JP5291725B2 - Ipアドレス委任 - Google Patents

Ipアドレス委任 Download PDF

Info

Publication number
JP5291725B2
JP5291725B2 JP2010549017A JP2010549017A JP5291725B2 JP 5291725 B2 JP5291725 B2 JP 5291725B2 JP 2010549017 A JP2010549017 A JP 2010549017A JP 2010549017 A JP2010549017 A JP 2010549017A JP 5291725 B2 JP5291725 B2 JP 5291725B2
Authority
JP
Japan
Prior art keywords
ipv6
host
public key
certificate
generated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010549017A
Other languages
English (en)
Other versions
JP2011515049A (ja
Inventor
ゴンサレス, ゴンサロ カマリロ
ペッカ ニカンダー,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2011515049A publication Critical patent/JP2011515049A/ja
Application granted granted Critical
Publication of JP5291725B2 publication Critical patent/JP5291725B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/604Address structures or formats
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5092Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、IPアドレス委任(delegation:デリゲーション)に関するものであり、特に、暗号化によって生成されたアドレス(Cryptographically Generated Address)を所有するノードから別のノードへ、その暗号化によって生成されたアドレスについての責任の委任に関するものである。
IPアドレスは、128ビット長である。アドレスの先頭64ビットはルーティングプレフィックを形成し、これは、IP端末あるいはノードによって使用される、インターネットアクセスノード(あるいは、いわゆる「ローカルリンク」)を固有に識別する。残りの64ビットはホストサフィックスを形成し、これは、アクセスノード(あるいはローカルリンク内)に対する移動端末を固有に識別する。ホストサフィックスは、「インタフェース識別子」と呼ばれる。これは、アクセスインタフェースを介して固有にホストを識別するからである。典型的には、ホストをアクセスノードに登録すると、ホストはアクセスノードから送信される広告メッセージから、アクセスノードのルーティングプレフィックスを学習する。IETF RFC3041に従えば、次に、ホストは、ホストによって生成される乱数を使用して、自身のインタフェース識別子を生成する。ホストは、更に、リンクレイヤアドレスを使用して、インタフェースを識別子を生成することもできる。このリンクレイヤアドレスは、例えば、アクセスネットワークによって使用されるMACレイヤアドレスである。
国際公開第02/076060号は、一方向符号化関数、例えば、ハッシュ関数を使用して、インタフェース識別子の暗号化バージョンをどのようにして生成できるか、また、このインタフェース識別子を別のピア(peer)ユーザにどのように提供できるかについて記載している。ここで、このピアユーザは、ノードが、IPアドレスのインタフェース識別子部分の所有者であることを検証することができる。このような暗号化によって生成されたアドレス(cryptographically generated address)は、CGAとして知られている。CGAは、例えば、サービス拒否攻撃を防止することを支援するためのセキュリティレベルを提供する。ここで、サービス拒否攻撃は、攻撃者が、ノードを使用したいことを、IPアドレスの所有者に要求することである。CGAは、IETF RFC3972で標準化されていて、また、IETF RFC3971で標準化されているセキュア近隣ディスカバリ(SeND)プロトコルで使用されている。
RFC3972に従えば、CGAは以下のようにして生成される。
ハッシュ1=ハッシュ(修飾子|プレフィックス|公開鍵|拡張)
IPv6アドレス=プレフィックス|ハッシュ1(セキュリティレベルと他の要件に従って生成される所定のビット付き)
ここで、「プレフィックス(prefix)」はネットワークルーティングプレフィックスであり、「ハッシュ(hash)」は暗号化ハッシュ関数(SHA−1)であり、「公開鍵」はアドレスを生成するノードの公開鍵であり、「拡張」は標準化情報を搬送するための現行は未使用のフィールドである。「修飾子」はセキュリティを高めかつランダム性を増すために、ノードによって生成される128ビット値である。より詳しくは、必要とされるセキュリティレベルに依存して、修飾子値は、一定の連続するデータ(修飾子と公開鍵を含む)となるように選択され、このデータは値(「ハッシュ2(Hash2)」)をハッシュする。この値は、左端ビット位置において指定番号「0」を有している。
CGAの所有権を証明するためには、ノードは、証明書を提供することができるようにしなければならない。この証明書には、CGAアドレスのインタフェース識別子(IID)部分、修飾子、公開鍵、及び任意の拡張を含み、これらがCGAデータ構造として構成される。証明書は、ノードの公開鍵を使用して、送信されるメッセージ(128ビットのCGAタイプタグで連結されている)に渡って取得されるデジタル署名(SHA−1)を含んでいる。証明書を受信するピアノードは、まず、ハッシュ2を計算し、それが左端位置で正しい番号の「0」を有しているかを検証する。そのような場合、ピアノードは、ハッシュ1を計算し、これとIIDとを比較する。これによって、IIDが公開鍵と秘密鍵のペアに属していることを検証し、更に、検証された公開鍵を使用して、署名処理の逆処理を行うことによって署名を検証する。この2番目のステップは、送信側が実際に公開鍵を所有し、かつ単純に悪用していないことを証明し、また、メッセージが、要求された送信側から発信されたことを証明する。
CGAを所有するホスト(「委任元(delegating)」ノード)は、そのアドレスについての責任をいくつかの更なるノード(「委任先(delegated)」ノード)に委任することができ、例えば、委任先ノードに、委任元ノードに向けられているトラフィックをリクエストすることを許容する。これは、委任先ノードに証明書を提供することによって達成され、この証明書は、CGA、CGAデータ構造、委任先ノードのアイデンティティ、委任元ノードの秘密鍵を使用して生成される署名を含んでいる。要求されたCGAを使用することが許容されていることをサードパーティに証明するために、委任先ノードは、証明書をサードパーティに提供し、このサードパーティは、IIDが公開鍵に属することを検証し、かつ証明書が所有者の公開鍵によって有効に署名されることを検証することができる。アイデンティティが委任先ノードの公開鍵である場合、委任先ノードは、自身の秘密鍵で、CGAに関連する任意のリクエストを署名することができる。つまり、サードパーティに、委任先ノードが要求されたアイデンティティを所有することを証明することを許容する。
この委任に対する方法に付随する問題は、委任元ノードによって委任先ノードへ提供される証明書が、単一のCGAと結び付けられることである。例えば、モビリティティと新規のネットワークルーティングプレフィックスの自身の使用のために、委任元ノードが自身のIPv6アドレスを変更するイベントでは、新規の証明書は、委任先ノードに提供されなければならない。
本発明の第1の構成に従えば、ネットワークルーティングプレフィックスと、暗号化によって生成されたインタフェース識別子を備えるIPv6アドレスに関して生成されたリクエストを検証する方法が提供される。このリクエストは、少なくともホストの公開鍵、1つ以上の更なるパラメータあるいは1つ以上の更なるパラメータを生成するための式あるいは式群、IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定、委任先ホストのアイデンティティ、公開鍵に関連付けられている秘密鍵を使用して、少なくともアイデンティティとIPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定を介して取得されるデジタル署名を含む、委任用の証明書を含んでいる。この方法は、IPv6アドレスのネットワークルーティングプレフィックスが範囲の指定に含まれることを検証すること、公開鍵と更なるパラメータ(群)が暗号化によって生成されたインタフェース識別子を生成するために使用できるかを検証すること、公開鍵を使用して署名を検証することを含んでいる。
本発明の実施形態は、これらのIPv6アドレスがまだ生成されていない場合にでさえ、そのIPv6アドレスに対する責任を更なるホストに委任することを許容する。アドレスが使用されることになると、ホスト間の後続のシグナリングが削減される、あるいはより一層解消される。
実施形態に従えば、1つ以上の更なるパラメータは、修飾子を含んでいる。この修飾子は、ランダム性の度合をアドレス生成処理に導入する。より好ましくは、証明書は、インタフェース識別子が生成される毎に修飾子が変更するように、その修飾子を生成するための式を含んでいる。1つ以上の更なるパラメータは、1つ以上の拡張を含んでいても良い。
上記のIPv6ネットワークルーティングプレフィックスの範囲あるいはセットは、すべての利用可能なプレフィックスのサブセットであっても良い。選択的には、IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定は、すべての利用可能なルーティングプレフィックスを指定することができる。即ち、証明書は、委任先ノードに、すべてのルーティングプレフィックスに関して動作することを認可する。
公開鍵と更なるパラメータ(群)を検証するステップは、検証処理において、IPv6アドレスのネットワークルーティングプレフィックスを使用し、かつハッシュアルゴリズムを採用することを含んでいても良い。ハッシュアルゴリズムは、公開鍵を使用して、署名を検証するためにも使用されても良い。
本発明の第2の構成に従えば、委任用の証明書を生成するように構成されている第1のプロセッサを備えるIPv6ホストが提供される。この証明書は、少なくともホストの公開鍵と、1つ以上の更なるパラメータあるいは1つ以上の更なるパラメータを生成するための式あるいは式群、IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定、委任先ホストのアイデンティティ、公開鍵に関連付けられている秘密鍵を使用して、少なくともアイデンティティと、IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定を介して取得されるデジタル署名を含んでいる。公開鍵と1つ以上の更なるパラメータは、暗号化によって生成されたアドレスのインタフェース識別子の部分を計算するために使用することができる。ホストは、更に、委任先ホストに証明書を提供するための出力と、少なくとも公開鍵と1つ以上の更なるパラメータを使用して、インタフェース識別子を生成し、暗号化によって生成されたアドレスを生成するために、インタフェース識別子と、ネットワークルーティングプレフィックスの範囲あるいはセット内に含まれるネットワークルーティングプレフィックスとを組み合わせるように構成されている第2のプロセッサとを備える。この出力は、更に、暗号化によって生成されたアドレスが生成されている場合に、委任先ホストへ、暗号化によって生成されたアドレスを含む通知を送信するように構成されていても良い。
本発明の第3の構成に従えば、ピアIPv6ホストから委任用の証明書を受信するための第1の入力を備えるIPv6ホストが提供される。この証明書は、少なくともピアIPv6ホストの公開鍵と、1つ以上の更なるパラメータあるいは1つ以上の更なるパラメータを生成するための式あるいは式群、IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定、IPv6ホストのアイデンティティ、公開鍵に関連付けられている秘密鍵を使用して、少なくともアイデンティティとIPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定を介して取得されるデジタル署名を含んでいる。ホストは、更に、ピアIPv6ホストが証明書をマッピングしている暗号化によって生成されたアドレスを使用していることの通知を、ピアIPv6ホストから受信するための第2の入力と、暗号化によって生成されたアドレスについてのリクエストをサードパーティノードに送信し、かつ証明書をリクエストに含めるための出力とを備えている。
本発明の第4の構成に従えば、少なくともホストの公開鍵と、1つ以上の更なるパラメータあるいは1つ以上の更なるパラメータを生成するための式あるいは式群、IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定、委任先ホストのアイデンティティ、公開鍵に関連付けられている秘密鍵を使用して、少なくともアイデンティティとIPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定を介して取得されるデジタル署名を含む委任用の証明書が記憶されているコンピュータ記憶媒体が提供される。
新規のCGA委任用の証明書に対する構造例を示す図である。 CGA委任用の証明書の生成及び使用に関与する通信システムの構成要素を示す図である。 IPv6アドレスについて生成されるリクエストを検証するための処理を示すフロー図である。
いくつかの別のノード(「委任先(delegated)」ノード)への暗号化によって生成されたIPアドレス(CGA)がまだ未定である限り、IPv6ノードあるいはホスト(「委任元(delegating)」ノード)に責任を委任することできることを許容するために、本明細書では、これらの未定のCGAを生成するために必要とされる情報を含む証明書を、委任元ノードで生成することを含むメカニズムが提案される。この証明書は、委任元ノードの秘密鍵で生成される署名を含み、そして、委任先ノードへ提供される。サードパーティに証明書を提示することによって、委任先ノードは、その後、要求されたCGAに対して委任された責任を証明することができる。
委任メカニズムをより詳細に検討すると、まだ未定のCGAを生成することについての責任を委任したいノードは、図1に示されるデータ構造を有する証明書を生成する。この証明書は、新規のCGAデータ構造と委任先ノードのアイデンティティを含んでいる。このアイデンティティは、委任先ノードに属する公開鍵であっても良い。新規のデータ構造は、修飾子、委任元ノードの公開鍵、任意の拡張、及び他の許容されるネットワークルーティングプレフィックスの範囲、セット、あるいは他の定義からなる。許容されるプレフィックスは、例えば、ブルームフィルタ(Bloom filter)を使用してアルゴリズム的に定義されても良いし、あるいは、実際には、データ構造は、あらゆるプレフィックスが許容されることの表示を含んでいても良い。むしろ、単一の修飾子の値を定義すると、データ構造は、修飾子を生成するための手段、例えば、アルゴリムあるいはアルゴリズムのリファレンスを識別することができ、これによって、修飾子は、既知の入力値、例えば、ネットワークルーティングプレフィックスと現在時刻から、確定的に生成することができる。時刻が使用される場合、CGA群が期限を定められることになる。適切な粗粒度、例えば、1時間間隔、が使用されるべきである。同様に、任意の使用される拡張は、アルゴリズム的に定義されても良い。
CGAについて要求されるセキュリティレベルが、その最低値(RFC3972に従えば、即ち、sec=0)に設定されると想定すると、修飾子を生成するためのアルゴリズムは、容易に定義することができる。より複雑な検討項目は、sec>0の場合である。
委任元ノードは、自身の秘密鍵で生成される署名を証明書に含め、その証明書を委任先ノードへ提供する。これは、任意の適切なメカニズム、例えば、IETF RFC3972のセクション6に記載されるメカニズムを使用して実行することができる。当業者には明らかなように、署名は、CGAデータ構造にバインドされる。その後のいくつかの時点で、委任元ノードは、自身のためのCGAを生成することになる。これを実行するために、必要であれば、指定されたアルゴリズム(群)を使用して修飾子(及び任意の拡張)を生成し、かつ適切なネットワークルーティングプレフィックスを選択あるいは生成して、RFC3972のセクションで提示される処理を実行する。
この時点で、委任元ノードは、自身の新規のIPv6アドレスを委任先ノードへ通知することになる。続いて、委任先ノードがサードパーティノード(「検証(verifying)」ノード)に、新規のCGAについて動作することをリクエストしたい場合、委任先ノードは、そのリクエストに証明書を含めるべきである。検証ノードは、リクエストを検証するために以下の動作を実行する。
・CGAからネットワークルーティングプレフィックスを抽出し、それが、証明書のCGAデータ構造で定義される任意のセットあるいは範囲内におさまるかを検証する。
・次に、データ構造から修飾子を抽出あるいは生成し、それとともに、委任元ノードの公開鍵と任意の拡張(群)を抽出する。
・CGA生成中に使用される実衝突カウント値は、検証の時点では判明しないので、検証ノードは、連続的に衝突カウントを1、1及び2に設定しなければならず、そして、CGAが委任元ノードの公開鍵に属することを検証するために、IETF RFC3972のセクション5のアルゴリズムを実行しなければならない。
・CGAが正しく検証されるイベントでは、検証ノードは、次に、証明書内に含まれる署名が、委任元ノードの公開鍵に対応する秘密鍵を使用して生成されているかを検証することを試行する。
・署名が正しく検証されるイベントでは、検証ノードは、リクエストの送信者、即ち、委任先ノードが、証明所内に含まれるアイデンティティの所有者であるかを検証するための試行を行っても良い。そのアイデンティティが更なる公開鍵である場合、これは、委任先ノードの公開鍵を使用して生成されるリクエスト内に含まれる更なる署名を検証することを含んでいても良い。
セキュリティレベルが低、即ち、sec=0に設定される場合、検証ノードに対してハッシュ2を計算する必要はない。しかしながら、sec>0である場合、RFC3972のセクション5のステップ6及び7で記載される処理が実行されなければならない。
図2は、委任元ノード1を示している。この委任元ノード1は、上述の委任用の証明書を生成するように構成されている第1のプロセッサ2を備えている。第2のプロセッサ3は、証明書内に含まれるパラメータを使用してCGAを生成するように構成されている。証明書と、CGAの生成の通知の両方が、出力4を介して、委任先ノード5に送信される。この委任先ノード5は、第1の入力6で証明書を受信し、第2の入力7で通知を受信する。プロセッサ9は、委任されたCGAについてのリクエスト群を生成することと、それらを証明書とともに検証ノード10へ送信することを担当する。リクエスト群は、検証ノード10によって入力11で受信される。3つの段階の検証処理が、証明書について実行される。即ち、ルーティングプレフィックスが範囲12内であるかを検証し、IIDが公開鍵13にマッチするかを検証し、署名14を検証する。
図3は、証明書を検証するための処理を示すフロー図である。図示されるステップ群は、検証ノードで、委任先ノードからのリクエストを受信すること(ステップ100)、CGAからルーティングプレフィックスを抽出すること(ステップ101)、ルーティングプレフィックスが証明書内で指定される範囲内にあるかを検証すること(ステップ102)、CGAのIIDを検証すること(ステップ103)、及び署名を検証すること(ステップ104)を含んでいる。任意のステップで検証が失敗する場合、リクエストは拒否される(ステップ106)。すべての検証ステップが成功する場合、リクエストは受け付けられ、処理される(ステップ105)。
当業者には、本発明の範囲を逸脱することなく、上述の実施形態を様々に変形することができることが理解されるであろう。

Claims (12)

  1. ネットワークルーティングプレフィックスと、暗号化によって生成されたインタフェース識別子を備えるIPv6アドレスに関して生成されるリクエストを検証する方法であって、
    前記リクエストは、委任元ホストの少なくとも公開鍵、1つ以上の更なるパラメータあるいは1つ以上の更なるパラメータを生成するための式あるいは式群、IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定、委任先ホストのアイデンティティ、前記公開鍵に関連付けられている秘密鍵を使用して、少なくとも前記アイデンティティと前記IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定を介して取得されるデジタル署名を含む委任用の証明書を含み、
    前記方法は、
    前記委任元ホストが、前記IPv6アドレスの前記ネットワークルーティングプレフィックスが前記指定に含まれることを検証するステップと、
    前記委任元ホストが、前記公開鍵と前記更なるパラメータ(群)が前記暗号化によって生成されたインタフェース識別子を生成するために使用できるかを検証するステップと、
    前記委任元ホストが、前記公開鍵を使用して前記署名を検証するステップと
    を備えることを特徴とする方法。
  2. 前記1つ以上の更なるパラメータは、修飾子を含んでいる
    ことを特徴とする請求項1に記載の方法。
  3. 前記証明書は、インタフェース識別子が生成される毎に前記修飾子を変更するように、前記修飾子を生成するための式を含んでいる
    ことを特徴とする請求項2に記載の方法。
  4. 前記1つ以上の更なるパラメータは、1つ以上の拡張を含んでいる
    ことを特徴とする請求項1乃至3のいずれか1項に記載の方法。
  5. 前記IPv6ネットワークルーティングプレフィックスの範囲あるいはセットは、利用可能なすべてのルーティングプレフィックスのサブセットである
    ことを特徴とする請求項1乃至4のいずれか1項に記載の方法。
  6. 前記IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定は、利用可能なすべてのルーティングプレフィックスを指定する
    ことを特徴とする請求項1乃至5のいずれか1項に記載の方法。
  7. 前記公開鍵と前記更なるパラメータ(群)が前記暗号化によって生成されたインタフェース識別子を生成するために使用できるかを検証するステップは、検証処理において、前記IPv6アドレスの前記ネットワークルーティングプレフィックスを使用することを含む
    ことを特徴とする請求項1乃至6のいずれか1項に記載の方法。
  8. 前記公開鍵と前記更なるパラメータ(群)が前記暗号化によって生成されたインタフェース識別子を生成するために使用できるかを検証するステップと、前記公開鍵を使用して前記署名を検証するステップとは、それぞれハッシュアルゴリズムを利用する
    ことを特徴とする請求項1乃至7のいずれか1項に記載の方法。
  9. IPv6ホストであって、
    委任用の証明書を生成するように構成されている第1のプロセッサであって、前記証明書が、少なくとも当該IPv6ホストの公開鍵と、1つ以上の更なるパラメータあるいは1つ以上の更なるパラメータを生成するための式あるいは式群、IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定、委任先ホストのアイデンティティ、前記公開鍵に関連付けられている秘密鍵を使用して、少なくとも前記アイデンティティと前記IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定を介して取得されるデジタル署名を含み、前記公開鍵と前記1つ以上のパラメータが、暗号化によって生成されたアドレスのインタフェース識別子部分を計算するために使用することができる、第1のプロセッサと、
    前記証明書を前記委任先ホストに提供するための出力手段と、
    少なくとも前記公開鍵と前記1つ以上の更なるパラメータを使用して、インタフェース識別子を生成し、暗号化によって生成されたアドレスを生成するために、前記インタフェース識別子と、前記ネットワークルーティングプレフィックスの範囲あるいはセット内に含まれるネットワークルーティングプレフィックスとを組み合わせるように構成されている第2のプロセッサと
    を備えることを特徴とするIPv6ホスト。
  10. 前記出力手段は、更に、暗号化によって生成されたアドレスが生成されている場合に、前記委任先ホストへ、前記暗号化によって生成されたアドレスを含む通知を送信するように構成されている
    ことを特徴とする請求項9に記載のIPv6ホスト。
  11. IPv6ホストであって、
    ピアIPv6ホストから委任用の証明書を受信するための第1の入力手段であって、前記証明書が、少なくとも前記ピアIPv6ホストの公開鍵と、1つ以上の更なるパラメータあるいは1つ以上の更なるパラメータを生成するための式あるいは式群、IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定、当該IPv6ホストのアイデンティティ、前記公開鍵に関連付けられている秘密鍵を使用して、少なくとも前記アイデンティティと前記IPv6ネットワークルーティングプレフィックスの範囲あるいはセットの指定を介して取得されるデジタル署名を含む、第1の入力手段と、
    前記ピアIPv6ホストが、前記証明書をマッピングしている暗号化によって生成されたアドレスを使用していることの通知を、前記ピアIPv6ホストから受信するための第2の入力手段と、
    前記暗号化によって生成されたアドレスについてのリクエストをサードパーティノードに送信し、かつ前記証明書を前記リクエストに含めるための出力手段
    を備えることを特徴とするIPv6ホスト。
  12. 請求項9あるいは11に記載のIPv6ホストの制御をコンピュータに実行させるためのプログラムを記憶したコンピュータ記憶媒体。
JP2010549017A 2008-03-04 2008-03-04 Ipアドレス委任 Expired - Fee Related JP5291725B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2008/052634 WO2009109221A1 (en) 2008-03-04 2008-03-04 Ip address delegation

Publications (2)

Publication Number Publication Date
JP2011515049A JP2011515049A (ja) 2011-05-12
JP5291725B2 true JP5291725B2 (ja) 2013-09-18

Family

ID=40070731

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010549017A Expired - Fee Related JP5291725B2 (ja) 2008-03-04 2008-03-04 Ipアドレス委任

Country Status (8)

Country Link
US (1) US8843751B2 (ja)
EP (1) EP2250784B1 (ja)
JP (1) JP5291725B2 (ja)
KR (1) KR101527249B1 (ja)
CN (1) CN101960814B (ja)
PL (1) PL2250784T3 (ja)
RU (1) RU2469492C2 (ja)
WO (1) WO2009109221A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8548467B2 (en) 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US9148335B2 (en) * 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses
US9894093B2 (en) 2009-04-21 2018-02-13 Bandura, Llc Structuring data and pre-compiled exception list engines and internet protocol threat prevention
US8468220B2 (en) * 2009-04-21 2013-06-18 Techguard Security Llc Methods of structuring data, pre-compiled exception list engines, and network appliances
CN101710906B (zh) * 2009-12-18 2013-02-13 工业和信息化部电信传输研究所 IPv6地址的结构、分配及溯源的方法和装置
FR2961994A1 (fr) * 2010-06-29 2011-12-30 France Telecom Procede d'allocation securisee d'une adresse ipv6 a un noeud d'un reseau prive
CN103297550B (zh) * 2012-02-28 2018-05-04 中兴通讯股份有限公司 一种IPv6无状态地址的处理方法和系统
US10097525B2 (en) 2016-03-08 2018-10-09 Qualcomm Incorporated System, apparatus and method for generating dynamic IPV6 addresses for secure authentication
US10652950B2 (en) * 2017-11-16 2020-05-12 Cisco Technology, Inc. Method and system for providing signed user location information
CN111343298B (zh) * 2020-02-28 2021-12-14 王鹏 生成IPv6地址的方法、存储设备和处理设备
CN111404884B (zh) * 2020-03-02 2021-07-20 清华大学 安全通信方法、客户机及非公开服务器
US11558277B2 (en) * 2020-05-08 2023-01-17 Bank Of America Corporation System for generating and signing cryptographically generated addresses using computing network traffic
WO2021254897A1 (en) * 2020-06-15 2021-12-23 Signify Holding B.V. An efficient method for mapping between a local short address and a long ip address
CN114422474B (zh) * 2021-12-20 2023-11-10 广西壮族自治区公众信息产业有限公司 基于RADIUS服务器的用户IPv6地址生成方法
CN117040943B (zh) * 2023-10-10 2023-12-26 华中科技大学 基于IPv6地址驱动的云网络内生安全防御方法和装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6976164B1 (en) * 2000-07-19 2005-12-13 International Business Machines Corporation Technique for handling subsequent user identification and password requests with identity change within a certificate-based host session
GB2367986B (en) 2001-03-16 2002-10-09 Ericsson Telefon Ab L M Address mechanisms in internet protocol
RU2001117628A (ru) * 2001-06-28 2003-06-10 Ильгиз Амирович Ямилев Способ проведения трансакции в подвижной сети связи посредством электронного цифрового платежного документа и система для его осуществления (варианты)
US7535905B2 (en) * 2004-03-31 2009-05-19 Microsoft Corporation Signing and validating session initiation protocol routing headers
CA2577142A1 (en) * 2004-08-20 2006-02-23 Telefonaktiebolaget L M Ericsson (Publ) Fast network attachment
KR100651715B1 (ko) * 2004-10-07 2006-12-01 한국전자통신연구원 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조
US7546463B2 (en) * 2004-11-30 2009-06-09 Sap Ag Method and system for delegating authority in an online collaborative environment
US20070113075A1 (en) * 2005-11-10 2007-05-17 Ntt Docomo, Inc. Secure route optimization for mobile network using multi-key crytographically generated addresses
US8625609B2 (en) * 2006-05-19 2014-01-07 Futurewei Technologies Inc. Using DHCPv6 and AAA for mobile station prefix delegation and enhanced neighbor discovery
ATE447820T1 (de) * 2006-05-24 2009-11-15 Ericsson L M Oy Mobilitätsverwaltung auf delegationsbasis
US8219800B2 (en) * 2007-06-06 2012-07-10 Cisco Technology, Inc. Secure neighbor discovery router for defending host nodes from rogue routers

Also Published As

Publication number Publication date
US8843751B2 (en) 2014-09-23
RU2469492C2 (ru) 2012-12-10
CN101960814A (zh) 2011-01-26
CN101960814B (zh) 2014-08-13
US20110004766A1 (en) 2011-01-06
WO2009109221A1 (en) 2009-09-11
EP2250784B1 (en) 2013-09-11
EP2250784A1 (en) 2010-11-17
PL2250784T3 (pl) 2014-02-28
KR20100126783A (ko) 2010-12-02
RU2010140392A (ru) 2012-04-10
JP2011515049A (ja) 2011-05-12
KR101527249B1 (ko) 2015-06-08

Similar Documents

Publication Publication Date Title
JP5291725B2 (ja) Ipアドレス委任
US11330008B2 (en) Network addresses with encoded DNS-level information
Ahmed et al. IPv6 neighbor discovery protocol specifications, threats and countermeasures: a survey
US8098823B2 (en) Multi-key cryptographically generated address
Arkko et al. Secure neighbor discovery (SEND)
JP4944845B2 (ja) インターネットプロトコルのアドレス機構
JP4033868B2 (ja) IPv6ネットワークで認証を処理する方法及びその装置
JP2004030610A (ja) Pnrpセキュリティ・インフラストラクチャおよび方法
Aura RFC 3972: Cryptographically generated addresses (CGA)
US8364949B1 (en) Authentication for TCP-based routing and management protocols
CN115943603A (zh) 区块链增强路由授权
WO2010003326A1 (zh) 保护代理邻居发现的方法、系统和相关装置
Su et al. Secure DHCPv6 that uses RSA authentication integrated with self-certified address
JP2011205451A (ja) 不正端末遮断システム及びこれに用いる不正端末遮断装置
CGA Securing Neighbor Discovery T. Aura Internet-Draft Microsoft Research Expires: August 6, 2004 February 6, 2004
CGA Securing Neighbor Discovery T. Aura Internet-Draft Microsoft Research Expires: June 2004 December 2003
CGA Securing Neighbor Discovery T. Aura Internet-Draft Microsoft Research Expires: April 19, 2004 October 20, 2003
Meinel Network Working Group H. Rafiee Internet Draft Hasso Plattner Institute Updates RFC 2845 (if approved) M. v. Loewis Intended status: Standards Track Hasso Plattner Institute
Kempf et al. RFC 3971: SEcure Neighbor Discovery (SEND)
Katsaros et al. Protecting future mobile access networks
CGA Securing Neighbor Discovery T. Aura Internet-Draft Microsoft Research Expires: January 30, 2004 August 1, 2003
CGA Securing Neighbor Discovery T. Aura Internet-Draft Microsoft Research Expires: May 28, 2004 November 28, 2003
Sommerfeld et al. Secure Neighbor Discovery Working J. Arkko Group Ericsson Internet-Draft J. Kempf Expires: July 24, 2004 DoCoMo Communications Labs USA
Zill et al. Network Working Group J. Arkko, Ed. Request for Comments: 3971 Ericsson Category: Standards Track J. Kempf DoCoMo Communications Labs USA
Sommerfeld et al. Secure Neighbor Discovery Working J. Arkko Group Ericsson Internet-Draft J. Kempf Expires: June 30, 2004 DoCoMo Communications Labs USA

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130418

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130607

R150 Certificate of patent or registration of utility model

Ref document number: 5291725

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees