶する情報の一例を示す図である。図5は、一時MACアドレス管理処理装置の動作を示すフローチャートである。
[構成]
図1に示すように、実施形態1における通信システムは、通信装置1とパソコン(PC)2,3とが、ネットワークNを介して接続している。そして、通信装置1とPC2,3とは、OSI7階層モデルの第二層であるデータリンク層レベルの通信でアドレスとして使用される媒体アクセス制御(MAC)アドレスとして、ネットワーク・インターフェース・カード(NIC)にあらかじめ書き込まれている「MACアドレス」の代わりに、動的に「一時MACアドレス」を決定し、これを用いてネットワークでの通信を行う。このとき、本実施形態では、特に、上記「一時MACアドレス」を、両者間のネットワーク通信を行うことなしに決定し、さらに変更のタイミングを、時刻とネットワークでの通信状況によって決める、ことを特徴とする。以下、通信装置1及びPC2,3の構成について詳述する。
まず、通信装置1は、図1に示すように、通信サービス処理装置11と、一時MACアドレス管理処理装置12と、を備えている。上記通信サービス処理装置11は、PC2,3との通信処理を行う装置11である。具体的には、通信相手となるPC2,3から送信される一時MACアドレスと、一時MACアドレス管理処理装置12にて生成された各PC2,3に対応する一時MACアドレスと、が一致するかどうか比較して、一致した場合にPC2,3との通信を許可するようフィルタリングを行い、通信を確立する処理を行う。また、一時MACアドレス管理処理装置12(アドレス管理装置、通信装置側アドレス管理装置)は、上述したように通信サービス処理装置11にてPC2,3との通信に用いる動的な一時MACアドレスを生成する。なお、一時MACアドレス管理装置12の構成は、以下に説明するPC2,3に装備されている一時MACアドレス管理装置22,32とほぼ同様の構成であるため、その詳細は後述する。
また、PC2,3は、ユーザが操作するコンピュータであって、ネットワークNを介して通信装置1に接続している。そして、各PC2,3は、図1に示すように、ネットワーク処理装置21,31と、一時MACアドレス管理処理装置22,32と、を備えている。上記ネットワーク処理装置21,31は、上記通信装置1との通信処理を行う装置であり、ネットワークインタフェースカードを装備している。具体的には、通信相手となる通信装置1に対して、ネットワークインタフェースカード毎に固有の情報である一時MACアドレスを送信して通信要求を行う。そして、通信装置11に同一の一時MACアドレスが記憶されている場合に通信が許可され、当該通信装置11との通信を実行する処理を行う。また、一時MACアドレス管理処理装置22,32(アドレス管理装置、コンピュータ側アドレス管理装置)は、上述したようにネットワーク処理装置21,31にて通信装置1との通信に用いる動的な一時MACアドレスを生成する。なお、一時MACアドレス管理装置22,32の構成は、上述した通信装置1に装備されている装備されている一時MACアドレス管理装置12とほぼ同様の構成であるため、その詳細は後述する。
次に、通信装置1及びPC2,3に装備されている一時MACアドレス管理処理装置11,22,32の構成について、図2乃至図4を参照して説明する。なお、各一時MACアドレス管理処理装置11,22,32の構成は同一であるため、以下では、符号100を付した一時MACアドレス管理処理装置100を一例に挙げて説明する。
図2に示すように、一時MACアドレス管理処理装置100は、装備されている演算装置に所定のプログラムが組み込まれることで、一時MACアドレス生成処理部110を備えている。また、装備されている記憶装置に、NIC情報リスト120と、一時MACアドレスリスト130と、を備えている。
上記NIC情報リスト120は、ネットワーク・インターフェース・カード(NIC)についての情報であるNIC情報(1,・・・,N)121を、0個以上を記憶している。具体的には、各PC2,3に装備された上記NIC情報リスト120には、自PC2,3に装備されたネットワークインタフェースカード(NIC)のNIC情報121のみを記憶している。一方、通信装置1に装備されたNIC情報リスト120には、通信の対象となる全てのネットワークインタフェースカード(NIC)についてのNIC情報121をそれぞれ記憶している。
ここで、NIC情報リスト120の具体例を図3に示す。この図において、各行が1つのNICに対応するNIC情報121に相当する。そして、NIC情報121は、識別MACと、上位xビットと、シードと、関数種別、といった情報を有する。
上記「識別MAC」は、各NICを一意に識別するための値で、ここでは製造時(仮想マシン環境の仮想NICの場合はその生成時)に付与されたMACアドレスを使用する。この識別MACは、実際の通信には使用しないが、一意であるので、同じNICの重複した登録を防止するためや、削除時に識別するためなどに使用する。
また、上記「上位xビット」は、一時MAXアドレスの上位xビット分の値である。本実施形態では、一時MACアドレスに、管理者がローカルに使用するためのMACアドレスであるLocally Administrative Addressを使用するが、各NICに割り当てる一時MACアドレスの上位xビットは、それぞれ異なる値を、NICの登録時に一時MACアドレス管理処理装置100が選択して、固定値として割り当てる。なお、MACアドレスは48ビットの情報であるが、例えば、上位xビットを上位32ビットとする場合には、各NICの一時MACアドレスの上位32ビットは、Locally Administrative Addressの範囲の、それぞれ異なる上位32ビットで固定して、下位16ビットを変化させることで、動的な一時MACアドレスとなる。ここで、よりセキュリティを高めるためには上位xビットを小さくすれば良いが、MACアドレスの通信は、同一ネットワークセグメント内に限られるので、ある通信装置の一時MACアドレス管理処理装置100が対象とするNICの個数は小さな値に限られる一方、Locally Administrative Addressの範囲は相当に広いため、上位xビットは相当に小さくすることも可能である。
また、上記「シード」は、一時MACアドレスの上位xビットを除いた下位(48−x)ビットを算出する際に元となる情報の一部として使用する値で、NICの登録時に、一時MACアドレス管理処理装置100がランダムに割り当てる。
また、上記「関数種別」は、一時MACアドレスの下位(48−x)ビットを算出するための関数の種別であり、あらかじめ用意した関数の中から、管理者が選択して指定する。この関数は、同一の入力値に対しては同一の出力値を生成するが、入力値と出力値の間には規則性のないことを特徴とするSHA−1などのハッシュ関数を利用したもので、例えば、「識別MAC」と「上位xビット」と「シード」と「正規化した現在年月日時刻」を連結したものを入力値として、SHA−1を適用して、その下位(48−x)ビットを出力とするものである。
そして、以上の情報からなるNIC情報121は、同一のNICについては、管理者等によって、通信装置1側とPC2,3側に同じものが登録されている。つまり、登録時に、PC2に装備されたネットワークインタフェースカード(NIC)についてのNIC情報として、上記「識別MAC」と「上位xビット」と「シード」と「関数種別」とが同一なNIC情報121が、PC2の一時MACアドレス管理装置と通信装置1の一時MACアドレス管理装置とにそれぞれ記憶される。なお、NIC情報リスト120は、上述したように、ネットワークインタフェースカード(NIC)毎に予め設定された上位xビット及びシードのように、NIC毎に固有の情報(固定情報)を記憶しており、固定情報記憶手段(通信装置側固定情報記憶手段、コンピュータ側固定情報記憶手段)として機能している。
次に、一時MACアドレス管理処理装置100内の一時MACアドレスリスト130について説明する。一時MACアドレスリスト130は、一時MACアドレス生成処理部112にてNIC情報リスト120内のNIC情報121に基づいて生成された、各NICの現在の一時MACアドレス情報131を記憶している。そして、一時MACアドレス情報131を、上述したNIC情報121の個数と同じ数を記憶している。つまり、各PC2,3に装備された一時MACアドレス130には、自PC2,3に装備されたネットワークインタフェースカード(NIC)のNIC情報121に基づいて生成された一時MACアドレス情報131のみを記憶している。一方、通信装置1に装備された一時MACアドレスリスト130には、通信の対象となる全てのネットワークインタフェースカード(NIC)のNIC情報121に基づいてそれぞれ生成された一時MACアドレス情報131を記憶している。
ここで、上記一時MACアドレスリスト130の具体例を図4に示す。この図において、各行が各NICに対応する一時MACアドレスを表す情報である一時MACアドレス情報131に相当する。そして、一時MACアドレス情報131は、識別MACと、一時MACと、正規化設定時刻と、最終通信時刻と、通信中フラグと、といった情報を有する。
上記「識別MAC」は、上述したNIC情報121に含まれる識別MACと同じものである。「一時MAC」は、一時MACアドレス生成処理部110によって生成されて、現在、通信に使用することができる一時MACアドレスである。「正規化設定時刻」は、現在の一時MACアドレスが設定された時刻を正規化した時刻であり、無通信時の一時MACアドレスの変更のタイミングを判断する時に使用する。「最終通信時刻」は、この一時MACアドレスで最後に通信が行われた時刻である。また、「通信中フラグ」は、この一時MACアドレスでの通信が行われているかを示すフラグ(「*」がオン状態)であり、一時MACアドレス管理処理部100は、通信を検出したら、「通信中フラグ」をオンに設定する。
以上のように、一時MACアドレスリスト130は、ネットワークインタフェースカード(NIC)毎に動的に固有の情報であり、通信時に使用する一時MACアドレスを記憶する一時MACアドレス記憶手段(通信装置側一時MACアドレス記憶手段、コンピュータ側一時MACアドレス記憶手段)として機能している。
次に、一時MACアドレス生成処理部110(一時MACアドレス生成手段、通信装置側一時MACアドレス生成手段、コンピュータ側一時MACアドレス生成手段)について説明する。一時MACアドレス生成処理部110は、後述するように、時刻や周期時間を正規化するための正規化時間111と、NICの無通信の判定を行う周期時間である無通信時間112と、を記憶している。そして、一時アドレスMACアドレス生成処理部110は、上記無通信時間112と正規化時間111とに基づく所定のタイミングで、NIC情報リスト120に記憶されているNIC情報121に基づいて、一時MACアドレス情報131を生成して一時MACアドレスリスト130に記憶する。具体的には、以下に説明するように、通信装置1とPC2,3とがほぼ同一のタイミングで、一時MACアドレス情報131を生成する。つまり、各PC2,3は、装備しているNICに対応する一時MACアドレス情報131を生成し、通信装置1は通信対象となる全てのNICに対応する一時MACアドレス情報131を生成する。
具体的に、上記一時MACアドレス生成処理部110による一時MACアドレスの生成処理について説明する。まず、一時MACアドレス生成処理部110は、以下のタイミングになると、一時MACアドレスを生成する。そのタイミングとして、「新しいNICの登録時」があり、この場合には、該当するNICのみを対象として一時MACアドレスを生成する。また、「前回の正規化設定時刻から正規化時間111が経過した時」があり、これは、前回の一時MACアドレスが生成された時刻を正規化した正規化設定時刻から、タイマにより正規化時間111毎に周期的に発生するタイミングであり、NIC情報リスト120に登録されている全てのNICを対象として一時MACアドレスを生成する。さらには、「前回の無通信チェックから、無通信時間112が経過した時」があり、これは、タイマにより無通信時間112毎に周期的に発生するタイミングであり、NIC情報リストに登録されている全てのNICを対象として一時MACアドレスを生成する。なお、上記タイミングに加えて、一時MACアドレスの生成は、「対象となるNICが通信中でない」場合に実行される。
そして、上記タイミングにて、通信装置1の一時MACアドレス生成処理部110とPC2,3の一時MACアドレス生成処理部110は、ほぼ同時に、対象となるNICのNIC情報121を使用して、当該NICの一時MACアドレスを生成して一時MACアドレスリスト130に記憶する。具体的には、上述したように、NIC情報121内の「識別MAC」と「上位xビット」と「シード」と「正規化した現在年月日時刻」を連結したものを入力値として、「関数種別」にて指定されたハッシュ関数であるSHA−1を適用して、その下位(48−x)ビットを出力し、一時MACアドレスを生成する。つまり、通信装置1とPC2,3とが、同一のNICに対して、ほぼ同一のタイミングで、同一の情報と関数を用いて、一時MACアドレスを生成する。そして、PC2,3と通信装置1は、各NICを用いた通信時に、現在の一時MACアドレスを用いる。
ここで、上記一時MACドレス生成処理部110は、一時MACアドレスを生成した後に、一時MACアドレス情報131に記憶する前回の一時MACアドレスの生成時刻(アドレス生成時刻)を、正規化時間111の単位で切り捨てて正規化する処理を行う。例えば、正規化時間111として「30分」が設定されている場合には、前回のアドレス生成時刻が9:00から9:30の間であれば、当該時刻を「9:00」と正規化し、また、9:30から10:00の間であれば当該時刻を「9:30」と正規化し、正規化設定時刻として一時アドレス情報131に記憶する。そして、このように正規化した正規化設定時刻から正規化時間111に設定された周期が経過すると、上述したように、一時MACアドレスを生成する。従って、前回の一時MACアドレスの生成時刻が通信装置1とPC2,3との間で多少ずれたとしても、正規化設定時刻が一致するよう正規化されて記憶されるため、次の生成タイミングを同一に設定することができる。
また、一時MACアドレス生成処理部110は、上述したように、一時MACアドレスの生成時に使用する「正規化した現在年月日時刻」も正規化処理を行う。つまり、現在の年月日時刻を、正規化時間111の単位(例えば、30分)で切り捨てて正規化し、この値を一時MACアドレスの生成に用いる。従って、一時MACアドレスの生成時刻が通信装置1とPC2,3との間で多少ずれたとしても、一時MACアドレスに用いる現在年月日時刻の情報が一致するよう正規化されるため、同一の情報を用いて一時MACアドレスを生成することができる。
なお、上述した無通信時間112は、一時MACアドレスを使用した通信の有無をチェックする周期時間であるため、正規化時間111よりも小さな値である。
ここで、前回の一時MACアドレスの生成時刻の正規化(正規化設定時刻)は、必ずしも上述した方法に限定されない。また、上記では、前回の一時MACアドレスの生成時刻を正規化しているが、必ずしも前回の生成時刻を正規化する必要はない。実際の前回のアドレス生成時刻を一時MACアドレス情報131に記憶し、この実際の生成時刻に基づいて一時MACアドレスを生成するタイミング(例えば、周期)を設定し、かかるタイミングで一時MACアドレスを生成してもよい。さらには、上記では、一時MACアドレスを生成する際に正規化した現在年月日時刻の情報を含めたが、かかる情報を必ずしも正規化する必要はない。そして、一時MACアドレスを生成する際に使用する情報は、現在時刻を含む情報であることに限定されず、生成するタイミングに固有の情報であれば、いかなる情報であってもよい。
[動作]
次に、上記構成の通信システムの動作、特に、通信装置1及びPC2,3に装備されている一時MACアドレス管理処理装置100(12,22,32)による一時MACアドレスの生成動作を、図5のフローチャートを参照して説明する。
まず、一時MACアドレス管理処理装置100の一時MACアドレス生成処理部110は、上述したタイミング、つまり、「新しいNICの登録時」、「前回の正規化時刻から正規化時間が経過した時」、「前回の無通信チェックから、無通信時間が経過した時」、に一時MAC生成処理を開始する。
そして、はじめに、一時MACアドレス情報131の通信中フラグを調べる(ステップS101)。このとき、通信中フラグがオンの場合は(ステップS101でYES)、一時MACアドレスを変更しない方向へ進む(ステップS103)。これにより、通信装置1とPC2,3との間で通信が行われている間は、一時MACアドレスを変更しない。一方、通信中フラグがオフの場合には(ステップS101でNO)、ステップS102へ進む。
続いて、通信中ではない場合には、正規化時間111毎の処理かどうかを判定する(ステップS102)。このとき、上述した「前回の正規化時刻から正規化時間が経過した時」である場合には、ステップS102でYESに進み、一時MACアドレスを変更する処理に進む(ステップS107)。そして、一時MACアドレス管理処理装置100は、NIC情報121を使用して、上述したように、NIC情報121ごとに固有の情報である「識別MAC」と「上位xビット」と「シード」と、現タイミングに固有の情報である「正規化した現在年月日時刻」とを連結したものを入力値として、「関数種別」にて指定されたハッシュ関数であるSHA−1を適用して、その下位(48−x)ビットを出力し、一時MACアドレスを生成する。そして、生成した一時MACアドレスを一時MACアドレスリスト130に記憶する。つまり、通信装置1とPC2,3とが、同一のNICに対して、ほぼ同一のタイミングで、同一の情報と関数を用いて、同一の一時MACアドレスを生成することができる。そして、PC2,3と通信装置1は、各NICを用いた通信時に、現在の一時MACアドレスを用いる。
また、無通信時間112毎の処理タイミングで上記処理フローに入ってきた場合には、ステップS102でNOに進む。この場合には、前回に一時MACアドレスが設定された時刻(正規化設定時刻)から正規化時間111以上が経過しているかどうかの判定が行われ(ステップS104)、正規化時間以上を経過している場合には(ステップS104でYES)、一時MACアドレスを変更する必要があると判断し、現在時刻を正規化時刻としてから(ステップS106)、一時MACアドレスの生成を行い(ステップS107)、一時MACアドレスリスト130に記憶する。一方、正規化設定時刻から正規化時間を経過していない場合には(ステップS104でNO)、一時MACアドレスの生成は行わずに終了する。
また、通信中フラグがオンの場合には(ステップS101でYES)、無通信時間112毎の処理かどうかを判定し(ステップS103)、無通信時間112毎の処理の場合には(ステップS103でYES)、通信中フラグをオフにする(ステップS105)。これによって、次の無通信時間112毎の処理で、通信中フラグがオンでなければ(ステップS101でNO)、その間は通信が行われていないと判定できる。
なお、通信装置1は、必ずしもいつも各PC2,3の通信相手となるわけではない。そこで、通信装置1の一時MAC管理処理装置100が一時MACアドレス情報131の通信中フラグを正しく設定できるように、各PC2,3の一時MACアドレス管理処理装置100は、一時MACアドレスを適用して通信を行っているNICについて、無通信時間112よりも小さい間隔で、ネットワークにgratuitous ARPを送信して、通信中であることを知らせる。
以上により、通信装置1とPC2,3とは、予め設定されたタイミングで、このときに固有の情報である時刻情報等(タイミング情報)と、予め設定されたシードなどのNIC情報(固定情報)とに基づいて、予め設定された生成規則にて一時MACアドレスを生成して更新記憶する。そして、通信装置1とPC2,3とは、上記生成され記憶された一時MACアドレスを用いて通信を行う。このように、2台以上の通信装置に一時MACアドレス管理処理装置100を装備して両装置にて同じ情報に基づいて一時MACアドレスを生成することで、当該両装置にて通信を行うことなく、同時期に同一の一時MACアドレスを生成することができる。その結果、一時MACアドレスが盗聴されることなく、通信装置間において、同一の一時MACアドレスを用いたセキュアな通信を実現することができる。
<実施形態2>
次に、本発明の第2の実施形態を、図6を参照して説明する。図6に示すように、本実施形態では、上記実施形態1で説明した通信装置1の他に、他の通信装置4と通信装置5とがネットワークNを介して接続している。
上記通信装置4は、通信装置1が備えている一時MACアドレス生成処理部110とNIC情報リスト120とを装備していない一時MACアドレス管理処理装置400を備えている。この場合の一時MACアドレス管理処理装置400は、一時MACアドレスリスト430内に格納する一時MACアドレスを自装置4では作成せずに、他の通信装置1の一時MACアドレス管理処理装置100からネットワークNを介して配付を受けることで獲得する。
また、上記通信装置5は、通信装置1が備えている一時MACアドレス生成処理110とNIC情報リスト120とを装備せず、また、さらに一時MACアドレスリスト130の配付も受けない一時MACアドレス管理処理装置500を備えている。この場合、一時MACアドレス管理処理装置100は、通信時に一時MACアドレスが有効なものであるかどうかの判定を、ネットワークNを介して他の通信装置1の一時MACアドレス管理処理装置100に問合わせることによって行う。
本発明は、MACアドレスの値を利用して、通信相手を識別するような通信装置やサーバ装置での利用が考えられる。
実施形態1における通信システムの構成を示すブロック図である。 一時MACアドレス管理処理装置の構成を示すブロック図である。 一時MACアドレス管理処理装置が記憶するNIC情報リストの一例を示す図である。 一時MACアドレス管理処理装置が記憶する一時MACアドレスリストの一例を示す図である。 一時MACアドレス管理処理装置の動作を示すフローチャートである。 実施形態2における通信システムの構成を示すブロック図である。
符号の説明
1 通信装置
2,3 PC
11 通信サービス処理装置
12,22,32,100 一時MACアドレス管理処理装置
21,31 ネットワーク処理装置
110 一時MACアドレス生成処理部
120 NIC情報リスト
121 NIC情報
130 一時MACアドレスリスト
131 一時MACアドレス情報

Claims (19)

  1. ネットワークインタフェースカード毎に固有の情報であり、通信時に使用する一時MACアドレスを管理するアドレス管理装置であって、
    前記ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報を記憶する固定情報記憶手段と、
    前記一時MACアドレスが記憶される一時MACアドレス記憶手段と、を備えると共に、
    予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と前記固定情報とに基づいて、予め設定された生成規則にて前記一時MACアドレスを生成して前記一時MACアドレス記憶手段に記憶する一時MACアドレス生成手段を備えた、
    ことを特徴とするアドレス管理装置。
  2. 前記一時MACアドレス生成手段は、過去に前記一時MACアドレスを生成した時刻を表すアドレス生成時刻情報を記憶し、このアドレス生成時刻情報に基づく予め設定されたタイミングにて前記一時MACアドレスを生成する、
    ことを特徴とする請求項1記載のアドレス管理装置。
  3. 前記一時MACアドレス生成手段は、前記アドレス生成時刻情報を予め設定された時間単位で正規化し、この正規化された前記アドレス生成時刻情報に基づく予め設定されたタイミングにて前記一時MACアドレスを生成する、
    ことを特徴とする請求項2記載のアドレス管理装置。
  4. 前記一時MACアドレス生成手段は、前記アドレス生成時刻情報から予め設定された時間を切り捨てて当該アドレス生成時刻情報を正規化する、
    ことを特徴とする請求項3記載のアドレス管理装置。
  5. 前記一時MACアドレス生成手段は、前記正規化されたアドレス生成時刻情報に基づいて予め設定された周期のタイミングにて前記一時MACアドレスを生成する、
    ことを特徴とする請求項3又は4記載のアドレス管理装置。
  6. 前記一時MACアドレス生成手段は、前記タイミング情報として前記一時MACアドレスを生成する時の時刻情報を用いて、前記一時MACアドレスを生成する、
    ことを特徴とする請求項1,2,3,4又は5記載のアドレス管理装置。
  7. 前記一時MACアドレス生成手段は、前記タイミング情報として前記一時MACアドレスを生成する時の時刻情報を予め設定された時間単位で正規化した正規化時刻情報を用いて、前記一時MACアドレスを生成する、
    ことを特徴とする請求項1,2,3,4,5又は6記載のアドレス管理装置。
  8. 前記一時MACアドレス生成手段は、前記タイミング情報として前記一時MACアドレスを生成する時の時刻情報から予め設定された時間を切り捨てて正規化した正規化時刻情報を用いて、前記一時MACアドレスを生成する、
    ことを特徴とする請求項1,2,3,4,5又は6記載のアドレス管理装置。
  9. 前記一時MACアドレス生成手段は、前記ネットワークインタフェースカードが未通信である場合に、前記一時MACアドレスを生成する、
    ことを特徴とする請求項1,2,3,4,5,6,7又は8記載のアドレス管理装置。
  10. ネットワークインタフェースカード毎に固有の情報であり通信時に使用する一時MACアドレスを管理するアドレス管理装置に、
    予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と、前記ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報と、に基づいて、予め設定された生成規則にて前記一時MACアドレスを生成し、一時MACアドレス記憶手段に記憶する一時MACアドレス生成手段、を実現させるためのプログラム。
  11. 前記一時MACアドレス生成手段は、過去に前記一時MACアドレスを生成した時刻を表すアドレス生成時刻情報を記憶し、このアドレス生成時刻情報に基づく予め設定されたタイミングにて前記一時MACアドレスを生成する、
    ことを特徴とする請求項10記載のプログラム。
  12. ネットワークインタフェースカード毎に固有の情報であり通信時に使用する一時MACアドレスを管理するアドレス管理方法であって、
    予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と、前記ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報と、に基づいて、予め設定された生成規則にて前記一時MACアドレスを生成するステップと、この生成した前記一時MACアドレスを一時MACアドレス記憶手段に記憶するステップと、を有する、
    ことを特徴とするアドレス管理方法。
  13. 前記一時MACアドレスを生成するステップは、過去に前記一時MACアドレスを生成した時刻を表すアドレス生成時刻情報を記憶し、このアドレス生成時刻情報に基づく予め設定されたタイミングにて前記一時MACアドレスを生成する、
    ことを特徴とする請求項12記載のアドレス管理方法。
  14. 他のコンピュータに装備されたネットワークインタフェースカード毎に固有の情報であり通信時に使用する一時MACアドレスを管理するアドレス管理装置を備えた通信装置であって、
    前記アドレス管理装置は、
    前記ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報を記憶する固定情報記憶手段と、
    前記一時MACアドレスが記憶される一時MACアドレス記憶手段と、を備えると共に、
    予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と前記固定情報とに基づいて、予め設定された生成規則にて前記一時MACアドレスを生成して前記一時MACアドレス記憶手段に記憶する一時MACアドレス生成手段を備えた、
    ことを特徴とする通信装置。
  15. 前記一時MACアドレス生成手段は、過去に前記一時MACアドレスを生成した時刻を表すアドレス生成時刻情報を記憶し、このアドレス生成時刻情報に基づく予め設定されたタイミングにて前記一時MACアドレスを生成する、
    ことを特徴とする請求項14記載の通信装置。
  16. ネットワークインタフェースカードと、このネットワークインタフェースカード毎に固有の情報であり通信時に使用する一時MACアドレスを管理するアドレス管理装置と、を備えたコンピュータであって、
    前記アドレス管理装置は、
    前記ネットワークインタフェースカード毎に予め設定された固有の情報である固定情報を記憶する固定情報記憶手段と、
    前記一時MACアドレスが記憶される一時MACアドレス記憶手段と、を備えると共に、
    予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と前記固定情報とに基づいて、予め設定された生成規則にて前記一時MACアドレスを生成して前記一時MACアドレス記憶手段に記憶する一時MACアドレス生成手段を備えた、
    ことを特徴とするコンピュータ。
  17. 前記一時MACアドレス生成手段は、過去に前記一時MACアドレスを生成した時刻を表すアドレス生成時刻情報を記憶し、このアドレス生成時刻情報に基づく予め設定されたタイミングにて前記一時MACアドレスを生成する、
    ことを特徴とする請求項16記載のコンピュータ。
  18. 相互に通信を行う通信装置とコンピュータとを備えた通信システムであって、
    前記コンピュータは、ネットワークインタフェースカードと、このネットワークインタフェースカード毎に固有の情報であり通信時に使用する一時MACアドレスを管理するコンピュータ側アドレス管理装置と、を備え、
    前記コンピュータ側アドレス管理装置は、
    前記ネットワークインタフェースカードに予め設定された固有の情報である固定情報を記憶するコンピュータ側固定情報記憶手段と、前記一時MACアドレスが記憶されるコンピュータ側一時MACアドレス記憶手段と、を備えると共に、
    予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と前記コンピュータ側固定情報記憶手段に記憶された前記固定情報とに基づいて、予め設定された生成規則にて前記一時MACアドレスを生成して前記コンピュータ側一時MACアドレス記憶手段に記憶するコンピュータ側一時MACアドレス生成手段を備え、
    前記通信装置は、前記コンピュータに装備されたネットワークインタフェースカードに固有の情報であり通信時に使用する前記一時MACアドレスを管理する通信装置側アドレス管理装置を備え、
    前記通信装置側アドレス管理装置は、
    前記固定情報を記憶する通信装置側固定情報記憶手段と、前記一時MACアドレスが記憶される通信装置側一時MACアドレス記憶手段と、を備えると共に、
    予め設定されたタイミングで、当該タイミング毎に固有の情報であるタイミング情報と前記通信装置側固定情報記憶手段に記憶された前記固定情報とに基づいて、前記コンピュータ側一時MACアドレス生成手段に設定された前記生成規則と同一の生成規則にて前記一時MACアドレスを生成して前記通信装置側一時MACアドレス記憶手段に記憶する通信装置側一時MACアドレス生成手段を備えた、
    ことを特徴とする通信システム。
  19. 前記コンピュータ側一時MACアドレス生成手段及び前記通信装置側一時MACアドレス生成手段は、過去に前記一時MACアドレスを生成した時刻を表すアドレス生成時刻情報を記憶し、このアドレス生成時刻情報に基づく予め設定されたタイミングにて前記一時MACアドレスを生成する、
    ことを特徴とする請求項18記載の通信システム。
JP2008013335A 2008-01-24 2008-01-24 Macアドレス管理装置 Pending JP2009177444A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008013335A JP2009177444A (ja) 2008-01-24 2008-01-24 Macアドレス管理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008013335A JP2009177444A (ja) 2008-01-24 2008-01-24 Macアドレス管理装置

Publications (1)

Publication Number Publication Date
JP2009177444A true JP2009177444A (ja) 2009-08-06

Family

ID=41032094

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008013335A Pending JP2009177444A (ja) 2008-01-24 2008-01-24 Macアドレス管理装置

Country Status (1)

Country Link
JP (1) JP2009177444A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011205452A (ja) * 2010-03-26 2011-10-13 Panasonic Electric Works Co Ltd 通信システム及びこの通信システムに用いられる通信装置
JP2012090153A (ja) * 2010-10-21 2012-05-10 Nec Corp ネットワーク仮想化システム、ノード、ネットワーク仮想化方法、及び、ネットワーク仮想化プログラム
JP2015008521A (ja) * 2010-06-30 2015-01-15 沖電気工業株式会社 通信制御装置及びプログラム、並びに、通信システム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011205452A (ja) * 2010-03-26 2011-10-13 Panasonic Electric Works Co Ltd 通信システム及びこの通信システムに用いられる通信装置
JP2015008521A (ja) * 2010-06-30 2015-01-15 沖電気工業株式会社 通信制御装置及びプログラム、並びに、通信システム
JP2012090153A (ja) * 2010-10-21 2012-05-10 Nec Corp ネットワーク仮想化システム、ノード、ネットワーク仮想化方法、及び、ネットワーク仮想化プログラム

Similar Documents

Publication Publication Date Title
US8107396B1 (en) Host tracking in a layer 2 IP ethernet network
US9215234B2 (en) Security actions based on client identity databases
EP2250784B1 (en) Ip address delegation
US7937586B2 (en) Defending against denial of service attacks
EP2506613A2 (en) System and method for managing ipv6 address and access policy
US20100274923A1 (en) Method and apparatus for dynamic mapping
US9942050B2 (en) Method and apparatus for bulk authentication and load balancing of networked devices
US10341286B2 (en) Methods and systems for updating domain name service (DNS) resource records
US8812689B2 (en) System and method for rotating a gateway address
Reshmi et al. Light weight cryptographic address generation (LW-CGA) using system state entropy gathering for IPv6 based MANETs
US20070177612A1 (en) network apparatus
US7916733B2 (en) Data communication apparatus, data communication method, program, and storage medium
JP2009177444A (ja) Macアドレス管理装置
CN117014887A (zh) 多因素可验证的低功耗蓝牙设备IPv6地址自动配置方法和系统
US9462087B2 (en) Avoiding collisions in internet protocol (IP) packet identification numbers
US20220141002A1 (en) Data transmission method, communication processing method, device, and communication processing program
US8095961B1 (en) Systems and methods for quarantining a node from other nodes in a network
US20120284375A1 (en) Transaction-based network layer address rotation
US20060095765A1 (en) On-machine communication verification
Song et al. Anonymous-address-resolution model
KR100953068B1 (ko) 인터넷 환경에서 보안 이웃 탐색 방법
CN111343295A (zh) 用于确定IPv6地址的风险的方法及装置
US11985166B2 (en) Systems and methods for random connectivity association key negotiation for media access control security
US20240152502A1 (en) Data authentication and validation across multiple sources, interfaces, and networks
JP2005079921A (ja) 通信装置、アドレス生成方法、プログラム、及び記憶媒体