JP2013258739A - IPv6ネットワーク内ホスト遮断及び探索方法 - Google Patents
IPv6ネットワーク内ホスト遮断及び探索方法 Download PDFInfo
- Publication number
- JP2013258739A JP2013258739A JP2013157551A JP2013157551A JP2013258739A JP 2013258739 A JP2013258739 A JP 2013258739A JP 2013157551 A JP2013157551 A JP 2013157551A JP 2013157551 A JP2013157551 A JP 2013157551A JP 2013258739 A JP2013258739 A JP 2013258739A
- Authority
- JP
- Japan
- Prior art keywords
- host
- packet
- blocking
- network
- blocked
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】IPv6を使用するネットワークにおいて、ホストの探知と未認可ネットワーク接近に対する遮断を行う。
【解決手段】ホストのネットワーク遮断のための政策が設定されているネットワーク内において、近隣探索プロトコル(NDP)パケットを採取するステップと、採取したパケットの種別に応じて遮断政策に含まれるかどうかを判定するステップと、判定の結果、遮断政策に含まれる場合、前記ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップと、を含む。
【選択図】図4
【解決手段】ホストのネットワーク遮断のための政策が設定されているネットワーク内において、近隣探索プロトコル(NDP)パケットを採取するステップと、採取したパケットの種別に応じて遮断政策に含まれるかどうかを判定するステップと、判定の結果、遮断政策に含まれる場合、前記ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップと、を含む。
【選択図】図4
Description
本発明はIPv6ネットワーク内ホスト遮断及び探索方法に係り、特に、IPv6ネットワーク環境における近隣探索プロトコル(NDP:Neighbor Discovery Protocol)を用いたIPv6ネットワーク内ホスト遮断及び探索方法に関する。
32ビットアドレス体系であるIPv4の枯渇が次第に現実化しつつある。韓国インターネット振興院IPv6ポータル(http://IPv6.vsix.net)の情報によれば、2009年1月20日現在、約791日後にIPv4アドレスが枯渇する見込みであり、アドレス枯渇を認知した多くの企業及び官公署においては既にIPv4ネットワークからIPv6ネットワークへの転換事業が進んでおり、IPv6への需要が次第に高まりつつある傾向にある。
また、IPv6においてはIPアドレスの自動設定を支援するが、このように自動的に割当が行われる場合、ネットワークの資源を管理する側面からは、全ての装備のIPを確認し、当該情報を維持する必要性が発生してくる。
さらに、IPアドレスの自動設定が行われるため、悪意を持ったユーザーがいかなる制約を受けることなくネットワークの主要装備に接近可能となるという問題が発生するため、これらのユーザーに対する管理及び遮断が必要である。
本発明の目的は、IPv6環境においてネットワークの主資源を効率よく管理することのできるホスト探索方法と、未認可ホストのネットワーク接近を遮断して一段と高いセキュリティ環境を構築することのできるIPv6ネットワーク内ホスト遮断及び探索方法を提供するところにある。
上記の目的を達成するために、本発明は、探索しようとするIPをICMPv6目標アドレスに設定した近隣要請(NS)パケットをネットワークに伝送して探索IPに対するリンク層アドレス情報とIPアドレス情報を含むホスト情報を要請するステップと、パケット伝送後にホストの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機するステップと、前記所定時間待機後に前記探索しようとするIPの近隣要請(NA)パケットが受信されたかどうかを判定するステップと、要請パケットに対するNAパケットが受信された場合、当該パケットからホスト情報を取得するステップと、を含む。
本発明の他の特徴によれば、ルーター要請(RS)パケットをネットワークに伝送してリンク層アドレス情報とIPアドレス情報を含むルーター情報を要請するステップと、パケット伝送後にルーターの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機するステップと、前記所定時間待機後にルーター公告(RA)パケットが受信されたかどうかを判定するステップと、要請パケットに対するRAパケットが受信された場合、当該パケットからルーター情報を取得するステップと、を含む。
本発明のさらに他の特徴によれば、近隣探索プロトコル(NDP)パケットを採取するステップと、採取したパケットがルーター要請(RS)パケット、近隣要請(NS)パケット、近隣要請(NA)パケットのうちのいずれか一種であるかどうかを判定するステップと、判定の結果、採取したパケットがルーター要請(RS)パケット、近隣要請(NS)パケット、近隣要請(NA)パケットのうちのいずれか一種であれば、採取されたパケットからリンク層アドレス情報とIPアドレス情報を含むホスト情報を取得し、あるいは、判定の結果、採取したパケットがルーター公告(RA)パケットであれば、採取されたパケットからルーター情報を取得するステップと、を含む。
本発明のさらに他の特徴によれば、前記ホスト情報は、近隣公告(NA)パケットのフィールド情報を選択的にさらに含む。
本発明のさらに他の特徴によれば、前記ルーター情報は、リンク層アドレス情報とIPアドレス情報を含む。
本発明のさらに他の特徴によれば、前記ルーター情報は、ルーター公告(RA)パケットのフィールド情報を選択的にさらに含む。
本発明のさらに他の特徴によれば、前記ホスト情報または前記ルーター情報のうち少なくとも一方は、IPアドレスとリンク層アドレスをリストとして管理する。
