JP5000501B2 - 動的ホスト構成およびネットワークアクセス認証 - Google Patents
動的ホスト構成およびネットワークアクセス認証 Download PDFInfo
- Publication number
- JP5000501B2 JP5000501B2 JP2007520512A JP2007520512A JP5000501B2 JP 5000501 B2 JP5000501 B2 JP 5000501B2 JP 2007520512 A JP2007520512 A JP 2007520512A JP 2007520512 A JP2007520512 A JP 2007520512A JP 5000501 B2 JP5000501 B2 JP 5000501B2
- Authority
- JP
- Japan
- Prior art keywords
- dynamic host
- host configuration
- authentication
- key
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims abstract description 123
- 230000027455 binding Effects 0.000 claims abstract description 46
- 238000009739 binding Methods 0.000 claims abstract description 46
- XQVWYOYUZDUNRW-UHFFFAOYSA-N N-Phenyl-1-naphthylamine Chemical compound C=1C=CC2=CC=CC=C2C=1NC1=CC=CC=C1 XQVWYOYUZDUNRW-UHFFFAOYSA-N 0.000 claims abstract 3
- 230000004044 response Effects 0.000 claims description 7
- 230000003993 interaction Effects 0.000 abstract description 7
- 239000010410 layer Substances 0.000 description 69
- 238000010586 diagram Methods 0.000 description 45
- 238000007726 management method Methods 0.000 description 27
- 230000007246 mechanism Effects 0.000 description 19
- 239000003795 chemical substances by application Substances 0.000 description 17
- 230000006854 communication Effects 0.000 description 17
- 238000004891 communication Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 16
- 238000012546 transfer Methods 0.000 description 11
- 230000003111 delayed effect Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 8
- 230000006399 behavior Effects 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 238000009795 derivation Methods 0.000 description 6
- 238000001914 filtration Methods 0.000 description 6
- 101100289995 Caenorhabditis elegans mac-1 gene Proteins 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000002346 layers by function Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 230000007727 signaling mechanism Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/40—Business processes related to the transportation industry
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Health & Medical Sciences (AREA)
- Tourism & Hospitality (AREA)
- Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
多様なコンピュータネットワークがあり、最も有名なものがインターネットである。インターネットは、コンピュータネットワークの世界規模のネットワークである。今日、インターネットは、何百万人ものユーザが利用可能な、公共の自己持続的ネットワークである。インターネットは、TCP/IP(すなわち、送信制御プロトコル/インターネットプロトコル)と呼ばれる1組の通信プロトコルを使って各ホストを接続する。インターネットは、インターネットバックボーンと呼ばれる通信インフラストラクチャを有する。インターネットバックボーンへのアクセスの大部分は、企業および個人にアクセスを再販するインターネットサービスプロバイダ(ISP)によって制御される。
無線ネットワークは、例えば、セルラおよび無線電話機、PC(パーソナルコンピュータ)、ラップトップコンピュータ、装着型コンピュータ、コードレス電話機、ページャ、ヘッドセット、プリンタ、PDAなど、多種多様なモバイル機器を組み込むことができる。例えば、モバイル機器には、音声および/またはデータの高速無線送信を確保するデジタルシステムが含まれてよい。典型的なモバイル機器は、送受信機(すなわち、例えば、送信機、受信機および、必要に応じて、他の機能が統合されたシングルチップ送受信機などを含む、送信機および受信機)、アンテナ、プロセッサ、1つ以上の音声変換器(例えば、音声通信用機器でのスピーカやマイクロホンなど)、電磁データ記憶(データ処理が提供される機器の場合などにおける、ROM、RAM、デジタルデータストレージなど)、メモリ、フラッシュメモリ、フルチップセットまたは集積回路、インターフェース(USB、CODEC、UART、PCMなど)といったコンポーネントの一部または全部を含む。
動的ホスト構成プロトコル(DHCP)は、管理者が、ネットワークにおいてIPアドレス割り当てを管理し、かつ/または自動化することを可能にする通信プロトコルである。インターネットプロトコル(IP)では、インターネットに接続するあらゆる機器が、一意のIPアドレスを必要とする。ISPまたは組織がユーザのコンピュータをインターネットに接続するときには、この機器にIPアドレスが割り当てられる必要がある。DHCPは、管理者が、IPアドレスを配布し、コンピュータがネットワーク内の異なる場所に接続されたときに、新しいIPアドレスを配布することを可能にする。また、DHCPは、永続IPアドレスを必要とするWebサーバを含むコンピュータのための静的アドレスもサポートする。DHCPは、以前のネットワークIP管理プロトコル、ブートストラッププロトコル(BOOTP)の拡張である。
1.既存のプロトコル
参照により全体が本明細書に組み込まれる、前述の、インターネット技術標準化委員会(IETF)のRFC2131では、動的ホスト構成プロトコル(DHCP)が定義されている。前述のように、DHCPは、TCP/IPネットワーク上でホストに構成情報を渡すためのフレームワークを提供する。DHCPは、再利用可能なネットワークアドレスの自動割り振りおよび追加構成オプションを可能にする機能を有する。
RFC3118およびRFC3315では、DHCP/DHCPv6メッセージが、遅延認証プロトコルを使ってどのようにして認証され得るかが記載されているが、遅延認証プロトコルを開始するのに必要な共用キーの構成に関しては全く記載されていない。他方、Draft-Yegin-EAP-Boot-rfc3118-00.txtでは、EAPベースのネットワークアクセス認証機構を使ってどのようにキーを生成すべきかが記載されており、このため、DHCPクライアントホストがネットワークに接続されたまさに最初の時点で、遅延認証プロトコルを開始することが可能になる。
終了:例えば、認証セッションが打ち切られた場合、
更新:例えば、認証セッションキーが更新された場合、
再始動:例えば、DHCPサーバが再始動される必要のある場合、
期間満了:DHCPバインディングの存続期間が満了した場合、および/または
新しいセッションの確立:例えば、新しい認証セッションが確立された場合。
「一般的なモデル」と表示された図1に、好ましい実施形態のいくつかが実施され得る基本環境を示す。この例示的環境において、オーセンティケータは、好ましくは、クライアントを認証し、アクセスネットワークを介したクライアントのネットワークアクセスを許可することのできる機能を有する機能エンティティである。加えて、EAPサーバは、好ましくは、EAPクライアントを認証するEAP認証方法を実行するエンティティである。加えて、PANAサーバは、好ましくは、EAPを使ってPANAクライアントを認証するエンティティである。
このセクションでは、いくつかの好ましい実施形態において、認証セッションが、意図的に、または意図せずに打ち切られたときに、オーセンティケータおよびDHCPサーバがどのような挙動を呈するかを説明する。これに関しては、参照のために「認証セッションが終了した場合のサーバの挙動」と表示された図3を使用する。
認証セッションの存続期間の満了、
クライアントの再認証時の障害、
クライアントからの終了要求の受け取り
が含まれる。このような状況において、オーセンティケータは、終了が事故であるとみなされる場合には、新しい認証セッションを再開しようするための認証要求メッセージを送っても、送らなくてもよい。
このサブセクションでは、クライアントの観点から、クライアントが、どのようにして、認証セッションの終了を扱うかについて説明する。これに関して、「認証セッションが終了した場合のクライアントの挙動」と表示された図4に、これに関連する特徴を示す。図4を参照すると、システムは、以下のステップを実行する。
認証セッションの存続期間の満了、
再認証の失敗、
終了要求
が含まれる。
いくつかの好ましい実施形態によれば、認証セッションキーが更新されるとき、DHCPキーが特別に処理される。好ましい実施形態では、3つの可能な方法が利用できる。
第1の実施形態によれば、第1の方法は、認証キーは変更されるが、DHCPキーが不変のままであることを含む。「AAAキー更新:方法1:DHCPキーが不変のまま」と表示された図5は、この実施形態の好ましい実現形態による特徴を示すのに役立つ。図5を参照すると、システムは、好ましくは、以下のステップを実行する。
第2の実施形態によれば、第2の方法は、DHCPキーが後で更新されることを含む。特に、認証セッションキーの変更は、即時にDHCPメッセージ交換を生じさせない。こうして、いくつかの好ましい実施形態において、DHCPサーバおよびクライアントは、キー変更後、最初にDHCPメッセージ交換を必要としたときに、DHCPキーを更新する。これに関して、「AAAキー更新:方法2:DHCPキー更新の据え置き」と表示された図6に、この例示的実施形態による好ましい特徴を示す。図6を参照すると、システムは、好ましくは、以下のステップを実行する。
第3の実施形態によれば、第3の方法は、キー変更の直後に、DHCPセッションが、新しいDHCPキーを使って再開されることを含む。「AAAキー更新:方法3:即時のDHCPキー更新」と表示された図7に、この例示的実施形態による特徴を示す。図7を参照すると、システムは、好ましくは、以下のステップを実行する。
いくつかの好ましい実施形態によれば、DHCPサーバは、リブート後に、または他の理由で、特別なやり方で再始動される。好ましい実施形態では、3つの用いられ得る可能な方法がある。
本発明の第1の実施形態によれば、第1の方法は、不揮発性記憶装置を使って状態を回復することを含む。これに関して、「DHCPサーバ再始動:方法1:不揮発性記憶」と表示された図8に、この実施形態による例示的特徴を示す。図8を参照すると、システムは、好ましくは、以下のステップを実行する。
別の実施形態によれば、第2の方法は、DHCPが最初から再始動することを含み得る。この場合、以前のキーテーブルおよびバインディングテーブルは廃棄される。また、各クライアントは、認証セッションを再開する必要がある。「DHCPサーバ再始動:方法2:最初からのリブート」と表示された図9に、この実施形態によるいくつかの例示的特徴を示す。図9を参照すると、システムは、好ましくは、以下のステップを実行する。
本発明の別の実施形態によれば、第3の方法は、DHCPサーバがオーセンティケータに、キー情報を再送するよう要求し、DHCPキーテーブルを復元することを含む。「DHCPサーバ再始動:方法3:オーセンティケータへのキーの要求」と表示された図10に、この実施形態による例示的特徴を示す。図10を参照すると、システムは、好ましくは、以下のステップを実行する。
このセクションでは、DHCPバインディングの存続期間が満了したときにDHCPクライアントがどのような挙動を呈するかを説明する。実施され得るいくつかの可能な方法がある。
既存の方法は、DHCPクライアントおよびサーバが、現在のキーを使って存続期間を延長することを伴う。これに関して、「DHCP存続期間満了:方法1:現在のDHCPキーの保持」と表示された図11に、この既存の方法の特徴を示す。図11を参照すると、システムは、好ましくは、以下のステップを実行する。
本発明の好ましい実施形態によれば、DHCPクライアントに、DHCPメッセージ交換の前に認証セッションを更新するよう要求させることを含む別の方法が用いられ得る。これに関して、「DHCP存続期間満了:方法2:再認証の要求」と表示された図12に、この実施形態による例示的特徴を示す。図11を参照すると、システムは、好ましくは、以下のステップを実行する。
好ましい実施形態によれば、オーセンティケータとクライアントの間で新しいDHCPキーを作成するために認証メッセージが交換される間、オーセンティケータは、好ましくは、DHCPキーがDHCPサーバに正常にインストールされるまで、新しい認証セッションが正常に確立されていることを指示するメッセージを返さないことになっている。このようにして、クライアントは、正常な認証セッションの確立後、直ちに、新しいキーを用いた新しいDHCPセッションを開始し、同時に、競合状態を回避することができる。
1.既存の方法
参照により全体が本明細書に組み込まれる、Internet Draft-IETF-EAP-RFC2284bis-09では、複数の認証方法をサポートする認証フレームワークである、拡張可能認証プロトコル(EAP)が定義されている。
EAPおよびPANAは、ネットワークアクセスの認証のためのフレームワークを提供する。加えて、遅延DHCP認証を使ってDHCPパケットを認証することもできる。これらのプロセスが一旦完了すると、クライアントは、例えば、アプリケーションデータないずれのパケットの送受信を開始してもよい。この時点において、EAP/PANAおよびDHCP認証は、もはやこのようなパケットのためのパケットごとの保護を提供しなくなり、サービス盗用の可能性が生じ得る。
3.1.ネットワーク例の概要
「ネットワーク例の概要」と表示された図14に、ネットワーク例を示す。この説明例では、ネットワークアクセスプロバイダが、オーセンティケータとしてのPAA、DHCPサーバ、ルータおよびレイヤ2ネットワークブリッジを有する。ブリッジは、オーセンティケータとDHCPサーバのためにネットワークに接続された物理ポートを有する。本明細書では、このポートを「サーバポート」と呼ぶ。図14では、P0という名前のポートがサーバポートである。
既存のネットワークブリッジは、MACアドレスとブリッジポートの間の関係を保存する、転送データベースという名前のテーブルを有する。本発明の好ましい実施形態では、いくつかの新しい種類の転送データベースがブリッジに導入されている。
第1の新規のデータベースの例を、許可された転送データベース(AFD)といい、好ましくは、MACアドレスとポート番号との対のリストを含む。以下の表1にAFDの例を示す。
第2の例示的な新規のデータベースの例を無許可の転送データベース(UFD)といい、好ましくは、MACアドレスとポート番号の対のリスト、すなわち、AFDと類似のものを含む。好ましくは、いずれのMACアドレスも、UFDに2回以上表示されない。好ましくは、システムは、AFDまたはUFDにすでに存在するMACアドレスを追加するのを妨げられる。好ましい実施形態では、所与のMACアドレスのレコードがUFDに存在する場合、これは、このMACアドレスを有し、このポートに接続されているとみなされるクライアントノードが、まだ、オーセンティケータによって認証されていないことを意味する。好ましくは、クライアントとオーセンティケータの間の認証セッションが確立されたとき(すなわち、クライアントが認証されたとき)に、このクライアントのMACアドレスに対応するレコードは、UFDから除去され、AFDに追加される。他方、好ましくは、認証メッセージ交換が、例えば、エラーまたはタイムアウトなどで失敗したとき、このクライアントに対応するレコードは、好ましくは、UFDから除去される。
第3の新規のデータベースの例をペナルティリスト(PL)といい、まさにAFDやUFDのような、MACアドレスとポート番号の対のリストを含む。好ましくは、PL内のレコードは、タイムスタンプやタイマ等の、タイムアウトを処理するためのタイムアウト情報も有する。好ましくは、PL内の各レコードは存続期間を有し、これは、統計的に特定の長さに設定されてもよく、実現形態に応じて動的に変更されてもよい。存続期間タイマが時間切れになると、レコードは、好ましくは、PLから自動的に除去される。
好ましい実施形態では、ブリッジは、好ましくは、前述のAFD、UFDおよびPL転送データベースに従ってパケットをフィルタする。好ましくは、クライアントポートPで受け取られるパケットは、レコードのMACアドレスフィールドがこのパケットのソースMACアドレスと等しく、レコードのポート番号フィールドがPを含む場合に、転送データベース内のレコードと正確にマッチするものとみなされる。他方、好ましくは、サーバポートで受け取られるパケットは、レコードのMACアドレスフィールドが、このパケットの宛先MACアドレスと等しい場合に、転送データベース内のレコードと正確にマッチするものとみなされる。
3.3.1.ポート識別タグに関する全般的説明
本明細書では、ブリッジの識別子(すなわち、ブリッジ識別子)とポート番号の組み合わせを「ポート識別子」と呼ぶ。好ましくは、ブリッジ識別子は、アクセスネットワークで使用されるブリッジの間で一意である。
いくつかのネットワークサーバは、これらのサーバのクライアントノードのMACアドレスによってセッションを区別する。PAA(PANAサーバ)およびDHCPサーバが、この種のサーバの例である。しかしながら、偶発的な、かつ/または意図的な攻撃のために、複数のノードが同じMACアドレスを有し得ると想定される場合、MACアドレスのみではセッションを識別するのに不十分である。
ポート識別タグは非常に効果的であるため、好ましくは、誤った、または悪意のある使用から隔離しておくべきである。攻撃者がPITを攻撃ツールとして使用するのを禁じるためには、ブリッジを、クライアントポートから送られたPITを有するパケットをブロックするように構成することが好ましい。例えば、図16を参照すると、いくつかの好ましい実施形態では、ブリッジ1およびブリッジ2は、ポート1からポート4までを介して送られたあらゆるPITパケットを廃棄し、図のポート0を介して送られたPITのみを受け入れるように構成されていてもよい。加えて、外部ネットワーク、例えばインターネットなどへの接続がある場合、ゲートウェイルータまたはファイアウォールは、好ましくは、外部ネットワークから、かつ/または外部ネットワークに送られるPITパケットを廃棄するように構成されるべきである。
いくつかの例示的実施形態において、PITを実施する方法には、例えば、
UDP/IPカプセル化、
新規のイーサタイプ、
新規のIPオプション
などが含まれ得る。
また、いくつかの好ましい実施形態では、PAAおよび/またはDHCPサーバの偽装を防ぐために、ブリッジは、あるクライアントポートから別のクライアントポートにPANAおよびDHCPパケットを転送しないように構成されていてもよい。
以下の各セクションでは、2つの例示的実現形態を説明する。これらは、単なる説明例にすぎないことを、本開示に基づいて理解すべきである。
4.1.1.第1の例のシナリオ
第1の例示的実現形態によれば、システムは、AFD、UFD、および任意選択的に、PLを用いることができる。好ましい実施形態では、システムは、以下の少なくとも一部、好ましくは全部を実行するはずである。
4.1.2.1.脅威1:スプーフィングによるサービス盗用
「例1:脅威1」と表示された図26を参照すると、場合により、攻撃者は、クライアント1が認証された後、またはクライアント1が認証されようとする直前に、クライアントのMACアドレスMAC1を偽装してパケットを送ることもできる。例えば、これは、悪意のある情報に従ってブリッジにこれの(1つまたは複数の)転送データベースを更新させ、クライアント1にアドレス指定された後続のパケットを、正当なクライアント1ではなく攻撃者に転送させようとする意図をもって行うことができる。これが、サービス盗用攻撃の一例である。
図27乃至図29を参照すると、場合により、攻撃者は、クライアント1のネットワークへの最初の接続の前に、クライアント1のMACアドレスMAC1を偽装したパケットを送ってもよい。例えば、攻撃者が、MAC1を偽装したパケットをブリッジに送った場合、ブリッジは、UFDに新しいレコードを作成するはずであり、そのため、このレコードが存在する間、後でクライアント1によって送られるパケットは、ブリッジによってブロックされることになる。
「例1:脅威3」と表示された図30を参照して、第1のユーザ「ユーザ1」がノード「クライアント1」を使用し、第2のユーザ「ユーザ2」がノード「クライアント2」を使用する状況を考察する。図示のように、クライアント1は、P1に接続されており、クライアント2はP2に接続されている。この例では、各ユーザ、ユーザ1およびユーザ2は、オーセンティケータ上に独自のアカウントを有する。ユーザ1がネットワークに接続するのを妨げるために、攻撃者ユーザ2は、クライアント1のMACアドレスを偽装して、クライアント2をネットワークに接続することができる。ユーザ2が認証に失敗した場合、状況は、前のセクションで説明している脅威2の場合と同様である。しかしながら、この場合、ユーザ2は、オーセンティケータ上に有効なアカウントを有するため、このユーザ自身のユーザクリデンシャル(資格情報)を使って認証を得ることができる。クライアント2は、ユーザ2のクリデンシャルを使って認証されるため、クライアント2のレコードがAFDに作成される。したがって、クライアント1は、これにより、ブリッジB1に接続できなくなる可能性がある。この種の攻撃を防ぐために、ネットワーク管理者は、不当なユーザ2のクリデンシャルを取り消すことができる。代替として、管理者は、ユーザ1のクリデンシャルのみがMAC1の認証に使用できるように、オーセンティケータを構成することもできる。
4.2.1.第2の例のシナリオ
第2の例示的実現形態によれば、システムは、AFD、PIT、および任意選択的にPLを用いることができる。好ましい実施形態では、システムは、以下の少なくとも一部、好ましくは全部を実行することになる。
4.2.2.1.脅威1:スプーフィングによるサービス盗用
図38から図39を参照すると、場合により、攻撃者は、クライアント1が認証された後、またはクライアント1が認証されようとする直前に、クライアント1のMACアドレスMAC1を偽装したパケットを送ることがある。これは、悪意のある情報に従ってブリッジにこれの転送データベースを更新させ、クライアント1にアドレス指定された後続のパケットを、正当なクライアント1にではなく、攻撃者に転送させようとする意図をもって行われてよい。しかし、オーセンティケータおよびDHCPサーバは、好ましくは、MACアドレスによってのみならず、ポート識別子によってもセッションを区別する。したがって、これらは、異なるポートから送られた偽装パケットによって混乱させられるべきではない。「例2:脅威1および2:ステップ5−Aにおける複数セッション」と表示された図38を参照されたい。加えて、ステップ6−Aでクライアント1が認証され、クライアント1のレコードがAFDに追加されると、P1以外のポートを介したMAC1との間のあらゆるパケット交換が妨げられることになる。結果として、この種の攻撃は失敗となるべきである。「例2:脅威1および2:ステップ7−A」と表示された図39を参照されたい。
やはり図38から図39を参照すると、場合によって、攻撃者は、クライアント1のネットワークへの最初の接続の前に、クライアント1のMACアドレスMAC1を偽装したパケットを送ることがある。これは、前述のUFDを使った実現形態ではおそらく問題となる可能性もあるが、前述のPITを使った実現形態では問題となってはならない。
次に、a)ユーザ「ユーザ1」がノード「クライアント1」を使用し、ユーザ「ユーザ2」が「クライアント2」を使用し、b)クライアント1はポートP1に接続されており、クライアント2はポートP2に接続されており、c)ユーザ1とユーザ2は、それぞれ、オーセンティケータ上に独自のアカウントを有する場合の例を考察する。ユーザ1がネットワークに接続するのを妨げるために、攻撃者ユーザ2は、クライアント1のMACアドレスを偽装して、クライアント2をネットワークに接続することができる。ユーザ2が認証に失敗した場合、状況は、前のセクションで説明している脅威2に同様である。しかしながら、今回、ユーザ2は、オーセンティケータ上に有効なアカウントを有するため、ユーザ自身のユーザクリデンシャルを使って認証できる。さらに、クライアント2は、ユーザ2のクリデンシャルを使って認証されるため、クライアント2のレコードがAFDに作成される。結果として、クライアント1は、このために、ブリッジB1に接続することができなくなる可能性がある。
1.背景情報
1.1.参照文献
以下の一般的背景の参照文献全部を、参照により本明細書に組み込むものである。
本開示において、「マルチキャストルータ」という用語には、例えば、IPマルチキャストパケットを転送することのできるルータが含まれる。いくつかの例では、同じIPリンクに複数のIPマルチキャストルータがある場合もある。
図40に、IPマルチキャストネットワークの例を示す。この説明例で、S1およびS2は、ネットワークに、特定のマルチキャストアドレスGに向けられたIPマルチキャストパケットを発信するノードである。R1、R2およびR3は、IPマルチキャストパケットを転送することのできるルータである。加えて、D1、D2およびD3は、IPマルチキャストパケットの最終受信者となるノードである。この説明例では、各リンクがポイントツーポイントリンクであるものとする。
マルチキャストリスナ発見(MLD)は、マルチキャストリスナ状態を維持するために同じIPリンク上のIPv6マルチキャストルータとIPv6マルチキャストリスナの間で実行するように設計されたプロトコルである。
図47乃至図48に、図45から図46に示すMLD手順の完了後の(S1,G)マルチキャストパケットのパケット転送を示す。図47において、リンク層スイッチSWは、いわゆる「MLDスヌープ」([MLDSNOOP]参照)の機能を有していない。図48において、リンク層スイッチSWは、この「MLDスヌープ」機能を有する。MLDスヌープ(snooping)を有するリンク層スイッチは、リンク層フレームのペイロードを調べて、MLDヘッダまたはペイロードおよびICMPを含む上位層情報を参照し、IPマルチキャストパケットを搬送するリンク層マルチキャストデータフレームを、MLDメッセージ交換を監視することによって、マルチキャストリスナの存在が知られているポートにだけ転送する。より具体的には、マルチキャストリスナは、スイッチがポート上でMLRメッセージを参照する場合にこのスイッチのポートに存在するものとみなされ、マルチキャスト宛先アドレスやマルチキャストソースアドレス等の、MLRメッセージペイロードの内容を使用することによって、よりきめ細かい(またより効率的な)リンク層マルチキャスト転送が可能になる。MLDスヌープがないと、スイッチは、転送が許容されている任意のリンク層マルチキャストデータフレームを、マルチキャストリスナがないポートを含むすべてのポートに転送することになり、非効率的なリソース使用をもたらしかねない。
MLD認証プロトコルまたはMLDAプロトコルと呼ばれるMLDのセキュアな拡張が、上記の参照文献[MLDA]で定義されている。MLDAプロトコルは、リンク上の認証されたマルチキャストリスナのみが、マルチキャストルータのこのリンクのマルチキャストリスナ状態を更新することができるように、マルチキャストリスナがマルチキャストルータへの認証を受ける機能を提供する。このように、MLD認証は、データトラフィックを、認証され、許可されている加入者ノードだけに転送することによる加入ベースのマルチキャストストリーミングコンテンツ配信に使用され得る。MLDAは、マルチキャストリスナを認証するためにPAP(パスワード認証プロトコル)およびCHAP(チャレンジ/応答認証プロトコル)認証プロトコルをサポートしており、これは、マルチキャストリスナのパスワードがアクセスネットワーク内のあらゆるマルチキャストルータ上に保存されるのを回避するために、マルチキャストルータ上にAAAクライアント機能を有することによって、マルチキャストリスナが、バックエンドAAA(認証、許可およびアカウンティング)サーバによって認証されるようにする。
SRTP(セキュアなリアルタイムトランスポートプロトコル)は、上記参照文献[RFC3711]に記載されており、アプリケーション層のパケットごとの暗号化、保全性保護および反復再生の保護を提供する。
以下で説明するように、既存の方法には様々な問題および限界がある。
第1の問題には、MLD自体が、無許可のリスナが、マルチキャストパケットを受け取るためにマルチキャストリスナ状態を変更するMLRメッセージを送ることを妨げないことが関与しており、これは、リスナとマルチキャストルータの間のリンクの種類(ポイントツーポイントや共用など)を問わず、また、共用リンクの場合にリンク上でMLDスヌープが使用されているか否かに関わりなく、マルチキャストベースのサービスへのただ乗りを招くことになる。
第2の問題には、MLDAによってサポートされている認証プロトコルの弱点に起因するセキュリティ問題が関与する。MLDAによってサポートされているPAPとCHAPの両方が、PAPおよびCHAPの共用キーとしてマルチキャストリスナの静的パスワードが使用されているときに、辞書攻撃に対して脆弱であることが知られているため、これらのアルゴリズムの使用は危険であり、これらの認証プロトコルが、セキュアな通信路を介して実行されるものでない限り推奨されない。特に、PAPおよびCHAPは、攻撃者が、ユーザパスワードを獲得し、または推測するために、容易に偽のアクセスポイントになりすますことのできる無線LANを介して使用されるべきではない。
第3の問題には、MLDAが、MLDAペイロードの機密保持を提供しないことが関与する。さらに、MLDAは、MLDへの変更も必要とする。
第4の問題に関与するのは、MLDAはAAAと統合できるが、大部分の商用アクセスネットワークは、やはりAAAと統合されるネットワークアクセス認証を必要とするため、好ましくはできる限り回避されるべきである、AAA手順を2回実行すること、すなわち、一度はグローバルIPアドレスを獲得するネットワークアクセス認証のために、一度はクリデンシャルを受け取るために提示することを考慮すると、マルチキャストリスナでもあるネットワークアクセスクライアントが、非効率的な信号を生じることになる可能性がある点である。
第5の問題には、MLDAおよびIEEE802.11iを含むネットワーク層および/またはリンク層セキュリティ機構のみに頼った解決策では、無線アクセスリンクを介してネットワークアクセスを認証され、許可されているクライアントが、リンク上で他のマルチキャストリスナに転送されたマルチキャストデータパケットを受信し、復号化するのを防ぐことができない点が関与する。これは、完全に共用されているアクセスリンクを介したマルチキャストサービスのただ乗りを回避するには、SRTP([RFC3711]参照)など上位層のパケットごとのセキュリティ機構が必要とされることを意味する。このような上位層のパケットごとのマルチキャストセキュリティ機構は、マルチキャストキー配布手順を自動化するために、マルチキャストリスナにマルチキャスト暗号キーを配信する交換プロトコルを必要とする。上記MIKEY([MICKEY]参照)およびKINK([KINK]参照)は、このようなものとして機能するように設計されている。しかしながら、このようなマルチキャストキー交換プロトコルを使用するのに必要なクリデンシャルを確立する実際の解決策はない。
3.1.ネットワークアクセス認証からのMLDAのブートストラップ
MLDAを使用することの1つの問題は、マルチキャストリスナの静的パスワードをMLDAにおけるPAPおよびCHAPの共用シークレットキーとして使用することに起因する。1つの解決策は、MLDAにおけるPAPおよびCHAPに動的に生成された共用シークレットキーを使用することである。共用シークレットキーは、好ましくは、このシークレットキーが限られた期間の間だけ有効であるような存続期間を有する。本開示では、MLDAで使用される共用シークレットキーに基づいたマルチキャストリスナとマルチキャストルータの間のセキュリティアソシエーションを、MLDAセキュリティアソシエーションまたはMLDA SAといい、共用シークレットキーをMLDAキーという。好ましい実施形態において、MLDAキーの動的生成をアーカイブする2つの例示的方法を以下で説明する。
MLDAを使用する代わりに、IPsec AHおよび/またはESPを使ってMLDプロトコル交換を保護することも可能である。この方法は、保全性保護および反復再生の保護のみならず、MLDメッセージの内容の機密保護も提供する。加えて、この方法は、MLDプロトコル自体への変更を全く必要としない。これら2つ(IPsec AHおよび/またはESP)は、前のセクション2で説明した問題3のための解決策を提供する。MLDプロトコルは(例えばリンクローカルなどの)マルチキャスト通信に基づくものであるため、基礎をなすIPsec SAは、(例えば、MLDの場合のマルチキャストリスナとマルチキャストルータの間の)多対多アソシエーションであるグループセキュリティアソシエーションまたはGSA([RFC3740]参照)を形成する。IPsec GSAを自動的に作成するために、マルチキャストキー管理プロトコルが使用されてよい。GSAを確立するのに使用できる、GSAKMP([GSAKMP]参照)、MIKEY([MlKEY]参照)、KINK([KlNK]参照)等の、いくつかのキー管理プロトコルがある。
いくつかの実施形態では、レイヤ2マルチキャストフレームの限られたポートの組へのコピー(限られたマルチキャスト機能など)をサポートするリンク層スイッチが、共用リンクを介したマルチキャストトラフィックのアクセス制御に使用できる。
セクション2で問題5に関して説明したように、完全に共用されているアクセスリンクを介したマルチキャストサービスのただ乗りを回避するには、SRTP([RFC3711]参照)など、上位レベルのパケットごとにセキュリティ機構が必要である。このような機構は、アプリケーションデータトラフィックの暗号化を含む。このようなアプリケーション層セキュリティが、大規模な環境で動作するためには、マルチキャストキーを用いたセキュアなアプリケーションセッションのためのセキュリティアソシエーションを自動的に確立する機構が使用されるはずである。いくつかの実施形態では、これをアーカイブする2つの例示的方法があり、これらを以下で詳細に説明する。
本明細書では、本発明の例示的実施形態を説明しているが、本発明は、本明細書で説明する様々な好ましい実施形態のみに限定されるものではなく、本開示に基づき、当分野の技術者によって理解されるであろう、同等の要素、改変、省略、(様々な実施形態にまたがる態様などの)組み合わせ、適合および/または変更を有する任意の実施形態すべてを含むものである。特許請求の範囲における限定は、特許請求の範囲で用いられている言語に基づいて広く解釈されるべきであり、本明細書において、または本願の出願手続中に示される、非排他的であると解釈されるべきである例のみに限定されるものではない。例えば、本開示において、「好ましくは」という用語は、非排他的ということであり、「好ましくは、しかし、これに限られるものではないが」を意味する。本開示および本願の出願手続中において、手段プラス機能限定またはステッププラス機能限定は、特定の請求項限定について、この限定に、a)「〜の手段」または「〜のステップ」が明示的に記載されている、b)対応する機能が明示的に記載されている、そしてc)構造、材料またはこの構造を支持する動作が記載されていないという条件すべてが存在する場合に限って用いられる。本開示および本願の出願手続中において、「本発明」または「発明」という用語は、本開示内の1つまたは複数の態様に言及するものとして使用されてよい。本発明または発明という言葉は、重要度を識別するものであると不適切に解釈されるべきではなく、すべての態様または実施形態にまたがって適用されるものであると不適切に解釈されるべきでなく(すなわち、本発明はいくつかの態様と実施形態を有すると理解されるべきであり)、本願または特許請求の範囲を限定するものであると不適切に解釈されるべきではない。本開示および本願の出願手続中において、「実施形態」という用語は、任意の態様、機能、プロセスまたはステップ、これらの任意の組み合わせ、および/またはこれらの任意の部分などを示すのに使用され得る。いくつかの例では、様々な実施形態が、重なり合う機能を含んでいることがある。本開示では、「例えば」を意味する「e.g.」、および「注記」を意味する「NB」という省略用語が用いられることがある。
Claims (25)
- 動的ホスト構成およびネットワークアクセス認証をバインドする方法であって、少なくとも1つのクライアント機器を認証するネットワークアクセスオーセンティケータネットワークノードを設けることと、クライアント機器のIPアドレスを動的に配信する動的ホスト構成サーバネットワークノードを設けることと、認証セッションと動的ホスト構成セッションのいずれかが失われたときに、前記少なくとも1つのクライアント機器と前記ネットワークアクセスオーセンティケータネットワークノードの間の認証セッションと、前記動的ホスト構成サーバネットワークノードと前記少なくとも1つのクライアント機器の間の動的ホスト構成セッションとの同期を維持することと、を備え、
前記方法は前記少なくとも1つのクライアント機器と前記ネットワークアクセスオーセンティケータネットワークノードとの間の認証セッションと前記動的ホスト構成サーバネットワークノードと前記少なくとも1つのクライアント機器との間の前記動的ホスト構成セッションとの同期を前記認証セッション及び前記動的ホスト構成セッションの存続期間にわたり維持することを含む、方法。 - 動的ホスト構成およびネットワークアクセス認証をバインドするシステムであって、少なくとも1つのクライアント機器を認証するネットワークアクセスオーセンティケータネットワークノードと、クライアント機器のIPアドレスを動的に配信するように構成されている動的ホスト構成サーバネットワークノードと、を備え、認証セッションと動的ホスト構成セッションのいずれかが失われたときに同期を維持するようなやり方で、前記少なくとも1つのクライアント機器と前記ネットワークアクセスオーセンティケータネットワークノードの間の認証セッションと、前記動的ホスト構成サーバネットワークノードと前記少なくとも1つのクライアント機器の間の動的ホスト構成セッションとの同期を維持するように構成され、
前記システムは前記少なくとも1つのクライアント機器と前記ネットワークアクセスオーセンティケータネットワークノードとの間の認証セッションと前記動的ホスト構成サーバネットワークノードと前記少なくとも1つのクライアント機器との間の前記動的ホスト構成セッションとの同期を前記認証セッション及び前記動的ホスト構成セッションの存続期間にわたり維持するように構成される、システム。 - 前記ネットワークアクセスオーセンティケータは、認証プロトコルを使ってネットワークアクセスのための認証情報を搬送する、請求項2に記載のシステム。
- 前記認証プロトコルは、ネットワークアクセスのための認証情報を搬送するプロトコルとしてPANAを含む、請求項3に記載のシステム。
- ネットワークアクセスのための認証情報を搬送する前記プロトコルによって搬送される認証プロトコルとしてEAPが使用される、請求項4に記載のシステム。
- 前記動的ホスト構成サーバは、動的ホスト構成プロトコル(DHCP)サーバである、請求項2に記載のシステム。
- 前記オーセンティケータは、認証セッションの終了時に、前記動的ホスト構成サーバに前記セッションが終了していることを知らせるメッセージを送信するように構成されている、請求項2に記載のシステム。
- 前記メッセージは、前記動的ホスト構成サーバに、前記認証セッションから導出された動的ホスト構成キーがもはや有効ではないことを知らせる、請求項7に記載のシステム。
- 前記システムは、前記動的ホスト構成サーバ内の構成ファイルを更新するように構成されている、請求項7に記載のシステム。
- 前記システムは、前記動的ホスト構成サーバ内の構成ファイルを書き換え、または再ロードするように構成されている、請求項7に記載のシステム。
- 前記オーセンティケータは、前記動的ホスト構成サーバに、クライアント構成を削除するよう求める削除要求を送るように構成されている、請求項7に記載のシステム。
- 前記システムは、認証セッションの終了時に、動的ホスト構成キーをこのままにして、認証セッションを更新するように構成されている、請求項2に記載のシステム。
- 前記システムは、認証セッションの終了時に、認証セッションキーは更新するが、動的ホスト構成キーは後で更新するように構成されている、請求項2に記載のシステム。
- 認証セッションの終了時に、前記オーセンティケータとクライアントの間で新しい認証セッションキーが確立されるシステムであり、前記システムは新しい動的ホスト構成キーを使って直ちに前記動的ホスト構成セッションを再始動するように構成されている、請求項2に記載のシステム。
- 前記システムは、前記動的ホスト構成サーバの再始動時に、不揮発性記憶装置を使って前記動的ホスト構成キーの状態が回復されるように構成されている、請求項2に記載のシステム。
- 前記動的ホスト構成サーバは、再始動時に、動的ホスト構成キーテーブルおよびバインディングテーブルを不揮発性記憶装置に保存するように構成されている、請求項15に記載のシステム。
- 前記システムは、前記動的ホスト構成サーバのリブート時に、前記動的ホスト構成サーバが、前記オーセンティケータに、動的ホスト構成キーが消去されていることを知らせるように構成されるように構成されている、請求項2に記載のシステム。
- 前記システムは、前記動的ホスト構成サーバのリブート時に、前記オーセンティケータが、動的ホスト構成キーが消去されていることを知るように、前記動的ホスト構成サーバのリブートについて気付かせるように構成されている、請求項2に記載のシステム。
- 前記システムは、前記動的ホスト構成サーバが、動的ホスト構成キー情報の喪失時に、前記オーセンティケータに、動的ホスト構成キー情報を再送するよう要求し、前記オーセンティケータからの応答に基づいて前記動的ホスト構成キーテーブルを復元するように構成されるように構成されている、請求項2に記載のシステム。
- 前記動的ホスト構成サーバは、前記動的ホスト構成サーバが始動するときに、前記オーセンティケータに動的ホスト構成キーを再送するよう要求するように構成されている、請求項19に記載のシステム。
- 前記オーセンティケータは、前記動的ホスト構成サーバに、すべての有効な動的ホスト構成キーを送るように構成されている、請求項19に記載のシステム。
- 前記システムは、動的ホスト構成バインディングの失効時に、クライアントが、前記オーセンティケータに、動的ホスト構成メッセージ交換の前に前記動的ホスト構成キーを再認証し、更新するよう要求するように構成されている、請求項2に記載のシステム。
- 前記システムは、動的ホスト構成バインディングの失効時に、前記動的ホスト構成サーバが、前記オーセンティケータに、動的ホスト構成メッセージ交換の前に前記動的ホスト構成キーを再認証し、更新するよう要求するように構成されている、請求項2に記載のシステム。
- 前記システムは、前記オーセンティケータとクライアントの間で新しい動的ホスト構成キーを作成するために認証メッセージが交換されている間に、前記オーセンティケータが、前記動的ホスト構成キーが前記動的ホスト構成サーバにインストールされるまで、新しい認証セッションが正常に確立されていることを指示するメッセージの送信を回避するように構成されるように構成されている、請求項2に記載のシステム。
- 動的ホスト構成およびネットワークアクセス認証をバインドするシステムであって、少なくとも1つのクライアント機器を認証するネットワークアクセスオーセンティケータネットワークノードと、クライアント機器のIPアドレスを動的に配布するように構成されている動的ホスト構成サーバネットワークノードと、を備え、前記動的ホスト構成セッションの初回のブートストラップ後に、前記少なくとも1つのクライアント機器と前記ネットワークアクセスオーセンティケータネットワークノードの間の認証セッションと、前記動的ホスト構成サーバネットワークノードと前記少なくとも1つのクライアント機器の間の動的ホスト構成セッションとの同期を取るように構成され、
前記システムは前記少なくとも1つのクライアント機器と前記ネットワークアクセスオーセンティケータネットワークノードとの間の認証セッションと前記動的ホスト構成サーバネットワークノードと前記少なくとも1つのクライアント機器との間の前記動的ホスト構成セッションとの同期を前記認証セッション及び前記動的ホスト構成セッションの存続期間にわたり維持するように構成される、システム。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US58640004P | 2004-07-09 | 2004-07-09 | |
US60/586,400 | 2004-07-09 | ||
US10/975,497 US8688834B2 (en) | 2004-07-09 | 2004-10-29 | Dynamic host configuration and network access authentication |
US10/975,497 | 2004-10-29 | ||
PCT/US2005/024160 WO2006017133A2 (en) | 2004-07-09 | 2005-07-08 | Dynamic host configuration and network access authentication |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010057792A Division JP5470113B2 (ja) | 2004-07-09 | 2010-03-15 | 動的ホスト構成およびネットワークアクセス認証 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008536338A JP2008536338A (ja) | 2008-09-04 |
JP5000501B2 true JP5000501B2 (ja) | 2012-08-15 |
Family
ID=35801300
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007520512A Expired - Fee Related JP5000501B2 (ja) | 2004-07-09 | 2005-07-08 | 動的ホスト構成およびネットワークアクセス認証 |
JP2010057792A Expired - Fee Related JP5470113B2 (ja) | 2004-07-09 | 2010-03-15 | 動的ホスト構成およびネットワークアクセス認証 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010057792A Expired - Fee Related JP5470113B2 (ja) | 2004-07-09 | 2010-03-15 | 動的ホスト構成およびネットワークアクセス認証 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8688834B2 (ja) |
EP (1) | EP1769384B1 (ja) |
JP (2) | JP5000501B2 (ja) |
KR (5) | KR101591609B1 (ja) |
CN (1) | CN101416176B (ja) |
WO (1) | WO2006017133A2 (ja) |
Families Citing this family (168)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7885644B2 (en) * | 2002-10-18 | 2011-02-08 | Kineto Wireless, Inc. | Method and system of providing landline equivalent location information over an integrated communication system |
US7533407B2 (en) * | 2003-12-16 | 2009-05-12 | Microsoft Corporation | System and methods for providing network quarantine |
JP4298530B2 (ja) * | 2004-01-30 | 2009-07-22 | キヤノン株式会社 | 通信装置 |
JP2005217976A (ja) * | 2004-01-30 | 2005-08-11 | Canon Inc | 電子機器及びその制御方法 |
US7558845B2 (en) * | 2004-02-19 | 2009-07-07 | International Business Machines Corporation | Modifying a DHCP configuration for one system according to a request from another system |
US20050267954A1 (en) * | 2004-04-27 | 2005-12-01 | Microsoft Corporation | System and methods for providing network quarantine |
US7865723B2 (en) * | 2004-08-25 | 2011-01-04 | General Instrument Corporation | Method and apparatus for multicast delivery of program information |
US20060085850A1 (en) * | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
US8619662B2 (en) * | 2004-11-05 | 2013-12-31 | Ruckus Wireless, Inc. | Unicast to multicast conversion |
TWI391018B (zh) | 2004-11-05 | 2013-03-21 | Ruckus Wireless Inc | 藉由確認抑制之增強資訊量 |
US8638708B2 (en) | 2004-11-05 | 2014-01-28 | Ruckus Wireless, Inc. | MAC based mapping in IP based communications |
US7505447B2 (en) | 2004-11-05 | 2009-03-17 | Ruckus Wireless, Inc. | Systems and methods for improved data throughput in communications networks |
JP3910611B2 (ja) * | 2004-12-28 | 2007-04-25 | 株式会社日立製作所 | 通信支援サーバ、通信支援方法、および通信支援システム |
KR100714687B1 (ko) * | 2004-12-31 | 2007-05-04 | 삼성전자주식회사 | 복수의 칼럼으로 구성된 그래픽 사용자 인터페이스를제공하는 장치 및 방법 |
US20060190997A1 (en) * | 2005-02-22 | 2006-08-24 | Mahajani Amol V | Method and system for transparent in-line protection of an electronic communications network |
US20060195610A1 (en) * | 2005-02-28 | 2006-08-31 | Sytex, Inc. | Security Enhanced Methods And System For IP Address Allocation |
US20060250966A1 (en) * | 2005-05-03 | 2006-11-09 | Yuan-Chi Su | Method for local area network security |
US7813511B2 (en) * | 2005-07-01 | 2010-10-12 | Cisco Technology, Inc. | Facilitating mobility for a mobile station |
US7506067B2 (en) * | 2005-07-28 | 2009-03-17 | International Business Machines Corporation | Method and apparatus for implementing service requests from a common database in a multiple DHCP server environment |
US9066344B2 (en) * | 2005-09-19 | 2015-06-23 | Qualcomm Incorporated | State synchronization of access routers |
US7542468B1 (en) * | 2005-10-18 | 2009-06-02 | Intuit Inc. | Dynamic host configuration protocol with security |
US7526677B2 (en) * | 2005-10-31 | 2009-04-28 | Microsoft Corporation | Fragility handling |
US20070256085A1 (en) * | 2005-11-04 | 2007-11-01 | Reckamp Steven R | Device types and units for a home automation data transfer system |
US7870232B2 (en) * | 2005-11-04 | 2011-01-11 | Intermatic Incorporated | Messaging in a home automation data transfer system |
US7698448B2 (en) * | 2005-11-04 | 2010-04-13 | Intermatic Incorporated | Proxy commands and devices for a home automation data transfer system |
US20070121653A1 (en) * | 2005-11-04 | 2007-05-31 | Reckamp Steven R | Protocol independent application layer for an automation network |
US7694005B2 (en) * | 2005-11-04 | 2010-04-06 | Intermatic Incorporated | Remote device management in a home automation data transfer system |
US7903647B2 (en) * | 2005-11-29 | 2011-03-08 | Cisco Technology, Inc. | Extending sso for DHCP snooping to two box redundancy |
US7827545B2 (en) * | 2005-12-15 | 2010-11-02 | Microsoft Corporation | Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy |
US8615591B2 (en) * | 2006-01-11 | 2013-12-24 | Cisco Technology, Inc. | Termination of a communication session between a client and a server |
US8006089B2 (en) * | 2006-02-07 | 2011-08-23 | Toshiba America Research, Inc. | Multiple PANA sessions |
US20070198525A1 (en) * | 2006-02-13 | 2007-08-23 | Microsoft Corporation | Computer system with update-based quarantine |
US7675854B2 (en) | 2006-02-21 | 2010-03-09 | A10 Networks, Inc. | System and method for an adaptive TCP SYN cookie with time validation |
US7689168B2 (en) * | 2006-03-30 | 2010-03-30 | Sony Ericsson Mobile Communications Ab | Remote user interface for Bluetooth™ device |
US7793096B2 (en) * | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
US20080076425A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for resource management |
JP4855162B2 (ja) * | 2006-07-14 | 2012-01-18 | 株式会社日立製作所 | パケット転送装置及び通信システム |
US20080019376A1 (en) * | 2006-07-21 | 2008-01-24 | Sbc Knowledge Ventures, L.P. | Inline network element which shares addresses of neighboring network elements |
CN101127600B (zh) * | 2006-08-14 | 2011-12-07 | 华为技术有限公司 | 一种用户接入认证的方法 |
US8625456B1 (en) * | 2006-09-21 | 2014-01-07 | World Wide Packets, Inc. | Withholding a data packet from a switch port despite its destination address |
US7995994B2 (en) * | 2006-09-22 | 2011-08-09 | Kineto Wireless, Inc. | Method and apparatus for preventing theft of service in a communication system |
US8036664B2 (en) * | 2006-09-22 | 2011-10-11 | Kineto Wireless, Inc. | Method and apparatus for determining rove-out |
US20080076392A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for securing a wireless air interface |
US8204502B2 (en) | 2006-09-22 | 2012-06-19 | Kineto Wireless, Inc. | Method and apparatus for user equipment registration |
US8073428B2 (en) | 2006-09-22 | 2011-12-06 | Kineto Wireless, Inc. | Method and apparatus for securing communication between an access point and a network controller |
EP2074747B1 (en) * | 2006-09-28 | 2015-08-05 | PacketFront Network Products AB | Method for automatically providing a customer equipment with the correct service |
US8279829B2 (en) * | 2006-10-10 | 2012-10-02 | Futurewei Technologies, Inc. | Multicast fast handover |
US8312507B2 (en) | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
US8584199B1 (en) | 2006-10-17 | 2013-11-12 | A10 Networks, Inc. | System and method to apply a packet routing policy to an application session |
US8418241B2 (en) * | 2006-11-14 | 2013-04-09 | Broadcom Corporation | Method and system for traffic engineering in secured networks |
US8112803B1 (en) * | 2006-12-22 | 2012-02-07 | Symantec Corporation | IPv6 malicious code blocking system and method |
US8245281B2 (en) * | 2006-12-29 | 2012-08-14 | Aruba Networks, Inc. | Method and apparatus for policy-based network access control with arbitrary network access control frameworks |
US8270948B2 (en) * | 2007-01-18 | 2012-09-18 | Toshiba America Research, Inc. | Solving PANA bootstrapping timing problem |
US9661112B2 (en) * | 2007-02-22 | 2017-05-23 | International Business Machines Corporation | System and methods for providing server virtualization assistance |
US8019331B2 (en) * | 2007-02-26 | 2011-09-13 | Kineto Wireless, Inc. | Femtocell integration into the macro network |
US8145905B2 (en) | 2007-05-07 | 2012-03-27 | Qualcomm Incorporated | Method and apparatus for efficient support for multiple authentications |
US20100046516A1 (en) * | 2007-06-26 | 2010-02-25 | Media Patents, S.L. | Methods and Devices for Managing Multicast Traffic |
ES2358546T3 (es) * | 2007-06-26 | 2011-05-11 | Media Patents, S. L. | Router para administrar grupos multicast. |
CN101355425A (zh) * | 2007-07-24 | 2009-01-28 | 华为技术有限公司 | 组密钥管理中实现新组员注册的方法、装置及系统 |
US8547899B2 (en) | 2007-07-28 | 2013-10-01 | Ruckus Wireless, Inc. | Wireless network throughput enhancement through channel aware scheduling |
US8310953B2 (en) * | 2007-08-21 | 2012-11-13 | International Business Machines Corporation | Method and apparatus for enabling an adapter in a network device to discover the name of another adapter of another network device in a network system |
US8509440B2 (en) * | 2007-08-24 | 2013-08-13 | Futurwei Technologies, Inc. | PANA for roaming Wi-Fi access in fixed network architectures |
US8806565B2 (en) * | 2007-09-12 | 2014-08-12 | Microsoft Corporation | Secure network location awareness |
US8239549B2 (en) * | 2007-09-12 | 2012-08-07 | Microsoft Corporation | Dynamic host configuration protocol |
US20090232310A1 (en) * | 2007-10-05 | 2009-09-17 | Nokia Corporation | Method, Apparatus and Computer Program Product for Providing Key Management for a Mobile Authentication Architecture |
KR20090036335A (ko) * | 2007-10-09 | 2009-04-14 | 삼성전자주식회사 | 휴대 방송 시스템에서 효율적인 키 제공 방법 및 그에 따른시스템 |
US8064449B2 (en) * | 2007-10-15 | 2011-11-22 | Media Patents, S.L. | Methods and apparatus for managing multicast traffic |
EP2213042A1 (en) * | 2007-10-15 | 2010-08-04 | Media Patents, S. L. | Method for managing multicast traffic in a data network and network equipment using said method |
KR100942719B1 (ko) * | 2007-10-22 | 2010-02-16 | 주식회사 다산네트웍스 | 동적 호스트 설정 프로토콜 스누핑 기능을 구비한 장치 |
KR100958283B1 (ko) * | 2007-10-22 | 2010-05-19 | 주식회사 다산네트웍스 | 동적 호스트 설정 프로토콜 스누핑 기능을 구비한 장치 |
US9225684B2 (en) * | 2007-10-29 | 2015-12-29 | Microsoft Technology Licensing, Llc | Controlling network access |
WO2009056175A1 (en) * | 2007-10-30 | 2009-05-07 | Soporte Multivendor S.L. | Method for managing multicast traffic between routers communicating by means of a protocol integrating the pim protocol; and router and switch involved in said method |
US8295300B1 (en) * | 2007-10-31 | 2012-10-23 | World Wide Packets, Inc. | Preventing forwarding of multicast packets |
US8411866B2 (en) * | 2007-11-14 | 2013-04-02 | Cisco Technology, Inc. | Distribution of group cryptography material in a mobile IP environment |
US8155588B2 (en) * | 2007-12-27 | 2012-04-10 | Lenovo (Singapore) Pte. Ltd. | Seamless hand-off of bluetooth pairings |
JP5216336B2 (ja) * | 2008-01-23 | 2013-06-19 | 株式会社日立製作所 | 計算機システム、管理サーバ、および、不一致接続構成検知方法 |
US9031068B2 (en) * | 2008-02-01 | 2015-05-12 | Media Patents, S.L. | Methods and apparatus for managing multicast traffic through a switch |
WO2009095041A1 (en) * | 2008-02-01 | 2009-08-06 | Soporte Multivendor S.L. | Method for managing multicast traffic through a switch operating in the layer 2 of the osi model, and router and switch involved in said method |
US8621198B2 (en) * | 2008-02-19 | 2013-12-31 | Futurewei Technologies, Inc. | Simplified protocol for carrying authentication for network access |
WO2009109684A1 (es) * | 2008-03-05 | 2009-09-11 | Media Patents, S. L. | Procedimiento para monitorizar o gestionar equipos conectados a una red de datos |
KR20090096121A (ko) * | 2008-03-07 | 2009-09-10 | 삼성전자주식회사 | IPv6 네트워크의 상태 보존형 주소 설정 프로토콜 처리방법 및 그 장치 |
US20090262703A1 (en) * | 2008-04-18 | 2009-10-22 | Amit Khetawat | Method and Apparatus for Encapsulation of RANAP Messages in a Home Node B System |
US8953601B2 (en) * | 2008-05-13 | 2015-02-10 | Futurewei Technologies, Inc. | Internet protocol version six (IPv6) addressing and packet filtering in broadband networks |
US8661252B2 (en) * | 2008-06-20 | 2014-02-25 | Microsoft Corporation | Secure network address provisioning |
US8891358B2 (en) * | 2008-10-16 | 2014-11-18 | Hewlett-Packard Development Company, L.P. | Method for application broadcast forwarding for routers running redundancy protocols |
JP5003701B2 (ja) * | 2009-03-13 | 2012-08-15 | ソニー株式会社 | サーバ装置及び設定情報の共有化方法 |
CN101931607A (zh) * | 2009-06-23 | 2010-12-29 | 中兴通讯股份有限公司 | 一种宽带接入设备中防止用户地址欺骗的方法和装置 |
US8189584B2 (en) | 2009-07-27 | 2012-05-29 | Media Patents, S. L. | Multicast traffic management in a network interface |
CN101640787B (zh) * | 2009-08-24 | 2011-10-26 | 中兴通讯股份有限公司 | 一种层次化控制访问组播组的方法和装置 |
US9960967B2 (en) | 2009-10-21 | 2018-05-01 | A10 Networks, Inc. | Determining an application delivery server based on geo-location information |
CN102763378B (zh) * | 2009-11-16 | 2015-09-23 | 鲁库斯无线公司 | 建立具有有线和无线链路的网状网络 |
US9979626B2 (en) * | 2009-11-16 | 2018-05-22 | Ruckus Wireless, Inc. | Establishing a mesh network with wired and wireless links |
WO2011064858A1 (ja) * | 2009-11-26 | 2011-06-03 | 株式会社 東芝 | 無線認証端末 |
US20110149960A1 (en) * | 2009-12-17 | 2011-06-23 | Media Patents, S.L. | Method and apparatus for filtering multicast packets |
KR101624749B1 (ko) * | 2010-01-29 | 2016-05-26 | 삼성전자주식회사 | 패킷 기반 통신 시스템에서 단말의 절전 모드 제어 방법 및 장치 |
CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
CN101924801B (zh) * | 2010-05-21 | 2013-04-24 | 中国科学院计算机网络信息中心 | Ip地址管理方法和系统、动态主机配置协议服务器 |
CN101945143A (zh) * | 2010-09-16 | 2011-01-12 | 中兴通讯股份有限公司 | 一种在混合组网下防止报文地址欺骗的方法及装置 |
US9215275B2 (en) | 2010-09-30 | 2015-12-15 | A10 Networks, Inc. | System and method to balance servers based on server load status |
US9609052B2 (en) | 2010-12-02 | 2017-03-28 | A10 Networks, Inc. | Distributing application traffic to servers based on dynamic service response time |
CN102591886B (zh) * | 2011-01-06 | 2016-01-20 | 阿尔卡特朗讯 | 在分布式数据库架构中维护会话-主机关系的容错方法 |
JP5105124B2 (ja) * | 2011-02-24 | 2012-12-19 | Necアクセステクニカ株式会社 | ルータ装置、プレフィクス管理にもとづくパケット制御方法およびプログラム |
CN103716179A (zh) * | 2011-03-09 | 2014-04-09 | 成都勤智数码科技股份有限公司 | 一种基于Telnet/SSH的网络终端管理的方法 |
US9521108B2 (en) * | 2011-03-29 | 2016-12-13 | Intel Corporation | Techniques enabling efficient synchronized authenticated network access |
KR101231975B1 (ko) * | 2011-05-12 | 2013-02-08 | (주)이스트소프트 | 차단서버를 이용한 스푸핑 공격 방어방법 |
CN102882907A (zh) * | 2011-07-14 | 2013-01-16 | 鸿富锦精密工业(深圳)有限公司 | 客户端配置系统及方法 |
KR101125612B1 (ko) * | 2011-10-04 | 2012-03-27 | (주)넷맨 | 불법 dhcp 서버 감지 및 차단 방법 |
US8897154B2 (en) | 2011-10-24 | 2014-11-25 | A10 Networks, Inc. | Combining stateless and stateful server load balancing |
JP5824326B2 (ja) * | 2011-10-28 | 2015-11-25 | キヤノン株式会社 | 管理装置、管理方法、およびプログラム |
US9100940B2 (en) | 2011-11-28 | 2015-08-04 | Cisco Technology, Inc. | System and method for extended wireless access gateway service provider Wi-Fi offload |
CN103139163B (zh) * | 2011-11-29 | 2016-01-13 | 阿里巴巴集团控股有限公司 | 数据访问方法、服务器和终端 |
US9386088B2 (en) | 2011-11-29 | 2016-07-05 | A10 Networks, Inc. | Accelerating service processing using fast path TCP |
US9094364B2 (en) | 2011-12-23 | 2015-07-28 | A10 Networks, Inc. | Methods to manage services over a service gateway |
US10044582B2 (en) | 2012-01-28 | 2018-08-07 | A10 Networks, Inc. | Generating secure name records |
US9025494B1 (en) * | 2012-03-27 | 2015-05-05 | Infoblox Inc. | IPv6 network device discovery |
US9118618B2 (en) | 2012-03-29 | 2015-08-25 | A10 Networks, Inc. | Hardware-based packet editor |
CN103517270B (zh) * | 2012-06-29 | 2016-12-07 | 鸿富锦精密工业(深圳)有限公司 | 设定预共享密钥的方法、服务器及客户端装置 |
US8782221B2 (en) | 2012-07-05 | 2014-07-15 | A10 Networks, Inc. | Method to allocate buffer for TCP proxy session based on dynamic network conditions |
US8990916B2 (en) | 2012-07-20 | 2015-03-24 | Cisco Technology, Inc. | System and method for supporting web authentication |
US9843484B2 (en) | 2012-09-25 | 2017-12-12 | A10 Networks, Inc. | Graceful scaling in software driven networks |
US10002141B2 (en) | 2012-09-25 | 2018-06-19 | A10 Networks, Inc. | Distributed database in software driven networks |
US9106561B2 (en) | 2012-12-06 | 2015-08-11 | A10 Networks, Inc. | Configuration of a virtual service network |
JP2015534769A (ja) | 2012-09-25 | 2015-12-03 | エイ10 ネットワークス インコーポレイテッドA10 Networks, Inc. | データネットワークにおける負荷分散 |
US10021174B2 (en) | 2012-09-25 | 2018-07-10 | A10 Networks, Inc. | Distributing service sessions |
US8875256B2 (en) * | 2012-11-13 | 2014-10-28 | Advanced Micro Devices, Inc. | Data flow processing in a network environment |
US9338225B2 (en) | 2012-12-06 | 2016-05-10 | A10 Networks, Inc. | Forwarding policies on a virtual service network |
CN104871500A (zh) * | 2012-12-19 | 2015-08-26 | 日本电气株式会社 | 通信节点、控制装置、通信系统、分组处理方法、通信节点控制方法及程序 |
CN103916359A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 防止网络中arp中间人攻击的方法和装置 |
US9531846B2 (en) | 2013-01-23 | 2016-12-27 | A10 Networks, Inc. | Reducing buffer usage for TCP proxy session based on delayed acknowledgement |
US8837328B2 (en) * | 2013-01-23 | 2014-09-16 | Qualcomm Incorporated | Systems and methods for pre-association discovery of services on a network |
US9900252B2 (en) | 2013-03-08 | 2018-02-20 | A10 Networks, Inc. | Application delivery controller and global server load balancer |
WO2014144837A1 (en) | 2013-03-15 | 2014-09-18 | A10 Networks, Inc. | Processing data packets using a policy based network path |
US10038693B2 (en) | 2013-05-03 | 2018-07-31 | A10 Networks, Inc. | Facilitating secure network traffic by an application delivery controller |
US10027761B2 (en) | 2013-05-03 | 2018-07-17 | A10 Networks, Inc. | Facilitating a secure 3 party network session by a network device |
CN104184583B (zh) * | 2013-05-23 | 2017-09-12 | 中国电信股份有限公司 | 用于分配ip地址的方法和系统 |
CN104243413A (zh) * | 2013-06-14 | 2014-12-24 | 航天信息股份有限公司 | 对局域网中的arp中间人攻击进行防范的方法和系统 |
KR102064500B1 (ko) * | 2013-08-01 | 2020-01-09 | 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. | 화상형성장치의 서비스 제공 제어 방법 및 서비스 제공을 제어하는 화상형성장치 |
US10230770B2 (en) | 2013-12-02 | 2019-03-12 | A10 Networks, Inc. | Network proxy layer for policy-based application proxies |
US9942152B2 (en) | 2014-03-25 | 2018-04-10 | A10 Networks, Inc. | Forwarding data packets using a service-based forwarding policy |
US9942162B2 (en) | 2014-03-31 | 2018-04-10 | A10 Networks, Inc. | Active application response delay time |
US9906422B2 (en) | 2014-05-16 | 2018-02-27 | A10 Networks, Inc. | Distributed system to determine a server's health |
US10129122B2 (en) | 2014-06-03 | 2018-11-13 | A10 Networks, Inc. | User defined objects for network devices |
US9986061B2 (en) | 2014-06-03 | 2018-05-29 | A10 Networks, Inc. | Programming a data network device using user defined scripts |
US9992229B2 (en) | 2014-06-03 | 2018-06-05 | A10 Networks, Inc. | Programming a data network device using user defined scripts with licenses |
KR20170065575A (ko) * | 2014-09-24 | 2017-06-13 | 브이5 시스템즈, 인크. | 동적 데이터 관리 |
US10268467B2 (en) | 2014-11-11 | 2019-04-23 | A10 Networks, Inc. | Policy-driven management of application traffic for providing services to cloud-based applications |
CN104581701B (zh) * | 2014-12-12 | 2018-02-09 | 郑锋 | 一种多移动终端和多接入终端连接绑定方法及其网络系统 |
US9973304B2 (en) * | 2014-12-31 | 2018-05-15 | Echostar Technologies Llc | Communication signal isolation on a multi-port device |
US10721206B2 (en) | 2015-02-27 | 2020-07-21 | Arista Networks, Inc. | System and method of persistent address resolution synchronization |
US10581976B2 (en) | 2015-08-12 | 2020-03-03 | A10 Networks, Inc. | Transmission control of protocol state exchange for dynamic stateful service insertion |
US10243791B2 (en) | 2015-08-13 | 2019-03-26 | A10 Networks, Inc. | Automated adjustment of subscriber policies |
US10084705B2 (en) | 2015-10-30 | 2018-09-25 | Microsoft Technology Licensing, Llc | Location identification of prior network message processor |
US10505948B2 (en) * | 2015-11-05 | 2019-12-10 | Trilliant Networks, Inc. | Method and apparatus for secure aggregated event reporting |
US10171422B2 (en) * | 2016-04-14 | 2019-01-01 | Owl Cyber Defense Solutions, Llc | Dynamically configurable packet filter |
JP6600606B2 (ja) * | 2016-07-04 | 2019-10-30 | エイチ・シー・ネットワークス株式会社 | サーバ装置およびネットワークシステム |
US20180013798A1 (en) * | 2016-07-07 | 2018-01-11 | Cisco Technology, Inc. | Automatic link security |
JP6914661B2 (ja) * | 2017-01-27 | 2021-08-04 | キヤノン株式会社 | 通信装置および通信装置の制御方法 |
JP6793056B2 (ja) * | 2017-02-15 | 2020-12-02 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
CN107483480B (zh) * | 2017-09-11 | 2020-05-12 | 杭州迪普科技股份有限公司 | 一种地址的处理方法及装置 |
US10791091B1 (en) * | 2018-02-13 | 2020-09-29 | Architecture Technology Corporation | High assurance unified network switch |
US11057769B2 (en) | 2018-03-12 | 2021-07-06 | At&T Digital Life, Inc. | Detecting unauthorized access to a wireless network |
US11429753B2 (en) * | 2018-09-27 | 2022-08-30 | Citrix Systems, Inc. | Encryption of keyboard data to avoid being read by endpoint-hosted keylogger applications |
US11641374B2 (en) * | 2020-05-26 | 2023-05-02 | Dell Products L.P. | Determine a trusted dynamic host configuration protocol (DHCP) server in a DHCP snooping environment |
CN114157631B (zh) * | 2021-11-30 | 2024-02-20 | 深圳市共进电子股份有限公司 | 一种获取终端信息的方法、装置、拓展设备及存储介质 |
CN114666130B (zh) * | 2022-03-23 | 2024-06-07 | 北京从云科技有限公司 | 一种web安全反向代理方法 |
JP2024129496A (ja) * | 2023-03-13 | 2024-09-27 | 株式会社デンソー | 生産指示システム |
CN117135772B (zh) * | 2023-08-22 | 2024-06-04 | 深圳市众通源科技发展有限公司 | 一种网桥管理方法 |
CN117061485B (zh) * | 2023-10-12 | 2024-02-09 | 广东广宇科技发展有限公司 | 一种用于动态ip的通信线路验证方法 |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5673254A (en) | 1995-06-07 | 1997-09-30 | Advanced Micro Devices Inc. | Enhancements to 802.3 media access control and associated signaling schemes for ethernet switching |
US6640251B1 (en) | 1999-03-12 | 2003-10-28 | Nortel Networks Limited | Multicast-enabled address resolution protocol (ME-ARP) |
US6615264B1 (en) * | 1999-04-09 | 2003-09-02 | Sun Microsystems, Inc. | Method and apparatus for remotely administered authentication and access control |
US6393484B1 (en) | 1999-04-12 | 2002-05-21 | International Business Machines Corp. | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks |
US6704789B1 (en) * | 1999-05-03 | 2004-03-09 | Nokia Corporation | SIM based authentication mechanism for DHCPv4/v6 messages |
US7882247B2 (en) * | 1999-06-11 | 2011-02-01 | Netmotion Wireless, Inc. | Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments |
ATE432561T1 (de) | 1999-10-22 | 2009-06-15 | Nomadix Inc | System und verfahren zur dynamischen berechtigung,authentifizierung und abrechnung in netzwerken |
US6587680B1 (en) * | 1999-11-23 | 2003-07-01 | Nokia Corporation | Transfer of security association during a mobile terminal handover |
KR100350451B1 (ko) | 2000-03-13 | 2002-08-28 | 삼성전자 주식회사 | 네트워크상의 장치에서의 패킷 필터링방법 |
JP2001292135A (ja) | 2000-04-07 | 2001-10-19 | Matsushita Electric Ind Co Ltd | 鍵交換システム |
JP2002084306A (ja) | 2000-06-29 | 2002-03-22 | Hitachi Ltd | パケット通信装置及びネットワークシステム |
US7627116B2 (en) * | 2000-09-26 | 2009-12-01 | King Green Ltd. | Random data method and apparatus |
US20020075844A1 (en) * | 2000-12-15 | 2002-06-20 | Hagen W. Alexander | Integrating public and private network resources for optimized broadband wireless access and method |
US20020199120A1 (en) * | 2001-05-04 | 2002-12-26 | Schmidt Jeffrey A. | Monitored network security bridge system and method |
US7325246B1 (en) * | 2002-01-07 | 2008-01-29 | Cisco Technology, Inc. | Enhanced trust relationship in an IEEE 802.1x network |
CN1292354C (zh) | 2002-02-08 | 2006-12-27 | 联想网御科技(北京)有限公司 | 基于桥的二层交换式防火墙包过滤的方法 |
JP3647433B2 (ja) | 2002-10-25 | 2005-05-11 | 松下電器産業株式会社 | 無線通信管理方法及び無線通信管理サーバ |
US7458095B2 (en) | 2002-11-18 | 2008-11-25 | Nokia Siemens Networks Oy | Faster authentication with parallel message processing |
US7532588B2 (en) * | 2003-02-19 | 2009-05-12 | Nec Corporation | Network system, spanning tree configuration method and configuration program, and spanning tree configuration node |
US7523485B1 (en) * | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US20050060535A1 (en) * | 2003-09-17 | 2005-03-17 | Bartas John Alexander | Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments |
US20050177515A1 (en) * | 2004-02-06 | 2005-08-11 | Tatara Systems, Inc. | Wi-Fi service delivery platform for retail service providers |
US20060002426A1 (en) * | 2004-07-01 | 2006-01-05 | Telefonaktiebolaget L M Ericsson (Publ) | Header compression negotiation in a telecommunications network using the protocol for carrying authentication for network access (PANA) |
US20060002557A1 (en) * | 2004-07-01 | 2006-01-05 | Lila Madour | Domain name system (DNS) IP address distribution in a telecommunications network using the protocol for carrying authentication for network access (PANA) |
-
2004
- 2004-10-29 US US10/975,497 patent/US8688834B2/en not_active Expired - Fee Related
-
2005
- 2005-07-08 WO PCT/US2005/024160 patent/WO2006017133A2/en active Application Filing
- 2005-07-08 EP EP05771015.4A patent/EP1769384B1/en active Active
- 2005-07-08 KR KR1020147001941A patent/KR101591609B1/ko active IP Right Grant
- 2005-07-08 JP JP2007520512A patent/JP5000501B2/ja not_active Expired - Fee Related
- 2005-07-08 KR KR1020097014270A patent/KR101320721B1/ko active IP Right Grant
- 2005-07-08 KR KR1020077003170A patent/KR100931073B1/ko active IP Right Grant
- 2005-07-08 CN CN200580029696.XA patent/CN101416176B/zh not_active Expired - Fee Related
- 2005-07-08 KR KR1020127011243A patent/KR101396042B1/ko active IP Right Grant
- 2005-07-08 KR KR1020137007645A patent/KR101528410B1/ko active IP Right Grant
-
2010
- 2010-03-15 JP JP2010057792A patent/JP5470113B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP5470113B2 (ja) | 2014-04-16 |
KR20130059425A (ko) | 2013-06-05 |
KR20120076366A (ko) | 2012-07-09 |
WO2006017133A2 (en) | 2006-02-16 |
WO2006017133A3 (en) | 2009-04-02 |
KR101396042B1 (ko) | 2014-05-15 |
US8688834B2 (en) | 2014-04-01 |
KR100931073B1 (ko) | 2009-12-10 |
JP2010183604A (ja) | 2010-08-19 |
EP1769384B1 (en) | 2014-01-22 |
JP2008536338A (ja) | 2008-09-04 |
CN101416176B (zh) | 2015-07-29 |
US20060036733A1 (en) | 2006-02-16 |
KR101591609B1 (ko) | 2016-02-03 |
KR101528410B1 (ko) | 2015-06-11 |
KR20090089456A (ko) | 2009-08-21 |
EP1769384A4 (en) | 2012-04-04 |
KR20140025600A (ko) | 2014-03-04 |
KR101320721B1 (ko) | 2013-10-21 |
KR20070032061A (ko) | 2007-03-20 |
EP1769384A2 (en) | 2007-04-04 |
CN101416176A (zh) | 2009-04-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5000501B2 (ja) | 動的ホスト構成およびネットワークアクセス認証 | |
Nikander et al. | IPv6 neighbor discovery (ND) trust models and threats | |
US7421578B1 (en) | Method and apparatus for electing a leader node in a computer network | |
CA2414216C (en) | A secure ip access protocol framework and supporting network architecture | |
US9577984B2 (en) | Network initiated alerts to devices using a local connection | |
JP4823233B2 (ja) | 複数のpanaセッション | |
JP2004040762A (ja) | アドレスに基づく鍵を使用することによる近隣発見の保護 | |
US7933253B2 (en) | Return routability optimisation | |
Liyanage et al. | Securing virtual private LAN service by efficient key management | |
US7969933B2 (en) | System and method for facilitating a persistent application session with anonymity between a mobile host and a network host | |
Haberman et al. | Multicast Router Discovery | |
WO2006088751A2 (en) | Access control for mobile multicast | |
Haberman et al. | RFC 4286: Multicast Router Discovery | |
Kempf et al. | RFC3756: IPv6 Neighbor Discovery (ND) Trust Models and Threats | |
Valverde et al. | Secure wireless handoff |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090828 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090915 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20091215 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20091222 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100114 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100121 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100215 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100222 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100315 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100406 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100806 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20100817 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20100917 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120516 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5000501 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150525 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |