JP2011166468A - 認証システム、認証方法、アドレス生成装置、内部端末およびゲートウェイ装置 - Google Patents
認証システム、認証方法、アドレス生成装置、内部端末およびゲートウェイ装置 Download PDFInfo
- Publication number
- JP2011166468A JP2011166468A JP2010027288A JP2010027288A JP2011166468A JP 2011166468 A JP2011166468 A JP 2011166468A JP 2010027288 A JP2010027288 A JP 2010027288A JP 2010027288 A JP2010027288 A JP 2010027288A JP 2011166468 A JP2011166468 A JP 2011166468A
- Authority
- JP
- Japan
- Prior art keywords
- external terminal
- address
- terminal
- generated
- destination address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】IPパケットの成り済ましを防止する認証方法を提供する。
【解決手段】アドレス生成装置が、外部端末のIPv6アドレスと、内部端末識別情報と、有効期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、生成した文字列の一部と、内部端末識別情報と、有効期限情報とを結合して、外部端末毎に個別に生成するInterfaceIDとして設定し、外部端末毎に個別に生成したInterfaceIDと、特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、生成した宛先アドレスを、外部端末へ通知し、ゲートウェイ装置が、受信したパケットの送信元アドレスと、受信したパケットの宛先アドレスのInterfaceIDから抽出した内部端末識別情報および期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、外部端末が正規の通信相手か判断する。
【選択図】図2
【解決手段】アドレス生成装置が、外部端末のIPv6アドレスと、内部端末識別情報と、有効期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、生成した文字列の一部と、内部端末識別情報と、有効期限情報とを結合して、外部端末毎に個別に生成するInterfaceIDとして設定し、外部端末毎に個別に生成したInterfaceIDと、特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、生成した宛先アドレスを、外部端末へ通知し、ゲートウェイ装置が、受信したパケットの送信元アドレスと、受信したパケットの宛先アドレスのInterfaceIDから抽出した内部端末識別情報および期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、外部端末が正規の通信相手か判断する。
【選択図】図2
Description
本発明は、認証システム、認証方法、アドレス生成装置、内部端末およびゲートウェイ装置に係わり、特に、例えば、ホームネットワーク等の特定のネットワーク内の内部端末にネットワーク外の外部端末からリモートアクセスさせるための制御技術に関する。
特定のネットワーク内の内部端末(例えば、ホームネットワーク内の端末)へ、そのネットワーク外の外部端末(例えば、インターネット上の端末)がアクセスするリモートアクセス技術が注目されている。
このリモートアクセス技術を使用することにより、外出先などから自宅や会社へと接続し、自宅にあるデータを参照したり、PCを遠隔操作することが可能となる。
しかしながら、リモートアクセス技術により、社内システムなどを利用する場合は、データの盗難、流出を防止するためにセキュリティ技術が重要となる。
IPパケットに記述されている宛先アドレス及び送信元アドレスを利用した認証システムとしては、宛先アドレスと送信元アドレスのInterfaceID(IPv6アドレスの下位64bit)で認証するものや、外部端末に指定したIPアドレスを利用させ認証する方式などが知られている。
このリモートアクセス技術を使用することにより、外出先などから自宅や会社へと接続し、自宅にあるデータを参照したり、PCを遠隔操作することが可能となる。
しかしながら、リモートアクセス技術により、社内システムなどを利用する場合は、データの盗難、流出を防止するためにセキュリティ技術が重要となる。
IPパケットに記述されている宛先アドレス及び送信元アドレスを利用した認証システムとしては、宛先アドレスと送信元アドレスのInterfaceID(IPv6アドレスの下位64bit)で認証するものや、外部端末に指定したIPアドレスを利用させ認証する方式などが知られている。
前述したように、IPv6パケットに記述されている宛先アドレス及び送信元アドレスを利用した認証システムとして、宛先アドレスと送信元アドレスのInterfaceID(IPv6アドレスの下位64bit)で認証するものや、外部端末に指定したIPアドレスを利用させ認証する方式などがある。
しかし、前者では、InterfaceIDを偽装されると、全てのPrefix(IPv6アドレスの上位64bit;ネットワークアドレス)からのパケットも認証してしまうため盗聴及び為り済ましに弱い。
また、後者では、外部端末に指定したアドレスを利用させる特別な機能が必要となるため通信相手次第では利用できない。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、認証情報に外部端末の情報を含め、また認証情報を埋め込んだIPv6アドレスを外部端末毎に生成することにより、IPパケットを盗聴されても成り済ましが困難な認証システム、および、認証方法を提供することにある。
また、本発明の他の目的は、前記の認証システムに使用されるアドレス生成装置、内部端末およびゲートウェイ装置を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
しかし、前者では、InterfaceIDを偽装されると、全てのPrefix(IPv6アドレスの上位64bit;ネットワークアドレス)からのパケットも認証してしまうため盗聴及び為り済ましに弱い。
また、後者では、外部端末に指定したアドレスを利用させる特別な機能が必要となるため通信相手次第では利用できない。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、認証情報に外部端末の情報を含め、また認証情報を埋め込んだIPv6アドレスを外部端末毎に生成することにより、IPパケットを盗聴されても成り済ましが困難な認証システム、および、認証方法を提供することにある。
また、本発明の他の目的は、前記の認証システムに使用されるアドレス生成装置、内部端末およびゲートウェイ装置を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置を有し、前記アドレス生成装置が、前記外部端末のIPv6アドレスの一部を、前記外部端末毎に個別に生成するIPv6アドレスのInterfaceIDとして設定し、前記生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末と前記内部端末へ通知し、前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、前記内部端末が、前記アドレス生成装置から通知されたIPv6アドレスを自身のネットワークインターフェイスに付与するとともに、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した外部端末のIPv6アドレスの一部と、前記外部端末から受信したパケットの送信元アドレスの一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄する。
(2)(1)において、前記アドレス生成装置が、前記外部端末のIPv6アドレスの一部と有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、
前記内部端末が、前記外部端末が正規の通信相手か否かを判断する際に、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄する。
(1)特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置を有し、前記アドレス生成装置が、前記外部端末のIPv6アドレスの一部を、前記外部端末毎に個別に生成するIPv6アドレスのInterfaceIDとして設定し、前記生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末と前記内部端末へ通知し、前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、前記内部端末が、前記アドレス生成装置から通知されたIPv6アドレスを自身のネットワークインターフェイスに付与するとともに、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した外部端末のIPv6アドレスの一部と、前記外部端末から受信したパケットの送信元アドレスの一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄する。
(2)(1)において、前記アドレス生成装置が、前記外部端末のIPv6アドレスの一部と有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、
前記内部端末が、前記外部端末が正規の通信相手か否かを判断する際に、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄する。
(3)特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置を有し、前記アドレス生成装置が、前記外部端末のIPv6アドレスと、自身が保有する共有鍵から一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部を、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末と前記内部端末へ通知し、前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、前記内部端末が、前記アドレス生成装置から通知されたIPv6アドレスを自身のネットワークインターフェイスに付与するとともに、前記外部端末から受信したパケットの送信元アドレスと、自身が保有する共有鍵から一方向関数を利用し特定の文字列を生成し、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄する。
(4)特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置を有し、前記アドレス生成装置が、前記外部端末のIPv6アドレスと、自身が保有する共有鍵と、有効期限情報とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と前記有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末と前記内部端末へ通知し、前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、前記内部端末が、前記アドレス生成装置から通知されたIPv6アドレスを自身のネットワークインターフェイスに付与するとともに、前記外部端末から受信したパケットの送信元アドレスと、自身が保有する共有鍵と、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した有効期限情報とから一方向関数を利用し特定の文字列を生成し、かつ、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄するとともに、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄する。
(5)特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置と、前記特定のネットワークの出入り口に配置されるゲートウェイ装置とを有し、前記アドレス生成装置が、前記外部端末のIPv6アドレスの一部と、内部端末を識別する内部端末識別情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末へ通知し、前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、前記ゲートウェイ装置が、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記外部端末のIPv6アドレスの一部と、前記外部端末から受信したパケットの送信元アドレスの一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄し、また、前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送する。
(6)(5)において、前記アドレス生成装置が、前記外部端末のIPv6アドレスの一部と、内部端末を識別する内部端末識別情報と、有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記ゲートウェイ装置が、前記外部端末が正規の通信相手か否かを判断する際に、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄する。
(6)(5)において、前記アドレス生成装置が、前記外部端末のIPv6アドレスの一部と、内部端末を識別する内部端末識別情報と、有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記ゲートウェイ装置が、前記外部端末が正規の通信相手か否かを判断する際に、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄する。
(7)特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置と、前記特定のネットワークの出入り口に配置されるゲートウェイ装置とを有し、前記アドレス生成装置が、前記外部端末のIPv6アドレスと、内部端末を識別する内部端末識別情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と、前記内部端末識別情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末へ通知し、前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、前記ゲートウェイ装置が、前記外部端末から受信したパケットの送信元アドレスと、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した内部端末識別情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成するとともに、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄し、また、前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送する。
(8)特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置と、前記特定のネットワークの出入り口に配置されるゲートウェイ装置とを有し、前記アドレス生成装置が、前記外部端末のIPv6アドレスと、内部端末を識別する内部端末識別情報と、有効期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と、前記内部端末識別情報と、前記有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末へ通知し、前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、前記ゲートウェイ装置が、前記外部端末から受信したパケットの送信元アドレスと、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した内部端末識別情報および期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、かつ、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄するとともに、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証して、有効期限が超えていた場合に受信したパケットを廃棄し、また、前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送する。
(9)また、本発明は、前述の認証方法を実行する認証システムである。
(10)また、本発明は、前述の認証システムに使用されるアドレス生成装置、内部端末およびゲートウェイ装置である。
(9)また、本発明は、前述の認証方法を実行する認証システムである。
(10)また、本発明は、前述の認証システムに使用されるアドレス生成装置、内部端末およびゲートウェイ装置である。
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、認証情報に外部端末の情報を含め、また認証情報を埋め込んだIPv6アドレスを外部端末毎に生成することにより、IPパケットを盗聴された場合でも、成り済ましが困難となり、セキュアなリモートアクセスを実現することが可能となる。
本発明によれば、認証情報に外部端末の情報を含め、また認証情報を埋め込んだIPv6アドレスを外部端末毎に生成することにより、IPパケットを盗聴された場合でも、成り済ましが困難となり、セキュアなリモートアクセスを実現することが可能となる。
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。また、以下の実施例は、本発明の特許請求の範囲の解釈を限定するためのものではない。
[実施例1]
図1は、本発明の実施例1の認証システムのネットワーク構成を示す図である。図1において、10はアドレス生成装置、20は外部端末、30はゲートウェイ装置(以下、GW装置という)、40は内部端末、50はホームネットワーク、60はインターネットである。
図1に示すように、本実施例の認証システムでは、特定のネットワーク(図1では、ホームネットワーク50)内の内部端末40に対して、ホームネットワーク外の外部端末20(図1では、インターネット60上の端末)がアクセスする際に、アドレス生成装置10で生成されたアドレスを使用する。
アドレス生成装置10は、内部端末40、あるいは、外部端末20からの要求に応じて、外部端末20毎に、外部端末20のアドレスを基に生成したIPv6アドレスを内部端末40の宛先アドレスとし通知し、外部端末20に宛先アドレスとして利用させる。なお、図1では、アドレス生成装置10は、インターネット60上に配置されているが、アドレス生成装置10は、ホームネットワーク50上に配置されていてもよい。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。また、以下の実施例は、本発明の特許請求の範囲の解釈を限定するためのものではない。
[実施例1]
図1は、本発明の実施例1の認証システムのネットワーク構成を示す図である。図1において、10はアドレス生成装置、20は外部端末、30はゲートウェイ装置(以下、GW装置という)、40は内部端末、50はホームネットワーク、60はインターネットである。
図1に示すように、本実施例の認証システムでは、特定のネットワーク(図1では、ホームネットワーク50)内の内部端末40に対して、ホームネットワーク外の外部端末20(図1では、インターネット60上の端末)がアクセスする際に、アドレス生成装置10で生成されたアドレスを使用する。
アドレス生成装置10は、内部端末40、あるいは、外部端末20からの要求に応じて、外部端末20毎に、外部端末20のアドレスを基に生成したIPv6アドレスを内部端末40の宛先アドレスとし通知し、外部端末20に宛先アドレスとして利用させる。なお、図1では、アドレス生成装置10は、インターネット60上に配置されているが、アドレス生成装置10は、ホームネットワーク50上に配置されていてもよい。
図2は、本実施例1の認証方法を説明するためのシーケンス図である。以下、本実施例の認証方法について説明する。
(1)アドレス生成装置10は、外部端末20のIPアドレス(図2では、2001:db8:2::1/128)と有効期限情報、内部端末識別情報および共有鍵からIPアドレス(図2では、2001:db8:1::1:2:3/100)を生成する。
(2)アドレス生成装置10は、(1)で生成したIPアドレスを外部端末20に内部端末40のアドレスとして通知する。
(3)外部端末20は、(2)で通知されたIPアドレスを内部端末40のIPアドレスとして扱い、パケットの宛先アドレスとして設定しパケットを生成する。
(4)外部端末20は(3)で生成したパケットを送信する。
(5)GW装置30は、外部端末20から送られてきたパケットの宛先アドレスおよび送信元アドレスから正規の通信相手かどうかを判断する。判断の結果、不正規の通信相手の場合はパケットを破棄する。
(6)GW装置30は、(5)でパケットが正規の通信相手と判断した場合に、パケットの宛先アドレスから内部端末識別情報を取得し内部端末のアドレス(図2では、2001:db8:1::100/128)を生成し、パケットの宛先アドレスを生成したアドレスへNAT処理を行う。
(7)GW装置30は(6)でNAT処理を行ったパケットを内部端末40に送信する。
なお、図2では、GW装置30内のネットワークは、2001:db8:1::/64というPrefixを使用している。また、外部端末20のアドレスはアドレス生成装置10が既に取得しているものとする。
(1)アドレス生成装置10は、外部端末20のIPアドレス(図2では、2001:db8:2::1/128)と有効期限情報、内部端末識別情報および共有鍵からIPアドレス(図2では、2001:db8:1::1:2:3/100)を生成する。
(2)アドレス生成装置10は、(1)で生成したIPアドレスを外部端末20に内部端末40のアドレスとして通知する。
(3)外部端末20は、(2)で通知されたIPアドレスを内部端末40のIPアドレスとして扱い、パケットの宛先アドレスとして設定しパケットを生成する。
(4)外部端末20は(3)で生成したパケットを送信する。
(5)GW装置30は、外部端末20から送られてきたパケットの宛先アドレスおよび送信元アドレスから正規の通信相手かどうかを判断する。判断の結果、不正規の通信相手の場合はパケットを破棄する。
(6)GW装置30は、(5)でパケットが正規の通信相手と判断した場合に、パケットの宛先アドレスから内部端末識別情報を取得し内部端末のアドレス(図2では、2001:db8:1::100/128)を生成し、パケットの宛先アドレスを生成したアドレスへNAT処理を行う。
(7)GW装置30は(6)でNAT処理を行ったパケットを内部端末40に送信する。
なお、図2では、GW装置30内のネットワークは、2001:db8:1::/64というPrefixを使用している。また、外部端末20のアドレスはアドレス生成装置10が既に取得しているものとする。
図3は、図1に示すアドレス生成装置10の処理手順を説明するための図である。
アドレス生成装置10は、内部端末識別情報8bit(100)、有効期限情16bit(110)、外部端末20のIPv6アドレス128bit(120)、及び共有鍵256bit(130)を一つのビット列に結合し結合文字列408bit(140)を作成する。
作成した結合文字列408bit(140)を、SHA256アルゴリズム(150)を用い、文字列256bit(160)を生成する。
生成された文字列256bit(160)の一部、例えば、先頭から40bit分の文字列を抽出し、そこに内部端末識別情報8bit(100)と有効期限情報16bit(110)を結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合し、2001:db8:1::1:2:3:100/128というIPv6アドレスを生成し、外部端末20へ何らかの方法(メール、電話、他)で通知する。
外部端末20は、通知されたIPv6アドレスを宛先アドレスとして通信を開始する。なお、このIPアドレスが付与された内部端末は存在しないが、送信されたパケットの宛先アドレスはGW装置30内のネットワークのPrefixとなっているため、GW装置30まで到達する。
アドレス生成装置10は、内部端末識別情報8bit(100)、有効期限情16bit(110)、外部端末20のIPv6アドレス128bit(120)、及び共有鍵256bit(130)を一つのビット列に結合し結合文字列408bit(140)を作成する。
作成した結合文字列408bit(140)を、SHA256アルゴリズム(150)を用い、文字列256bit(160)を生成する。
生成された文字列256bit(160)の一部、例えば、先頭から40bit分の文字列を抽出し、そこに内部端末識別情報8bit(100)と有効期限情報16bit(110)を結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合し、2001:db8:1::1:2:3:100/128というIPv6アドレスを生成し、外部端末20へ何らかの方法(メール、電話、他)で通知する。
外部端末20は、通知されたIPv6アドレスを宛先アドレスとして通信を開始する。なお、このIPアドレスが付与された内部端末は存在しないが、送信されたパケットの宛先アドレスはGW装置30内のネットワークのPrefixとなっているため、GW装置30まで到達する。
図4は、図1に示GW装置30の処理手順を説明するための図である。
パケット300を受信したGW装置30は、パケットの宛先アドレス、送信元アドレス及びGW装置30が所持する共有鍵130を基に検証処理200を行う。
検証処理200は、受信したパケット300の宛先アドレスのInterfaceIDから内部端末識別情報8bit(100)、有効期限情報16bit(110)を取り出し、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))とGW装置30が所持する共有鍵130とともにSHA256アルゴリズムを用い256bitの文字列を得る。
出力された文字列の上位40bitと、受信したパケット300の宛先アドレスのInterfaceIDの上位40bitとを比較処理し、一致した場合には、正規の通信相手と認める。検証処理200の結果、正規の通信相手と認めた場合には、内部端末40へパケットの転送処理を行う。正規の通信相手と認められない場合、および、受信したパケット300の宛先アドレスのInterfaceIDから抽出した有効期限情報110を検証し、正規の通信相手でも有効期間内でない場合には、パケットを破棄(210)する。
内部端末40に実際に付与されているIPv6アドレスと、パケットに記述されている宛先アドレスは異なるため、GW装置30は、内部端末識別情報8bit(100)、特定文字列56bit(310)、およびPrefix64bit(320)に基づき、内部端末40のIPアドレスを生成し、パケットの宛先アドレスのNAT処理(230)を行い、パケットを内部端末40に転送する。
パケット300を受信したGW装置30は、パケットの宛先アドレス、送信元アドレス及びGW装置30が所持する共有鍵130を基に検証処理200を行う。
検証処理200は、受信したパケット300の宛先アドレスのInterfaceIDから内部端末識別情報8bit(100)、有効期限情報16bit(110)を取り出し、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))とGW装置30が所持する共有鍵130とともにSHA256アルゴリズムを用い256bitの文字列を得る。
出力された文字列の上位40bitと、受信したパケット300の宛先アドレスのInterfaceIDの上位40bitとを比較処理し、一致した場合には、正規の通信相手と認める。検証処理200の結果、正規の通信相手と認めた場合には、内部端末40へパケットの転送処理を行う。正規の通信相手と認められない場合、および、受信したパケット300の宛先アドレスのInterfaceIDから抽出した有効期限情報110を検証し、正規の通信相手でも有効期間内でない場合には、パケットを破棄(210)する。
内部端末40に実際に付与されているIPv6アドレスと、パケットに記述されている宛先アドレスは異なるため、GW装置30は、内部端末識別情報8bit(100)、特定文字列56bit(310)、およびPrefix64bit(320)に基づき、内部端末40のIPアドレスを生成し、パケットの宛先アドレスのNAT処理(230)を行い、パケットを内部端末40に転送する。
図5は、図1に示GW装置30の内部端末40のアドレス生成方法を説明するための図である。
内部端末40のIPアドレスのInterfaceIDは、56bitの特定の文字列と8bitの内部端末識別情報を結合したものが付与されているとする。
GW装置30は、受信したパケット300から抽出した内部端末識別情報8bit(100)とGW装置30が所持する56bitの特定の文字列310を結合することにより、内部端末40のIPアドレスのInterfaceIDを作成し、それをGW装置30内のネットワークの64bitのPrefix320と結合し、内部端末40のIPアドレスを生成する。
以上説明したように、本実施例では、アドレス生成装置10で、通信相手毎のアドレスを生成し宛先アドレスとして利用させるだけでGW装置30内のネットワーク内へのアクセスを制御できる。また、検証に必要な情報は、共有鍵以外はパケットから抽出できるため、GW装置30で持つ情報は共有鍵のみとなる。
内部端末40のIPアドレスのInterfaceIDは、56bitの特定の文字列と8bitの内部端末識別情報を結合したものが付与されているとする。
GW装置30は、受信したパケット300から抽出した内部端末識別情報8bit(100)とGW装置30が所持する56bitの特定の文字列310を結合することにより、内部端末40のIPアドレスのInterfaceIDを作成し、それをGW装置30内のネットワークの64bitのPrefix320と結合し、内部端末40のIPアドレスを生成する。
以上説明したように、本実施例では、アドレス生成装置10で、通信相手毎のアドレスを生成し宛先アドレスとして利用させるだけでGW装置30内のネットワーク内へのアクセスを制御できる。また、検証に必要な情報は、共有鍵以外はパケットから抽出できるため、GW装置30で持つ情報は共有鍵のみとなる。
以下、アドレス生成装置10でのアドレス生成方法の他の例について説明する。
[変形例1]
アドレス生成装置10は、内部端末識別情報8bit(100)、外部端末20のIPv6アドレス128bit(120)、及び所定ビット数の共有鍵130を一つのビット列に結合し、所定ビット数の結合文字列140を作成する。
作成した所定ビット数の結合文字列140を、SHA256アルゴリズム(150)を用い、文字列256bit(160)を生成する。
生成された文字列256bit(160)の一部、例えば、先頭から56bit分の文字列を抽出し、そこに内部端末識別情報8bit(100)とを結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20へ何らかの方法(メール、電話、他)で通知する。
GW装置30は、受信したパケット300の宛先アドレスのInterfaceIDから内部端末識別情報8bit(100)を取り出し、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))と、GW装置30が所持する共有鍵130とともにSHA256アルゴリズムを用い256bitの文字列を得る。
出力された文字列の上位56bitと、受信したパケット300の宛先アドレスのInterfaceIDの上位56bitとを比較処理し、一致した場合には、正規の通信相手と認める。検証処理200の結果、正規の通信相手と認めた場合には、内部端末40へパケットの転送処理を行う。正規の通信相手と認められない場合には、パケットを破棄する。
[変形例1]
アドレス生成装置10は、内部端末識別情報8bit(100)、外部端末20のIPv6アドレス128bit(120)、及び所定ビット数の共有鍵130を一つのビット列に結合し、所定ビット数の結合文字列140を作成する。
作成した所定ビット数の結合文字列140を、SHA256アルゴリズム(150)を用い、文字列256bit(160)を生成する。
生成された文字列256bit(160)の一部、例えば、先頭から56bit分の文字列を抽出し、そこに内部端末識別情報8bit(100)とを結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20へ何らかの方法(メール、電話、他)で通知する。
GW装置30は、受信したパケット300の宛先アドレスのInterfaceIDから内部端末識別情報8bit(100)を取り出し、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))と、GW装置30が所持する共有鍵130とともにSHA256アルゴリズムを用い256bitの文字列を得る。
出力された文字列の上位56bitと、受信したパケット300の宛先アドレスのInterfaceIDの上位56bitとを比較処理し、一致した場合には、正規の通信相手と認める。検証処理200の結果、正規の通信相手と認めた場合には、内部端末40へパケットの転送処理を行う。正規の通信相手と認められない場合には、パケットを破棄する。
[変形例2]
アドレス生成装置10は、外部端末20のIPv6アドレス128bit(120)の一部、例えば、先頭から40bit分の文字列を抽出し、内部端末識別情報8bit(100)と、有効期限情報16bit(110)を結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20へ何らかの方法(メール、電話、他)で通知する。
GW装置30は、受信したパケット300の宛先アドレスのInterfaceIDの上位40bitと、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))のInterfaceIDの上位40bitとを比較処理し、一致した場合には、正規の通信相手と認める。検証処理200の結果、正規の通信相手と認めた場合には、内部端末40へパケットの転送処理を行う。正規の通信相手と認められない場合、および、受信したパケット300の宛先アドレスのInterfaceIDから抽出した有効期限情報110を検証し、正規の通信相手でも有効期間内でない場合には、パケットを破棄する。
[変形例3]
アドレス生成装置10は、外部端末20のIPv6アドレス128bit(120)の一部、例えば、先頭から56bit分の文字列を抽出し、内部端末識別情報8bit(100)を結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20へ何らかの方法(メール、電話、他)で通知する。
GW装置30は、受信したパケット300の宛先アドレスのInterfaceIDの上位56bitと、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))のInterfaceIDの上位56bitとを比較処理し、一致した場合には、正規の通信相手と認める。検証処理200の結果、正規の通信相手と認めた場合には、内部端末40へパケットの転送処理を行う。正規の通信相手と認められない場合には、パケットを破棄する。
アドレス生成装置10は、外部端末20のIPv6アドレス128bit(120)の一部、例えば、先頭から40bit分の文字列を抽出し、内部端末識別情報8bit(100)と、有効期限情報16bit(110)を結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20へ何らかの方法(メール、電話、他)で通知する。
GW装置30は、受信したパケット300の宛先アドレスのInterfaceIDの上位40bitと、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))のInterfaceIDの上位40bitとを比較処理し、一致した場合には、正規の通信相手と認める。検証処理200の結果、正規の通信相手と認めた場合には、内部端末40へパケットの転送処理を行う。正規の通信相手と認められない場合、および、受信したパケット300の宛先アドレスのInterfaceIDから抽出した有効期限情報110を検証し、正規の通信相手でも有効期間内でない場合には、パケットを破棄する。
[変形例3]
アドレス生成装置10は、外部端末20のIPv6アドレス128bit(120)の一部、例えば、先頭から56bit分の文字列を抽出し、内部端末識別情報8bit(100)を結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20へ何らかの方法(メール、電話、他)で通知する。
GW装置30は、受信したパケット300の宛先アドレスのInterfaceIDの上位56bitと、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))のInterfaceIDの上位56bitとを比較処理し、一致した場合には、正規の通信相手と認める。検証処理200の結果、正規の通信相手と認めた場合には、内部端末40へパケットの転送処理を行う。正規の通信相手と認められない場合には、パケットを破棄する。
前述の説明では、GW装置30が、パケットの認証を行うフィルタリング機能を持つ場合について説明したが、このパケットの認証を行うフィルタリング機能は、内部端末40に持たせることも可能である。
内部端末40に、パケットの認証を行うフィルタリング機能を持たせた場合、前述の内部端末識別情報8bit(100)が不要となる。また、内部端末40は、アドレス生成装置10から通知された宛先アドレスを自身のネットワークインターフェイスに付与する機能を有し、さらに、内部端末40は、アドレス生成装置10から通知された宛先アドレスを、内部端末40のアドレスとしてGW装置30に通知しているものとする。
以下、内部端末40が、パケットのフィルタリングを行う場合の例について説明する。
[変形例4]
アドレス生成装置10は、有効期限情報16bit(110)、外部端末20のIPv6アドレス128bit(120)、及び、所定ビット数の共有鍵130を一つのビット列に結合し、所定ビット数の結合文字列140を作成する。作成した所定ビット数の結合文字列140を、SHA256アルゴリズム(150)を用い、文字列256bit(160)を生成する。
生成された文字列256bit(160)の一部、例えば、先頭から48bit分の文字列を抽出し、そこに有効期限情報16bit(110)を結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20と内部端末40へ何らかの方法(メール、電話、他)で通知する。
外部端末20は、通知されたIPv6アドレスを宛先アドレスとして通信を開始する。外部端末20からのパケットは、GW装置30を通過して内部端末40に到達する。
内部端末40は、受信したパケット300の宛先アドレスのInterfaceIDから有効期限情報16bit(110)を取り出し、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))と、内部端末40が所持する共有鍵130とともにSHA256アルゴリズムを用い256bitの文字列を得る。
出力された文字列の上位48bitと、受信したパケット300の宛先アドレスのInterfaceIDの上位48bitとを比較処理し、一致した場合には、正規の通信相手と認める。正規の通信相手と認められない場合、および、受信したパケット300の宛先アドレスのInterfaceIDから抽出した有効期限情報110を検証し、正規の通信相手でも有効期間内でない場合には、パケットを破棄する。
内部端末40に、パケットの認証を行うフィルタリング機能を持たせた場合、前述の内部端末識別情報8bit(100)が不要となる。また、内部端末40は、アドレス生成装置10から通知された宛先アドレスを自身のネットワークインターフェイスに付与する機能を有し、さらに、内部端末40は、アドレス生成装置10から通知された宛先アドレスを、内部端末40のアドレスとしてGW装置30に通知しているものとする。
以下、内部端末40が、パケットのフィルタリングを行う場合の例について説明する。
[変形例4]
アドレス生成装置10は、有効期限情報16bit(110)、外部端末20のIPv6アドレス128bit(120)、及び、所定ビット数の共有鍵130を一つのビット列に結合し、所定ビット数の結合文字列140を作成する。作成した所定ビット数の結合文字列140を、SHA256アルゴリズム(150)を用い、文字列256bit(160)を生成する。
生成された文字列256bit(160)の一部、例えば、先頭から48bit分の文字列を抽出し、そこに有効期限情報16bit(110)を結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20と内部端末40へ何らかの方法(メール、電話、他)で通知する。
外部端末20は、通知されたIPv6アドレスを宛先アドレスとして通信を開始する。外部端末20からのパケットは、GW装置30を通過して内部端末40に到達する。
内部端末40は、受信したパケット300の宛先アドレスのInterfaceIDから有効期限情報16bit(110)を取り出し、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))と、内部端末40が所持する共有鍵130とともにSHA256アルゴリズムを用い256bitの文字列を得る。
出力された文字列の上位48bitと、受信したパケット300の宛先アドレスのInterfaceIDの上位48bitとを比較処理し、一致した場合には、正規の通信相手と認める。正規の通信相手と認められない場合、および、受信したパケット300の宛先アドレスのInterfaceIDから抽出した有効期限情報110を検証し、正規の通信相手でも有効期間内でない場合には、パケットを破棄する。
[変形例5]
アドレス生成装置10は、外部端末20のIPv6アドレス128bit(120)と、所定ビット数の共有鍵130を一つのビット列に結合し、所定ビット数の結合文字列140を作成する。作成した所定ビット数の結合文字列140を、SHA256アルゴリズム(150)を用い、文字列256bit(160)を生成する。生成された文字列256bit(160)の一部、例えば、先頭から64bit分の文字列を抽出し、64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20と内部端末40へ何らかの方法(メール、電話、他)で通知する。
内部端末40は、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))と、内部端末40が所持する共有鍵130とともにSHA256アルゴリズムを用い256bitの文字列を得る。出力された文字列の上位64bitと、受信したパケット300の宛先アドレスのInterfaceIDの上位64bitとを比較処理し、一致した場合には、正規の通信相手と認める。正規の通信相手と認められない場合には、パケットを破棄する。
アドレス生成装置10は、外部端末20のIPv6アドレス128bit(120)と、所定ビット数の共有鍵130を一つのビット列に結合し、所定ビット数の結合文字列140を作成する。作成した所定ビット数の結合文字列140を、SHA256アルゴリズム(150)を用い、文字列256bit(160)を生成する。生成された文字列256bit(160)の一部、例えば、先頭から64bit分の文字列を抽出し、64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20と内部端末40へ何らかの方法(メール、電話、他)で通知する。
内部端末40は、受信したパケット300の送信元アドレス(外部端末20のIPv6アドレス128bit(120))と、内部端末40が所持する共有鍵130とともにSHA256アルゴリズムを用い256bitの文字列を得る。出力された文字列の上位64bitと、受信したパケット300の宛先アドレスのInterfaceIDの上位64bitとを比較処理し、一致した場合には、正規の通信相手と認める。正規の通信相手と認められない場合には、パケットを破棄する。
[変形例6]
アドレス生成装置10は、外部端末20のIPv6アドレス128bit(120)の一部、例えば、先頭から48bit分の文字列を抽出し、有効期限情報16bit(110)を結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20と内部端末40へ何らかの方法(メール、電話、他)で通知する。
内部端末40は、受信したパケット300の宛先アドレスのInterfaceIDの上位48bitと、受信したパケット300の送信元アドレスのInterfaceIDの上位48bitとを比較処理し、一致した場合には、正規の通信相手と認める。正規の通信相手と認められない場合、および、受信したパケット300の宛先アドレスのInterfaceIDから抽出した有効期限情報110を検証し、正規の通信相手でも有効期間内でない場合には、パケットを破棄する。
[変形例7]
アドレス生成装置10は、外部端末20のIPv6アドレス128bit(120)の一部、例えば、先頭から64bit分の文字列を抽出し、64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20と内部端末40へ何らかの方法(メール、電話、他)で通知する。
内部端末40は、受信したパケット300の宛先アドレスのInterfaceIDの上位64bitと、受信したパケット300の送信元アドレスのInterfaceIDの上位64bitとを比較処理し、一致した場合には、正規の通信相手と認める。正規の通信相手と認められない場合には、パケットを破棄する。
アドレス生成装置10は、外部端末20のIPv6アドレス128bit(120)の一部、例えば、先頭から48bit分の文字列を抽出し、有効期限情報16bit(110)を結合し64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20と内部端末40へ何らかの方法(メール、電話、他)で通知する。
内部端末40は、受信したパケット300の宛先アドレスのInterfaceIDの上位48bitと、受信したパケット300の送信元アドレスのInterfaceIDの上位48bitとを比較処理し、一致した場合には、正規の通信相手と認める。正規の通信相手と認められない場合、および、受信したパケット300の宛先アドレスのInterfaceIDから抽出した有効期限情報110を検証し、正規の通信相手でも有効期間内でない場合には、パケットを破棄する。
[変形例7]
アドレス生成装置10は、外部端末20のIPv6アドレス128bit(120)の一部、例えば、先頭から64bit分の文字列を抽出し、64bitのInterfaceIDを生成する。
アドレス生成装置10は、生成したInterfaceIDにGW装置30内のネットワークのPrefixである2001:db8:1::/64を結合して、IPv6アドレスを生成し、外部端末20と内部端末40へ何らかの方法(メール、電話、他)で通知する。
内部端末40は、受信したパケット300の宛先アドレスのInterfaceIDの上位64bitと、受信したパケット300の送信元アドレスのInterfaceIDの上位64bitとを比較処理し、一致した場合には、正規の通信相手と認める。正規の通信相手と認められない場合には、パケットを破棄する。
[実施例2]
GW装置30で検証処理が行われるまでは第1の実施例と同様である。
GW装置30は、DHCPv6機能を有しており、GW装置30内のネットワークの端末はDHCPv6によりアドレスを割り当てられているとする。また、GW装置30は、ホームネットワーク50内の内部端末40と内部端末識別情報8bit(100)の対応リストを所持しているとする。GW装置30は、検証処理の結果、正規の通信相手と認めた後に内部端末40へパケットの転送処理を行う。正規の通信相手と認められない場合はパケットを破棄する。
GW装置30は、パケットから内部端末識別情報を取得し、GW装置30が所持するリストを参照し内部端末識別情報8bit(100)に対応する内部端末40に対しDHCP-RECONFIGUREを行い、内部端末40にパケットの宛先アドレスを割り当てる。割当て後、パケットの転送を行う。
以上説明したように、本実施例によれば、IPv6アドレスに認証情報を埋め込み外部端末に宛先アドレスとして利用させることのみで着信側でアクセスが正規のものかを確認できる。
これにより、Pパケットを盗聴されても成り済ましが困難となり、セキュアなリモートアクセスを実現できる。また、外部端末は宛先アドレスとして通知されたアドレスを使うだけでよいため、基本的な通信機能を備えている外部端末であれば本方式を利用できる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
GW装置30で検証処理が行われるまでは第1の実施例と同様である。
GW装置30は、DHCPv6機能を有しており、GW装置30内のネットワークの端末はDHCPv6によりアドレスを割り当てられているとする。また、GW装置30は、ホームネットワーク50内の内部端末40と内部端末識別情報8bit(100)の対応リストを所持しているとする。GW装置30は、検証処理の結果、正規の通信相手と認めた後に内部端末40へパケットの転送処理を行う。正規の通信相手と認められない場合はパケットを破棄する。
GW装置30は、パケットから内部端末識別情報を取得し、GW装置30が所持するリストを参照し内部端末識別情報8bit(100)に対応する内部端末40に対しDHCP-RECONFIGUREを行い、内部端末40にパケットの宛先アドレスを割り当てる。割当て後、パケットの転送を行う。
以上説明したように、本実施例によれば、IPv6アドレスに認証情報を埋め込み外部端末に宛先アドレスとして利用させることのみで着信側でアクセスが正規のものかを確認できる。
これにより、Pパケットを盗聴されても成り済ましが困難となり、セキュアなリモートアクセスを実現できる。また、外部端末は宛先アドレスとして通知されたアドレスを使うだけでよいため、基本的な通信機能を備えている外部端末であれば本方式を利用できる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
10 アドレス生成装置
20 外部端末
30 ゲートウェイ装置
40 内部端末
50 ホームネットワーク
60 インターネット
100 内部端末識別情報
110 有効期限情報
120 外部端末アドレス
130 共有鍵
140 結合文字列
150 SHA256アルゴリズム
160 文字列
170 上位ビット
180 InterfaceID
300 受信パケット
310 特定文字列
320 Prefix
330 内部端末アドレス
20 外部端末
30 ゲートウェイ装置
40 内部端末
50 ホームネットワーク
60 インターネット
100 内部端末識別情報
110 有効期限情報
120 外部端末アドレス
130 共有鍵
140 結合文字列
150 SHA256アルゴリズム
160 文字列
170 上位ビット
180 InterfaceID
300 受信パケット
310 特定文字列
320 Prefix
330 内部端末アドレス
Claims (32)
- 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムであって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置を有し、
前記アドレス生成装置は、前記外部端末のIPv6アドレスの一部を、前記外部端末毎に個別に生成するIPv6アドレスのInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合して、IPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末と前記内部端末へ通知し、
前記内部端末は、前記アドレス生成装置から通知された宛先アドレスを自身のネットワークインターフェイスに付与する機能1と、
前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した外部端末のIPv6アドレスの一部と、前記外部端末から受信したパケットの送信元アドレスの一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄する機能2とを有することを特徴とする認証システム。 - 前記アドレス生成装置は、前記外部端末のIPv6アドレスの一部と有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、
前記内部端末の機能2は、前記外部端末が正規の通信相手か否かを判断する際に、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄することを特徴とする請求項1に記載の認証システム。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムであって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置を有し、
前記アドレス生成装置は、前記外部端末のIPv6アドレスと、自身が保有する共有鍵から一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部を、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末と前記内部端末へ通知し、
前記内部端末は、前記アドレス生成装置から通知された宛先アドレスを自身のネットワークインターフェイスに付与する機能1と、
前記外部端末から受信したパケットの送信元アドレスと、自身が保有する共有鍵から一方向関数を利用し特定の文字列を生成し、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄する機能2とを有することを特徴とする認証システム。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムであって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置を有し、
前記アドレス生成装置は、前記外部端末のIPv6アドレスと、自身が保有する共有鍵と、有効期限情報とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と前記有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末と前記内部端末へ通知し、
前記内部端末は、前記アドレス生成装置から通知された宛先アドレスを自身のネットワークインターフェイスに付与する機能1と、
前記外部端末から受信したパケットの送信元アドレスと、自身が保有する共有鍵と、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した有効期限情報とから一方向関数を利用し特定の文字列を生成し、かつ、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄するとともに、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄する機能2とを有することを特徴とする認証システム。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムであって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置と、
前記特定のネットワークの出入り口に配置されるゲートウェイ装置とを有し、
前記アドレス生成装置は、前記外部端末のIPv6アドレスの一部と、内部端末を識別する内部端末識別情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末へ通知し、
前記ゲートウェイ装置は、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記外部端末のIPv6アドレスの一部と、前記外部端末から受信したパケットの送信元アドレスの一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄する機能1と、
前記機能1で前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送する機能2とを有することを特徴とする認証システム。 - 前記アドレス生成装置は、前記外部端末のIPv6アドレスの一部と、内部端末を識別する内部端末識別情報と、有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、
前記ゲートウェイ装置の機能1は、前記外部端末が正規の通信相手か否かを判断する際に、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄することを特徴とする請求項5に記載の認証システム。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムであって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置と、
前記特定のネットワークの出入り口に配置されるゲートウェイ装置とを有し、
前記アドレス生成装置は、前記外部端末のIPv6アドレスと、内部端末を識別する内部端末識別情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と、前記内部端末識別情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末へ通知し、
前記ゲートウェイ装置は、前記外部端末から受信したパケットの送信元アドレスと、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した内部端末識別情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成するとともに、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄する機能1と、
前記機能1で前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送する機能2とを有することを特徴とする認証システム。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムであって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置と、
前記特定のネットワークの出入り口に配置されるゲートウェイ装置とを有し、
前記アドレス生成装置は、前記外部端末のIPv6アドレスと、内部端末を識別する内部端末識別情報と、有効期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と、前記内部端末識別情報と、前記有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末へ通知し、
前記ゲートウェイ装置は、前記外部端末から受信したパケットの送信元アドレスと、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した内部端末識別情報および前記期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、かつ、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄するとともに、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証して、有効期限が超えていた場合に受信したパケットを廃棄する機能1と、
前記機能1で前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送する機能2とを有することを特徴とする認証システム。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置を有し、
前記アドレス生成装置が、前記外部端末のIPv6アドレスの一部を、前記外部端末毎に個別に生成するIPv6アドレスのInterfaceIDとして設定し、前記生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末と前記内部端末へ通知し、
前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、
前記内部端末が、前記アドレス生成装置から通知されたIPv6アドレスを自身のネットワークインターフェイスに付与するとともに、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した外部端末のIPv6アドレスの一部と、前記外部端末から受信したパケットの送信元アドレスの一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄することを特徴とする認証方法。 - 前記アドレス生成装置が、前記外部端末のIPv6アドレスの一部と有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、
前記内部端末が、前記外部端末が正規の通信相手か否かを判断する際に、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄することを特徴とする請求項9に記載の認証方法。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置を有し、
前記アドレス生成装置が、前記外部端末のIPv6アドレスと、自身が保有する共有鍵から一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部を、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末と前記内部端末へ通知し、
前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、
前記内部端末が、前記アドレス生成装置から通知されたIPv6アドレスを自身のネットワークインターフェイスに付与するとともに、前記外部端末から受信したパケットの送信元アドレスと、自身が保有する共有鍵から一方向関数を利用し特定の文字列を生成し、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄することを特徴とする認証方法。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置を有し、
前記アドレス生成装置が、前記外部端末のIPv6アドレスと、自身が保有する共有鍵と、有効期限情報とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と前記有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末と前記内部端末へ通知し、
前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、
前記内部端末が、前記アドレス生成装置から通知されたIPv6アドレスを自身のネットワークインターフェイスに付与するとともに、前記外部端末から受信したパケットの送信元アドレスと、自身が保有する共有鍵と、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した有効期限情報とから一方向関数を利用し特定の文字列を生成し、かつ、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄するとともに、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄することを特徴とする認証方法。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置と、
前記特定のネットワークの出入り口に配置されるゲートウェイ装置とを有し、
前記アドレス生成装置が、前記外部端末のIPv6アドレスの一部と、内部端末を識別する内部端末識別情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末へ通知し、
前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、
前記ゲートウェイ装置が、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記外部端末のIPv6アドレスの一部と、前記外部端末から受信したパケットの送信元アドレスの一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄し、また、前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送することを特徴とする認証方法。 - 前記アドレス生成装置が、前記外部端末のIPv6アドレスの一部と、内部端末を識別する内部端末識別情報と、有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、
前記ゲートウェイ装置が、前記外部端末が正規の通信相手か否かを判断する際に、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄することを特徴とする請求項13に記載の認証方法。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置と、
前記特定のネットワークの出入り口に配置されるゲートウェイ装置とを有し、
前記アドレス生成装置が、前記外部端末のIPv6アドレスと、内部端末を識別する内部端末識別情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と、前記内部端末識別情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末へ通知し、
前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、
前記ゲートウェイ装置が、前記外部端末から受信したパケットの送信元アドレスと、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した内部端末識別情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成するとともに、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄し、また、前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送することを特徴とする認証方法。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証方法であって、
前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置と、
前記特定のネットワークの出入り口に配置されるゲートウェイ装置とを有し、
前記アドレス生成装置が、前記外部端末のIPv6アドレスと、内部端末を識別する内部端末識別情報と、有効期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と、前記内部端末識別情報と、前記有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成した宛先アドレスを、前記外部端末へ通知し、
前記外部端末が、前記アドレス生成装置から通知されたIPv6アドレスを宛先アドレスとしてパケットを送信し、
前記ゲートウェイ装置が、前記外部端末から受信したパケットの送信元アドレスと、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した内部端末識別情報および期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、かつ、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄するとともに、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証して、有効期限が超えていた場合に受信したパケットを廃棄し、また、前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送することを特徴とする認証方法。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用され、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置であって、
前記外部端末のIPv6アドレスの一部を、前記外部端末毎に個別に生成するIPv6アドレスのInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成したIP宛先アドレスを、前記外部端末と前記内部端末へ通知することを特徴とするアドレス生成装置。 - 前記外部端末のIPv6アドレスの一部と有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定することを特徴とする請求項17に記載のアドレス生成装置。
- 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用され、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置であって、
前記外部端末のIPv6アドレスと、自身が保有する共有鍵から一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部を、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成したIP宛先アドレスを、前記外部端末と前記内部端末へ通知することを特徴とするアドレス生成装置。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用され、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置であって、
前記外部端末のIPv6アドレスと、自身が保有する共有鍵と、有効期限情報とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と前記有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成したIP宛先アドレスを、前記外部端末と前記内部端末へ通知することを特徴とするアドレス生成装置。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用され、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置であって、
前記アドレス生成装置は、前記外部端末のIPv6アドレスの一部と、内部端末を識別する内部端末識別情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成したIP宛先アドレスを、前記外部端末へ通知することを特徴とするアドレス生成装置。 - 前記外部端末のIPv6アドレスの一部と、内部端末を識別する内部端末識別情報と、有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定することを特徴とする請求項21に記載のアドレス生成装置。
- 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用され、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置であって、
前記外部端末のIPv6アドレスと、内部端末を識別する内部端末識別情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と、前記内部端末識別情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成したIP宛先アドレスを、前記外部端末へ通知することを特徴とするアドレス生成装置。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用され、前記外部端末が前記内部端末にアクセスする際の宛先アドレスを生成するアドレス生成装置であって、
前記外部端末のIPv6アドレスと、内部端末を識別する内部端末識別情報と、有効期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、前記生成した文字列の一部と、前記内部端末識別情報と、前記有効期限情報とを結合して、前記外部端末毎に個別に生成するInterfaceIDとして設定し、前記外部端末毎に個別に生成したInterfaceIDと、前記特定のネットワークのPrefixアドレスとを結合してIPv6の宛先アドレスを生成し、当該生成したIP宛先アドレスを、前記外部端末へ通知することを特徴とするアドレス生成装置。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用される内部端末であって、
前記アドレス生成装置から通知されたIPv6アドレスを自身のネットワークインターフェイスに付与する機能1と、
前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した外部端末のIPv6アドレスの一部と、前記外部端末から受信したパケットの送信元アドレスの一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄する機能2とを有することを特徴とする内部端末。 - 前記機能2は、前記外部端末が正規の通信相手か否かを判断する際に、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄することを特徴とする請求項25に記載の内部端末。
- 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用される内部端末であって、
前記内部端末は、前記アドレス生成装置から通知されたIPv6アドレスを自身のネットワークインターフェイスに付与する機能1と、
前記外部端末から受信したパケットの送信元アドレスと、自身が保有する共有鍵から一方向関数を利用し特定の文字列を生成し、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄する機能2とを有することを特徴とする内部端末。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用される内部端末であって、
前記アドレス生成装置から通知されたIPv6アドレスを自身のネットワークインターフェイスに付与する機能1と、
前記外部端末から受信したパケットの送信元アドレスと、自身が保有する共有鍵と、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した有効期限情報とから一方向関数を利用し特定の文字列を生成し、かつ、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄するとともに、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄する機能2とを有することを特徴とする内部端末。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用されるゲートウェイ装置であって、
前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した前記外部端末のIPv6アドレスの一部と、前記外部端末から受信したパケットの送信元アドレスの一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄する機能1と、
前記機能1で前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送する機能2とを有することを特徴とするゲートウェイ装置。 - 前記ゲートウェイ装置の機能1は、前記外部端末が正規の通信相手か否かを判断する際に、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証し、有効期限が超えていた場合に受信したパケットを廃棄することを特徴とする請求項29に記載のゲートウェイ装置。
- 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用されるゲートウェイ装置であって、
前記外部端末から受信したパケットの送信元アドレスと、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した内部端末識別情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成するとともに、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄する機能1と、
前記機能1で前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送する機能2とを有することを特徴とするゲートウェイ装置。 - 特定のネットワーク内の内部端末に対して、前記特定のネットワーク外の外部端末がアクセスする際の認証システムに使用されるゲートウェイ装置であって、
前記外部端末から受信したパケットの送信元アドレスと、前記外部端末から受信したパケットの宛先アドレスのInterfaceIDから抽出した内部端末識別情報および期限情報と、自身が保有する共有鍵とから一方向関数を利用し特定の文字列を生成し、かつ、前記宛先アドレスのInterfaceIDから抽出した前記アドレス生成装置が生成した文字列の一部と、自身で生成した文字列の一部とを比較して、前記外部端末が正規の通信相手か否かを判断し、前記外部端末が正規の通信相手でない場合に受信したパケットを廃棄するとともに、前記宛先アドレスのInterfaceIDから抽出した有効期限情報を検証して、有効期限が超えていた場合に受信したパケットを廃棄する機能1と、
前記機能1で前記外部端末が正規の通信相手と判断された場合に、前記宛先アドレスのInterfaceIDから抽出した内部端末識別情報に基づき、前記外部端末から受信したパケットを前記内部端末に転送する機能2とを有することを特徴とするゲートウェイ装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010027288A JP5171855B2 (ja) | 2010-02-10 | 2010-02-10 | 認証システム、認証方法、アドレス生成装置、内部端末およびゲートウェイ装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010027288A JP5171855B2 (ja) | 2010-02-10 | 2010-02-10 | 認証システム、認証方法、アドレス生成装置、内部端末およびゲートウェイ装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011166468A true JP2011166468A (ja) | 2011-08-25 |
| JP5171855B2 JP5171855B2 (ja) | 2013-03-27 |
Family
ID=44596627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010027288A Expired - Fee Related JP5171855B2 (ja) | 2010-02-10 | 2010-02-10 | 認証システム、認証方法、アドレス生成装置、内部端末およびゲートウェイ装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5171855B2 (ja) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006140881A (ja) * | 2004-11-15 | 2006-06-01 | Matsushita Electric Ind Co Ltd | 認証情報付きネットワーク識別子生成装置および機器認証装置 |
-
2010
- 2010-02-10 JP JP2010027288A patent/JP5171855B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006140881A (ja) * | 2004-11-15 | 2006-06-01 | Matsushita Electric Ind Co Ltd | 認証情報付きネットワーク識別子生成装置および機器認証装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5171855B2 (ja) | 2013-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107454079B (zh) | 基于物联网平台的轻量级设备认证及共享密钥协商方法 | |
| US11451959B2 (en) | Authenticating client devices in a wireless communication network with client-specific pre-shared keys | |
| CN108111303B (zh) | 一种智能家庭网关的安全连接方法 | |
| Raghuprasad et al. | Security analysis and prevention of attacks on IoT devices | |
| Oliveira et al. | Network admission control solution for 6LoWPAN networks based on symmetric key mechanisms | |
| CN105025016A (zh) | 一种内网终端准入控制方法 | |
| CN104618360B (zh) | 基于802.1X协议的bypass认证方法及系统 | |
| JP2005099980A (ja) | サービス提供方法、サービス提供プログラム、ホスト装置、および、サービス提供装置 | |
| JP4183664B2 (ja) | 認証方法、サーバ計算機、クライアント計算機、および、プログラム | |
| CN1728637A (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 | |
| Buschsieweke et al. | Securing critical infrastructure in smart cities: Providing scalable access control for constrained devices | |
| JP5171855B2 (ja) | 認証システム、認証方法、アドレス生成装置、内部端末およびゲートウェイ装置 | |
| JPH11331181A (ja) | ネットワーク端末認証装置 | |
| Agrawal et al. | Preventing ARP spoofing in WLAN using SHA-512 | |
| JP2004194196A (ja) | パケット通信認証システム、通信制御装置及び通信端末 | |
| Kim et al. | Self-certifying id based trustworthy networking system for iot smart service domain | |
| JP4647481B2 (ja) | 暗号化通信装置 | |
| CN1881870A (zh) | 一种设备间安全通信的方法 | |
| JP4768547B2 (ja) | 通信装置の認証システム | |
| US20060026433A1 (en) | Method and apparatus for minimally onerous and rapid cocktail effect authentication (MORCEAU) | |
| US10079857B2 (en) | Method of slowing down a communication in a network | |
| CN107864136A (zh) | 一种防止系统短信服务被盗用的方法 | |
| JP2005309974A (ja) | ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体 | |
| JP2007049262A (ja) | 端末、通信装置、通信確立方法および認証方法 | |
| TWI520653B (zh) | 無線安全自動配對方法、連線建立方法與無線存取點裝置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120213 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121218 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121225 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121225 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5171855 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |