JP4536741B2 - DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法及びそのシステム - Google Patents
DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法及びそのシステム Download PDFInfo
- Publication number
- JP4536741B2 JP4536741B2 JP2007035649A JP2007035649A JP4536741B2 JP 4536741 B2 JP4536741 B2 JP 4536741B2 JP 2007035649 A JP2007035649 A JP 2007035649A JP 2007035649 A JP2007035649 A JP 2007035649A JP 4536741 B2 JP4536741 B2 JP 4536741B2
- Authority
- JP
- Japan
- Prior art keywords
- dstm
- node
- ipv6
- ipv4
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 66
- 230000008569 process Effects 0.000 claims description 32
- 230000002265 prevention Effects 0.000 claims description 22
- 239000003550 marker Substances 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 10
- 230000009977 dual effect Effects 0.000 claims description 9
- 230000007704 transition Effects 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 8
- 230000007246 mechanism Effects 0.000 claims description 6
- 230000001360 synchronised effect Effects 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 description 12
- 230000006854 communication Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000003252 repetitive effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 241000065695 Teredo Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケットの偽造を防止するための方法及びシステムに関する。
IPv6(Internet Protocol version 6)−IPv4(IP version 4)ネットワークは、IPv6ネットワークとIPv4ネットワークとが共存するネットワークを意味する。IPv6ネットワークは、以前に使われたIPv4のアドレス不足問題などを解決するために提案されたものである。この新たに提案されたIPv6ネットワークの導入以後は、既存のIPv4ネットワークと新たなIPv6ネットワークとが共存している。IPv4ネットワークとIPv6ネットワークの共存は、既存のIPv4がIPv6ネットワークに完全に代替されるまで続くものと考えられる。このようなIPv4ネットワークとIPv6ネットワークの共存により、IPv4ネットワークとIPv6ネットワークとの間のデータ通信のための技術が必要とされる。
IPv6ネットワークとIPv4ネットワークとの間の通信のための技術は、IPv6/IPv4デュアルスタック、トンネリング技術、変換技術などの様々な分野において研究がなされている。IPv6/IPv4トンネリング技術には、6to4、DSTM(Dual Stack Transition Mechanism)、ISATAP(Intra Site Automatic Tunnel Addressing Protocol)、TEREDO、トンネルブローカー(Tunnel Broker)などの方法がある。また、変換技術には、NAT−PT(Network Address Transition Protocol Transition)、SIIT(Stateless IPv6-IPv4 Translator)、BIA(Bump-in-the-API)などの方法がある。このようなIPv6/IPv4の変換ないし転換、転移(transition)のための技術は、IETF(Internet Engineering Task Force)v6opsWG(Work Group)で研究されている。
これらのうち、DSTM技術は、既存のIPv4システムのうちアップグレードが可能なノードを、IPv4とIPv6を共に支援するデュアルスタック構造で製作し、当該ノードにIPv6アドレスを割り当ててIPv6ノードとして動作できるようにし、かつ、当該ノードが必要とする時毎にIPv4アドレスを動的に割り当てて(他のいわゆる純粋な)IPv4ノードと通信できるようにする技術である。このDSTM技術は、全てのネットワークがIPv6ネットワークに代替される最後の段階において適用できる技術である。
DSTMの環境下では、IPv4ネットワークと通信しようとするIPv6ネットワーク側ノード(以下、「DSTMノード」と言う。)は、DSTMサーバーからIPv4アドレスを(動的に)割り当てられ、その割り当てられたIPv4アドレスを使用してIPv4ネットワークと通信する。
しかしながら、DSTMノードに対するIPv4アドレス割り当てに際して、以下のような問題が発生することが考えられる。
すなわち、IPv4ネットワークとの円滑な通信を行うために、DSTMサーバーは、IPv4アドレスを割り当てることを要請される。ところが、このとき、悪意的なノードからの不法(illegal)で且つ反復的なIPv4アドレス割り当て要請により、DSTMサーバーでIPv4アドレスが不足する事態が発生し得る。その理由は、偽造されたマック(MAC)アドレスまたは偽造されたIPv6アドレスを使用して、不法なIPv4アドレス割り当て要請を繰り返し行うことができるからである。したがって、DSTM環境では、偽造されたIPv6パケットを使用した不法で且つ反復的なIPv4アドレス割り当て要請によるDoS(Denial-of-Service)攻撃の問題が発生することが考えられる。また、DSTMノードからTEP(Tunnel End Point)を通過してIPv4ネットワークに向かうIPv6パケットの偽造の問題が発生することも考えられる。言い換えると、DSTMノードは、DSTMサーバーへのIPv4アドレス割り当て要請を通じて正常でなく(abnormally)割り当てられた不法なIPv4アドレスを使用して、IPv4ネットワークと通信できるものである。
DSTM環境では、IPv4アドレス割り当て過程及びIPv4ネットワークとの通信過程で発生し得るこのような問題を解決するために、DSTMサーバーとしてDNSSEC(Domain Name System SECurity Extension)、DHCPv6サーバーを使用する場合には、DHCPv6の認証メッセージを使用することがDNS(Domain Name Server)側に勧告されている。しかしながら、これらの技術は、保安(セキュリティ)プロトコルや暗号学的技法を、DSTM構造自体に付加的に使用しなければならない、という点で短所を有している。
大韓民国出願第10−2002−0029954号明細書
従って、本発明の目的は、正当にIPv4アドレス割り当てを要請するDSTMノードにのみIPV4アドレスを割り当てることができる、DSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 6-IP version 4)ネットワークにおけるIPv6パケットの偽造防止方法及びシステムを提供することにある。
また、本発明の他の目的は、IPv4アドレスの消耗を防止できる、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケットの偽造防止方法及びシステムを提供することにある。
また、本発明のさらに他の目的は、DSTM構造を変更することなく、IPv6パケットの偽造を防止することによって、light-weight securityサービスを提供できる、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケットの偽造防止方法及びそのシステムを提供することにある。
前記目的を達成するために、本発明の一側面によるDSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 4-IP version 6)ネットワークにおけるIPv6パケット偽造防止方法は、DSTMサーバーがDSTMノードからIPv4アドレス割り当て要請を受信する過程と、前記DSTMサーバーが、予め格納された自機の動的アドレステーブルを使用して前記要請が正当な要請であるか否かを判断する過程と、前記要請が正当であると判断された場合に、前記DSTMサーバーが前記DSTMノードにIPv4アドレスを割り当て、前記DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報とを含むように、前記動的アドレステーブルを更新する過程と、前記DSTMサーバーが、前記割り当てられたIPv4アドレスを前記DSTMノードに送信する過程と、前記DSTMサーバーが、前記更新された動的アドレステーブルをDSTM境界ルータに送信し、自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルとを同期化する過程と、を備え、前記DSTM境界ルータの動的アドレステーブル及び前記DSTMサーバーの動的アドレステーブルは、タイムアウト項目、マーカー項目をさらに含むことができる。
前記DSTMノードの情報は、少なくとも前記DSTMノードのマック(Media Access Control;MAC)アドレス及びIPv6アドレスを含むことができる。
前記DSTMサーバーが前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、前記DSTMサーバーが、前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv6アドレスと、自機の動的アドレステーブルに含まれた、当該マックアドレスに対応するIPv6アドレスとを比較する過程と、当該比較の結果、前記DSTMノードのIPv6アドレスと自機の動的アドレステーブルに含まれたIPv6アドレスとが同一でない場合には、前記DSTMノードのIPv4アドレス割り当て要請は、不当な要請であると判断する過程と、を備えることができる。
また、前記DSTMサーバーが前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、前記DSTMサーバーが、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていないと判断された場合に、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv4アドレス割り当て要請は不当な要請であると判断する過程と、を備えることができる。
本発明の方法では、前記DSTM境界ルータが、前記DSTMサーバーの動的アドレステーブルに同期化された自機の動的アドレステーブルを使用して、受信されるパケットが正当なパケットであるか否かを判断する過程と、前記DSTM境界ルータが、前記正当であると判断されたパケットをフォワーディングする過程と、をさらに備えることができる。
前記受信パケットが正当であるか否かをDSTM境界ルータで判断する過程は、前記受信パケットの情報が前記自機の動的アドレステーブルに含まれている場合に、当該パケットを正当であると判断する過程を備えることができる。
また、本発明方法では、前記DSTM境界ルータが自機の動的アドレステーブルに含まれたDSTMノードからのパケット受信が当該ノードに割り当てられたタイムアウト時間内になされない場合に、当該DSTMノードを不当なノードであると判断する過程をさらに備えることができる。
さらに、本発明方法では、前記DSTM境界ルータが前記タイムアウトチェックにより不当と判断されたDSTMノードの情報を自機の動的アドレステーブルから削除し、自機の動的アドレステーブルと前記DSTMサーバーの動的アドレステーブルを同期化させるために、前記削除されたDSTMノードの情報を前記DSTMサーバーに送信する過程をさらに備えることができる。
また、本発明方法では、当該DSTMノードに割り当てられたタイムアウト時間内に当該DSTMノードが送信したパケットが受信される場合に、前記DSTM境界ルータが自機の動的アドレステーブルの、当該DSTMノードに対応するマーカー項目に所定の値を設定する過程をさらに備えることができる。
本発明の方法において、前記DSTMサーバーは、IPv4アドレスを割り当てられたDSTMノードから自機がIPv4アドレスの割り当てを要請しなかったことを通知される場合に、当該IPv4アドレスの割り当てを取り消す過程をさらに備えることができる。
また、本発明の他の側面によるDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システムは、DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含む動的アドレステーブルを使用して、任意のDSTMノードから受信されるパケットを認証し、認証されたパケットをフォワーディングするDSTM境界ルータと、DSTMノードからのIPv4アドレス割り当て要請を受信した場合に、当該要請が正当な要請であるか否かを判断した後、正当であると判断された要請に応答して当該DSTMノードにIPv4アドレスを割り当て、当該DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含むように、予め格納された自機の動的アドレステーブルを更新し、当該更新された動的アドレステーブルを前記DSTM境界ルータに提供して自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルを同期化するDSTMサーバーと、を備え、前記DSTM境界ルータの動的アドレステーブルと前記DSTMサーバーの動的アドレステーブルは、タイムアウト項目、マーカー項目をさらに含む。
前記DSTMサーバーは、前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれていて、前記動的アドレステーブルに含まれた、前記マックアドレスに対応するIPv6アドレスが前記DSTMノードのIPv6アドレスと同一でない場合には、前記DSTMノードの要請は不当と判断することができる。
前記DSTMサーバーは、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれておらず、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードの要請は不当な要請であると判断することができる。
前記DSTM境界ルータは、自機の動的アドレステーブルに含まれたDSTMノードの各々に対して、当該DSTMノードが送信したパケットが当該DSTMノードに割り当てられた所定のタイムアウト時間内に受信されるか否かを判断し、当該DSTMノードが送信するパケットが前記タイムアウト時間内に受信されない場合に、当該DSTMノードは不当なDSTMノードであると判断することができる。
前記DSTM境界ルータは、前記タイムアウトチェックの結果、不当と判断されたDSTMノードを前記自機の動的アドレステーブルから削除し、当該削除されたDSTMノードの情報を前記DSTMサーバーに提供することができる。
前述したように、本発明に係るDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法及びそのシステムは、動的アドレステーブル(Dynamic Address Table;DAT)を使用してIPv6パケットの偽造を防止することを特徴とする。
DSTM技術は、既存のIPv4システムのうちアップグレードが可能なノードを、IPv4とIPv6を共に支援するデュアルスタック構造で製作し、IPv6アドレスを割り当てて純粋なIPv4ノードと通信できるようにする方法である。DSTM技術は、全てのネットワークがIPv6に行く最後の段階に適用されることが好ましい。このような場合、DSTM技術は、IPv6ネットワークのホストと孤立されたIPv4ネットワークのホスト間の通信のために使われることができる。
本発明によるDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法及びそのシステムは、動的アドレステーブルを使用して不法なIPv4アドレス割り当て要請を検出し、正当にIPv4アドレス割り当てを要請したDSTMノードのみにIPv4アドレスを割り当てることができる。したがって、本発明によれば、IPv6パケットの偽造を防止することができ、DSTM環境で発生し得るDoS(Denial-of-Service)攻撃を防止することができる。また、本発明によれば、IPv4アドレスの消耗ないし不足を防止することができる。さらに、本発明によれば、付加的なプロトコルまたは暗号学的技法を使用することなく、IPv6パケットの偽造を防止することによって、動作等が重くならない(light-weight)セキュリティサービスを提供することができる。
以下、添付の図面を参照して本発明を詳細に説明する。
図1は、本発明が適用される、DSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 4-IP version 6)ネットワークの一例を示す構成図である。
図1に示すように、DSTM環境のIPv6−IPv4ネットワークは、少なくとも1つのDSTMノード(図では説明の便宜のため、100−A,100−Bの2つのDSTMノードを示す。)と、DSTMサーバー110と、DSTM境界ルータ(border router;BR)120と、少なくとも1つのIPv4ホスト130と、を備えて構成されることができる。なお、図1の形態は、本発明の理解を助けるために提示された一例に過ぎないものであって、本発明は、これ以外にも様々な形態のDSTM環境のIPv6−IPv4ネットワークに適用されることができる。
IPv6ネットワークドメインの構成要素であるDSTMノード100−A,100−Bは、DSTMサーバー110に対して、IPv4ネットワークとの通信のためのIPv4アドレス割り当ての要請を行い、また、DSTMサーバー110から割り当てられたIPv4アドレスを使用して、IPv4ネットワークドメインのIPv4ホスト130と通信を行うことができる。
DSTMサーバー110は、通信しようとする目的のIPv4ノードの位置情報を把握するためのDNS(Domain Name Server)機能、IPv4ホストとの通信のために必要なIPv4アドレスの割り当てに関連するDHCPv6(Dynamic Host Configuration Protocol version 6)機能、IPv4アドレスプール(pool)機能、などを遂行する。
DSTMサーバー110は、DSTMノード100−A(或いは100−B)からIPv4アドレス割り当てが要請される場合に、当該要請に応答して当該DSTMノード100−A(或いは100−B)にIPv4アドレスを割り当てる。DSTMサーバー110は、DSTMノード100−A(或いは100−B)からのIPv4アドレス割り当て要請に対して、当該要請が不当(ないし不法)な要請でなく正当な要請であるか、すなわち、当該DSTMサーバー110のドメイン内に存在するDSTMノード100−A(或いは100−B)からの、正常な手続による要請であるか否か、を判断する。DSTMノード100−A(或いは100−B)からの要請が正当な要請であるか否かを判断したDSTMサーバー110は、当該要請が正当な要請であれば、DSTMノード100−A(或いは100−B)にIPv4アドレスを割り当て、当該要請が正当な要請でない場合には、IPv4アドレスを割り当てない。
特に、本発明に従うDSTMサーバー110は、DSTMノード100−A(或いは100−B)からのIPv4アドレス要請が正当な要請であるか否かを判断するために、動的アドレステーブルを使用する。かかる動的アドレステーブルは、現在のDSTMサーバー110のIPv4アドレス割り当ての状態情報を含むことができる。すなわち、動的アドレステーブルは、現在IPv4アドレスを割り当てられているDSTMノードの情報と、各ノードに割り当てられたIPv4アドレスのマッピング関係についての情報などを含むことができる。
本発明の実施形態による、DSTMサーバー110が使用する動的アドレステーブルを、下記の表1に示す例を参照して説明する。
表1は、動的アドレステーブルの構成例を示している。表1の例のように、本発明に従う動的アドレステーブルは、DSTMサーバー110からIPv4アドレスを割り当てられたDSTMノードの情報であるマック(Media Access Control;MAC)アドレス、IPv6アドレスなどの情報とともに、当該DSTMノードに割り当てられたIPv4アドレスの情報を含むことができる。また、動的アドレステーブルは、各々のDSTMノードに割り当てられたタイムアウト及びマーカー(marker)をさらに含むことができる。
このうち、タイムアウト及びマーカーは、DSTMノードからのIPv4アドレス要請に対する正当性の有無を判断するために用いられる。タイムアウトは、IPv4アドレスが割り当てられた後、所定の時間内に当該IPv4アドレスを使用するパケットがDSTM境界ルータ120を介してルーティングされない場合に、当該IPv4アドレスが不当な要請により割り当てられたと判断するために、チェックされるものである。マーカーは、タイムアウトをチェックした(以下、「タイムアウトチェック」ともいう。)結果、正当だと判断されたことを表示するために用いられる。
タイムアウトチェックは、DSTM境界ルータ120で行われることができる。なお、タイムアウトチェックについては、後述するDSTM境界ルータ120の説明の際に詳細に説明する。DSTMサーバー110の動的アドレステーブルは、IPv4割り当て過程で随時更新されることができ、DSTM境界ルータ120の動的アドレステーブルと同じ内容を有するように同期化される。
DSTMサーバー110の動的アドレステーブルは、DSTMサーバー110によって構成(構築)され更新される。下記では、DSTMサーバー110による動的アドレステーブルの更新の例について説明する。また、DSTMサーバー110が動的アドレステーブルを使用して行う、DSTMノードからのIPv4アドレス割り当て要請の正当性判断についても説明する。説明の理解を助けるために、一例として、DSTMノードA 100−AのIPv4アドレス割り当て要請に応じてIPv4アドレスが割り当てられるものと仮定して説明する。
まず、動的アドレステーブルの更新について説明する。
DSTMサーバー110は、DSTMノードA 100−AからIPv4アドレス割り当てを要請される場合に、当該要請が正当な要請であるか否かを判断する。すなわち、DSTMサーバー110は、DSTMノードA 100−Aの要請が正当な要請であるか否かを判断するために、動的アドレステーブルを使用する。
DSTMサーバー110は、DSTMノードA 100−Aの情報と、自機があらかじめ格納している動的アドレステーブルに含まれた情報とを比較し、DSTMノード 100−Aの要請が正当な要請であるか否かを判断できる。ここで、DSTMサーバー110によって使用されるDSTMノードA 100−Aの情報は、IPv4アドレス割り当て要請と共に、DSTMサーバー110に転送される。
DSTMサーバー110による、IPv4アドレス割り当て要請の正当性判断を具体的に説明すると、次の通りである。以下、DSTMノードの情報としてマックアドレス及びIPv6アドレスが用いられる場合について説明する。
まず、偽造されたIPv6を使用してIPv4アドレス割り当てが要請された場合について説明する。
DSTMサーバー110は、IPv4アドレス割り当てを要請したDSTMノードA 100−Aのマックアドレス、すなわちDSTMノードA 100−Aのマックアドレスと同じマックアドレスが、自機の動的アドレステーブルに含まれているか否かを判断する。DSTMサーバー110は、DSTMノードA 100−Aのマックアドレスが自機の動的アドレステーブルに含まれている場合には、動的アドレステーブルに含まれた、当該マックアドレスに対応するIPv6アドレスがDSTMノードA 100−AのIPv6アドレスと同一か否かを判断する。この際、IPv6アドレスが偽造されたアドレスならば、2つのIPv6アドレスは互いに異なる。この場合、DSTMサーバー110は、DSTMノードA 100−Aの要請は不当な要請であると判断する。一方、DSTMサーバー110は、任意のマックアドレス−IPv6アドレス対が動的アドレステーブルに含まれている状態で当該アドレス対と同じアドレス対を有するDSTMノードからIPv4アドレス割り当てが要請される場合に、当該要請を拒否する。その理由は、1つのマックアドレス−IPv6アドレスの対には、1つのIPv4アドレスのみが割り当てられるからである。
次に、偽造されたマックアドレスを使用してIPv4アドレス割り当てが要請された場合について説明する。
DSTMサーバー110は、DSTMノードA 100−Aのマックアドレスが自機の動的アドレステーブルに含まれていない場合、自機の動的アドレステーブルを検索して、DSTMノードA 100−AのIPv6アドレスが自機の動的アドレステーブルに含まれているか否かを判断する。DSTMサーバー110は、DSTMノードA 100−Aのマックアドレスが動的アドレステーブルに含まれていない状態で、DSTMノードA 100−AのIPv6アドレスだけが動的アドレステーブルに含まれている場合に、DSTMノードA 100−Aの要請は正当な要請でないと判断できる。
次に、偽造されたマックアドレス及び偽造されたIPv6アドレスを使用してIPv4アドレス割り当てが要請された場合について説明する。
DSTMサーバー110は、DSTM A 100−Aのマックアドレス及びIPv6アドレスが共に自機の動的アドレステーブルに含まれていない場合、一旦は、DSTMA 100−AによるIPv4アドレス割り当て要請が正当な要請であると判断する。この際に、DSTMサーバー110は、DSTM A 100−Aに対してIPv4アドレスを割り当てる。そして、DSTMサーバー110は、割り当てたIPv4アドレスをDSTMA 100−Aに送信する。
ところが、仮にDSTMサーバー110がDSTMノードA 100−Aから受けたと判断したIPv4アドレス割り当て要請が、本物のDSTMノードA 100−Aからの正当なIPv4アドレス割り当て要請でない場合には、マックアドレス及びIPv6アドレスを偽造して不法的にIPv4アドレス割り当てを要請したノードは、割り当てられたIPv4アドレスを受信することができない。その理由は、IPv6環境では、基本的にMAC cache poisoning攻撃が不可能だからである。
偽造されたマックアドレスがDSTMサーバー110のドメイン内にないマックアドレスであれば、当該マックアドレスに割り当てられたIPv4アドレスは、当該マックアドレスに送信されることができない。また、たとえ偽造されたマックアドレスがDSTMサーバー110と同じドメイン内に在る場合であったとしても、DSTMサーバー110が割り当てたIPv4アドレスは、IPSecを通じて暗号化され転送されるので、他のノードが当該IPv4アドレスを把握することはできない。
すなわち、偽造されたマックアドレス及び偽造されたIPv6アドレスを使用したIPv4アドレス割り当て要請に応答して割り当てられたIPv4アドレスは、当該要請をしたノードに転送されない。したがって、不当なIPv4アドレス割り当て要請により割り当てられたIPv4アドレスを通じてのパケットの転送は、遂行されない。言い換えると、IPv4アドレスを割り当てられたDSTMノードが所定の時間内に当該IPv4アドレスを使用してパケットを送信しない場合に、当該DSTMノードからのIPv4アドレス割り当て要請は、不当な要請であると判断されることができる。
このような場合を判断するために使用されるものが、動的アドレステーブルのタイムアウト情報である。タイムアウト情報を使用したタイムアウトチェックは、DSTM境界ルータ120により実行される。
DSTM境界ルータ120は、パケットが受信される際に、当該パケットが正当なパケットなのか否かを判断する認証過程を行い、正当なパケットであると判断されたパケットをフォワーディング(すなわち目的地へ転送)する。DSTM境界ルータ120は、受信されたパケットを認証するために、自機の動的アドレステーブルを使用する。DSTM境界ルータ120は、パケットが受信される場合、自機の動的アドレステーブルを検索して、受信されたパケットを送信したDSTMノードの情報が自機の動的アドレステーブルに含まれているか否かを判断する。そして、DSTM境界ルータ120は、送信DSTMノードの情報が自機の動的アドレステーブルに含まれている場合に、当該DSTMノードから受信したパケットは正当なパケットであると判断する。
この際、DSTM境界ルータ120により正当なパケットであると判断されるパケットには、DSTMサーバー110により割り当てられたIPv4アドレスを使用して転送されるパケットが含まれることができる。言い換えると、DSTM境界ルータ120は、受信されるパケットを認証するために、DSTMサーバー110が割り当てたIPv4アドレス情報を把握していなければならない。DSTM境界ルータ120は、DSTM境界ルータ120(すなわち自機)の動的アドレステーブルとDSTMサーバー110の動的アドレステーブルとの同期化を通じて、DSTMサーバー110が割り当てたIPv4アドレス情報を把握する。具体的には、2つの動的アドレステーブルの同期化のために、DSTMサーバー110の動的アドレステーブルが更新される場合には、更新されたDSTMサーバー110の動的アドレステーブルがDSTM境界ルータ120に提供され、一方、DSTM境界ルータ120の動的アドレステーブルが更新される場合には、更新されたDSTM境界ルータ120の動的アドレステーブルがDSTMサーバー110に提供される。この際、2つの動的アドレステーブルの同期化のためには、DSTMサーバー110とDSTM境界ルータ120との間で、更新された動的アドレステーブル全体が交換されることよりは、削除された或いは追加された等の更新されたデータデータだけが交換されることが好ましい。
DSTM境界ルータ120は、受信されたパケットの情報(例えば、当該パケットを送信したDSTMノードの情報)が自機の動的アドレステーブルに含まれていない場合や、当該パケットの情報が自機の動的アドレステーブルの情報と一致しない場合には、当該パケットは不当なパケット(不法パケット)である、と判断する。ここで、不当なパケットとは、当該パケットがDSTMサーバー110から正当に割り当てられたIPv4パケットを使用して送信されたパケットではない、という意味である。この際、DSTM境界ルータ120は、正当なIPv4割り当て要請無しに発生したIPv4アドレス割り当てをDSTMサーバー110に通知し、DSTMサーバー110のIPv4アドレス不足を防止する。
また、DSTM境界ルータ120は、前述したように、自機の動的アドレステーブルを用いてタイムアウトチェックを行う。DSTM境界ルータ120は、自機の動的アドレステーブルに含まれたIPv4アドレスのうち、割り当てられた後の所定時間が経過する前のパケット転送には使われないIPv4アドレスが在る場合、当該IPv4アドレスは不当な要請に応答して割り当てられたアドレスである、と判断する。タイムアウト時間は、割り当て可能なIPv4アドレスの総量、現在割り当て可能なIPv4アドレスの残余量、などのシステム特性を考慮して設定されることができる。タイムアウト時間は、IPv4アドレスを割り当てるDSTMサーバー110により設定されることが好ましい。
DSTM境界ルータ120は、タイムアウトチェックの結果、任意のIPv4アドレスが不当な要請に応答して割り当てられたアドレスであると判断された場合には、当該IPv4アドレス及び当該IPv4アドレスと対応する情報を、自機の動的アドレステーブルから削除する。また、DSTM境界ルータ120は、タイムアウトチェックの結果により自機の動的アドレステーブルが更新される場合には、更新された自機の動的アドレステーブルをDSTMサーバー110に提供し、これにより、自機の動的アドレステーブルとDSTMサーバー110の動的アドレステーブルとが同期化できるようにする。
図1には、本発明に従う過程が番号付き矢印によって示されている。
過程1は、DSTMノード(例えば図1のノードA)がDSTMサーバー110にIPv4アドレスを要請する過程を示す。ここで、DSTMノードは、特定のDSTMノードでなく、DSTMサーバー110と同じドメインに含まれる任意のDSTMノードであるから、DSTMノードに対しては参照符号を省略して説明する。
DSTMノードからIPv4アドレス割り当てを要請されたDSTMサーバー110は、IPv4アドレスを要請したDSTMノードのマックアドレス及びIPv6アドレスと、当該DSTMノードに割り当てられるIPv4アドレスの対と、を全てマッピングできる動的アドレステーブルを構築する。この動的アドレステーブルは、IPv4アドレスを要請するDSTMノードのMACアドレスに基づいた、動的な更新過程の対象となる。すなわち、DSTMサーバー110は、DSTMノードがIPv4アドレスを要請する場合毎に、自機の動的アドレステーブルにおける当該DSTMノードのマックアドレスとIPv6アドレスの余剰(redundancy)を順に検査する。
動的アドレステーブルは、表1に示されたように、マック(MAC)アドレス、IPv6アドレス、IPv4アドレス、タイムアウト(Timeout)情報及びマーカーを含むことができる。タイムアウト情報は、前述したように、タイムアウトチェックのために使われる。タイムアウト時間内にDSTM境界ルータ120によってルーティングされたパケットに対しては、マーカーが設定され、タイムアウトは無視される。一般的に、タイムアウトチェックを通過する際に、マーカーは、“1”に設定されるが、その値は、システムの設定によって変更できる。
過程2は、DSTMノードのIPv4アドレス要請により動的アドレステーブルを生成したDSTMサーバー110が、自機の動的アドレステーブルをDSTM境界ルータ120の動的アドレステーブルと共有する過程である。この過程は、2つの動的アドレステーブルの同期化を通じて実行される。すなわち、DSTMサーバー110及びDSTM境界ルータ120は、自機の動的アドレステーブルにおける内容の削除、追加または変更などの更新が発生する場合に、当該更新情報を相手方に提供することによって、自機の動的アドレステーブルを相手方の動的アドレステーブルと同一に維持できる。
過程3は、DSTMノードが要請したIPv4アドレスをDSTMサーバー110から割り当てられる過程である。
過程4と過程5は、割り当てられたIPv4アドレスを有するDSTMノードが、DSTM境界ルータ120を介してIPv4ネットワークに通信を試みる過程である。この際に、DSTM境界ルータ120は、DSTMサーバー110と共有している動的アドレステーブルを使用して、現在自機を経由するIPv6パケットの正当性を検査する。
最後に、過程3−1及び3−2は、DSTMサーバー110が、偽造されたマックアドレスを有する不当なDSTMノードのIPv4アドレス要請に応答して割り当てたIPv4アドレスを、実際のマックアドレスを有するDSTMノードに転送する場合である。この際、自機の要請無しにIPv4アドレスを割り当てられたDSTMノードB 100−Bは、IPv4アドレス要請無しにアドレスが割り当てられたことをDSTMサーバー110に通知することによって、割り当てられたIPv4を取り消すことができる。DSTMノードB 100−Bから自機が要請しなかったことを通知されたDSTMサーバー110は、DSTMノードB 100−Bに割り当てられたIPV4アドレスを取り消す。
前述した、本発明を適用したDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止のための過程を、図2を参照して以下に説明する。
図2は、本発明の一実施形態による、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止過程を示すフローチャートである。
まず、DSTMノードがDSTMサーバーにIPv4アドレス割り当てを要請する(ステップS200)。IPv4アドレス割り当てを要請されたDSTMサーバー110は、当該要請が正当な要請であるか否かを判断し、正当な要請に対してIPv4アドレスを割り当て、割り当てられたIPv4アドレスのマッピング情報を含むように自機の動的アドレステーブルを更新する(ステップS202)。続いて、DSTMサーバー110は、DSTM境界ルータ120との動的アドレステーブル同期化を行う(ステップS204)。そして、DSTMサーバーは、IPv4アドレス割り当てを要請したDSTMノードに、当該割り当てられたIPv4アドレスを通知する(ステップS206)。また、DSTM境界ルータ120は、自機の動的アドレステーブルを使用して、受信したパケットに対するタイムアウトチェック及び認証を行う(ステップS208)。そして、DSTM境界ルータ120は、パケットの認証が成功したか否かを判断し(ステップS210)、成功した場合には、当該認証されたパケットを該当するノードに転送(フォワーディング)する(ステップS212)。一方、DSTM境界ルータ120は、パケットの認証が成功しない場合には、当該パケットを送信したDSTMノードに割り当てられていたIPv4アドレスを取り消し、その取消結果を反映するように自機の動的アドレステーブルを更新した後に、DSTMサーバー110の動的アドレステーブルと自機の動的アドレステーブルとを同期化する(ステップS214)。
前述したように、本発明を適用した実施形態によれば、動的アドレステーブルを使用することによって、別途の付加的な保安プロトコルや暗号化技法を用いずに、IPv6パケットの偽造による不当なIPv4アドレスの割り当て要請を検出し、正当なIPv4アドレス割り当て要請のみに対してIPv4アドレスを割り当てることによって、IPv4アドレスの消耗ないし不足を防止することができる。
110 DSTMサーバー
100−A DSTMノード A
100−B DSTMノード B
120 DSTM境界ルータ
130 IPv4ホスト
100−A DSTMノード A
100−B DSTMノード B
120 DSTM境界ルータ
130 IPv4ホスト
Claims (18)
- DSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 4-IP version 6)ネットワークにおけるIPv6パケット偽造防止方法であって、
DSTMサーバーがDSTMノードからのIPv4アドレス割り当て要請を受信する過程と、
前記DSTMサーバーが、予め格納された自機の動的アドレステーブルを使用して、前記要請が正当な要請であるか否かを判断する過程と、
前記要請が正当であると判断された場合に、前記DSTMサーバーが前記DSTMノードにIPv4アドレスを割り当て、前記DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報とを含むように、前記動的アドレステーブルを更新する過程と、
前記DSTMサーバーが、前記割り当てられたIPv4アドレスを前記DSTMノードに送信する過程と、
前記DSTMサーバーが、前記更新された動的アドレステーブルをDSTM境界ルータに送信し、自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルとを同期化する過程と、
を備え、
前記DSTM境界ルータの動的アドレステーブル及び前記DSTMサーバーの動的アドレステーブルは、タイムアウト項目、マーカー項目をさらに含む
ことを特徴とするDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。 - 前記DSTMノードの情報は、少なくとも前記DSTMノードのマック(Media Access Control;MAC)アドレス及びIPv6アドレスを含む
ことを特徴とする請求項1に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。 - 前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、
前記DSTMサーバーが、
前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、
前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv6アドレスと、自機の動的アドレステーブルに含まれた、当該マックアドレスに対応するIPv6アドレスと、を比較する過程と、
前記比較の結果、前記DSTMノードのIPv6アドレスと自機の動的アドレステーブルに含まれたIPv6アドレスとが同一でない場合には、前記DSTMノードのIPv4アドレス割り当て要請は不当な要請であると判断する過程と、
を備えることを特徴とする請求項2に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。 - 前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、
前記DSTMサーバーが、
前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、
前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていないと判断された場合に、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、
前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv4アドレス割り当て要請は不当な要請であると判断する過程と、
を備えることを特徴とする請求項2に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。 - 前記DSTM境界ルータが、前記DSTMサーバーの動的アドレステーブルに同期化された自機の動的アドレステーブルを使用して、受信されるパケットが正当なパケットであるか否かを判断する過程と、
前記DSTM境界ルータが、前記正当であると判断されたパケットをフォワーディングする過程と、
をさらに備えることを特徴とする請求項2に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。 - 前記DSTM境界ルータが、前記受信パケットが正当であるか否かを判断する過程は、
前記受信パケットの情報が前記自機の動的アドレステーブルに含まれている場合に、当該パケットを正当であると判断する過程を備える
ことを特徴とする請求項5に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。 - 前記DSTM境界ルータが自機の動的アドレステーブルに含まれたDSTMノードからのパケット受信が当該ノードに割り当てられたタイムアウト時間内になされない場合に、当該DSTMノードを不当なノードであると判断する過程をさらに備える
ことを特徴とする請求項1に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。 - 当該DSTMノードに割り当てられたタイムアウト時間内に当該DSTMノードが送信したパケットが受信される場合に、前記DSTM境界ルータが自機の動的アドレステーブルの、当該DSTMノードに対応するマーカー項目に所定の値を設定する過程をさらに備える
ことを特徴とする請求項7に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。 - 前記DSTM境界ルータが前記タイムアウトチェックにより不当と判断されたDSTMノードの情報を自機の動的アドレステーブルから削除し、自機の動的アドレステーブルと前記DSTMサーバーの動的アドレステーブルを同期化させるために、前記削除されたDSTMノードの情報を前記DSTMサーバーに送信する過程をさらに備える
ことを特徴とする請求項7に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。 - 前記DSTMサーバーは、IPv4アドレスを割り当てられたDSTMノードから自機がIPv4アドレスの割り当てを要請しなかったことを通知される場合に、当該IPv4アドレスの割り当てを取り消す過程をさらに備える
ことを特徴とする請求項1に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。 - DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システムであって、
DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含む動的アドレステーブルを使用して、任意のDSTMノードから受信されるパケットを認証し、認証されたパケットをフォワーディングするDSTM境界ルータと、
DSTMノードからのIPv4アドレス割り当て要請を受信した場合に、当該要請が正当な要請であるか否かを判断した後、正当であると判断された要請に応答して当該DSTMノードにIPv4アドレスを割り当て、当該DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含むように、予め格納された自機の動的アドレステーブルを更新し、当該更新された動的アドレステーブルを前記DSTM境界ルータに提供して自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルを同期化するDSTMサーバーと、
を備え、
前記DSTM境界ルータの動的アドレステーブルと前記DSTMサーバーの動的アドレステーブルは、タイムアウト項目、マーカー項目をさらに含む
ことを特徴とするDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。 - 前記DSTMノードの情報は、少なくとも前記DSTMノードのマック(Media Access Control;MAC)アドレス及びIPv6アドレスを含む
ことを特徴とする請求項11に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。 - 前記DSTMサーバーは、前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれていて、前記動的アドレステーブルに含まれた、前記マックアドレスに対応するIPv6アドレスが前記DSTMノードのIPv6アドレスと同一でない場合には、前記DSTMノードの要請は不当と判断する
ことを特徴とする請求項12に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。 - 前記DSTMサーバーは、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれておらず、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードの要請は不当な要請であると判断する
ことを特徴とする請求項12に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。 - 前記DSTM境界ルータは、自機の動的アドレステーブルに含まれたDSTMノードの各々に対して、当該DSTMノードが送信したパケットが当該DSTMノードに割り当てられた所定のタイムアウト時間内に受信されるか否かを判断し、当該DSTMノードが送信するパケットが前記タイムアウト時間内に受信されない場合に、当該DSTMノードは不当なDSTMノードであると判断する
ことを特徴とする請求項11に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。 - 前記DSTM境界ルータは、前記タイムアウトチェックの結果、不当と判断されたDSTMノードを前記自機の動的アドレステーブルから削除し、当該削除されたDSTMノードの情報を前記DSTMサーバーに提供する
ことを特徴とする請求項15に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。 - 前記DSTM境界ルータは、前記タイムアウトチェックの結果、当該DSTMノードに割り当てられたタイムアウト時間内に当該DSTMノードが送信したパケットが受信される場合、動的アドレステーブルに含まれた、当該DSTMノードに対応するマーカー項目に所定の値を記録する
ことを特徴とする請求項15に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。 - 前記DSTMサーバーは、IPv4アドレスを割り当てられたDSTMノードから自機がIPv4アドレスの割り当てを要請しなかったことを通知される場合、当該IPv4アドレスの割り当てを取り消す
ことを特徴とする請求項11に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20060015948A KR100757874B1 (ko) | 2006-02-18 | 2006-02-18 | DSTM 환경의 IPv6-IPv4 네트워크에서의IPv6 패킷 위조 방지 방법 및 그 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007221792A JP2007221792A (ja) | 2007-08-30 |
| JP4536741B2 true JP4536741B2 (ja) | 2010-09-01 |
Family
ID=38472722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007035649A Expired - Fee Related JP4536741B2 (ja) | 2006-02-18 | 2007-02-16 | DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法及びそのシステム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8316433B2 (ja) |
| JP (1) | JP4536741B2 (ja) |
| KR (1) | KR100757874B1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2454662B1 (en) * | 2009-07-16 | 2014-09-17 | Freescale Semiconductor, Inc. | Data administration unit, data access unit, network element, network, and method for updating a data structure |
| JP5610400B2 (ja) * | 2011-09-20 | 2014-10-22 | 株式会社Pfu | ノード検出装置、ノード検出方法、及びプログラム |
| US9282115B1 (en) * | 2014-01-03 | 2016-03-08 | Juniper Networks, Inc. | Systems and methods for detecting cache-poisoning attacks in networks using service discovery protocols |
| CN107124429B (zh) * | 2017-06-05 | 2021-04-20 | 华北电力大学 | 一种基于双数据表设计的网络业务安全保护方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003338826A (ja) * | 2002-05-20 | 2003-11-28 | Fujitsu Ltd | 信号出力制御方法及びネットワーク接続装置 |
| JP2004104664A (ja) * | 2002-09-12 | 2004-04-02 | Telecommunication Advancement Organization Of Japan | ネットワーク接続装置 |
| JP2004254318A (ja) * | 2003-02-18 | 2004-09-09 | Samsung Electronics Co Ltd | デュアルスタックを用いたIPv4−to−IPv6変換装置及びその方法 |
| JP2004260818A (ja) * | 2003-02-21 | 2004-09-16 | Samsung Electronics Co Ltd | 移動通信システムでのインターネットプロトコルバージョンに従うトラヒックフローテンプレートパケットフィルタリングを遂行する装置及び方法 |
| JP2004348206A (ja) * | 2003-05-20 | 2004-12-09 | Hitachi Ltd | ホームネットワーク通信制御システム及び情報端末並びにアクセス許可プログラムとアクセス許可プログラム生成プログラム |
| JP2006180480A (ja) * | 2004-12-20 | 2006-07-06 | Samsung Electronics Co Ltd | 動的アドレスを使用してルーティングを実行するネットワークシステム及びその方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2455492C (en) * | 2001-08-24 | 2010-10-12 | John Robert King | Apparatus and method of coordinating network events |
| KR100453050B1 (ko) | 2002-05-29 | 2004-10-15 | 삼성전자주식회사 | IPv4/IPv6 통신 방법 및 그 장치 |
| EP1420559A1 (en) * | 2002-11-13 | 2004-05-19 | Thomson Licensing S.A. | Method and device for supporting a 6to4 tunneling protocol across a network address translation mechanism |
| US7367046B1 (en) * | 2002-12-04 | 2008-04-29 | Cisco Technology, Inc. | Method and apparatus for assigning network addresses to network devices |
| KR100738535B1 (ko) * | 2005-12-12 | 2007-07-11 | 삼성전자주식회사 | Dstm 통신망에서의 인증 시스템 및 그 방법 |
-
2006
- 2006-02-18 KR KR20060015948A patent/KR100757874B1/ko not_active IP Right Cessation
-
2007
- 2007-02-16 JP JP2007035649A patent/JP4536741B2/ja not_active Expired - Fee Related
- 2007-02-16 US US11/707,276 patent/US8316433B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003338826A (ja) * | 2002-05-20 | 2003-11-28 | Fujitsu Ltd | 信号出力制御方法及びネットワーク接続装置 |
| JP2004104664A (ja) * | 2002-09-12 | 2004-04-02 | Telecommunication Advancement Organization Of Japan | ネットワーク接続装置 |
| JP2004254318A (ja) * | 2003-02-18 | 2004-09-09 | Samsung Electronics Co Ltd | デュアルスタックを用いたIPv4−to−IPv6変換装置及びその方法 |
| JP2004260818A (ja) * | 2003-02-21 | 2004-09-16 | Samsung Electronics Co Ltd | 移動通信システムでのインターネットプロトコルバージョンに従うトラヒックフローテンプレートパケットフィルタリングを遂行する装置及び方法 |
| JP2004348206A (ja) * | 2003-05-20 | 2004-12-09 | Hitachi Ltd | ホームネットワーク通信制御システム及び情報端末並びにアクセス許可プログラムとアクセス許可プログラム生成プログラム |
| JP2006180480A (ja) * | 2004-12-20 | 2006-07-06 | Samsung Electronics Co Ltd | 動的アドレスを使用してルーティングを実行するネットワークシステム及びその方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007221792A (ja) | 2007-08-30 |
| KR20070082824A (ko) | 2007-08-22 |
| KR100757874B1 (ko) | 2007-09-11 |
| US8316433B2 (en) | 2012-11-20 |
| US20070208935A1 (en) | 2007-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1578083B1 (en) | Virtual private network structure reuse for mobile computing devices | |
| EP2605471B1 (en) | Relay-based media channel establishing method and the system thereof | |
| EP1714434B1 (en) | Addressing method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes | |
| US9253146B2 (en) | Preventing duplicate sources from clients served by a network address port translator | |
| US20030084162A1 (en) | Managing peer-to-peer access to a device behind a firewall | |
| US20060253701A1 (en) | Method for providing end-to-end security service in communication network using network address translation-protocol translation | |
| US20030233576A1 (en) | Detection of support for security protocol and address translation integration | |
| US20050175020A1 (en) | Tunneling service method and system | |
| US20060092964A1 (en) | Method and system for establishing bidirectional tunnel | |
| JP2006086800A (ja) | ソースアドレスを選択する通信装置 | |
| US20110296027A1 (en) | Host identity protocol server address configuration | |
| JP4536741B2 (ja) | DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法及びそのシステム | |
| CN110971701B (zh) | 物联网通信方法及装置 | |
| US20090328139A1 (en) | Network communication device | |
| JP2006074451A (ja) | IPv6/IPv4トンネリング方法 | |
| JP4586721B2 (ja) | 通信中にアドレス変更が可能な通信装置、システム及び通信方法 | |
| US20160164830A1 (en) | Method for processing raw IP packet and device thereof | |
| JP4027347B2 (ja) | 情報処理装置、データ通信方法、プログラム及び記録媒体 | |
| JP2006216014A (ja) | メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体 | |
| KR20060070282A (ko) | 동적 주소를 할당하고 그 동적 주소를 이용하여라우팅하는 네트워크 시스템 및 그 방법 | |
| Komu et al. | Basic host identity protocol (HIP) extensions for traversal of network address translators | |
| JP2007258986A (ja) | 通信装置、通信方法および通信プログラム | |
| JP2003204350A (ja) | 負荷分散装置、ホームエージェント及びモバイルip端末 | |
| JP2007060610A (ja) | ネットワーク接続システム、ネットワーク接続装置、そのプログラムおよび記録媒体 | |
| Savola | IPv6 site multihoming using a host-based shim layer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091030 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091110 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100126 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100525 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100616 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130625 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4536741 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |