JP4236167B2 - Ipインタフェース情報の付与方法,その付与装置及びその付与プログラム並びにアクセス認証装置 - Google Patents
Ipインタフェース情報の付与方法,その付与装置及びその付与プログラム並びにアクセス認証装置 Download PDFInfo
- Publication number
- JP4236167B2 JP4236167B2 JP2003312017A JP2003312017A JP4236167B2 JP 4236167 B2 JP4236167 B2 JP 4236167B2 JP 2003312017 A JP2003312017 A JP 2003312017A JP 2003312017 A JP2003312017 A JP 2003312017A JP 4236167 B2 JP4236167 B2 JP 4236167B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- interface information
- encryption key
- unit
- granting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信ネットワークにおける装置及び通信データの正当性の確認方法,その確認のための装置及びプログラムに関する。
IPネットワークにおいて、端末が通信の開始を要求するに際して、IPアドレスやネットワークプレフィックス,DNS(Domain Name System)アドレス,SIP(Session Initiation Protocol)サーバアドレス,ホスト名のうち少なくとも一つを含むIPインタフェース情報が、端末に対して動的に付与されることがある。その際に利用される代表的なプロトコルに、Neighbor DiscoveryとDHCPv6(Dynamic Host Configuration Protocol for IPv6)がある。
Neighbor Discoveryでは、IPv6におけるIPアドレスの一部であるネットワークプレフィックスを、ルータからRouter Advertisementメッセージを用いて、当該ルータに所属する端末に対して付与する。通常、Router Advertisementメッセージは、マルチキャスト機能を利用して、ルータから各端末に対して、定期的に通知されているが、端末がルータに対してRouter Solicitationメッセージを送信して、Router Advertisementメッセージを要求することも可能である。この場合、端末は要求すべきルータのIPアドレスがわからないため、Router Solicitationメッセージをマルチキャスト機能を利用して送信する。その際、当該端末を特定するためのインタフェースIDは、端末のMAC(Media Access Control)アドレス等から生成される(非特許文献1,2を参照)。
DHCPv6では、次のようなサーバ−クライアント型の形態での手続を用いて、端末に対してIPインタフェース情報が付与される。端末は、マルチキャスト機能を利用して、DHCPSOLICITメッセージにより、IPネットワーク内で利用可能なDHCPサーバの探索を行う。DHCPサーバは、端末からのDHCPSOLICITメッセージを受信すると、DHCPOFFERメッセージを送信して、当該端末に対してDHCPサーバの存在を通知する。次に端末は、DHCPREQUESTメッセージを用いてIPインタフェース情報の送信を要求し、DHCPサーバは、DHCPACKメッセージを用いて、IPインタフェース情報を端末に対して付与する(非特許文献3を参照)。
T.Narten 外2名、"RFC2461:Neighbor Discove ry for IP Version6(IPv6)"、[online]、1998年12 月、IETF、[平成15年8月25日検索]、インターネット<ftp://ftp.rfc-ed itor.org/in-notes/rfc2461.txt> S.Thomson 外1名、"RFC2462:IPv6 Stateless Address Autoconfiguration"、[online]、1998年1 2月、IETF、[平成15年8月25日検索]、インターネット<ftp://ftp.rfc- editor.org/in-notes/rfc2462.txt> R.Eroms 外5名、"RFC3315:Dynamic Host Conf iguration Protocol for IPv6 (DHCPv6)"、 [online]、2003年6月、IETF、[平成15年8月25日検索]、インターネ ット<ftp://ftp.rfc-editor.org/in-notes/rfc3315.txt>
T.Narten 外2名、"RFC2461:Neighbor Discove ry for IP Version6(IPv6)"、[online]、1998年12 月、IETF、[平成15年8月25日検索]、インターネット<ftp://ftp.rfc-ed itor.org/in-notes/rfc2461.txt> S.Thomson 外1名、"RFC2462:IPv6 Stateless Address Autoconfiguration"、[online]、1998年1 2月、IETF、[平成15年8月25日検索]、インターネット<ftp://ftp.rfc- editor.org/in-notes/rfc2462.txt> R.Eroms 外5名、"RFC3315:Dynamic Host Conf iguration Protocol for IPv6 (DHCPv6)"、 [online]、2003年6月、IETF、[平成15年8月25日検索]、インターネ ット<ftp://ftp.rfc-editor.org/in-notes/rfc3315.txt>
NeighborDiscoveryとDHCPv6では、手順やメッセージの形式はそれぞれ異なるが、端末がIPインタフェース情報を付与するルータやDHCPサーバを探索するに際して、いずれもマルチキャスト機能を利用することが共通している。
しかしながらマルチキャスト機能を利用した場合、ある端末が送信したIPインタフェース情報を要求するメッセージを、同一のネットワーク内に存在する他の端末が受信することは、原理的に可能である。この場合、同一ネットワーク内に存在する悪意を持つ端末や誤ってルータやDHCPサーバとして設定されている端末が、IPインタフェース情報を要求した端末に対し、不正なIPインタフェース情報を送信してくる可能性がある。
これに対して、端末と正当なルータやDHCPサーバとの間で、事前に暗号鍵を共有しておくことにより、端末が認証を行ない、当該ルータやDHCPサーバの正当性及びそれらから送信されたメッセージの正当性を確認することは可能である。
しかし端末が利用するルータやDHCPサーバが動的に変化する場合には、端末とルータやDHCPサーバとの間で、暗号鍵を事前に共有しておく方法では、ルータやDHCPサーバが変わる都度に暗号鍵を、再度、共有しなくてはならず、運用が困難になるという問題があった。
そこで本発明では、暗号鍵の共有を容易にし、それを用いて端末がルータやDHCPサーバの正当性及びそれら送信されたメッセージの正当性を確認できるようにすることを目的とする。
前記課題を解決するため、本発明では、端末が通信を要求した際に認証サーバが配布する当該端末の暗号鍵を、同時にルータやDHCPサーバにも配布することにより、端末の利用するルータやDHCPサーバが動的に変化した場合でも、当該端末とルータやDHCPサーバとの間での暗号鍵を共有できることを特徴とする。
さらにルータやDHCPサーバから端末へのIPインタフェース情報を送信するに際して、共有した暗号鍵を用いてメッセージダイジェストの生成やチャレンジ&レスポンスを行うことにより、当該IPインタフェース情報の改ざんや送信元のなりすましを発見でき、ルータやDHCPサーバ及びIPインタフェース情報の正当性を確認できることを特徴とする。
以上説明したように、請求項1,2に記載の発明によれば、暗号鍵を端末及びルータ,DHCPサーバへ配布することにより、端末とルータ,DHCPサーバとの間での暗号鍵の共有を実現する。また、共有した暗号鍵を用いたメッセージダイジェストにより、ルータ,DHCPサーバ及びIPインタフェース情報の正当性を確認することができる。
請求項3,4に記載の発明によれば、請求項1に記載の発明で共有した暗号鍵を用いたチャレンジ&レスポンスにより、ルータ,DHCPサーバ及びIPインタフェース情報の正当性を確認することができる。
請求項5に記載の発明によれば、請求項2,4に記載の発明で利用される端末用プログラムを実現できる。
次に本発明の実施形態について、適宜図面を参照しながら詳細に説明する。図1は、本発明の実施形態例を示すネットワーク構成図である。当該実施形態例を示すネットワークは、端末11,ネットワーク接続装置12,パケット転送装置13,通信ネットワーク14,認証クライアント15,アクセス認証装置16,IPインタフェース情報付与装置17,暗号鍵管理データベース18,サブネット19とを備えて構成される。
図1において端末11は、通信開始の要求及びIPインタフェース情報の要求を行う。ネットワーク接続装置12は、端末11からの通信要求を受け付け、端末11と他の装置との通信を中継する機能を有する。パケット転送装置13は、端末11から送信されたIPパケットを、端末11が所望する端末または装置へ転送する、またはその逆の転送をする機能を有する。通信ネットワーク14は、パケット転送装置13,アクセス認証装置16,IPインタフェース情報付与装置17,暗号鍵管理データベース18から構成される。認証クライアント15は、ネットワーク接続装置12に組み込まれており、通信開始時に端末11より通知されたユーザIDやパスワード,電子証明書を含む認証情報と、MACアドレスを含む端末識別子を、アクセス認証装置16へ通知する機能を有する。アクセス認証装置16は、認証クライアント15より通知された端末11の認証情報と、事前に保持していた端末11の認証情報とを比較することにより、端末11がネットワーク接続装置12を利用可能か否かを判断する機能を有する。またアクセス認証装置16は、前記において利用可能と判断した場合に、端末11に対して暗号鍵を配布し、自身と端末11との間で暗号鍵を共有する機能、及びIPインタフェース情報付与装置17に対して、端末11の端末識別子と共に同じ暗号鍵を配布し、端末11とIPインタフェース情報付与装置17との間で暗号鍵を共有する機能を有する。IPインタフェース情報付与装置17は、IPインタフェース情報を、端末11の通知する機能を有する。暗号鍵管理データベース18は、アクセス認証装置16が管理する暗号鍵を記憶する。サブネット19は、端末11,ネットワーク接続装置12,認証クライアント15から構成される。
図16は、アクセス認証装置16の構成を示す。図16において受信部161は、認証クライアント15からの端末11の認証情報を受信し、処理部163が受信した認証情報に基づいて端末11の正当性の確認を行なった後に、送信部162が暗号鍵を端末11に対して送信する。さらに送信部はIPインタフェース情報付与装置17へも暗号鍵を送信する。
図17は、IPインタフェース情報付与装置17の構成を示す。図17において、受信部171はアクセス認証装置16から端末11の暗号鍵を受信する。また受信部171は、端末11からIPインタフェース情報の付与を要求する信号、さらに必要な場合には乱数を受信する。処理部173は、受信した暗号鍵を用いて、IPインタフェース情報または受信した乱数の暗号化を行う。送信部172は、IPインタフェース情報と共に、当該暗号化IPインタフェース情報または当該暗号化乱数を送信する。
図18は、端末11の構成を示す。図18において、受信部181はアクセス認証装置16から暗号鍵を受信する。また受信部181はIPインタフェース情報付与装置からIPインタフェース情報及び暗号化IPインタフェース情報または暗号化乱数を受信する。処理部183は、必要に応じて乱数の生成を行う。また処理部183は、受信した暗号鍵を用いた受信したIPインタフェース情報の暗号化及び当該暗号化IPインタフェース情報と受信した暗号化IPインタフェース情報との比較を行ない、受信したIPインタフェース情報およびIPインタフェース情報付与装置の正当性の確認を行う。また処理部183は、受信した暗号鍵を用いた生成した乱数の暗号化及び当該暗号化乱数と受信した暗号化乱数の比較を行ない、受信したIPインタフェース情報の正当性の確認を行う。
図2は、端末11による通信開始要求から、アクセス認証装置16により端末11が認証されて端末11に対して暗号鍵が配布されるのと同時に、IPインタフェース情報付与装置17に対しても、暗号鍵が配布されるまでのシーケンスを示している。
端末11はネットワーク接続装置12に対して通信要求を行ない(S201)、ネットワーク接続装置12内の認証クライアント15からの認証情報要求を受ける(S202)。その後、端末11は、認証クライアント15を介してアクセス認証装置16へ端末識別子を送信し(S203)、アクセス認証装置16により正当な端末であると判断された場合、暗号鍵の配布を受ける(S204)。この結果、端末11とアクセス認証装置16は暗号鍵を共有したこととなる。その後、アクセス認証装置16は、IPインタフェース情報付与装置17に対して、端末11の端末識別子と共に、暗号鍵を配布する(S205)。これにより端末11とIPインタフェース情報付与装置17は、暗号鍵を共有したこととなる。その後、アクセス認証装置16は、認証クライアント15を介して、端末11に対して認証が成功したことを通知する(S206)。ここではアクセス認証装置16は、端末11の暗号鍵をIPインタフェース情報付与装置17に対して配布した後に、端末11に対して認証が成功したことを通知したが、アクセス認証装置16が、端末11に対して認証が成功したことを通知した後に、IPインタフェース情報付与装置17に対して、暗号鍵を配布してもよい。また前記説明では、暗号鍵はアクセス認証装置16から端末11に対して配布されるものとしたが、先に共有する情報を元にして、それぞれが同一の暗号鍵を生成することにより、暗号鍵を共有する方法としてもよい。以下、各方法の説明において、暗号鍵の共有は同様の方法で実現可能である。
図3では、まず端末11による通信開始要求から、アクセス認証装置16により端末11が認証され、端末11に対して暗号鍵が配布された後に、端末11からのIPインタフェース情報付与装置17の探索が行なわれたのを契機として、アクセス認証装置16からIPインタフェース情報付与装置17に対して、暗号鍵が配布されるまでのシーケンスを示している。
端末11はネットワーク接続装置12に対して通信要求を行ない(S301)、ネットワーク接続装置12内の認証クライアント15からの認証情報要求を受ける(S302)。その後、端末11は、認証クライアント15を介してアクセス認証装置16へ端末識別子を送信し(S303)、アクセス認証装置16により正当な端末であると判断された場合、暗号鍵の配布を受ける(S304)。この結果、端末11とアクセス認証装置16は暗号鍵を共有したこととなる。その後、アクセス認証装置16は、認証クライアント15を介して、端末11に対して認証が成功したことを通知する(S305)。端末11からのIPインタフェース情報付与装置17の探索が行なわれたのを契機として(S306)、IPインタフェース情報付与装置17からアクセス認証装置16に対して暗号鍵が要求され(S307)、アクセス認証装置16は、IPインタフェース情報付与装置17に対して、端末11の端末識別子と共に暗号鍵を配布する(S308)。これにより端末11とIPインタフェース情報付与装置17は、暗号鍵を共有したこととなる。
図4は、アクセス認証装置16からIPインタフェース情報付与装置17に対して暗号鍵が配布された後であり、端末11によるIPインタフェース情報付与の要求を行うメッセージの送信から、IPインタフェース情報付与装置17が、IPインタフェース情報を送信するまでの、メッセージダイジェストによる認証を用いた場合のシーケンスを示している。
端末11は、IPネットワークにおけるマルチキャスト機能を用いて、IPインタフェース情報付与装置17に対して、IPインタフェース情報の付与を要求するメッセージを、自分の端末識別子を付加して送信する(S401)。これを受信したIPインタフェース情報付与装置17は、端末識別子から端末11の暗号鍵を選択した後(S402)、端末11に付与するIPインタフェース情報を作成し(S403)、当該暗号鍵を用いてIPインタフェース情報のメッセージダイジェスト(MDと呼ぶ)を作成する(S404)。その後、IPインタフェース情報とMDをIPインタフェース情報回答メッセージとして、IPv6のセキュリティプロトコルであるIPsecの認証ヘッダ(AHヘッダと呼ぶ)を利用して、端末11に対して送信する(S405)。端末11では、自分の暗号鍵と送られてきたIPインタフェース情報からMDを作成し(S406)、これと送られてきたMDが一致するか否かを比較する(S407)。一致した場合、IPインタフェース情報付与装置17の正当性とIPインタフェース情報の改ざんがないことを確認できる。その後、端末11は、得たIPインタフェース情報を今後の通信に利用する。ここで(S402)と(S403)は、順序が逆になっても差し支えない。
前記において(S401)を実施する際に、IPインタフェース情報付与装置17は、端末11が送信したIPインタフェース情報付与要求メッセージが改ざんされる、または他の端末がなりすますことを防止するために、共有する暗号鍵を用いて、(S404)から(S407)までで行なったものと同様の手順で、端末11の認証を行うことも可能である。その際、MDの作成の元となるデータには、任意のデータを利用し、この任意のデータと作成したMDをIPインタフェース情報付与装置17に送付する。
図5は、アクセス認証装置16からIPインタフェース情報付与装置17に対して暗号鍵が配布された後であり、端末11によるIPインタフェース情報付与の要求を行うメッセージの送信から、IPインタフェース情報付与装置17が、IPインタフェース情報を送信するまでの、チャレンジ&レスポンスによる認証を用いた場合のシーケンスを示している。
端末11は、チャレンジデータとなる乱数を生成した上で(S501)、IPネットワークにおけるマルチキャスト機能を用いて、IPインタフェース情報付与装置17に対して、IPインタフェース情報の付与を要求するメッセージを、自分の端末識別子とチャレンジデータを付加して送信する(S502)。これを受信したIPインタフェース情報付与装置17は、端末識別子から端末11の暗号鍵を選択し(S503)、選択した暗号鍵でチャレンジデータを暗号化して、レスポンスデータを生成する(S504)。その後、IPインタフェース情報付与装置17は、端末11に対して付与するIPインタフェース情報を作成し(S505)、レスポンスデータと共に、IPインタフェース情報回答メッセージとして、端末11に対して送信する(S506)。端末11では、自分の暗号鍵でチャレンジデータを暗号化し(S507)、その結果とIPインタフェース情報付与装置17から送られたレスポンスデータが一致するか否かを比較する(S508)。一致した場合、端末11は、IPインタフェース情報付与装置17の正当性を確認する。その後、端末11は、得たIPインタフェース情報を今後の通信に利用する。ここで(S503),(S504)と(S505)は、順序が逆になっても差し支えない。
(実施形態例1)
次に、本発明の具体的な実施形態例について説明する。(実施形態例1)は、IPインタフェース情報を取得するためのプロトコルとしてNeighbor Discoveryを用い、端末とネットワーク接続装置である無線LANアクセスポイントが、IEEE802.1xによる認証機能を備えた無線LANで接続され、アクセス認証装置にはRADIUSサーバ、パケット転送装置にはルータが使用されたネットワーク構成において本発明を実施した場合を、図6〜10を用いて説明している。
次に、本発明の具体的な実施形態例について説明する。(実施形態例1)は、IPインタフェース情報を取得するためのプロトコルとしてNeighbor Discoveryを用い、端末とネットワーク接続装置である無線LANアクセスポイントが、IEEE802.1xによる認証機能を備えた無線LANで接続され、アクセス認証装置にはRADIUSサーバ、パケット転送装置にはルータが使用されたネットワーク構成において本発明を実施した場合を、図6〜10を用いて説明している。
図6は、本発明の実施例を示すネットワーク構成図である。当該実施例を示すネットワークは、端末61,無線LANアクセスポイント62,ルータ63,RADIUSサーバ64,通信ネットワーク65,サブネットワーク66とを備えて構成される。
図6において端末61は、通信の開始に際して、IPインタフェース情報を要求する。無線LANアクセスポイント62は、ネットワーク接続装置に相当する。無線LANアクセスポイント62には、認証クライアントに相当するRADIUSクライアント67が組み込まれている。ルータ63は、パケット転送装置に相当する。RADIUSサーバ64は、アクセス認証装置に相当する。通信ネットワーク65、RADIUSサーバ64とルータ63により構成される。サブネットワーク66は、端末61と無線LANアクセスポイント62により構成される。
図7は、端末61による通信開始要求から、RADIUSサーバ64により端末61が認証され、端末61に対して暗号鍵が配布されるのと同時に、ルータ63に対しても、暗号鍵が配布されるまでのシーケンスを示している。またRADIUSサーバ64による端末61の認証と暗号鍵の配布は、LANの認証プロトコルであるIEEE802.1xを用いて行なわれる。
端末61は、無線LANアクセスポイント62に対して通信要求を行ない(S701)、無線LANアクセスポイント62内のRADIUSクライアント67からの認証情報要求を受ける(S702)。その後、端末61から、RADIUSクライアント67を介して、RADIUSサーバ64に対して、ユーザIDやパスワード,電子証明書,MACアドレスが通知され(S703)、端末61の正当性が確認される(S704)。RADIUSサーバ64が、端末61は正当であると判断した場合、RADIUSサーバ64は、生成した暗号鍵をRADIUSクライアント67と端末61へ配布する(S705)。この結果、端末61とRADIUSサーバ64は、暗号鍵を共有したこととなる。RADIUSクライアント67は、暗号鍵を端末61のMACアドレスと共に無線LANアクセスポイント62に記憶させ(S706)、当該暗号鍵は、端末61と無線LANアクセスポイント62との間の無線LAN区間の通信データの暗号化に利用される。その後、RADIUSサーバ64は、RADIUSクライアント67を介して、端末61に対して認証が成功したことを通知する(S707)。次にRADIUSサーバ64は、ルータ63に対して、端末61のMACアドレスと共に、暗号鍵を配布する(S708)。これにより端末61とルータ63は、暗号鍵を共有したこととなる。
図8では、まず端末61による通信開始要求から、RADIUSサーバ64により端末61が認証され、端末61に対して暗号鍵が配布された後、端末61からIPインタフェース情報が要求された際に、RADIUSサーバ64からルータ63に対して、暗号鍵が配布されるシーケンスを示している。
端末61の通信要求から認証成功までが、図7に示す(S701)から(S707)と同様に行なわれた後、端末61からRouterSolicitiationメッセージによりIPインタフェース情報が要求され(S801)、それを契機としてルータ63からRADIUSサーバ64に対して暗号鍵が要求され(S802)、その後、RADIUSサーバ64からルータ63に対して暗号鍵が配布される(S803)。これにより端末61とルータ63は、暗号鍵を共有したこととなる。
図9は、RADIUSサーバ64からルータ63に対して暗号鍵が配布された後であり、端末61によるIPインタフェース情報付与要求メッセージの送信から、端末61がIPインタフェース情報の正当性を検証するまでの、IPsecによる認証技術を用いた場合のシーケンスを示している。
端末61はRouterSolicitiationメッセージを送信することにより、ルータ63に対して、RouterAdvertisementメッセージを利用したIPインタフェース情報の付与を要求する(S901)。RouterSolicitiationメッセージを受信したルータ63は、端末61のMACアドレスを元にして、端末61の暗号鍵を選択する(S902)。ルータ63は、IPインタフェース情報を作成した後(S903)、選択した暗号鍵を用いてメッセージダイジェスト生成の一方法であるMD5を利用してIPインタフェース情報のMDを作成し(S904)、それをIPsecのAHヘッダに付加して、IPインタフェース情報と共に、端末61に対して、RouterAdvertisemantメッセージとして送信する(S905)。端末61は、受信したRouterAdvertisemantメッセージからIPインタフェース情報を取り出し、自分の暗号鍵を用いてMD5(Message Digest 5)によりMDを作成する(S906)。端末61は、作成したMDとルータ63より送られたMDが一致するか否かを比較し(S907)、一致した場合、ルータ63は正当なルータであり、IPインタフェース情報の改ざんはないと判断する。その後、端末61は付与されたIPインタフェース情報を用いて通信を行う。
図10は、RADIUSサーバ64からルータ63に対して暗号鍵が配布された後であり、端末61によるIPインタフェース情報付与要求メッセージの送信から、端末61がIPインタフェース情報の正当性を検証するまでの、チャレンジ&レスポンスによる認証技術を用いた場合のシーケンスを示している。
端末61は、チャレンジデータとなる乱数を生成した上で(S1001)、IPネットワークにおけるマルチキャスト機能を用いて、ルータ63に対して、IPインタフェース情報の付与を要求するRouterSolicitationメッセージを、自分のMACアドレスとチャレンジデータを付加して送信する(S1002)。その際、チャレンジデータは、RouterSolicitationメッセージのOptionフィールドに収納する。これを受信したルータ63は、MACアドレスから端末61の暗号鍵を選択し(S1003)、当該暗号鍵でチャレンジデータを暗号化することにより、レスポンスデータを生成する(S1004)。その後、ルータ63は、端末61に対して付与するIPインタフェース情報を作成し(S1005)、レスポンスデータと共に、RouterAdvertisementメッセージとして、端末61に対して送信する(S1006)。端末61は、自分の暗号鍵を用いてチャレンジデータを暗号化し(S1007)、その結果とルータ63から送られたレスポンスデータが一致するか否かを比較する(S1008)。一致した場合、ルータ63は正当であると判断する。その後、端末61は、得たIPインタフェース情報を今後の通信に利用する。
(実施形態例2)
(実施形態例2)は、IPインタフェース情報を取得するためのプロトコルとしてDHCPv6を用い、実施例1と同じネットワーク構成において(ただしルータはDHCPサーバとなる)本発明を実施した場合を、図11〜15を用いて説明している。
(実施形態例2)は、IPインタフェース情報を取得するためのプロトコルとしてDHCPv6を用い、実施例1と同じネットワーク構成において(ただしルータはDHCPサーバとなる)本発明を実施した場合を、図11〜15を用いて説明している。
図11は、本発明の実施例を示すネットワーク構成図である。当該実施例を示すネットワークは、端末111,無線LANアクセスポイント112,ルータ113,RADIUSサーバ114,通信ネットワーク115,サブネットワーク116とを備えて構成される。
端末111は、通信の開始に際して、IPインタフェース情報を要求する。無線LANアクセスポイント112は、ネットワーク接続装置に相当する。無線LANアクセスポイント112には、認証クライアントに相当するRADIUSクライアント117が組み込まれている。ルータ113は、パケット転送装置に相当し、DHCPサーバが組み込まれている。RADIUSサーバ114は、アクセス認証装置に相当する。通信ネットワーク115、RADIUSサーバ114とルータ113により構成される。サブネットワーク116は、端末111と無線LANアクセスポイント112により構成される。
図12及び図13は、図7及び図8と、ルータ113がDHCPサーバ機能を有することを除き、同一のシーケンスである。
図14は、RADIUSサーバ114からルータ113に対して暗号鍵が配布された後であり、端末111によるIPインタフェース情報付与要求メッセージの送信から、端末111がIPインタフェース情報の正当性を検証するまでの、IPsecによる認証技術を用いた場合のシーケンスを示している。
端末111はDHCPSOLICITメッセージを送信することにより、ルータ113に対して、IPインタフェース情報の付与を要求する(S1401)。DHCPSOLICITメッセージを受信したルータ113は、端末111のMACアドレスを元にして、端末111の暗号鍵を選択する(S1402)。ルータ113は、IPインタフェース情報を作成した後(S1403)、選択した暗号鍵を用いたMD5によりIPインタフェース情報のMDを作成し(S1404)、それをIPsecのAHヘッダに付加して、IPインタフェース情報と共に、端末111に対して、DHCPOFFERメッセージとして送信する(S1405)。端末111は、受信したDHCPOFFERメッセージからIPインタフェース情報を取り出し、自分の暗号鍵を用いたMD5によりMDを作成する(S1406)。端末111は、作成したMDとルータ113より送られたMDが一致するか否かを比較し(S1407)、一致した場合、ルータ113は正当なルータであり、IPインタフェース情報の改ざんはないと判断する。その後、端末111は付与されたIPインタフェース情報を用いて通信を行う。
図15は、RADIUSサーバ114からルータ113に対して暗号鍵が配布された後であり、端末111によるIPインタフェース情報付与要求メッセージの送信から、端末111がIPインタフェース情報の正当性を検証するまでの、チャレンジ&レスポンスによる認証技術を用いた場合のシーケンスを示している。
端末111は、チャレンジデータとなる乱数を生成した上で(S1501)、IPネットワークにおけるマルチキャスト機能を用いて、ルータ113に対して、IPインタフェース情報の付与を要求するDHCPSOLICITメッセージを、自分のMACアドレスとチャレンジデータを付加して送信する(S1502)。その際、チャレンジデータは、DHCPSOLICITメッセージのOptionフィールドに収納する。これを受信したルータ113は、MACアドレスから端末111の暗号鍵を選択し(S1503)、当該暗号鍵でチャレンジデータを暗号化することにより、レスポンスデータを生成する(S1504)。その後、ルータ113は、端末111に対して付与するIPインタフェース情報を作成し(S1505)、レスポンスデータと共に、DHCPOFFERメッセージとして、端末111に対して送信する(S1506)。端末111は、自分の暗号鍵を用いてチャレンジデータを暗号化し(S1507)、その結果とルータ113から送られたレスポンスデータが一致するか否かを比較する(S1508)。一致した場合、ルータ113は正当であると判断する。その後、端末111は、得たIPインタフェース情報を今後の通信に利用する。
11 端末
12 ネットワーク接続装置
13 パケット転送装置
14 通信ネットワーク
15 認証クライアント
16 アクセス認証装置
17 IPインタフェース情報付与装置
18 暗号鍵管理データベース
19 サブネット
61 端末
62 無線LANアクセスポイント
63 ルータ
64 RADIUSサーバ
65 通信ネットワーク
66 サブネット
67 RADIUSクライアント
111 端末
112 無線LANアクセスポイント
113 ルータ(DHCPサーバ)
114 RADIUSサーバ
115 通信ネットワーク
116 サブネット
117 RADIUSクライアント
161 認証装置受信部
162 認証装置送信部
163 認証装置処理部
164 認証装置記憶部
171 付与装置受信部
172 付与装置送信部
173 付与装置処理部
174 付与装置記憶部
181 端末受信部
182 端末送信部
183 端末処理部
184 端末記憶部
12 ネットワーク接続装置
13 パケット転送装置
14 通信ネットワーク
15 認証クライアント
16 アクセス認証装置
17 IPインタフェース情報付与装置
18 暗号鍵管理データベース
19 サブネット
61 端末
62 無線LANアクセスポイント
63 ルータ
64 RADIUSサーバ
65 通信ネットワーク
66 サブネット
67 RADIUSクライアント
111 端末
112 無線LANアクセスポイント
113 ルータ(DHCPサーバ)
114 RADIUSサーバ
115 通信ネットワーク
116 サブネット
117 RADIUSクライアント
161 認証装置受信部
162 認証装置送信部
163 認証装置処理部
164 認証装置記憶部
171 付与装置受信部
172 付与装置送信部
173 付与装置処理部
174 付与装置記憶部
181 端末受信部
182 端末送信部
183 端末処理部
184 端末記憶部
Claims (5)
- 通信サービスを利用する端末と、
前記端末の認証を行なうアクセス認証装置と、
前記端末に対してIPインタフェース情報を付与するIPインタフェース情報付与装置と
から構成される通信ネットワークにおいて、
前記アクセス認証装置は、認証装置受信部と認証装置送信部と認証装置処理部とを備え、
このアクセス認証装置は、
前記認証装置受信部が前記端末から通信要求信号を受信するステップと、
前記認証装置処理部が暗号鍵の生成又は取得を行うステップと、
前記認証装置送信部が前記暗号鍵を前記端末及び前記IPインタフェース情報付与装置へ送信するステップとを行い、
前記IPインタフェース情報付与装置は、付与装置受信部と付与装置送信部と付与装置処理部と付与装置記憶部とを備え、
このIPインタフェース情報付与装置は、
前記付与装置受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記付与装置記憶部が受信した前記暗号鍵を記憶するステップと、
前記付与装置受信部が前記端末から前記IPインタフェース情報の付与を要求する信号を受信するステップと、
前記付与装置処理部が前記暗号鍵を用いて前記IPインタフェース情報のメッセージダイジェストを生成するステップと、
前記付与装置送信部が前記IPインタフェース情報及び前記メッセージダイジェストを前記端末へ送信するステップとを行うこと、
を特徴とするIPインタフェース情報の付与方法。 - 前記端末は、端末受信部と端末記憶部と端末処理部とを備え、
この端末は、
前記端末受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記端末記憶部が受信した前記暗号鍵を記憶するステップと、
前記端末受信部が前記IPインタフェース情報付与装置から前記IPインタフェース情報及び前記メッセージダイジェストを受信するステップと、
前記端末処理部が前記暗号鍵を用いて前記IPインタフェース情報のメッセージダイジェストを生成するステップと、
前記端末処理部が前記生成したメッセージダイジェスト及び前記受信したメッセージダイジェストを比較して、前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を判断するステップとを行うこと、
を特徴とする請求項1に記載のIPインタフェース情報の付与方法。 - 前記IPインタフェース情報付与装置は、付与装置受信部と付与装置送信部と付与装置処理部と付与装置記憶部とを備え、
このIPインタフェース情報付与装置は、
前記付与装置受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記付与装置記憶部が受信した前記暗号鍵を記憶するステップと、
前記付与装置受信部が前記端末からIPインタフェース情報の付与を要求する信号をチャレンジデータと共に受信するステップと、
前記付与装置処理部が前記暗号鍵を用いてチャレンジデータのレスポンスデータを生成するステップと、
前記付与装置送信部が前記IPインタフェース情報及び前記レスポンスデータを前記端末へ送信するステップとを行うこと、
を特徴とする請求項1に記載のIPインタフェース情報の付与方法。 - 前記端末は、端末受信部と端末記憶部と端末処理部とを備え、
この端末は、
前記端末受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記端末記憶部が受信した前記暗号鍵を記憶するステップと、
前記端末受信部が前記IPインタフェース情報付与装置から前記IPインタフェース情報及び前記レスポンスデータを受信するステップと、
前記端末処理部が前記暗号鍵を用いて前記端末記憶部に記憶しておいたチャレンジデータからレスポンスデータを生成するステップと、
前記端末処理部が前記生成したレスポンスデータ及び前記受信したレスポンスデータを比較して、前記IPインタフェース情報付与装置の正当性を判断するステップとを行うこと、
を特徴とする請求項3に記載のIPインタフェース情報の付与方法。 - 通信サービスを利用する端末と、
前記端末の認証を行うアクセス認証装置と、
前記端末に対してIPインタフェース情報を付与するIPインタフェース情報付与装置と
から構成される通信ネットワークにおいて、
前記IPインタフェース情報付与装置のIPアドレスが動的に変化する場合でも、
前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を保証するために用いられる端末用のプログラムであって、
端末受信部と端末記憶部と端末処理部とを備える前記端末の前記端末処理部に、
前記端末受信部が前記アクセス認証装置から受信した暗号鍵を前記端末記憶部に記憶する機能、
前記端末受信部が前記IPインタフェース情報付与装置から受信した前記IPインタフェース情報を、前記暗号鍵を用いて暗号化する機能、
前記暗号化IPインタフェース情報と前記IPインタフェース情報付与装置から受信した暗号化IPインタフェース情報との比較を行ない、前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を判断する機能、
を実行させることを特徴とする端末用プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003312017A JP4236167B2 (ja) | 2003-09-03 | 2003-09-03 | Ipインタフェース情報の付与方法,その付与装置及びその付与プログラム並びにアクセス認証装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003312017A JP4236167B2 (ja) | 2003-09-03 | 2003-09-03 | Ipインタフェース情報の付与方法,その付与装置及びその付与プログラム並びにアクセス認証装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005080242A JP2005080242A (ja) | 2005-03-24 |
| JP4236167B2 true JP4236167B2 (ja) | 2009-03-11 |
Family
ID=34413393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003312017A Expired - Fee Related JP4236167B2 (ja) | 2003-09-03 | 2003-09-03 | Ipインタフェース情報の付与方法,その付与装置及びその付与プログラム並びにアクセス認証装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4236167B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4796353B2 (ja) * | 2005-08-19 | 2011-10-19 | 株式会社リコー | 通信機器、通信方法、通信プログラム |
| JP5029994B2 (ja) * | 2008-03-24 | 2012-09-19 | Necアクセステクニカ株式会社 | 通信システム、通信装置、アドレス割当装置、通信制御方法、及び通信制御プログラム |
-
2003
- 2003-09-03 JP JP2003312017A patent/JP4236167B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005080242A (ja) | 2005-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4033868B2 (ja) | IPv6ネットワークで認証を処理する方法及びその装置 | |
| EP1355447B1 (en) | Public key certification providing apparatus | |
| EP1361694B1 (en) | Public key certification issuing apparatus | |
| EP1880527B1 (en) | Method for distributing certificates in a communication system | |
| US8266427B2 (en) | Secure mobile IPv6 registration | |
| JP2009503916A (ja) | マルチ鍵暗号化生成アドレス | |
| JP2008541566A (ja) | マルチ鍵暗号化生成アドレスを用いたセキュアなアドレスプロキシ | |
| EP2259542B1 (en) | Method, apparatus and system for processing dynamic host configuration protocol message | |
| WO2003007102A2 (en) | Modular authentication and authorization scheme for internet protocol | |
| JP2004274521A (ja) | サーバ装置、端末制御装置及び端末認証方法 | |
| WO2007092688A2 (en) | Method and apparatus for address creation and validation | |
| WO2009035829A1 (en) | Improved dynamic host configuration protocol | |
| Cavalli et al. | Secure hosts auto-configuration in mobile ad hoc networks | |
| JP6056970B2 (ja) | 情報処理装置、端末機、情報処理システム及び情報処理方法 | |
| JP2004007512A (ja) | 公開鍵証明書提供装置 | |
| JP2006074451A (ja) | IPv6/IPv4トンネリング方法 | |
| JP4236167B2 (ja) | Ipインタフェース情報の付与方法,その付与装置及びその付与プログラム並びにアクセス認証装置 | |
| CN102577299B (zh) | 简化的接入网认证信息承载协议 | |
| JP2007166552A (ja) | 通信装置及び暗号通信方法 | |
| CN115694856A (zh) | 基于dhcp协议的验证方法及相关设备 | |
| JP4208868B2 (ja) | 公開鍵証明書発行方法 | |
| JP2006115033A (ja) | ユーザー情報の自動設定システムおよび自動設定方法 | |
| Demerjian et al. | Certificate-Based Access Control and Authentication for DHCP. | |
| Gilaberte et al. | IP addresses configuration in spontaneous networks. | |
| Perkins et al. | Internet Engineering Task Force J. Bound INTERNET DRAFT Compaq DHC Working Group M. Carney Obsoletes: draft-ietf-dhc-dhcpv6-18. txt Sun Microsystems, Inc |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050720 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080916 |
|
| RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20081002 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20081003 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081113 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081209 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20081212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081212 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111226 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111226 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121226 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121226 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131226 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |