JP2009200980A - Network system and method for distributing latest authentication key to dhcp client - Google Patents

Network system and method for distributing latest authentication key to dhcp client Download PDF

Info

Publication number
JP2009200980A
JP2009200980A JP2008042280A JP2008042280A JP2009200980A JP 2009200980 A JP2009200980 A JP 2009200980A JP 2008042280 A JP2008042280 A JP 2008042280A JP 2008042280 A JP2008042280 A JP 2008042280A JP 2009200980 A JP2009200980 A JP 2009200980A
Authority
JP
Japan
Prior art keywords
dhcp
authentication
client
key
dhcp client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008042280A
Other languages
Japanese (ja)
Inventor
Takaki Hayashi
孝起 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008042280A priority Critical patent/JP2009200980A/en
Publication of JP2009200980A publication Critical patent/JP2009200980A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To easily distribute a latest authentication key to a DHCP client in a case where the authentication key is updated in a DHCP server, in a technique for presetting the same authentication key to both the DHCP server and the DHCP client and blocking a service of connection to the Internet or the like in a case where the DHCP client does not have the correct authentication key. <P>SOLUTION: In a network system using a TCP/IP protocol, when authenticating a DHCP signal, a DHCP server separates the dispensation of an address for dispensation to DHCP clients in accordance with contents of DHCP signals sent from the DHCP clients, so that each of the DHCP clients is caused to update an authentication key. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、TCP/IPプロトコルを用いるネットワークシステムにおいて、DHCP(Dynamic Host Configuration Protocol)信号の認証を行う際に、DHCPサーバは、DHCPクライアントから受けるDHCP信号の内容により、DHCPクライアントに払い出すアドレスを払い出し分けることにより、DHCPクライアントに最新の認証キーを配布するシステム及び方法に関する。なお、DHCP信号の認証とは、DHCP信号を受信する装置(システム構成要素)が、受信したDHCP信号を検証し、その信号が正当な送信相手から送信されたことを確認することである。   According to the present invention, when a DHCP (Dynamic Host Configuration Protocol) signal is authenticated in a network system using the TCP / IP protocol, the DHCP server determines an address to be paid out to the DHCP client according to the contents of the DHCP signal received from the DHCP client. The present invention relates to a system and method for distributing the latest authentication key to DHCP clients by separately paying out. The DHCP signal authentication means that a device (system component) that receives a DHCP signal verifies the received DHCP signal and confirms that the signal has been transmitted from a valid transmission partner.

DHCPは、クライアントがサーバにアクセスしてIPアドレスの取得を要求する際、サーバがクライアントにIPアドレスを動的に割り当て、クライアントのIP接続終了時に「割り当てたIPアドレス」を回収するプロトコルである。IPアドレスを配布する手続過程でのセキュリティを確保するため、RFC(Request for comments)はDHCPサーバとDHCPクライアンとの間でやり取りされるDHCP信号の認証について規定している。RFCは、サーバとクライアントとの間の認証について、DHCP認証オプション(Authentication Option)を利用する方法、ベンダ拡張可能なオプションを用いたベンダ独自の方法などを規定している。   DHCP is a protocol in which when a client accesses a server and requests acquisition of an IP address, the server dynamically allocates an IP address to the client, and collects the “assigned IP address” when the IP connection of the client ends. In order to ensure security in the process of distributing IP addresses, RFC (Request for comments) stipulates authentication of DHCP signals exchanged between a DHCP server and a DHCP client. The RFC specifies a method using a DHCP authentication option (Authentication Option), a vendor-specific method using a vendor-extensible option, and the like for authentication between a server and a client.

DHCP認証オプションは、DHCPv4ではOption 90, RFC3118で規定され、DHCPv6ではOption 11, RFC3315で規定されている。一方、ベンダ拡張可能なオプションについてもRFCに規定されている。   The DHCP authentication option is defined in Option 90 and RFC3118 in DHCPv4, and in Option 11 and RFC3315 in DHCPv6. On the other hand, options that can be extended by the vendor are also defined in the RFC.

図9を参照してDHCP認証オプションを使用した従来方式(方法)を簡単に説明する。   A conventional system (method) using the DHCP authentication option will be briefly described with reference to FIG.

DHCP認証オプションを利用するためには、先ず、DHCPクライアントであるHGW(Home Gate Way)と、DHCPサーバであるNACF(Network
Attachment Control Functions)の両方に、認証オプションに使用するキーのセット(複数のキーとキーを特定するキーID)を予め設定しておく。なお、HGW及びNACFはITU-TY.2012に規定されている。 In order to use the DHCP authentication option, first, the DHCP client HGW (Home Gate Way) and the DHCP server NACF (Network
In both Attachment Control Functions), a set of keys (a plurality of keys and a key ID for identifying the keys) used for the authentication option is set in advance. HGW and NACF are defined in ITU-TY.2012.

DHCPクライアントは、起動時に、DHCPサーバに対してIPアドレスの要求を開始する(DHCPDISCOVER/Solicit)。なお、DHCPDISCOVER(スラッシュの前)はDHCPv4での表示であり、Solicit(スラッシュの後)はDHCPv6での表示である(以下同様)。   When the DHCP client is activated, the DHCP client starts an IP address request to the DHCP server (DHCPDISCOVER / Solicit). DHCPDISCOVER (before the slash) is a display in DHCPv4, and Solicit (after the slash) is a display in DHCPv6 (the same applies hereinafter).

DHCPサーバ(NACF)は、DHCPクライアント(HGW)からIPアドレス要求開始信号(DHCPDISCOVER/Solicit)を受けると、予め設定してある複数のキーの中から或るキー(例えばキーID=1で特定されるキー)を選択し、DHCPクライアントに「選択したキーID=1」と「認証情報」を返信する(DHCPOFFER/Advertise)。認証情報とは、DHCPメッセージと選択されたキーとから計算するハッシュ値である。   When receiving the IP address request start signal (DHCPDISCOVER / Solicit) from the DHCP client (HGW), the DHCP server (NACF) is identified by a certain key (for example, key ID = 1) from a plurality of preset keys. (Selected key ID = 1) and “authentication information” are returned to the DHCP client (DHCPOFFER / Advertise). The authentication information is a hash value calculated from the DHCP message and the selected key.

DHCPクライアントは、受け取ったキーID=1で特定されるキーを使用して認証情報が正しいかどうかを判断し、チェックが正しければキーID=1と認証情報とをDHCPサーバに送ってIPアドレス配布の要求を行う(DHCPREQUEST/Request)。   The DHCP client determines whether the authentication information is correct using the key specified by the received key ID = 1, and if the check is correct, sends the key ID = 1 and the authentication information to the DHCP server to distribute the IP address. Request (DHCPREQUEST / Request).

DHCPサーバは、DHCPクライアントから送られてきた認証情報をチェックして正しいと判断すれば、プールしておいた複数のIPアドレスの中から1つを選んでDHCPクライアントに送信する(DHCPACK/Reply)。このようにして、DHCPサーバは認証オプションの使用によりセキュリティを確保しつつDHCPクライアントにIPアドレスを与える。RFCではキーの配布方法については定められてなく、高いセキュリティを確保するためには定期的にキーを変更する必要がある。   If the DHCP server checks the authentication information sent from the DHCP client and determines that it is correct, the DHCP server selects one of the pooled IP addresses and sends it to the DHCP client (DHCPACK / Reply). . In this way, the DHCP server gives an IP address to the DHCP client while ensuring security by using an authentication option. In RFC, the key distribution method is not defined, and it is necessary to change the key periodically in order to ensure high security.

図10を参照して他の従来技術を説明する。この従来技術は、図9で説明したように認証オプションを利用するのではなく、ベンダ拡張を利用した認証に係わるものである。なお、ベンダ拡張とは、Vendor classオプション、Vendor-Specific
InformationオプションなどのDHCPのベンダ拡張用オプションを使用した場合が該当する。 Another conventional technique will be described with reference to FIG. This prior art does not use the authentication option as described with reference to FIG. 9, but relates to authentication using vendor extension. Vendor extension is Vendor class option, Vendor-Specific
This applies when DHCP vendor extension options such as the Information option are used.

図10に示した従来技術は、ベンダ拡張用オプションを使用した点で図9の場合と異なるだけであり、動作シーケンス自体は略同じである。   The prior art shown in FIG. 10 is different from the case of FIG. 9 only in that the vendor extension option is used, and the operation sequence itself is substantially the same.

図10において、DHCPベンダ拡張用オプションを使用した認証を行うためには、先ず、DHCPクライアント(HGW)とDHCPサーバ(NACF)の両方に、認証に使用するための複数のキーを予め設定しておく。DHCPクライアントは、起動時に、DHCPサーバに対して認証要求開始を示す信号を送出する(DHCPDISCOVER/Solicit)。DHCPサーバは、DHCPクライアントからこの認証要求開始信号を受けると、予め設定してある複数のキーの中から或るキーを選択し(選択したキーを○○○と仮定する)、選択したキーの情報を含む認証情報である認証適用信号をDHCPクライアントに送る(DHCPOFFER/Advertise)。認証情報とは、図9の場合と同様に、DHCPメッセージと選択されたキーとから計算するハッシュ値である。   In FIG. 10, in order to perform authentication using the DHCP vendor extension option, first, a plurality of keys to be used for authentication are set in advance on both the DHCP client (HGW) and the DHCP server (NACF). deep. When the DHCP client is activated, it sends a signal indicating the start of an authentication request to the DHCP server (DHCPDISCOVER / Solicit). When the DHCP server receives this authentication request start signal from the DHCP client, the DHCP server selects a key from a plurality of preset keys (assuming the selected key is XX), and selects the selected key. An authentication application signal, which is authentication information including information, is sent to the DHCP client (DHCPOFFER / Advertise). The authentication information is a hash value calculated from the DHCP message and the selected key, as in the case of FIG.

DHCPクライアントは、受け取ったキーを使用して認証情報が正しいかどうかを判断し、正しければキー情報を含んだ認証情報である認証適用信号をDHCPサーバに送る
(DHCPREQUEST/Request)。DHCPサーバは、DHCPクライアントから送られてきた認証適用信号を、先に選択したキー○○○を使用してチェックし、正しいと判断すれば認証適用信号にIPアドレスを含ませてDHCPクライアントに送る。DHCPクライアントは、受け取った認証情報を先に選択されたキー○○○を使ってチェックし、チェックが正しければ受け取ったIPアドレスを正式のアドレスと認定し、ベンダ独自の認証が終了する。 The DHCP client determines whether the authentication information is correct using the received key, and if it is correct, sends an authentication application signal, which is authentication information including the key information, to the DHCP server.
(DHCPREQUEST / Request). The DHCP server checks the authentication application signal sent from the DHCP client by using the previously selected key XX, and if it is judged correct, sends the IP address to the authentication application signal and sends it to the DHCP client. . The DHCP client checks the received authentication information using the previously selected key XXX, and if the check is correct, the received IP address is recognized as an official address, and the vendor-specific authentication ends.

上述の従来技術では、DHCPサーバとDHCPクライアントの両方に同一のキーを予め設定し、DHCPクライアントが正しい認証キーを持っていない場合にはインターネット等への接続サービスを阻止するようにしている。認証キーを用いた接続手法のセキュリティを維持するためには、DHCPサーバで定期的或いは不定期に認証キーを更新することが必要である。DHCPサーバで認証キーを更新した際には、DHCPクライアントのキーも更新する必要がある。しかし、従来、DHCPクライアントの認証キーの更新ついてはなんらの提案もない。   In the above-described prior art, the same key is set in advance for both the DHCP server and the DHCP client, and if the DHCP client does not have the correct authentication key, the connection service to the Internet or the like is blocked. In order to maintain the security of the connection method using the authentication key, it is necessary to update the authentication key periodically or irregularly on the DHCP server. When the authentication key is updated on the DHCP server, the DHCP client key must also be updated. However, there is no proposal for updating the authentication key of the DHCP client.

なお、DHCPサーバを用いたTCP/IPネットワークでのセキュリティ向上については、例えば、特許文献1に記載がある。
特開2001−36561 For example, Japanese Patent Application Laid-Open No. H10-228707 describes security improvement in a TCP / IP network using a DHCP server.
JP 2001-36561 A

DHCPサーバとDHCPクライアントの両方に同一の認証キーを予め設定し、DHCPクライアントが正しい認証キーを持っていない場合にはインターネット等への接続サービスを阻止する手法において、DHCPサーバにおいて認証キーが更新された場合にはDHCPクライアントに最新の認証キーを簡便に配布できるようにすることである。   The same authentication key is set in advance on both the DHCP server and the DHCP client, and when the DHCP client does not have the correct authentication key, the authentication key is updated in the DHCP server in a method of blocking the connection service to the Internet or the like. In such a case, the latest authentication key can be easily distributed to the DHCP client.

本発明によれば、TCP/IPプロトコルを使用するネットワークシステムにおいて、DHCPサーバは、DHCP信号の認証をする際に、DHCPクライアントから送出されるDHCP信号の内容に応じてDHCPクライアントに払い出すアドレスを払い出し分けすることにより、DHCPクライアントに認証キーを更新させるようにしている。   According to the present invention, in the network system using the TCP / IP protocol, the DHCP server, when authenticating the DHCP signal, assigns an address to be paid out to the DHCP client according to the contents of the DHCP signal sent from the DHCP client. By distributing the payout, the DHCP client is made to update the authentication key.

更に、前記のDHCPサーバは、DHCPクライアントがDHCP信号の認証を要求してこない場合、或いは、DHCPクライアントがDHCP信号の認証を要求してきたが正しい認証キーを持っていない場合には、認証キーを配布するサーバのみに接続できるアドレスを前記DHCPクライアントに払い出すようにしている。   In addition, the DHCP server receives an authentication key when the DHCP client does not request authentication of the DHCP signal, or when the DHCP client requests authentication of the DHCP signal but does not have the correct authentication key. An address that can be connected only to a server to be distributed is issued to the DHCP client.

DHCPサーバは、DHCPクライアントからのDHCP信号に応じてクライアントに払い出すアドレスを払い出し分けすることにより、DHCPクライアントに最新のDHCP認証キーを配布することができる。更に、DHCP認証キーを更新する場合、サーバとクライアントの双方に新たなキーを個別に設置するという煩雑な作業を避けることができる。   The DHCP server can distribute the latest DHCP authentication key to the DHCP client by distributing the address to be paid out to the client according to the DHCP signal from the DHCP client. Furthermore, when updating the DHCP authentication key, it is possible to avoid the troublesome task of separately installing new keys on both the server and the client.

以下、図1〜図4を参照して第1の実施の形態について説明する。第1の実施の形態は認証オプションを使用する場合である。   Hereinafter, the first embodiment will be described with reference to FIGS. The first embodiment is a case where an authentication option is used.

図1は第1の実施の形態の動作の概略を説明する図である。DHCPサーバ(NACF)は2種類のアドレスプールA及びBを備え、DHCPクライアント(HGW)が認証オプションを使用しないでアドレス要求をしてきた場合、或いは、認証オプションを使用してきたが正しいキーを用いないでアドレス要求をしてきた場合にはアドレスプールAからアドレスをクライアントに払い出す。一方、DHCPクライアントが正しいキーを用いて認証オプションを使用してきた場合にはアドレスをアドレスプールBからクライアントに払い出す。   FIG. 1 is a diagram for explaining the outline of the operation of the first embodiment. The DHCP server (NACF) has two types of address pools A and B. If the DHCP client (HGW) makes an address request without using the authentication option, or the authentication option has been used, but the correct key is not used. When an address request is made at, the address is paid out from the address pool A to the client. On the other hand, when the DHCP client has used the authentication option using the correct key, the address is paid out from the address pool B to the client.

DHCPクライアントは、アドレスプールAからのアドレスでは、HGWC−FE(Home GateWay Configuration Functional Entity (ITU-T Y.2012))にアクセスできるがインターネット等の他のネットワーク(参照番号10で示す)にはアクセスできない。一方、DHCPクライアントがアドレスプールBからのアドレスを使用する場合には、HGWC−FEの他にインターネット等のネットワーク(参照番号12で示す)にもアクセスできる。   A DHCP client can access HGWC-FE (Home GateWay Configuration Functional Entity (ITU-T Y.2012)) with an address from address pool A, but it can access other networks such as the Internet (indicated by reference numeral 10). Can not. On the other hand, when a DHCP client uses an address from the address pool B, it can access a network such as the Internet (indicated by reference numeral 12) in addition to HGWC-FE.

プールA及びBのアドレスは、DHCPv4ではIPv4アドレスを意味し、DHCPv6ではIPv6アドレスとIPv6プレフィックスを意味する。   The addresses of pools A and B mean an IPv4 address in DHCPv4, and an IPv6 address and an IPv6 prefix in DHCPv6.

DHCPサーバとDHCPクライアントの間に設けたIP-Edge(DHCPリレーエ−ジェント)は、クライアントからのアドレスの種類に応じてDHCPクライアントの接続先を決めるフィルタリング設定を行う。即ち、IP-Edgeは、DHCPクライアントからのアドレスがプールAから払い出されたものであれば、DHCPクライアントをHGWC−FEのみへの接続を許容する設定し、DHCPクライアントからのアドレスがプールBから払い出されたものであれば、DHCPクライアントをHGWC−FEへの接続或いはインターネット等のネットワークへの接続を許容する設定を行う。   An IP-Edge (DHCP relay agent) provided between the DHCP server and the DHCP client performs filtering setting that determines the connection destination of the DHCP client according to the type of address from the client. In other words, if the address from the DHCP client is issued from the pool A, the IP-Edge sets the DHCP client to allow connection only to the HGWC-FE, and the address from the DHCP client is set from the pool B. If it has been paid out, a setting is made to allow the DHCP client to connect to the HGWC-FE or to a network such as the Internet.

次に、図2〜図4を参照して第1の実施の形態を更に説明する。なお、図1で示したようにDHCPクライアント(HGW)とDHCPサーバ(NACP)の間にはIP-Edgeが存在するが、IP-Edgeの前後で信号の内容に影響を及ぼす方式的な変更がないため、図2〜図4ではIP-Edgeの図示は省略している。   Next, the first embodiment will be further described with reference to FIGS. As shown in FIG. 1, there is an IP-Edge between the DHCP client (HGW) and the DHCP server (NACP), but there is a systematic change that affects the signal content before and after the IP-Edge. 2 to 4, the illustration of IP-Edge is omitted.

図2では、DHCPクライアントは、認証オプションを利用する際に必要なキーを持っていない。即ち、DHCPクライアントがインターネット等のネットワーク12(図1)にアクセスするには、DHCPサーバからキーを貰わなければならない。DHCPクライアントは、先ず、認証オプションを利用しないでIPアドレス割当要求を開始する(Solicit)。DHCPサーバは、DHCPクライアントが認証オプションを利用してこないのでプールAからアドレスを選択してDHCPクライアントに応答する(Advertise)。なお、この応答信号(Advertise)には選択されたアドレスは含まれていない。   In FIG. 2, the DHCP client does not have the key required when using the authentication option. That is, in order for a DHCP client to access the network 12 (FIG. 1) such as the Internet, a key must be obtained from a DHCP server. First, the DHCP client initiates an IP address assignment request without using an authentication option (Solicit). Since the DHCP client does not use the authentication option, the DHCP server selects an address from the pool A and responds to the DHCP client (Advertise). The response signal (Advertise) does not include the selected address.

次に、DHCPクライアントがDHCPサーバにIPアドレス割当要求を行うと(Request)、DHCPサーバは、プールAから選択したアドレスを払い出してDHCPクライアントに応答する(Reply)。即ち、DHCPサーバはDHCPクライアントにプールAから選択されたアドレスを渡す。このアドレスでは、DHCPクライアントは、HGWC−FEにアクセスできるだけであり、インターネット等のネットワークにアクセスできない。   Next, when the DHCP client makes an IP address assignment request to the DHCP server (Request), the DHCP server issues an address selected from the pool A and responds to the DHCP client (Reply). That is, the DHCP server passes the address selected from pool A to the DHCP client. At this address, the DHCP client can only access the HGWC-FE and not a network such as the Internet.

このため、DHCPクライアントは、HGWC−FEにアクセスして認証オプションに使用するキーを獲得し、続いて、DHCPサーバにアクセスしてプールBから選択されたアドレスを貰う必要がある。   For this reason, the DHCP client needs to access the HGWC-FE to obtain a key used for the authentication option, and then access the DHCP server to obtain the address selected from the pool B.

DHCPクライアントはプールAから選択されたアドレスを用い、HTTPS(hypertext transfer protocol over transport layer security/secure
sockets layer)等の暗号化された通信でHGWC−FEに接続する。HGWC−FEは、これに応答し、DHCPサーバにキー取得要求をする(このとき、HGWC−FEはDHCPサーバにDHCPクライアントのIPアドレスを付与する)。DHCPサーバは、HGWC−FEからのキー取得要求に含まれているIPアドレスからDHCPクライアントを特定し、そのDHCPクライアント用のキーIDとキーのセットを選択し、HGWC−FEに対してキー取得要求の応答を行う(HGWのキーIDとキーを送信する)。次に、HGWC−FEは、この受け取ったキーIDとキーをDHCPクライアントに配布する。したがって、DHCPクライアントは認証オプションに使用できるキー及びキーIDを有することになる。 The DHCP client uses an address selected from pool A, and uses HTTPS (hypertext transfer protocol over transport layer security / secure).
Connect to the HGWC-FE by encrypted communication such as sockets layer). In response to this, the HGWC-FE makes a key acquisition request to the DHCP server (at this time, the HGWC-FE gives the DHCP client's IP address to the DHCP server). The DHCP server specifies the DHCP client from the IP address included in the key acquisition request from the HGWC-FE, selects the key ID and key set for the DHCP client, and requests the HGWC-FE to acquire the key. (The HGW key ID and key are transmitted). Next, the HGWC-FE distributes the received key ID and key to the DHCP client. Thus, the DHCP client will have a key and key ID that can be used for authentication options.

図3は、図2で説明したキーIDとキーを用いて認証オプションを利用するシーケンスを図示したものである。DHCPクライアントは、自分が有する複数のキーの内から1個を選択し、認証オプションを利用してDHCPサーバにアクセスする(Solicit)。DHCPサーバは、送られてきたキーと自己所有のキーとの一致を確認したら、認証オプションありと認識してプールBからアドレスを選択し、認証オプションを使用してDHCPクライアントに応答する(Advertise)。なお、この応答信号(Advertise)には選択されたアドレスは含まれていない。これに対し、DHCPクライアントは認証オプションを使用してDHCPサーバに返答する(Request)と、DHCPサーバは、プールBから払いだしたアドレスを払い出してDHCPクライアントに与える(Reply)。従って、DHCPクライアントはこのアドレスを使用してインターネット等の他のネットワークにアクセスすることができる。DHCPクライアントがインターネット等にアクセスするシーケンスは従来と同じなので説明を省略する。   FIG. 3 shows a sequence for using an authentication option using the key ID and key described in FIG. The DHCP client selects one of a plurality of keys that the DHCP client has, and accesses the DHCP server using an authentication option (Solicit). When the DHCP server confirms that the received key matches the self-owned key, the DHCP server recognizes that there is an authentication option, selects an address from the pool B, and responds to the DHCP client using the authentication option (Advertise). . The response signal (Advertise) does not include the selected address. In contrast, when the DHCP client responds to the DHCP server using the authentication option (Request), the DHCP server pays out the address paid out from the pool B and gives it to the DHCP client (Reply). Thus, DHCP clients can use this address to access other networks such as the Internet. Since the sequence in which the DHCP client accesses the Internet or the like is the same as the conventional one, the description is omitted.

図4は、認証オプションに使用するキーの更新について説明する図である。DHCPクライアントが図2及び図3で説明したキー(キーID1及び2)を有するときに、DHCPサーバがキー(キーIDが1及び2)を新たなキー(キーIDが3及び4)に更新したとする。このような状態で、DHCPクライアントは、DHCPサーバに対して認証オプションを使用してIPアドレス取得動作を開始する(Solicit)。DHCPサーバは、この場合、認証オプションが使用されているのでプールBからアドレスを選択し、更新した認証キーIDの内の3或いは4をDHCPクライアントに送る。DHCPクライアントはDHCPサーバから送られてきた更新されたキーID(及びキー)を持っていないので、所持しているキーIDとキーとを削除する。この結果、DHCPクライアントはキーなしとなる。したがって、DHCPクライアントは、図2で説明した新規キー配布シーケンスにより更新されたキーをHGWC−FEから配布してもらう。   FIG. 4 is a diagram for explaining the update of the key used for the authentication option. When the DHCP client has the keys described in FIGS. 2 and 3 (key IDs 1 and 2), the DHCP server updated the keys (key IDs 1 and 2) to new keys (key IDs 3 and 4). And In this state, the DHCP client starts an IP address acquisition operation using the authentication option with respect to the DHCP server (Solicit). In this case, since the authentication option is used, the DHCP server selects an address from the pool B, and sends 3 or 4 of the updated authentication key ID to the DHCP client. Since the DHCP client does not have the updated key ID (and key) sent from the DHCP server, it deletes the key ID and key it possesses. As a result, the DHCP client has no key. Therefore, the DHCP client distributes the key updated by the new key distribution sequence described in FIG. 2 from the HGWC-FE.

以上説明したように、DHCPサーバは、DHCPクライアントからのDHCP信号に応じてクライアントに払い出すアドレスを払い出し分けすることにより、DHCPクライアントに最新のDHCP認証キーを配布することができる。更に、本発明によれば、DHCP認証キーを更新する場合、サーバとクライアントの双方に新たなキーを個別に設置するという煩雑な作業を避けることができる。   As described above, the DHCP server can distribute the latest DHCP authentication key to the DHCP client by distributing the address to be paid out to the client according to the DHCP signal from the DHCP client. Furthermore, according to the present invention, when updating the DHCP authentication key, it is possible to avoid a complicated operation of separately installing new keys on both the server and the client.

図5〜図8は本発明の第2の実施の形態を説明する図である。この実施の形態は、上述した第1の実施の形態のように認証オプションを利用するのではなく、ベンダ拡張を利用した認証に係わるものである。ベンダ拡張とは、Vendor classオプション、Vendor-Specific
InformationオプションなどのDHCPのベンダ拡張用オプションを使用した場合が該当する。 5 to 8 are diagrams for explaining a second embodiment of the present invention. This embodiment does not use an authentication option as in the first embodiment described above, but relates to authentication using vendor extension. Vendor extension is Vendor class option, Vendor-Specific
This applies when DHCP vendor extension options such as the Information option are used.

図5は図1と同一であるが説明の便宜上再掲する。図5に示すDHCPサーバ(NACF)は、図1で説明したように、2種類のアドレスプールA及びBを備え、DHCPクライアント(HGW)が認証オプションを使用しないでアドレス要求をしてきた場合、或いは、認証オプションを使用してきたが正しいキーを用いないでアドレス要求をしてきた場合にはアドレスプールAからアドレスをクライアントに払い出す。一方、DHCPクライアントが正しいキーを用いて認証オプションを使用してきた場合にはアドレスをアドレスプールBからクライアントに払い出す。図5についてのその他の説明は図1と同一なので明細書の説明を簡略にするため省略する。   FIG. 5 is the same as FIG. The DHCP server (NACF) shown in FIG. 5 includes two types of address pools A and B as described in FIG. 1, and the DHCP client (HGW) makes an address request without using the authentication option, or If the authentication option is used but an address request is made without using the correct key, the address is issued from the address pool A to the client. On the other hand, when the DHCP client has used the authentication option using the correct key, the address is paid out from the address pool B to the client. The other description of FIG. 5 is the same as that of FIG.

図6〜図8は、夫々、図2〜図4に対応し、動作シーケンスもほぼ同一である。   6 to 8 correspond to FIGS. 2 to 4, respectively, and the operation sequence is substantially the same.

図6では、図2の場合と同様に、DHCPクライアントは、ベンダ拡張を利用した認証を利用する際に必要なキーを持っていない。即ち、DHCPクライアントがインターネット等のネットワーク12(図5)にアクセスするには、DHCPサーバからキーを貰わなければならない。DHCPクライアントは、先ず、認証要求をしないでIPアドレス割当要求を開始する(Solicit)。DHCPサーバは、DHCPクライアントが認証要求をしてこないのでプールAからアドレスを選択してDHCPクライアントに応答する(Advertise)。なお、この応答信号(Advertise)には選択されたアドレスは含まれていない。   In FIG. 6, as in the case of FIG. 2, the DHCP client does not have a key necessary for using authentication using vendor extension. That is, in order for the DHCP client to access the network 12 (FIG. 5) such as the Internet, the key must be received from the DHCP server. First, the DHCP client initiates an IP address assignment request without making an authentication request (Solicit). Since the DHCP client does not make an authentication request, the DHCP server selects an address from the pool A and responds to the DHCP client (Advertise). The response signal (Advertise) does not include the selected address.

次に、DHCPクライアントがDHCPサーバにIPアドレス割当要求を行うと(Request)、DHCPサーバは、プールAから選択したアドレスを払い出してDHCPクライアントに応答する(Reply)。即ち、DHCPサーバはDHCPクライアントにプールAから選択されたアドレスを渡す。このアドレスでは、DHCPクライアントは、HGWC−FEにアクセスできるだけであり、インターネット等のネットワークにアクセスできない。   Next, when the DHCP client makes an IP address assignment request to the DHCP server (Request), the DHCP server issues an address selected from the pool A and responds to the DHCP client (Reply). That is, the DHCP server passes the address selected from pool A to the DHCP client. At this address, the DHCP client can only access the HGWC-FE and not a network such as the Internet.

このため、DHCPクライアントは、HGWC−FEにアクセスして認証要求に使用するキーを獲得し、続いて、DHCPサーバにアクセスしてプールBから選択されたアドレスを貰う必要がある。   For this reason, the DHCP client needs to access the HGWC-FE to obtain the key used for the authentication request, and then access the DHCP server to obtain the address selected from the pool B.

DHCPクライアントはプールAから選択されたアドレスを用い、HTTPS等の暗号化された通信でHGWC−FEに接続する。HGWC−FEは、これに応答し、DHCPサーバにキー取得要求をする(このとき、HGWC−FEはDHCPサーバにDHCPクライアントのIPアドレスを付与する)。DHCPサーバは、HGWC−FEからのキー取得要求に含まれているIPアドレスからDHCPクライアントを特定し、そのDHCPクライアント用のキーIDとキーのセットを選択し、HGWC−FEに対してキー取得要求の応答を行う(HGWのキーIDとキーを送信する)。次に、HGWC−FEは、この受け取ったキーIDとキーをDHCPクライアントに配布する。したがって、DHCPクライアントは認証オプションに使用できるキー及びキーIDを有することになる。   The DHCP client uses the address selected from the pool A and connects to the HGWC-FE by encrypted communication such as HTTPS. In response to this, the HGWC-FE makes a key acquisition request to the DHCP server (at this time, the HGWC-FE gives the DHCP client's IP address to the DHCP server). The DHCP server specifies the DHCP client from the IP address included in the key acquisition request from the HGWC-FE, selects the key ID and key set for the DHCP client, and requests the HGWC-FE to acquire the key. (The HGW key ID and key are transmitted). Next, the HGWC-FE distributes the received key ID and key to the DHCP client. Thus, the DHCP client will have a key and key ID that can be used for authentication options.

図7は、DHCPサーバとDHCPクライアントが同一のキーを用いてベンダ拡張を利用した認証を行なうシーケンスを図示したものである。DHCPクライアントは、自分が有する複数のキーの内から1個を選択し、認証要求信号をDHCPサーバに送信する(Solicit)。DHCPサーバは、送られてきたキーと自己所有のキーとの一致を確認したら、認証要求ありと認識してプールBからアドレスを選択し、認証適用信号をDHCPクライアントに送出する(Advertise)。なお、この認証適用信号(Advertise)には選択されたアドレスは含まれていない。これに対し、DHCPクライアントは認証適用信号をDHCPサーバに送る(Request)と、DHCPサーバは、プールBから払いだしたアドレスを払い出してDHCPクライアントに与える(Reply)。従って、DHCPクライアントはこのアドレスを使用してインターネット等の他のネットワークにアクセスすることができる。DHCPクライアントがインターネット等にアクセスするシーケンスは従来と同じなので説明を省略する。   FIG. 7 shows a sequence in which a DHCP server and a DHCP client perform authentication using vendor extension using the same key. The DHCP client selects one of a plurality of keys that the DHCP client has, and transmits an authentication request signal to the DHCP server (Solicit). When the DHCP server confirms that the sent key matches the self-owned key, the DHCP server recognizes that there is an authentication request, selects an address from the pool B, and sends an authentication application signal to the DHCP client (Advertise). The authentication applied signal (Advertise) does not include the selected address. In contrast, when the DHCP client sends an authentication application signal to the DHCP server (Request), the DHCP server pays out the address paid out from the pool B and gives it to the DHCP client (Reply). Thus, DHCP clients can use this address to access other networks such as the Internet. Since the sequence in which the DHCP client accesses the Internet or the like is the same as the conventional one, the description is omitted.

図8は、認証オプションに使用するキーの更新について説明する図である。DHCPクライアントが図6及び図7で説明したキーを有するときに、DHCPサーバがキーを新たなキーに更新したとする。このような状態で、DHCPクライアントは、DHCPサーバに対して認証要求信号を出す(Solicit)。DHCPサーバは、この場合、認証要求ありと判断してプールBからアドレスを選択し、更新した認証キーを付加して認証適用信号をDHCPクライアントに送る。しかし、DHCPクライアントはDHCPサーバから送られてきた更新されたキーを持っていないので、所持しているキーを削除する。この結果、DHCPクライアントはキーなしとなる。したがって、DHCPクライアントは、図6で説明した新規キー配布シーケンスにより更新されたキーをHGWC−FEから配布してもらう。   FIG. 8 is a diagram for explaining updating of a key used for the authentication option. Assume that when the DHCP client has the key described in FIGS. 6 and 7, the DHCP server updates the key to a new key. In such a state, the DHCP client issues an authentication request signal to the DHCP server (Solicit). In this case, the DHCP server determines that there is an authentication request, selects an address from the pool B, adds an updated authentication key, and sends an authentication application signal to the DHCP client. However, since the DHCP client does not have the updated key sent from the DHCP server, it deletes the possessed key. As a result, the DHCP client has no key. Therefore, the DHCP client distributes the key updated by the new key distribution sequence described in FIG. 6 from the HGWC-FE.

以上説明したように、DHCPサーバは、DHCPクライアントからのDHCP信号に応じてクライアントに払い出すアドレスを払い出し分けすることにより、DHCPクライアントに最新のDHCP認証キーを配布することができる。更に、DHCP認証キーを更新する場合、サーバとクライアントの双方に新たなキーを個別に設置するという煩雑な作業を避けることができる。   As described above, the DHCP server can distribute the latest DHCP authentication key to the DHCP client by distributing the address to be paid out to the client according to the DHCP signal from the DHCP client. Furthermore, when updating the DHCP authentication key, it is possible to avoid the troublesome task of separately installing new keys on both the server and the client.

第1の実施の形態を説明する図The figure explaining 1st Embodiment 第1の実施の形態を説明する図The figure explaining 1st Embodiment 第1の実施の形態を説明する図The figure explaining 1st Embodiment 第1の実施の形態を説明する図The figure explaining 1st Embodiment 第2の実施の形態を説明する図The figure explaining 2nd Embodiment 第2の実施の形態を説明する図The figure explaining 2nd Embodiment 第2の実施の形態を説明する図The figure explaining 2nd Embodiment 第2の実施の形態を説明する図The figure explaining 2nd Embodiment 第1の従来の技術を説明する図The figure explaining 1st prior art 第2の従来の技術を説明する図The figure explaining the 2nd conventional technology

符号の説明Explanation of symbols

10 インターネット等のネットワーク
12 ネットワーク 10 Network such as the Internet 12 Network

Claims (10)

TCP/IPプロトコルを使用するネットワークシステムにおいて、DHCPサーバは、DHCP信号の認証をする際に、DHCPクライアントから送出されるDHCP信号の内容に応じてDHCPクライアントに払い出すアドレスを払い出し分けすることにより、DHCPクライアントに認証キーを更新させることを特徴とするネットワークシステム。   In a network system using the TCP / IP protocol, when a DHCP server authenticates a DHCP signal, the DHCP server distributes an address to be paid out to the DHCP client according to the contents of the DHCP signal sent from the DHCP client. A network system characterized by causing a DHCP client to update an authentication key. DHCPサーバは、DHCPクライアントがDHCP信号の認証を要求してこない場合、或いは、DHCPクライアントがDHCP信号の認証を要求してきたが正しい認証キーを持っていない場合には、認証キーを配布するサーバのみに接続できるアドレスを前記DHCPクライアントに払い出すことを特徴とする請求項1記載のネットワークシステム。   If the DHCP client does not request authentication of the DHCP signal, or if the DHCP client requests authentication of the DHCP signal but does not have the correct authentication key, the DHCP server is the only server that distributes the authentication key. 2. The network system according to claim 1, wherein an address that can be connected to the network is issued to the DHCP client. DHCPサーバは、DHCPクライアントがDHCP信号の認証を正しいと判断した場合には、インターネットなどのネットワークに接続できるアドレスを前記DHCPクライアントに払い出すことを特徴とする請求項1記載のネットワークシステム。   2. The network system according to claim 1, wherein the DHCP server issues an address that can be connected to a network such as the Internet to the DHCP client when the DHCP client determines that the authentication of the DHCP signal is correct. DHCP信号の認証は、認証オプションを用いることを特徴とする請求項1から3の何れかに記載のネットワークシステム。   4. The network system according to claim 1, wherein an authentication option is used for DHCP signal authentication. DHCP信号の認証は、ベンダ拡張可能なオプションを用いたベンダ独自のものであることを特徴とする請求項1から3の何れかに記載のネットワークシステム。   4. The network system according to claim 1, wherein the authentication of the DHCP signal is unique to the vendor using an option that can be expanded by the vendor. TCP/IPプロトコルを使用するネットワークシステムにおいて、DHCPサーバは、DHCP信号の認証をする際に、DHCPクライアントから送出されるDHCP信号の内容を検討し、該検討の結果に応じてDHCPクライアントに払い出すアドレスを払い出し分けすることにより、DHCPクライアントに認証キーを更新させることを特徴とする認証キー更新方法。   In a network system using the TCP / IP protocol, a DHCP server examines the contents of a DHCP signal sent from a DHCP client when authenticating the DHCP signal, and pays out to the DHCP client according to the result of the examination. An authentication key update method, characterized by causing a DHCP client to update an authentication key by distributing addresses. DHCPサーバは、DHCPクライアントがDHCP信号の認証を要求してこない場合、或いは、DHCPクライアントがDHCP信号の認証を要求してきたが正しい認証キーを持っていない場合には、認証キーを配布するサーバのみに接続できるアドレスを前記DHCPクライアントに払い出すことを特徴とする請求項6記載の認証キー更新方法。   If the DHCP client does not request authentication of the DHCP signal, or if the DHCP client requests authentication of the DHCP signal but does not have the correct authentication key, the DHCP server is the only server that distributes the authentication key. The authentication key update method according to claim 6, wherein an address that can be connected to the DHCP client is paid out to the DHCP client. DHCPサーバは、DHCPクライアントがDHCP信号の認証を正しいと判断した場合には、インターネットなどのネットワークに接続できるアドレスを前記DHCPクライアントに払い出すことを特徴とする請求項6記載の認証キー更新方法。   7. The authentication key update method according to claim 6, wherein when the DHCP client determines that the authentication of the DHCP signal is correct, the DHCP server issues an address connectable to a network such as the Internet to the DHCP client. DHCP信号の認証は、認証オプションを用いることを特徴とする請求項6から8の何れかに記載の認証キー更新方法。   9. The authentication key update method according to claim 6, wherein authentication of the DHCP signal uses an authentication option. DHCP信号の認証は、ベンダ拡張可能なオプションを用いたベンダ独自のものであることを特徴とする請求項6から8の何れかに記載の認証キー更新方法。   9. The authentication key update method according to claim 6, wherein authentication of the DHCP signal is unique to the vendor using an option that can be expanded by the vendor.
JP2008042280A 2008-02-23 2008-02-23 Network system and method for distributing latest authentication key to dhcp client Pending JP2009200980A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008042280A JP2009200980A (en) 2008-02-23 2008-02-23 Network system and method for distributing latest authentication key to dhcp client

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008042280A JP2009200980A (en) 2008-02-23 2008-02-23 Network system and method for distributing latest authentication key to dhcp client

Publications (1)

Publication Number Publication Date
JP2009200980A true JP2009200980A (en) 2009-09-03

Family

ID=41143970

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008042280A Pending JP2009200980A (en) 2008-02-23 2008-02-23 Network system and method for distributing latest authentication key to dhcp client

Country Status (1)

Country Link
JP (1) JP2009200980A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018128874A (en) * 2017-02-08 2018-08-16 京セラドキュメントソリューションズ株式会社 Electronic apparatus

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002026954A (en) * 2000-07-03 2002-01-25 Nec Soft Ltd Network address management system and its method
JP2004048234A (en) * 2002-07-10 2004-02-12 Nec Corp User authentication system and user authentication method
JP2004152249A (en) * 2002-09-02 2004-05-27 Sony Corp Method and device for authenticating apparatus, information processor, information processing method, and computer program
JP2007067840A (en) * 2005-08-31 2007-03-15 Ricoh Co Ltd Document input/output apparatus with security protection function

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002026954A (en) * 2000-07-03 2002-01-25 Nec Soft Ltd Network address management system and its method
JP2004048234A (en) * 2002-07-10 2004-02-12 Nec Corp User authentication system and user authentication method
JP2004152249A (en) * 2002-09-02 2004-05-27 Sony Corp Method and device for authenticating apparatus, information processor, information processing method, and computer program
JP2007067840A (en) * 2005-08-31 2007-03-15 Ricoh Co Ltd Document input/output apparatus with security protection function

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018128874A (en) * 2017-02-08 2018-08-16 京セラドキュメントソリューションズ株式会社 Electronic apparatus

Similar Documents

Publication Publication Date Title
CN101442516B (en) Method, system and apparatus for DHCP authentication
US6603758B1 (en) System for supporting multiple internet service providers on a single network
CN101056178B (en) A method and system for controlling the user network access right
CN101340334B (en) Network access method, system and apparatus
US7814535B1 (en) Method and apparatus for peer-to-peer compliancy validation in secure managed networks
CN103685272B (en) Authentication method and system
US20090031404A1 (en) Method and apparatus providing virtual private network access
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
CN110958272B (en) Identity authentication method, identity authentication system and related equipment
JP2006086907A (en) Setting information distribution device and method, program, medium, and setting information receiving program
CN102957759B (en) A kind of distribution method and system of IPv6 address prefixes
CN101083528A (en) Dynamic host configuring protocol based security access method and system
JP4852110B2 (en) IPv6 address acquisition apparatus, method, and system
JP2007082079A (en) Inter-network connecting device and simple authentication system and method using the same
EP2663049B1 (en) Authentication method based on dhcp, dhcp server and client
JP2006074451A (en) IPv6/IPv4 TUNNELING METHOD
JP4536741B2 (en) Method and system for preventing IPv6 packet forgery in IPv6-IPv4 network in DSTM environment
JP2009200980A (en) Network system and method for distributing latest authentication key to dhcp client
WO2012034428A1 (en) Method and service node for ip address reassignment
GB2405064A (en) RADIUS authentication procedure for clients already assigned dynamic IP addresses, with identification using MAC addresses
US20100325247A1 (en) Method and apparatus for allocation of parameter values in a communications system
JP2004078280A (en) Remote access mediation system and method
KR20020055848A (en) Dynamic ip address management method using radius server
CN102577299B (en) The Access Network authentication information bearing protocol simplified
KR101787404B1 (en) Method for allocating network address with security based on dhcp

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20090804

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110113

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20110705

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120321

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120521

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120619

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130618