本発明のさらに他の特徴によれば、ホストのネットワーク遮断のための政策が設定されれば、ネットワーク内において近隣探索プロトコル(NDP)パケットを採取するステップと、採取したパケットの種別に応じて遮断政策に含まれるかどうかを判定するステップと、判定の結果、遮断政策に含まれる場合、前記ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップと、を含む。
本発明のさらに他の特徴によれば、ホストのネットワーク遮断のための政策が設定されれば、ネットワーク内において遮断ホストの近隣探索プロトコル(NDP)パケットが採取されていない状況において、遮断ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップを含む。
本発明のさらに他の特徴によれば、前記近隣公告(NA)パケットのリンク層アドレスを当該ネットワークに存在しない仮想のリンク層アドレスまたは特定のリンク層アドレスに設定した変調済みNAパケットをマルチキャストまたはユニキャストすることによりホストの遮断を行う。
本発明のさらに他の特徴によれば、前記ホストのネットワーク遮断のための政策がリストとして管理される。
本発明のさらに他の特徴によれば、前記ホストのネットワーク遮断のための政策は、IPアドレスまたはリンク層アドレスを含む。
本発明のさらに他の特徴によれば、前記ホストのネットワーク遮断のための政策は、政策の開始時間と満了時間をさらに含む。
本発明のさらに他の特徴によれば、前記ホストの遮断を行うステップは、前記遮断ホストに変調済みNAパケットを伝送して前記遮断ホストのネットワークインタフェースへのIP割当に失敗させることによりホストの遮断を行う。
本発明のさらに他の特徴によれば、前記ホストの遮断を行うステップは、前記遮断ホストが属するネットワーク内ホストに前記遮断ホストの変調済みNAパケットを伝送して前記遮断ホストに対する変調済みNAパケット情報をもって近隣キャッシュを更新することにより前記遮断ホストとの通信を切断する方法を用いてホストの遮断を行う。
本発明のさらに他の特徴によれば、前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが、ルーター要請(RS)パケットまたはルーター公告(RA)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定する。
本発明のさらに他の特徴によれば、前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣要請(NS)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定するステップと、判定の結果、発信元情報が遮断ホストである場合、重複アドレス検出(DAD)確認パケットであるかどうかを判定するステップと、発信元情報が遮断ホストではない場合、目的地情報を用いて遮断ホストを判定するステップと、を含む。
本発明のさらに他の特徴によれば、前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣公告(NA)パケットであれば、発信元情報が遮断ホストであるかどうかを判定するステップと、判定の結果、発信元情報が遮断ホストではなければ、目的地情報が遮断ホストであるかどうかを判定するステップと、を含む。
本発明のさらに他の特徴によれば、前記発信元情報は、ソースリンク層アドレス、ソースIPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含む。
本発明のさらに他の特徴によれば、前記目的地情報は、目的地リンク層アドレス、目的地IPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含む。
上記の構成によれば、IPv6環境においてネットワークの主資源を効率よく保護することができ、特に、未認可ホストのネットワーク接近を遮断して一段と高いセキュリティ環境を構築することができる。
以下、添付図面に基づき、本発明の実施の形態を詳述する。
本発明によれば、IPv6においてホストの探索及び遮断のために、近隣探索プロトコル(NDP:Neighbor Discovery Protocol)を利用する。
具体的に、ホストの探索方法には3通りの方法があるが、一つ目は、近隣要請(NS:Neighbor Solicitation)パケットを用いて探索IPのホスト情報を要請し、当該ホストが近隣公告(NA:Neighbor Advertisement)パケットで応答すれば、受信されたパケットからホスト情報を取得する方法である。
二つ目は、ルーター要請(RS:Router Solicitation)パケットを用いてルーター情報を要請し、RSパケットを受け取ったルーターがルーター公告(RA:Router Advertisement)パケットで応答すれば、受け取ったパケットからルーター情報を取得する方法である。
三つ目は、ネットワークにおいてNDPパケットを採取した後、種類に応じてホスト及びルーター情報を取得する方法である。
本発明は、IPv6ネットワーク環境におけるホストの遮断及び探索に関するものであり、IPと明示した場合、IPv4と混同を起こす恐れがある。このため、特にIPv4と明示していない項目につき、IPv6及びIPv6ネットワークを意味するものとする。
まず、本発明を説明するに先立って、IPv6における基盤技術について説明する。
1)ICMP
ICMPは、Internet Control Message Protocolの略字であり、ネットワーク状態に対するメッセージを送受可能にするものであり、IPと同じLayer3のネットワーク層において動作する。ICMPは、基本的に、IPv4において動作するプロトコルであり、その主な機能は、表1に示す通りである。
ICMPは、Internet Control Message Protocolの略字であり、ネットワーク状態に対するメッセージを送受可能にするものであり、IPと同じLayer3のネットワーク層において動作する。ICMPは、基本的に、IPv4において動作するプロトコルであり、その主な機能は、表1に示す通りである。
IPv6において用いられるICMPであり、基本的な機能はICMPと同じであり、IPv4において用いられていた一部のプロトコル(ARP、RARP、IGMP)がさらに表2のように含まれている。
NDPは、IPv6環境において隣接ホストと通信を行うために用いられるプロトコルであり、ICMPv6に含まれてIPv4環境でアドレス解決プロトコル(ARP:Address Resolution Protocol)が行う機能を代わりに行う。NDPの主な機能は、表3に示す通りである。
NDの主な機能を実現するために、表4のパケットを使用する。
IPv6においてIPを構成する方法には、手動設定と自動設定(stateless、stateful)があるが、いかなる方法でIPを構成しても、DAD過程を経てIPが既に使用中であるかどうかを確認することになっている。DADとは、使用しようとするIPが現在ネットワークにおいて使用中であるかどうかを確認する方法であり、使用しようとするIPが含まれているNSパケットをネットワークに伝送して応答が来ないことを期待することである。DAD確認のためのNSパケットを受け取ったネットワーク内のホストは、自分のIPと比較して同じであれば、NSパケットを送ったホストにNAパケットを送り、同じではなければ、隣キャッシュを更新する。なお、DADを行うホストは、NAパケットを受け取った場合、使用しようとするIPが既に使用中であると判断する。
DADを行う過程を簡単に説明すれば、まず、使用しようとするホストAが設定されたDupAddrDetectTransmits値だけRetransTimer時間間隔にてNSパケットを伝送した後、RetransTimer時間だけ待機する。RetransTimer時間が過ぎてもNAパケット応答がない場合、インタフェースに新たに構成したIPを割当し、通信を開始する。これに対し、他のホストBが当該IPを使用中であるとき、ホストAが同じIPを使用することを試みる場合、ホストBは、NAパケットをホストAに送って既に使用中のIPである旨を知らせる。このように、ホストAが当該IPに対するNAパケットを確認することによりIP割当に失敗することとなる。
以下、本発明に係るホストの探索と遮断方法について詳述する。
<ホストの探索>
NDPの近隣要請(NS)パケットと近隣公告(NA)パケット、ルーター要請(RS)パケットとルーター公告(RA)パケットを用いてネットワークに接続されたホストを探索することができる。また、ネットワークにおいて採取されるNDPパケット分析を通じてホスト及びルーターを探索することができる。
NDPの近隣要請(NS)パケットと近隣公告(NA)パケット、ルーター要請(RS)パケットとルーター公告(RA)パケットを用いてネットワークに接続されたホストを探索することができる。また、ネットワークにおいて採取されるNDPパケット分析を通じてホスト及びルーターを探索することができる。
ここで言及されるホスト情報とは、基本的に、リンク層アドレス情報とIPアドレス情報を意味し、状況に応じて、NAパケットのフィールド情報を選択的にさらに含んでいてもよい。
また、ルーター情報とは、基本的に、リンク層アドレス情報とIPアドレス情報を意味し、状況に応じて、RAパケットのフィールド情報を選択的にさらに含んでいてもよい。
図1は、本発明に係るNSパケットとNAパケットを用いたホスト探索方法を示すフローチャートである。
まず、探索しようとするIPをICMPv6目標アドレスに設定したNSパケットをネットワークに伝送して探索IPに対するホスト情報を要請する(ステップS11)。
パケット伝送後にホストの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機する(ステップS12)
次いで、所定時間待機後に探索しようとするIPのNAパケットが受信されたかどうかを判定し(ステップS13)、要請パケットに対するNAパケットが受信された場合に、当該パケットからホスト情報を取得する(ステップS14)。これに対し、ステップS13において受信されたNAパケットがなければ、処理を終了する。
次いで、所定時間待機後に探索しようとするIPのNAパケットが受信されたかどうかを判定し(ステップS13)、要請パケットに対するNAパケットが受信された場合に、当該パケットからホスト情報を取得する(ステップS14)。これに対し、ステップS13において受信されたNAパケットがなければ、処理を終了する。
図2は、本発明に係るRSパケットとRAパケットを用いたホスト探索方法を示すフローチャートである。
まず、RSパケットをネットワークに伝送してルーター情報を要請する(ステップS21)。
パケット伝送後にルーターの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機する(ステップS22)。
次いで、所定時間待機後にRAパケットが受信されたかどうかを判定し(ステップS23)、RAパケットが受信された場合に、当該パケットからルーター情報を取得する(ステップS24)。これに対し、ステップS23において受信されたRAパケットがなければ、処理を終了する。
図3は、本発明に係るネットワークにおいて採取されるNDP分析を通じたホスト及びルーター探索方法を示すフローチャートである。
まず、NDPパケットが採取されれば(ステップS31)、パケットがRS、NS、NAのうちのいずれか一種であるかどうかを判定する(ステップS33)。
判定の結果、RS、NS、NAのうちのいずれか一種であれば、採取されたパケットからホスト情報を取得し(ステップS32)、パケットがRS、NS、NAのうちのいずれか一種ではなければ、RAパケットであるかどうかを判定する(ステップS34)。
判定の結果、RAであれば、採取されたパケットからルーター情報を取得する(ステップS35)。
ステップS34において、RAパケットではなければ、処理を終了する。
<ホストの遮断>
本発明のホスト遮断は、重複アドレス検出(DAD:Duplicate Address Detection)動作を用いて行い、後述する遮断ホストの変調済み近隣公告(NA)パケットとは、遮断ホストのリンク層アドレスを当該ネットワークに存在しない仮想のリンク層アドレスまたは特定のリンク層アドレスを設定したNAパケットを意味する。
本発明のホスト遮断は、重複アドレス検出(DAD:Duplicate Address Detection)動作を用いて行い、後述する遮断ホストの変調済み近隣公告(NA)パケットとは、遮断ホストのリンク層アドレスを当該ネットワークに存在しない仮想のリンク層アドレスまたは特定のリンク層アドレスを設定したNAパケットを意味する。
具体的に、ネットワークにおいてホストがIPを使用するためのDAD確認パケットが採取されれば、当該パケットを分析した後、接近を遮断する必要がある場合、遮断ホストの変調済みNAパケットで応答する。NAパケットを受け取った遮断ホストは、DAD動作により当該IPが既に使用中であると判断し、ネットワークインタフェースにIP割当に失敗する。
加えて、既にDAD動作を終えてIPを割り当てた状態のホストを遮断する必要がある場合、当該ホストのNDPパケットが採取されれば、遮断ホストの変調済みNAパケットを全ノードマルチキャストIPに設定して伝送する。ネットワーク内のホストは、遮断ホストの変調済みNAパケットを受け取り、近隣キャッシュを更新して遮断ホストとの通信に失敗する。
本発明のホスト遮断方法において、ホストの遮断のための政策設定時に設定情報として遮断IPアドレスまたは遮断リンク層アドレスが設定され、両方とも設定されることもある。また、選択的に政策の開始時間と終了時間をさらに含んでいてもよい。
本発明によれば、NDPパケットを採取すれば、パケットの種別(RS、RA、NS、NA)を確認し、パケットの種別に応じて遮断政策に含まれるかどうかを判定する。判定の結果、遮断政策に含まれる場合、DAD確認パケットであるかどうかを確認し、DAD確認パケットであれば、遮断ホストに変調済みNAパケットで応答し、DAD確認パケットではなければ、全ノードマルチキャストIPに遮断ホストの変調済みNAパケットを伝送して遮断を行う。なお、政策に含まれない場合、当該パケットを無視して通信を許容する。
加えて、DAD確認パケットであると判定されれば、遮断ホストに変調済みNAパケットで応答する方法に加えて、全ノードマルチキャストIPに遮断ホストの変調済みNAパケットを伝送する方法を用いて遮断を行うこともできる。
以下、本発明に係るホスト遮断方法を詳述する。
図4は、本発明に係るホストの遮断方法を示すフローチャートである。
ここで、発信元情報は、ソースリンク層アドレスまたはソースIPアドレスとなり、目的地情報は、目的地リンク層アドレスまたは目的地IPアドレスである。また、遮断ホストを区別する方法は、IPアドレスとリンク層アドレス情報に基づく。さらに、発信元と目的地の情報を区別するとき、パケットの種別に応じて、ソースIPアドレスまたは目的地IPアドレスが有効ではない場合がある。この場合には、ICMP6ヘッダーの目標アドレスを発信元IPまたは目的地IPアドレス情報に置き換えて処理する。
図4を参照するに、NDPパケットが採取されれば(ステップS41)、採取されたパケットがルーター要請(RS)またはルーター公告(RA)であるかを判定する(ステップS42)。
判定の結果、RSまたはRAであれば、発信元情報が遮断ホストであるかどうかを判定する(ステップS43)。判定の結果、発信元情報が遮断ホストであれば、全ノードマルチキャストIPに遮断ホストの変調済みNAパケットを伝送し(ステップS51)、存在しなければ処理を終了する。
ステップS42において、RSパケットまたはRAパケットではなければ、近隣要請(NS)パケットであるかどうかを判定する(ステップS44)。判定の結果、NSパケットであれば、発信元情報が遮断ホストであるかどうかを判定する(ステップS45)。判定の結果、発信元情報が遮断ホストであれば、DAD確認パケットであるかどうかを判定し(ステップS47)、DAD確認パケットであれば、遮断ホストに変調済みNAパケットを伝送した後(ステップS52)に処理を終了する。ステップS47において、DAD確認パケットではないと判定されれば、ステップS51を行った後に処理を終了する。
ステップS45において、発信元情報が遮断ホストではなければ、目的地情報が遮断ホストであるかどうかを判定する(ステップS46)。
目的地情報が遮断ホストであると判定されれば、ステップS51を行った後に処理を終了する。ステップS46において、遮断ホストではないと判定されれば、処理を終了する。
一方、上記のステップS44において、NSパケットではなければ、近隣公告(NA)パケットであるかどうかを判定する(ステップS48)。判定の結果、NAパケットであれば、発信元情報が遮断ホストであるかどうかを判定し(ステップS49)、遮断ホストであると判定されれば、ステップS51を行った後に処理を終了する。これに対し、遮断ホストではないと判定されれば、目的地情報が遮断ホストであるかどうかを判定する(ステップS50)。目的地情報が遮断ホストであると判定されれば、同様に、ステップS51を行った後に処理を終了し、目的地情報が遮断ホストではないと判定されれば、処理を終了する。一方、ステップS48における判定の結果、NAパケットではなければ、処理を終了する。
以上では本発明の実施の形態を中心に説明したが、当業者のレベルにおいて様々な変更を加えることができるということは言うまでもない。よって、本発明の権利範囲は上記の実施の形態に限定されて解釈されてはならず、後述する特許請求の範囲によって解釈さるべきである。
Claims (13)
- ホストのネットワーク遮断のための政策が設定されれば、
ネットワーク内において近隣探索プロトコル(NDP)パケットを採取するステップと、
採取したパケットの種別に応じて遮断政策に含まれるかどうかを判定するステップと、
判定の結果、遮断政策に含まれる場合、前記ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップと、
を含むことを特徴とするIPv6ネットワーク内ホスト遮断方法。 - ホストのネットワーク遮断のための政策が設定されれば、ネットワーク内において遮断ホストの近隣探索プロトコル(NDP)パケットが採取されていない状況において、遮断ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップを含むことを特徴とするIPv6ネットワーク内ホスト遮断方法。
- 前記近隣公告(NA)パケットのリンク層アドレスを当該ネットワークに存在しない仮想のリンク層アドレスまたは特定のリンク層アドレスに設定した変調済みNAパケットをマルチキャストまたはユニキャストすることによりホストの遮断を行うことを特徴とする請求項1または請求項2に記載のIPv6ネットワーク内ホスト遮断方法。
- 前記ホストのネットワーク遮断のための政策がリストとして管理されることを特徴とする請求項1または請求項2に記載のIPv6ネットワーク内ホスト遮断方法。
- 前記ホストのネットワーク遮断のための政策は、IPアドレスまたはリンク層アドレスを含むことを特徴とする請求項1または請求項2に記載のIPv6ネットワーク内ホスト遮断方法。
- 前記ホストのネットワーク遮断のための政策は、政策の開始時間と満了時間をさらに含むことを特徴とする請求項1または請求項2に記載のIPv6ネットワーク内ホスト遮断方法。
- 前記ホストの遮断を行うステップは、
前記遮断ホストに変調済みNAパケットを伝送して前記遮断ホストのネットワークインタフェースへのIP割当に失敗させることによりホストの遮断を行うことを特徴とする請求項1または請求項2に記載のIPv6ネットワーク内ホスト遮断方法。 - 前記ホストの遮断を行うステップは、
前記遮断ホストが属するネットワーク内ホストに前記遮断ホストの変調済みNAパケットを伝送して前記遮断ホストに対する変調済みNAパケット情報をもって近隣キャッシュを更新することにより前記遮断ホストとの通信を切断する方法を用いてホストの遮断を行うことを特徴とする請求項1または請求項2に記載のIPv6ネットワーク内ホスト遮断方法。 - 前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが、ルーター要請(RS)パケットまたはルーター公告(RA)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定することを特徴とする請求項1に記載のIPv6ネットワーク内ホスト遮断方法。
- 前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣要請(NS)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定するステップと、
判定の結果、発信元情報が遮断ホストである場合、重複アドレス検出(DAD)確認パケットであるかどうかを判定するステップと、
発信元情報が遮断ホストではない場合、目的地情報を用いて遮断ホストを判定するステップと、
を含むことを特徴とする請求項1に記載のIPv6ネットワーク内ホスト遮断方法。 - 前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣公告(NA)パケットであれば、発信元情報が遮断ホストであるかどうかを判定するステップと、
判定の結果、発信元情報が遮断ホストではなければ、目的地情報が遮断ホストであるかどうかを判定するステップと、
を含むことを特徴とする請求項1に記載のIPv6ネットワーク内ホスト遮断方法。 - 前記発信元情報は、ソースリンク層アドレス、ソースIPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含むことを特徴とする請求項9から請求項11のいずれかに記載のIPv6ネットワーク内ホスト遮断方法。
- 前記目的地情報は、目的地リンク層アドレス、目的地IPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含むことを特徴とする請求項10または請求項11に記載のIPv6ネットワーク内ホスト遮断方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2009-0024074 | 2009-03-20 | ||
| KR20090024074A KR100908320B1 (ko) | 2009-03-20 | 2009-03-20 | IPv6 네트워크 내 호스트 차단 및 탐색방법 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011272336A Division JP2012085335A (ja) | 2009-03-20 | 2011-12-13 | IPv6ネットワーク内ホスト遮断及び探索方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013258739A true JP2013258739A (ja) | 2013-12-26 |
| JP5798598B2 JP5798598B2 (ja) | 2015-10-21 |
Family
ID=41337744
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011525998A Active JP4975190B2 (ja) | 2009-03-20 | 2010-01-15 | IPv6ネットワーク内のホストの探索方法 |
| JP2011272336A Pending JP2012085335A (ja) | 2009-03-20 | 2011-12-13 | IPv6ネットワーク内ホスト遮断及び探索方法 |
| JP2013157551A Active JP5798598B2 (ja) | 2009-03-20 | 2013-07-30 | IPv6ネットワーク内ホスト遮断及び探索方法 |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011525998A Active JP4975190B2 (ja) | 2009-03-20 | 2010-01-15 | IPv6ネットワーク内のホストの探索方法 |
| JP2011272336A Pending JP2012085335A (ja) | 2009-03-20 | 2011-12-13 | IPv6ネットワーク内ホスト遮断及び探索方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8189580B2 (ja) |
| JP (3) | JP4975190B2 (ja) |
| KR (1) | KR100908320B1 (ja) |
| CN (1) | CN102165741B (ja) |
| WO (1) | WO2010110530A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016170598A1 (ja) * | 2015-04-21 | 2016-10-27 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9198664B2 (en) | 2009-04-01 | 2015-12-01 | Sentreheart, Inc. | Tissue ligation devices and controls therefor |
| US9270638B2 (en) * | 2012-01-20 | 2016-02-23 | Cisco Technology, Inc. | Managing address validation states in switches snooping IPv6 |
| KR101352352B1 (ko) * | 2012-03-02 | 2014-01-16 | 건국대학교 산학협력단 | IPv6 네트워크에서 호스트 장치 차단 방법, 그리고 이를 구현한 네트워크 관리장치 |
| KR101296376B1 (ko) * | 2012-03-02 | 2013-08-14 | 건국대학교 산학협력단 | IPv6 네트워크에서 호스트 장치 차단 방법, 그리고 이를 구현한 네트워크 관리장치 |
| KR101235157B1 (ko) * | 2012-03-09 | 2013-02-25 | (주)넷맨 | IPv6를 지원하는 네트워크 내 호스트 동작 상태 확인 및 탐색 방법 |
| WO2013186969A1 (ja) * | 2012-06-11 | 2013-12-19 | 日本電気株式会社 | 通信情報検出装置及び通信情報検出方法 |
| KR101359369B1 (ko) | 2012-09-17 | 2014-02-07 | (주)넷맨 | ICMPv6 NIQ를 이용한 네트워크 내 호스트 동작 상태 확인 및 탐색 방법 |
| US9088608B2 (en) * | 2013-03-12 | 2015-07-21 | Cisco Technology, Inc. | Throttling and limiting the scope of neighbor solicitation (NS) traffic |
| KR101359372B1 (ko) | 2013-12-12 | 2014-02-07 | (주)넷맨 | DHCPv6 패킷을 이용한 네트워크 내 호스트 동작 상태 확인 및 탐색 방법 |
| KR101359371B1 (ko) | 2013-12-12 | 2014-02-07 | (주)넷맨 | 네트워크에서 발생되는 패킷을 이용한 네트워크 내 호스트 동작 상태 확인 및 탐색 방법 |
| KR101359373B1 (ko) | 2013-12-12 | 2014-02-07 | (주)넷맨 | 네트워크 내 호스트 동작 상태 확인 및 탐색 방법 |
| US10305800B2 (en) | 2015-04-15 | 2019-05-28 | Hughes Network Systems, Llc | Preferential selection of IP protocol version with domain name matching on proxy servers |
| EP3443730B1 (en) * | 2016-04-15 | 2021-09-01 | Convida Wireless, LLC | 6lowpan neighbor discovery for supporting mobility and multiple border routers |
| JP6676460B2 (ja) * | 2016-04-28 | 2020-04-08 | キヤノン株式会社 | 通信装置、制御方法、および、プログラム。 |
| JP7232121B2 (ja) * | 2019-05-10 | 2023-03-02 | アズビル株式会社 | 監視装置および監視方法 |
| CN114124898B (zh) * | 2021-10-22 | 2023-07-21 | 深圳中科德能科技有限公司 | 一种智能设备的自动搜索方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11252172A (ja) * | 1998-02-27 | 1999-09-17 | Hitachi Ltd | パケット生成方法およびその機能を有する情報処理装置並びにパケット生成プログラムを記録した記録媒体 |
| JP2004242142A (ja) * | 2003-02-07 | 2004-08-26 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ管理方法、該方法に使用する加入者収容ルータ装置及び加入者認証サーバ装置、及び該方法を実行させるためのコンピュータプログラム |
| JP2005260615A (ja) * | 2004-03-12 | 2005-09-22 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワーク監視用プログラム及びネットワーク監視用プログラムが格納された記録媒体 |
| JP2006287299A (ja) * | 2005-03-31 | 2006-10-19 | Nec Corp | ネットワーク管理方法および装置並びに管理プログラム |
| JP2007515909A (ja) * | 2003-12-22 | 2007-06-14 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | ルーター機能を自動的に移行させる方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3402406B2 (ja) * | 1994-09-22 | 2003-05-06 | シンクレイヤ株式会社 | ブロードバンド伝送路を用いた電話システム |
| US20010034831A1 (en) * | 2000-04-19 | 2001-10-25 | Brustoloni Jose C. | Method and apparatus for providing internet access to client computers over a lan |
| US20030026230A1 (en) * | 2001-08-02 | 2003-02-06 | Juan-Antonio Ibanez | Proxy duplicate address detection for dynamic address allocation |
| US20040240669A1 (en) * | 2002-02-19 | 2004-12-02 | James Kempf | Securing neighbor discovery using address based keys |
| KR100453050B1 (ko) | 2002-05-29 | 2004-10-15 | 삼성전자주식회사 | IPv4/IPv6 통신 방법 및 그 장치 |
| KR100484145B1 (ko) * | 2002-07-05 | 2005-04-18 | 삼성전자주식회사 | 중복 주소 노드에 가상 주소를 자동으로 할당하는 장치 및방법 |
| JP2004334684A (ja) * | 2003-05-09 | 2004-11-25 | Nec Corp | 障害連絡システム及び障害連絡装置 |
| KR100503470B1 (ko) * | 2003-08-13 | 2005-07-27 | 삼성전자주식회사 | 디스트리뷰션시스템에서 빠른 dad 수행을 위해 정보를관리하는 빠른 dad 관리자 및 이를 이용한 빠른 dad수행방법 |
| CN101248634A (zh) * | 2005-08-25 | 2008-08-20 | Nxp股份有限公司 | 用于计算通信会话中的超时参数的方法和电路 |
| JP2007104396A (ja) * | 2005-10-05 | 2007-04-19 | Nippon Telegraph & Telephone East Corp | 不正接続防止システムおよび方法、プログラム |
| JP2007124216A (ja) * | 2005-10-27 | 2007-05-17 | Ntt Docomo Inc | 通信ノード、アクセスルータ、通信システム及び通信方法 |
| KR100714131B1 (ko) | 2005-12-07 | 2007-05-02 | 한국전자통신연구원 | IPv6 로컬 네트워크에서의 이웃 발견 서비스 거부 공격방지 장치 및 방법 |
| JP2007180686A (ja) * | 2005-12-27 | 2007-07-12 | Matsushita Electric Ind Co Ltd | 中継通信装置、記憶媒体、集積回路および通信システム |
| KR100770354B1 (ko) | 2006-08-03 | 2007-10-26 | 경희대학교 산학협력단 | IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법 |
| US9602332B2 (en) | 2007-06-15 | 2017-03-21 | Qualcomm Incorporated | Method and apparatus for DNS update triggered IPv6 neighbor advertisement |
| JP5164450B2 (ja) * | 2007-06-28 | 2013-03-21 | キヤノン株式会社 | 通信装置及びその制御方法とプログラム |
| JP4931234B2 (ja) * | 2007-07-05 | 2012-05-16 | キヤノン株式会社 | 情報処理装置及びその制御方法、並びにプログラム |
| US8312541B2 (en) | 2007-07-17 | 2012-11-13 | Cisco Technology, Inc. | Detecting neighbor discovery denial of service attacks against a router |
| US7953097B2 (en) * | 2009-01-09 | 2011-05-31 | Alcatel Lucent | Neighbour discovery protocol mediation |
-
2009
- 2009-03-20 KR KR20090024074A patent/KR100908320B1/ko active IP Right Grant
-
2010
- 2010-01-15 CN CN201080002700.4A patent/CN102165741B/zh active Active
- 2010-01-15 WO PCT/KR2010/000263 patent/WO2010110530A1/ko active Application Filing
- 2010-01-15 JP JP2011525998A patent/JP4975190B2/ja active Active
- 2010-01-15 US US13/121,681 patent/US8189580B2/en active Active
-
2011
- 2011-12-13 JP JP2011272336A patent/JP2012085335A/ja active Pending
-
2012
- 2012-04-26 US US13/457,402 patent/US20120207167A1/en not_active Abandoned
-
2013
- 2013-07-30 JP JP2013157551A patent/JP5798598B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11252172A (ja) * | 1998-02-27 | 1999-09-17 | Hitachi Ltd | パケット生成方法およびその機能を有する情報処理装置並びにパケット生成プログラムを記録した記録媒体 |
| JP2004242142A (ja) * | 2003-02-07 | 2004-08-26 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ管理方法、該方法に使用する加入者収容ルータ装置及び加入者認証サーバ装置、及び該方法を実行させるためのコンピュータプログラム |
| JP2007515909A (ja) * | 2003-12-22 | 2007-06-14 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | ルーター機能を自動的に移行させる方法 |
| JP2005260615A (ja) * | 2004-03-12 | 2005-09-22 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワーク監視用プログラム及びネットワーク監視用プログラムが格納された記録媒体 |
| JP2006287299A (ja) * | 2005-03-31 | 2006-10-19 | Nec Corp | ネットワーク管理方法および装置並びに管理プログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016170598A1 (ja) * | 2015-04-21 | 2016-10-27 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
| JPWO2016170598A1 (ja) * | 2015-04-21 | 2017-08-17 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012085335A (ja) | 2012-04-26 |
| JP5798598B2 (ja) | 2015-10-21 |
| WO2010110530A1 (ko) | 2010-09-30 |
| US20110182293A1 (en) | 2011-07-28 |
| CN102165741B (zh) | 2014-10-15 |
| US20120207167A1 (en) | 2012-08-16 |
| JP2012502544A (ja) | 2012-01-26 |
| KR100908320B1 (ko) | 2009-07-17 |
| US8189580B2 (en) | 2012-05-29 |
| JP4975190B2 (ja) | 2012-07-11 |
| CN102165741A (zh) | 2011-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5798598B2 (ja) | IPv6ネットワーク内ホスト遮断及び探索方法 | |
| JP2006086800A (ja) | ソースアドレスを選択する通信装置 | |
| WO2010072096A1 (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
| WO2007009367A1 (fr) | Méthode de détection de doublons d’adresse dans un réseau d’accès deux couches ipv6 et système pour celle-ci | |
| EP2845365A1 (en) | Method and devices for protecting neighbor discovery cache against dos attacks | |
| US20120314624A1 (en) | Dynamically determining hostnames of network devices | |
| WO2009117963A1 (zh) | 地址配置方法、装置和系统 | |
| JP2004040804A (ja) | 重複アドレスノードに仮想アドレスを自動で割り当てる装置及び方法 | |
| US20130089092A1 (en) | Method for preventing address conflict, and access node | |
| JP5241957B2 (ja) | 加入者装置をIPv6対応のアグリゲーションネットワークに接続するための方法および装置 | |
| WO2011103820A2 (zh) | 一种网络地址转换方法及装置 | |
| CN107534591B (zh) | 一种基于服务器的本地地址分配协议的方法和装置 | |
| WO2010130181A1 (zh) | 防止IPv6地址被欺骗性攻击的装置与方法 | |
| JP5818272B2 (ja) | ホームゲートウェイ装置およびパケット転送方法 | |
| WO2011072549A1 (zh) | 非lisp站点与lisp站点通信的方法、装置及系统 | |
| Singh et al. | IPv6 subnet model: the relationship between links and subnet prefixes | |
| Cisco | IP Addressing Commands | |
| Cisco | IP Addressing Commands | |
| Cisco | IP Addressing Commands | |
| WO2015131567A1 (zh) | 一种IPv6地址管理方法、装置和终端 | |
| WO2011044729A1 (zh) | 通信网络中用于检测任意播组配置情况的方法和装置 | |
| Liang et al. | A SDN-Based Hierarchical Authentication Mechanism for IPv6 Address | |
| KR101425215B1 (ko) | IPv6 네트워크에서 호스트 장치 차단 방법, 그리고 이를 구현한 네트워크 관리장치 | |
| WO2012075770A1 (zh) | 身份位置分离网络的阻断方法和系统 | |
| Holland | RFC 8777: DNS Reverse IP Automatic Multicast Tunneling (AMT) Discovery |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140711 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140715 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141014 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150127 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150422 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150728 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150821 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5798598 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |