JP5385872B2 - 通信制御装置、通信システム及びプログラム - Google Patents

通信制御装置、通信システム及びプログラム Download PDF

Info

Publication number
JP5385872B2
JP5385872B2 JP2010168370A JP2010168370A JP5385872B2 JP 5385872 B2 JP5385872 B2 JP 5385872B2 JP 2010168370 A JP2010168370 A JP 2010168370A JP 2010168370 A JP2010168370 A JP 2010168370A JP 5385872 B2 JP5385872 B2 JP 5385872B2
Authority
JP
Japan
Prior art keywords
terminal device
communication
communication packet
packet
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010168370A
Other languages
English (en)
Other versions
JP2012029222A (ja
Inventor
智樹 高添
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2010168370A priority Critical patent/JP5385872B2/ja
Priority to US13/811,515 priority patent/US9100433B2/en
Priority to CN201180036633.2A priority patent/CN103026685B/zh
Priority to EP11812520.2A priority patent/EP2600567A4/en
Priority to PCT/JP2011/067079 priority patent/WO2012014931A1/ja
Publication of JP2012029222A publication Critical patent/JP2012029222A/ja
Application granted granted Critical
Publication of JP5385872B2 publication Critical patent/JP5385872B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、通信パケットの通過又は遮断を行う通信制御装置、通信システム及びプログラムに関する。
従来、IP(Internet Protocol)v4のネットワークにおいて、端末装置がDHCP(Dynamic Host Configuration Protocol)サーバからIPv4アドレスを割り当てることがされている。この環境では、ファイアウォールによってDHCPパケットを監視してキャプチャする。端末装置がDHCPサーバから割り当てられたIPv4アドレス以外を用いて通信している場合には、ファイアウォールによって当該IPv4パケットを遮断している。
例えば、下記の特許文献1においては、DHCPサーバから割り当てられたIPv4アドレスでないIPv4パケットをスイッチングハブで通信させないことが記載されている。また、他の例としては、下記の特許文献2においては、DHCPサーバから割り当てられたIPv4アドレスでないIPv4パケットをネットワーク装置によって規制することが記載されている。
特開2001−211180号公報(請求項3,図7等) 特開2004−180211号公報(請求項3,図11等)
ところで、IPv6のネットワーク環境下においては、端末装置がIPv6アドレスを取得する方法としては、例えば下記の2つが挙げられる。第1には、ルータから送信されたルータ広告メッセージ(RA:Router Advertisement)に含まれるプレフィックス(ネットワークアドレス)を用いて端末装置が自動的にIPv6アドレスを生成する手法がある。第2には、DHCPv6サーバから取得したIPv6アドレスを端末装置が取得する手法である。
しかしながら、IPv6のネットワーク環境下においては、上述したようなIPv4ネットワークのように不正なIPv6アドレスのIPv6パケットを遮断するルールを自動的に構成する技術がない。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、IPv6のネットワーク環境下において適切に不正な通信パケットを遮断できる通信制御装置、通信システム及びプログラムを提供することを目的とする。
第1の態様に係る通信制御装置は、少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え、前記ルータ広告によってDNSサーバ情報が前記送受信手段に送信されている場合に、前記記憶手段は、当該DNSサーバ情報に含まれるDNSサーバアドレス情報を記憶し、前記制御手段は、前記端末装置から送信された通信パケットの宛先アドレスが前記記憶手段に記憶された前記DNSサーバアドレスである場合には、当該通信パケットを通過させ、当該通信パケットに含まれる宛先アドレスが前記記憶手段に記憶された前記DNS(Domain Name System)サーバアドレスとは異なる場合には、当該通信パケットを遮断することを特徴とするものである。
第2の態様に係る通信制御装置は、少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え、前記ルータ広告によって前記端末装置の可到達時間が指定されている場合に、前記記憶手段は、前記可到達時間と、前記端末装置から送信された通信パケットの到達性確認パケットを前記送受信手段によって受信した時刻とを記憶しておき、前記制御手段は、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えていない場合には、当該到達性確認パケットを通過させ、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えている場合には、次に当該端末装置から到達性確認パケットを受信するまで通信パケットを遮断することを特徴とするものである。
第3の態様に係る通信制御装置は、少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え、前記送受信手段がDHCP(Dynamic Host Configuration Protocol)サーバと接続され、前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたアドレスを使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって前記端末装置に割り当てられたアドレス情報を記憶し、前記制御手段は、前記送受信手段により受信された通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれている場合には、当該通信パケットを通過し、当該受信した通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれていない場合には、当該通信パケットを遮断させ、前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたDNSサーバアドレス情報を使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって割り当てられたDNSサーバアドレス情報を記憶し、前記制御手段は、前記端末装置から送信された通信パケットにおけるポート番号がDNSである場合に、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれているときには当該通信パケットを通過させ、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれていないときには当該通信パケットを遮断させることを特徴とするものである。
第4の態様に係る通信システムは、通信パケットを送受信する端末装置と、ルータ広告によってプリフィックス情報を送信すると共に、前記端末装置によって送受信される通信パケットを中継するルータと、前記通信パケットの遮断及び通過を制御する通信制御装置とを備え、前記通信制御装置は、少なくともルータ及び端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え、前記ルータ広告によってDNSサーバ情報が前記送受信手段に送信されている場合に、前記記憶手段は、当該DNSサーバ情報に含まれるDNSサーバアドレス情報を記憶し、前記制御手段は、前記端末装置から送信された通信パケットの宛先アドレスが前記記憶手段に記憶された前記DNSサーバアドレスである場合には、当該通信パケットを通過させ、当該通信パケットに含まれる宛先アドレスが前記記憶手段に記憶された前記DNS(Domain Name System)サーバアドレスとは異なる場合には、当該通信パケットを遮断することを特徴とするものである。
第5の態様に係る通信システムは、通信パケットを送受信する端末装置と、ルータ広告によってプリフィックス情報を送信すると共に、前記端末装置によって送受信される通信パケットを中継するルータと、前記通信パケットの遮断及び通過を制御する通信制御装置とを備え、前記通信制御装置は、少なくともルータ及び端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え、前記ルータ広告によって前記端末装置の可到達時間が指定されている場合に、前記記憶手段は、前記可到達時間と、前記端末装置から送信された通信パケットの到達性確認パケットを前記送受信手段によって受信した時刻とを記憶しておき、前記制御手段は、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えていない場合には、当該到達性確認パケットを通過させ、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えている場合には、次に当該端末装置から到達性確認パケットを受信するまで通信パケットを遮断することを特徴とするものである。
第6の態様に係る通信システムは、通信パケットを送受信する端末装置と、ルータ広告によってプリフィックス情報を送信すると共に、前記端末装置によって送受信される通信パケットを中継するルータと、前記通信パケットの遮断及び通過を制御する通信制御装置とを備え、前記通信制御装置は、少なくともルータ及び端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え、前記送受信手段がDHCP(Dynamic Host Configuration Protocol)サーバと接続され、前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたアドレスを使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって前記端末装置に割り当てられたアドレス情報を記憶し、前記制御手段は、前記送受信手段により受信された通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれている場合には、当該通信パケットを通過し、当該受信した通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれていない場合には、当該通信パケットを遮断させ、前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたDNSサーバアドレス情報を使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって割り当てられたDNSサーバアドレス情報を記憶し、前記制御手段は、前記端末装置から送信された通信パケットにおけるポート番号がDNSである場合に、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれているときには当該通信パケットを通過させ、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれていないときには当該通信パケットを遮断させることを特徴とするものである。
第7の態様に係る通信制御装置のプログラムは、通信制御装置に実行されるプログラムであって、当該通信制御装置を、少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段として機能させ、前記ルータ広告によってDNSサーバ情報が前記送受信手段に送信されている場合に、前記記憶手段は、当該DNSサーバ情報に含まれるDNSサーバアドレス情報を記憶し、前記制御手段は、前記端末装置から送信された通信パケットの宛先アドレスが前記記憶手段に記憶された前記DNSサーバアドレスである場合には、当該通信パケットを通過させ、当該通信パケットに含まれる宛先アドレスが前記記憶手段に記憶された前記DNS(Domain Name System)サーバアドレスとは異なる場合には、当該通信パケットを遮断することを特徴とする。
第8の態様に係る通信制御装置のプログラムは、通信制御装置に実行されるプログラムであって、当該通信制御装置を、少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段として機能させ、前記ルータ広告によって前記端末装置の可到達時間が指定されている場合に、前記記憶手段は、前記可到達時間と、前記端末装置から送信された通信パケットの到達性確認パケットを前記送受信手段によって受信した時刻とを記憶しておき、前記制御手段は、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えていない場合には、当該到達性確認パケットを通過させ、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えている場合には、次に当該端末装置から到達性確認パケットを受信するまで通信パケットを遮断することを特徴とする。
第9の態様に係る通信制御装置のプログラムは、通信制御装置に実行されるプログラムであって、当該通信制御装置を、少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段として機能させ、前記送受信手段がDHCP(Dynamic Host Configuration Protocol)サーバと接続され、前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたアドレスを使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって前記端末装置に割り当てられたアドレス情報を記憶し、前記制御手段は、前記送受信手段により受信された通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれている場合には、当該通信パケットを通過し、当該受信した通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれていない場合には、当該通信パケットを遮断させ、前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたDNSサーバアドレス情報を使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって割り当てられたDNSサーバアドレス情報を記憶し、前記制御手段は、前記端末装置から送信された通信パケットにおけるポート番号がDNSである場合に、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれているときには当該通信パケットを通過させ、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれていないときには当該通信パケットを遮断させることを特徴とする。
本発明によれば、ルータからルータ広告によって送信されたプリフィックス情報を記憶しておき、通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が記憶されたプレフィックス情報とは異なる場合に通信パケットを遮断するので、IPv6のネットワーク環境下において適切に不正な通信パケットを遮断できる。
本発明の一実施形態として示す通信システムの構成を示すブロック図である。 本発明の一実施形態として示す通信システムにおける通信制御装置の機能的な構成を示すブロック図である。 本発明の一実施形態として示す通信システムにおける通信制御装置に記憶する情報を示す図である。 本発明の一実施形態として示す通信システムにおいて、第1実施例の動作を示すシーケンス図である。 本発明の一実施形態として示す通信システムにおいて、第2実施例の動作を示すシーケンス図である。 本発明の一実施形態として示す通信システムにおいて、第3実施例の動作を示すシーケンス図である。 本発明の一実施形態として示す通信システムにおいて、第4実施例の動作を示すシーケンス図である。 本発明の一実施形態として示す通信システムにおいて、第5実施例の動作を示すシーケンス図である。 本発明の一実施形態として示す通信システムにおいて、第6実施例の動作を示すシーケンス図である。
以下、本発明の実施の形態について図面を参照して説明する。
本発明の実施形態として示す通信システムは、例えば図1に示すように構成される。この通信システムは、通信制御装置1、無線端末装置2、家庭内機器3A,3B、端末装置4、DHCP(Dynamic Host Configuration Protocol)v6サーバ5、ルータ6、DNSサーバ7、通信装置8を含む。この通信システムは、IPv6に従ってIPv6パケットを送受信するものである。
ルータ6は、通信制御装置1を介して無線端末装置2又は端末装置4から通信装置8等に送信されるIPv6パケットを中継すると共に、無線端末装置2又は端末装置4宛てに送信されたIPv6パケットを通信制御装置1に中継する。このルータ6は、通信制御装置1に接続された宅内ネットワークのプレフィックス情報をルータ広告メッセージとして定期的に宅内ネットワークの全ノード宛てにマルチキャストで送信する。これにより、ルータ6は、無線端末装置2又は端末装置4のIPv6アドレスの上位64ビットのプレフィックスとして、当該ルータ広告メッセージによって送信させているプレフィックス情報を使用可能とする。
また、ルータ6は、ルータ広告メッセージに、宅内ネットワークの無線端末装置2又は端末装置4がアクセスするDNS(Domain Name System)サーバの情報、Mフラグ、Oフラグといった他の情報も含めることもできる。
無線端末装置2又は端末装置4は、IPv6アドレスを取得し、当該IPv6アドレスを自己のIPv6アドレスとして使用してIPv6パケットを送受信する。無線端末装置2又は端末装置4は、通常、ルータ広告メッセージに含まれるプレフィックス情報と、自身に設定されたMAC(Media Access Control)アドレスから求められるインターフェースIDとを用いて、128ビットのIPv6アドレスを生成する。
無線端末装置2又は端末装置4がIPv6アドレスを取得する手法としては、2つの手法が挙げられる。第1の手法は、無線端末装置2又は端末装置4がルータ6から送信されたルータ広告メッセージ(RA)に含まれているプレフィックス情報を取得し、当該プレフィックス情報を上位64ビットのネットワークアドレスとし、下位64ビットを自己のMACアドレスから生成して、自己のIPv6アドレスとするものである。第2の手法は、IPv6アドレスを取得する他の手法としては、DHCPv6サーバ5から割り当てられたIPv6アドレスを自己のIPv6アドレスとして使用するものである。無線端末装置2又は端末装置4は、何れかの手法によって取得したIPv6アドレスを用いることとなり、何れのIPv6アドレスを使用するかは任意に設定される。
通信制御装置1、無線端末装置2、家庭内機器3A,3B及び端末装置4は、例えば宅内に備えられる。通信制御装置1は、無線端末装置2及び端末装置4が外部のネットワークNWを介して行う通信装置8又はDNSサーバ7の間の通信を監視するファイアウォールとして機能する。これにより、通信制御装置1は、宅内と外部との間の不正な通信を遮断する。
通信制御装置1は、通信を許可する場合には、無線端末装置2又は端末装置4から送信されたIPv6パケットを通過させてルータ6に転送し、通信を遮断する場合には、無線端末装置2又は端末装置4から送信されたIPv6パケットを破棄する。また、通信制御装置1は、ルータ6からネットワークNW側の外部ネットワークから、ルータ6から通信制御装置1側の宅内ネットワークへの通信を許可する場合には、外部ネットワークから送信されたIPv6パケットを通過させて無線端末装置2又は端末装置4に転送する。一方、通信制御装置1は、外部ネットワークから宅内ネットワークへの通信を遮断する場合には、外部ネットワークから送信されたIPv6パケットを破棄する。
通信制御装置1は、図2に示すように、コントローラ11、記憶部12、ホームネットワークI/F13、広域ネットワークI/F14を含む。
ホームネットワークI/F13は、IPv6パケットを送受信する無線端末装置2及び端末装置4と接続されている。広域ネットワークI/F14は、少なくともルータ6と接続されている。本例においては、広域ネットワークI/F14は、DHCPv6サーバ5と接続されている。広域ネットワークI/F14は、ルータ6からルータ広告メッセージによって送信されたプリフィックス情報を受信する。
記憶部12は、広域ネットワークI/F14により受信されたプレフィックス情報を記憶する。記憶部12は、通信制御装置1を介して無線端末装置2又は端末装置4が通信する情報をキャプチャして、図3に示すようなプレフィックス情報を含む各種の情報を記憶する。なお、他の情報については、後述する。
プレフィックス情報は、ルータ6が無線端末装置2又は端末装置4宛てに送信したルータ広告メッセージに含まれ、当該ルータ広告メッセージを広域ネットワークI/F14によってキャプチャして取得されたものである。このプレフィックス情報は、無線端末装置2又は端末装置4のIPv6アドレスにおける上位64ビットを構成するネットワークアドレスである。
上述した通信システムにおいて、ウィルスや悪意を持った攻撃者が不正なIPv6アドレスを使用する、又は、誤ったIPv6アドレスを無線端末装置2又は端末装置4のユーザが設定する場合などがある。そこで、通信システムにおける通信制御装置1は、下記のような処理を行う。
(第1実施例)
コントローラ11は、ホームネットワークI/F13又は広域ネットワークI/F14により受信されたIPv6パケットに含まれる送信元IPv6アドレス又は宛先IPv6アドレスのプレフィックス情報が記憶部12に記憶されたプレフィックス情報とは異なる場合には、当該IPv6パケットを遮断する。また、コントローラ11は、ホームネットワークI/F13及び広域ネットワークI/F14により受信したIPv6パケットに含まれる送信元IPv6アドレス又は宛先IPv6アドレスのプレフィックス情報が記憶部12に記憶されたプレフィックス情報である場合には、当該IPv6パケットを通過させる。これにより、コントローラ11は、不正なIPv6パケットを監視し、遮断する制御手段として機能する。
通信制御装置1は、ルータ6によってルータ広告メッセージされているプレフィックス情報を上位64ビットとしたIPv6アドレスを有する無線端末装置2又は端末装置4のみを通信可能にする。したがって、この通信制御装置1によれば、ルータ6によってルータ広告メッセージを受信していない不正な通信装置がIPv6パケットを送信しても、当該不正なIPv6パケットを遮断できる。
具体的には、図4に示すように、通信制御装置1は、定期的にルータ6から送信されるルータ広告メッセージS1をキャプチャする。そして、通信制御装置1は、当該ルータ広告メッセージS1に含まれるプレフィックス情報を記憶する。
その後、無線端末装置2又は端末装置4が通信装置8との間でIPv6パケットS2を送受信する場合、通信制御装置1は、当該IPv6パケットS2をキャプチャする。そして、通信制御装置1は、当該IPv6パケットS2に含まれる無線端末装置2又は端末装置4のIPv6アドレスのプレフィックスが、記憶部12に記憶しているプレフィックス情報と同じ場合には、IPv6パケットS2の通信を許可する。
このように、通信制御装置1によれば、ルータ6からルータ広告によって送信されたプリフィックス情報を記憶しておく。そして、通信制御装置1は、IPv6パケットに含まれる送信元IPv6アドレス又は宛先IPv6アドレスのプレフィックス情報が記憶されたプレフィックス情報とは異なる場合にIPv6パケットを遮断する。これにより、IPv6のネットワーク環境下において適切に不正なIPv6パケットを遮断できる。
(第2実施例)
また、通信制御装置1は、ルータ6から送信されたルータ広告メッセージによってDNSサーバ7の情報が送信されている場合に、記憶部12は、当該DNSサーバ情報に含まれるDNSサーバアドレス情報を記憶する。
コントローラ11は、無線端末装置2又は端末装置4から送信されたIPv6パケットの宛先IPv6アドレスが記憶部12に記憶されたDNSサーバアドレスである場合には、当該IPv6パケットを通過させる。一方、コントローラ11は、当該IPv6パケットに含まれる宛先IPv6アドレスが記憶部12に記憶されたDNSサーバアドレスとは異なる場合には、当該IPv6パケットを遮断する。
これにより、通信制御装置1は、ルータ6によってルータ広告メッセージされているDNSサーバ7のみと無線端末装置2又は端末装置4とを通信可能にする。
具体的には、図5に示すように、通信制御装置1は、定期的にルータ6から送信されるルータ広告メッセージS11をキャプチャする。そして、通信制御装置1は、当該ルータ広告メッセージS11に含まれるDNSサーバ7のアドレス情報を記憶部12に記憶する。
その後、無線端末装置2又は端末装置4がDNSサーバ7に対してホスト名を指定したアドレス要求メッセージS12を送信した場合、通信制御装置1は、当該アドレス要求メッセージS12をキャプチャする。通信制御装置1は、TCPにおけるポート番号から、当該アドレス要求メッセージS12がDNSを利用することを認識する。そして、通信制御装置1は、当該アドレス要求メッセージS12に含まれる宛先IPv6アドレスが、記憶部12に記憶しているDNSサーバ7のIPv6アドレスと同じ場合には、アドレス要求メッセージS12の通信を許可する。
DNSサーバ7は、アドレス要求メッセージS12を受信すると、当該アドレス要求メッセージS12に含まれるホスト名に対応した通信装置のIPv6アドレスを取得する。DNSサーバ7は、当該IPv6アドレスを含むアドレス応答メッセージS13を無線端末装置2又は端末装置4に送信する。
通信制御装置1は、当該アドレス応答メッセージS13をキャプチャする。通信制御装置1は、TCPにおけるポート番号から、当該アドレス応答メッセージS13がDNSを利用することを認識する。そして、通信制御装置1は、当該アドレス応答メッセージS13に含まれる送信元IPv6アドレスが、記憶部12に記憶しているDNSサーバ7のIPv6アドレスと同じ場合には、アドレス応答メッセージS13の通信を許可する。
なお、この例では、DNSサーバアドレスをルータ6から送信されたルータ広告メッセージによって指定して、無線端末装置2又は端末装置4からは、DNSサーバ7にしかアクセスできないようにしているが、他のサーバについても適用できる。例えば、無線端末装置2又は端末装置4を特定のSIP(Session Initiation Protocol)サーバとしか通信させない場合には、ルータ広告メッセージによって、SIPサーバアドレスを通信制御装置1を介して無線端末装置2又は端末装置4に送信する。これにより、通信制御装置1は、特定のSIPサーバ以外のSIPサーバとの通信を遮断できる。
他の例としては、無線端末装置2又は端末装置4を特定のNTP(Network Time Protocol)サーバとしか通信させない場合には、ルータ広告メッセージによって、NTPサーバアドレスを通信制御装置1を介して無線端末装置2又は端末装置4に送信する。これにより、通信制御装置1は、特定のNTPサーバ以外のNTPサーバとの通信を遮断できる。
(第3実施例)
更に、通信制御装置1は、ルータ広告メッセージによって無線端末装置2又は端末装置4の可到達時間(Reachable Time)が指定されている場合に、記憶部12は、可到達時間と、無線端末装置2又は端末装置4から送信されたIPv6パケットの到達性確認パケットを広域ネットワークI/F14によって受信した時刻とを記憶しておく。この到達性確認パケットは、無線端末装置2又は端末装置4から通信相手にIPv6パケットを送信するときに、通信相手にIPv6パケットが到達するかを確認するためのパケットであり、例えばICMP(Internet Control Message Protocol)v6によって送信されるパケットである。
コントローラ11は、ルータ広告を受信した時刻から無線端末装置2又は端末装置4から送信されたIPv6パケットを受信した時刻までの時間が、当該無線端末装置2又は端末装置4に対する可到達時間を超えていない場合には、当該ICMPv6パケットを通過させる。一方、コントローラ11は、ルータ広告を受信した時刻から無線端末装置2又は端末装置4から送信されたICMPv6パケットを受信した時刻までの時間が、当該無線端末装置2又は端末装置4に対する可到達時間を超えている場合には、次に当該無線端末装置2又は端末装置4から到達性確認パケットを受信するまでIPv6パケットを遮断する。
具体的には、図6に示すように、可到達時間T1を含むルータ広告S21が送信されているときに、当該可到達時間T1以内の時刻Taに無線端末装置2又は端末装置4からICMPv6パケットS22が送信されたとする。通信制御装置1は、当該ICMPv6パケットS22を受信した時に、可到達時間T1が経過していないので、当該ICMPv6パケットS22を許可して、通過させる。
一方、可到達時間T1を経過した後の時刻Tbに無線端末装置2又は端末装置4、又は、攻撃者の通信装置からICMPv6パケットS23が送信されたとする。この場合、通信制御装置1は、当該ICMPv6パケットS23を受信した時に、可到達時間T1が経過しているので、当該ICMPv6パケットS23を遮断させる。
これにより、通信制御装置1は、ルータ広告メッセージによって無線端末装置2又は端末装置4の可到達時間が指定された場合には、当該無線端末装置2又は端末装置4から送信される到達性確認パケットを受信したときに、当該到達性確認パケットが可到達時間内である場合のみ、到達性確認パケットを通過させる。これにより、通信制御装置1は、可到達時間内のみに通信を許可し、当該可到達時間外の通信を不正なものとして遮断できる。
(第4実施例)
更にまた、通信制御装置1は、広域ネットワークI/F14がDHCPv6サーバ5と接続されている。ルータ広告メッセージによって無線端末装置2又は端末装置4がDHCPv6サーバ5により割り当てられたIPv6アドレスを使用することが指定されている場合に、記憶部12は、DHCPv6サーバ5によって無線端末装置2又は端末装置4に割り当てられたIPv6アドレス情報を記憶する。
このとき、コントローラ11は、ルータ広告メッセージにおけるMフラグが「1」であるか否かを判定する。これにより、通信制御装置1は、DHCPv6サーバ5から割り当てられたIPv6アドレスを無線端末装置2又は端末装置4のIPv6アドレスを使用すると判断する。ここで、記憶部12は、図3のように、無線端末装置2又は端末装置4を識別する端末情報と、DHCPv6サーバ5によって割り当てられたIPv6アドレスとを対応付けて記憶する。
コントローラ11は、ホームネットワークI/F13及び広域ネットワークI/F14により受信されたIPv6パケットに含まれる送信元IPv6アドレスが記憶部12に記憶されたアドレス情報として含まれている場合には、当該IPv6パケットを通過させる。一方、コントローラ11は、受信したIPv6パケットに含まれる送信元IPv6アドレスが記憶部12に記憶されたアドレス情報として含まれていない場合には、当該IPv6パケットを遮断させる。
これにより、通信制御装置1は、無線端末装置2又は端末装置4のIPv6アドレスとしてDHCPv6サーバ5により割り当てられたIPv6アドレスを使用することがルータ広告メッセージによって指定されている場合には、当該割り当てられたIPv6アドレス以外のアドレスを宛先IPv6アドレス、送信元IPv6アドレスとするIPv6パケットを遮断できる。
具体的には、通信システムは、図7に示すようなシーケンスによって、通信制御装置1にIPv6アドレスを記憶する。
先ず無線端末装置2又は端末装置4は、起動時において、DHCPv6サーバ5によってIPv6アドレスの割り当てをする設定がされているときに、ルータ6に対してルータ要請メッセージ(RS:Router Solicitation message)S31を送信する。このルータ要請メッセージS31は、無線端末装置2又は端末装置4がアドレス要求をするDHCPv6サーバ5のアドレス要求を含む。このルータ要請メッセージS31は、通信制御装置1を介してルータ6に供給される。
ルータ6は、無線端末装置2又は端末装置4から送信されたルータ要請メッセージS31に応じて、ルータ広告メッセージS32を送信する。このルータ広告メッセージS32には、無線端末装置2又は端末装置4が通信するDHCPv6サーバ5に割り当てられたIPv6アドレスを含む。また、このルータ広告メッセージS32は、定期的に送信されるルータ広告メッセージのプレフィックス情報ではなく、DHCPv6サーバ5によって割り当てられたIPv6アドレスを使用することを示すために、Mフラグが「1」とされる。
このルータ広告メッセージS32は、無線端末装置2又は端末装置4に送信されるときに、通信制御装置1によってキャプチャされる。通信制御装置1は、当該ルータ広告メッセージS32に含まれているDHCPv6サーバ5のアドレス情報及びMフラグを認識して、無線端末装置2又は端末装置4がDHCPv6サーバ5によって割り当てられたIPv6アドレスを利用することを認識する。
無線端末装置2又は端末装置4は、ルータ広告メッセージS32を受信したことに応じて、当該ルータ広告メッセージS32に含まれているDHCPv6サーバ5のアドレス情報を用いて、当該DHCPv6サーバ5にアドレス情報の要求メッセージS33を送信する。
DHCPv6サーバ5は、無線端末装置2又は端末装置4から送信されたアドレス情報の要求メッセージS33を受信すると、無線端末装置2又は端末装置4に割り当てるIPv6アドレスを取得する。そしてDHCPv6サーバ5は、無線端末装置2又は端末装置4に宛てて、割り当てるIPv6アドレスを含むアドレス情報の応答メッセージS34を送信する。
無線端末装置2又は端末装置4は、通信制御装置1を介してDHCPv6サーバ5から送信されたアドレス情報の応答メッセージS34を受信する。無線端末装置2又は端末装置4は、割り当てられたIPv6アドレスを使用して、以降のIPv6パケットを作成して、通信を行う。
これにより、この通信制御装置1によれば、正規なDHCPv6サーバ5が割り当てたIPv6アドレスを用いたIPv6パケットを通過させ、他のIPv6アドレスを用いたIPv6パケットを破棄できる。また、ルータ6からルータ広告メッセージによってプレフィックス情報が定期的に送信されている場合でも、無線端末装置2又は端末装置4がルータ要請メッセージによってDHCPv6サーバ5によって割り当てられたIPv6アドレスを使用することが設定されている場合には、当該割り当てたIPv6アドレスによってIPv6パケットを遮断するルールを自動的に構築できる。
(第5実施例)
更にまた、この通信システムは、ルータ広告メッセージによって無線端末装置2又は端末装置4がDHCPv6サーバ5により割り当てられたDNSサーバアドレス情報を使用することが指定されている場合に、記憶部12は、DHCPv6サーバ5によって割り当てられたDNSサーバアドレス情報を記憶する。このとき、コントローラ11は、ルータ広告メッセージにおけるOフラグが「1」であるか否かを判定することにより、DHCPv6サーバ5から割り当てられたDNSサーバのIPv6アドレスを用いることを判断する。
コントローラ11は、無線端末装置2又は端末装置4から送信されたIPv6パケットにおけるポート番号がDNSであるか否かを判定する。コントローラ11は、ポート番号がDNSである場合、当該IPv6パケットの宛先IPv6アドレスが記憶部12に記憶されたDNSサーバアドレス情報として含まれているときには当該IPv6パケットを通過させる。一方、コントローラ11は、当該IPv6パケットの宛先IPv6アドレスが記憶部12に記憶されたDNSサーバアドレス情報として含まれていないときには当該IPv6パケットを遮断させる。
これにより、通信制御装置1は、無線端末装置2又は端末装置4のIPv6アドレスとしてDHCPv6サーバ5により割り当てられたDNSサーバ7のIPv6アドレスを使用することがルータ広告メッセージによって指定されている場合には、当該割り当てられたDNSサーバ7のIPv6アドレス以外のアドレスを宛先IPv6アドレス、送信元IPv6アドレスとするIPv6パケットを遮断できる。
具体的には、通信システムは、図8に示すようなシーケンスの動作を行う。
先ず無線端末装置2又は端末装置4は、DHCPv6サーバ5の利用時において、ルータ6に対してルータ要請メッセージ(RS:Router Solicitation message)S41を送信する。このルータ要請メッセージS41は、無線端末装置2又は端末装置4がアドレス要求をするDHCPv6サーバ5のアドレス要求を含む。このルータ要請メッセージS41は、通信制御装置1を介してルータ6に供給される。
ルータ6は、無線端末装置2又は端末装置4から送信されたルータ要請メッセージS41に応じて、ルータ広告メッセージS42を送信する。このルータ広告メッセージS42には、無線端末装置2又は端末装置4が通信するDHCPv6サーバ5のIPv6アドレスを含む。また、このルータ広告メッセージS42は、DNSサーバ7のIPv6アドレスとして、DHCPv6サーバ5によって割り当てられたDNSサーバ7のIPv6アドレスを使用することを示すために、Oフラグが「1」とされる。
このルータ広告メッセージS42は、無線端末装置2又は端末装置4に送信されるときに、通信制御装置1によってキャプチャされる。通信制御装置1は、当該ルータ広告メッセージS42に含まれているDHCPv6サーバ5のアドレス情報及びOフラグを認識して、無線端末装置2又は端末装置4がDHCPv6サーバ5によって割り当てられたDNSサーバ7のIPv6アドレスを利用することを認識する。
無線端末装置2又は端末装置4は、ルータ広告メッセージS42を受信したことに応じて、当該ルータ広告メッセージS42に含まれているDHCPv6サーバ5のアドレス情報を用いて、当該DNSサーバ7のアドレス情報の要求メッセージS43を送信する。
DHCPv6サーバ5は、無線端末装置2又は端末装置4から送信されたDNSサーバ7のアドレス情報の要求メッセージS43を受信すると、DNSサーバ7のIPv6アドレスを取得する。そしてDHCPv6サーバ5は、無線端末装置2又は端末装置4に宛てて、DNSサーバ7のIPv6アドレスを含むアドレス情報の応答メッセージS44を送信する。
通信制御装置1は、当該アドレス情報の応答メッセージS44に含まれているDNSサーバ7のIPv6アドレスを記憶する。これにより、通信制御装置1は、DHCPv6サーバ5によって割り当てられたDNSサーバ7のIPv6アドレスを使用した場合のみ、無線端末装置2又は端末装置4からDNSサーバ7宛のIPv6パケットを通過させる。よって、通信制御装置1は、当該割り当てるDNSサーバ7のIPv6アドレス以外で、DNSを利用するIPv6アドレスを使用したIPv6パケットを遮断できる。
無線端末装置2又は端末装置4は、通信制御装置1を介してDHCPv6サーバ5から送信されたアドレス情報の応答メッセージS44を受信する。無線端末装置2又は端末装置4は、DHCPv6サーバ5によって割り当てられたDNSサーバ7のIPv6アドレスを使用して、以降のDNSのIPv6パケットを作成して、通信を行う。
この通信制御装置1によれば、ルータ広告メッセージによって指定されたDNSサーバ7のみに対して無線端末装置2又は端末装置4がアクセスさせることにより、他の不正なDNSサーバに誘導されることがない。
(第6実施例)
更にまた、通信制御装置1は、無線端末装置2又は端末装置4の起動直後に当該端末装置がMACアドレスを用いてIPアドレスを設定して当該IPアドレスの重複アドレス検知のためのメッセージを送信した場合に、記憶部12によって、メッセージに含まれる端末装置のMACアドレスを記憶する。
コントローラ11は、無線端末装置2又は端末装置4から送信されたIPv6パケットに含まれるMACアドレスが、記憶部12に記憶されたMACアドレスと一致するかを判定する。コントローラ11は、IPv6パケットに含まれるMACアドレスが記憶部12に記憶されている場合には、当該IPv6パケットを通過させる。一方、コントローラ11は、IPv6パケットに含まれるMACアドレスが記憶部12に記憶されていない場合には、当該IPv6パケットを遮断させる。
これにより、通信制御装置1は、無線端末装置2又は端末装置4がMACアドレスを用いてIPv6アドレスの下位64ビットのリンクローカルアドレスをネットワークインターフェースに設定してDAD(重複アドレス検知)を行っていない無線端末装置2又は端末装置4を遮断できる。
具体的には、図9に示すように、無線端末装置2又は端末装置4は、リンクローカルアドレスの重複検出パケットS51をマルチキャスト通信によって送信する。この重複検出パケットS51は、通信制御装置1によってキャプチャされ、ルータ6及びDHCPv6サーバ5にも到達する。
この通信システムにおいて、重複検出パケットS51に含まれるリンクローカルアドレスとしてのMACアドレスが重複していない他の通信装置が無い場合、重複検出パケットS51をマルチキャストした無線端末装置2又は端末装置4には応答が送信されない。通信制御装置1は、重複検出パケットS51をキャプチャした時刻から所定時間に亘って応答がない場合、重複検出パケットS51に含まれている無線端末装置2又は端末装置4のMACアドレス(インターフェースID)を記憶する。
その後、無線端末装置2又は端末装置4は、IPv6アドレスのプレフィックス情報を取得するためにルータ要請メッセージS52をルータ6に送信する。ルータ6は、ルータ要請メッセージS52を受信すると、当該ルータ要請メッセージS52に応答して、プレフィックス情報を含むルータ広告メッセージS53を無線端末装置2又は端末装置4に返信する。
無線端末装置2又は端末装置4は、ルータ広告メッセージS53を受信すると、当該ルータ要請メッセージS52に含まれているプレフィックス情報を上位64ビットとし、自己のインターフェースIDを下位64ビットとしたIPv6アドレスを生成する。これにより、無線端末装置2又は端末装置4は、以降の通信において、自己のIPv6アドレスを取得できる。
また、ルータ広告メッセージS53は、通信制御装置1によってキャプチャされる。通信制御装置1は、当該ルータ要請メッセージS52に含まれているプレフィックス情報を上位64ビットとし、重複検出パケットS51に含まれていた無線端末装置2又は端末装置4のインターフェースIDを下位64ビットとして、無線端末装置2又は端末装置4のIPv6アドレスを生成して、記憶部12に記憶する。これにより、通信制御装置1は、記憶部12に記憶されたIPv6アドレスを使用しているIPv6パケットのみを通過させ、それ以外のIPv6アドレスを使用しているIPv6パケットを遮断できる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
1 通信制御装置
2 無線端末装置
3 家庭内機器
4 端末装置
5 DHCPv6サーバ
6 ルータ
7 DNSサーバ
8 通信装置
11 コントローラ
12 記憶部
13 ホームネットワークI/F
14 広域ネットワークI/F

Claims (9)

  1. 少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、
    前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、
    前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え
    前記ルータ広告によってDNSサーバ情報が前記送受信手段に送信されている場合に、前記記憶手段は、当該DNSサーバ情報に含まれるDNSサーバアドレス情報を記憶し、
    前記制御手段は、前記端末装置から送信された通信パケットの宛先アドレスが前記記憶手段に記憶された前記DNSサーバアドレスである場合には、当該通信パケットを通過させ、当該通信パケットに含まれる宛先アドレスが前記記憶手段に記憶された前記DNS(Domain Name System)サーバアドレスとは異なる場合には、当該通信パケットを遮断すること
    を特徴とする通信制御装置。
  2. 少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、
    前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、
    前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え、
    前記ルータ広告によって前記端末装置の可到達時間が指定されている場合に、前記記憶手段は、前記可到達時間と、前記端末装置から送信された通信パケットの到達性確認パケットを前記送受信手段によって受信した時刻とを記憶しておき、
    前記制御手段は、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えていない場合には、当該到達性確認パケットを通過させ、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えている場合には、次に当該端末装置から到達性確認パケットを受信するまで通信パケットを遮断すること
    を特徴とする通信制御装置。
  3. 少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、
    前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、
    前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え
    前記送受信手段がDHCP(Dynamic Host Configuration Protocol)サーバと接続され、
    前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたアドレスを使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって前記端末装置に割り当てられたアドレス情報を記憶し、
    前記制御手段は、前記送受信手段により受信された通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれている場合には、当該通信パケットを通過し、当該受信した通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれていない場合には、当該通信パケットを遮断させ、
    前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたDNSサーバアドレス情報を使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって割り当てられたDNSサーバアドレス情報を記憶し、
    前記制御手段は、前記端末装置から送信された通信パケットにおけるポート番号がDNSである場合に、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれているときには当該通信パケットを通過させ、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれていないときには当該通信パケットを遮断させること
    を特徴とする通信制御装置。
  4. 通信パケットを送受信する端末装置と、
    ルータ広告によってプリフィックス情報を送信すると共に、前記端末装置によって送受信される通信パケットを中継するルータと、
    前記通信パケットの遮断及び通過を制御する通信制御装置とを備え、
    前記通信制御装置は、
    少なくともルータ及び端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、
    前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、
    前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え
    前記ルータ広告によってDNSサーバ情報が前記送受信手段に送信されている場合に、前記記憶手段は、当該DNSサーバ情報に含まれるDNSサーバアドレス情報を記憶し、
    前記制御手段は、前記端末装置から送信された通信パケットの宛先アドレスが前記記憶手段に記憶された前記DNSサーバアドレスである場合には、当該通信パケットを通過させ、当該通信パケットに含まれる宛先アドレスが前記記憶手段に記憶された前記DNS(Domain Name System)サーバアドレスとは異なる場合には、当該通信パケットを遮断すること
    を特徴とする通信システム。
  5. 通信パケットを送受信する端末装置と、
    ルータ広告によってプリフィックス情報を送信すると共に、前記端末装置によって送受信される通信パケットを中継するルータと、
    前記通信パケットの遮断及び通過を制御する通信制御装置とを備え、
    前記通信制御装置は、
    少なくともルータ及び端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、
    前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、
    前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え、
    前記ルータ広告によって前記端末装置の可到達時間が指定されている場合に、前記記憶手段は、前記可到達時間と、前記端末装置から送信された通信パケットの到達性確認パケットを前記送受信手段によって受信した時刻とを記憶しておき、
    前記制御手段は、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えていない場合には、当該到達性確認パケットを通過させ、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えている場合には、次に当該端末装置から到達性確認パケットを受信するまで通信パケットを遮断すること
    を特徴とする通信システム。
  6. 通信パケットを送受信する端末装置と、
    ルータ広告によってプリフィックス情報を送信すると共に、前記端末装置によって送受信される通信パケットを中継するルータと、
    前記通信パケットの遮断及び通過を制御する通信制御装置とを備え、
    前記通信制御装置は、
    少なくともルータ及び端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、
    前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、
    前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段とを備え
    前記送受信手段がDHCP(Dynamic Host Configuration Protocol)サーバと接続され、
    前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたアドレスを使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって前記端末装置に割り当てられたアドレス情報を記憶し、
    前記制御手段は、前記送受信手段により受信された通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれている場合には、当該通信パケットを通過し、当該受信した通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれていない場合には、当該通信パケットを遮断させ、
    前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたDNSサーバアドレス情報を使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって割り当てられたDNSサーバアドレス情報を記憶し、
    前記制御手段は、前記端末装置から送信された通信パケットにおけるポート番号がDNSである場合に、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれているときには当該通信パケットを通過させ、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれていないときには当該通信パケットを遮断させること
    を特徴とする通信システム。
  7. 通信制御装置に実行されるプログラムであって、当該通信制御装置を、
    少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、
    前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、
    前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段として機能させ
    前記ルータ広告によってDNSサーバ情報が前記送受信手段に送信されている場合に、前記記憶手段は、当該DNSサーバ情報に含まれるDNSサーバアドレス情報を記憶し、
    前記制御手段は、前記端末装置から送信された通信パケットの宛先アドレスが前記記憶手段に記憶された前記DNSサーバアドレスである場合には、当該通信パケットを通過させ、当該通信パケットに含まれる宛先アドレスが前記記憶手段に記憶された前記DNS(Domain Name System)サーバアドレスとは異なる場合には、当該通信パケットを遮断すること
    を特徴とする通信制御装置のプログラム。
  8. 通信制御装置に実行されるプログラムであって、当該通信制御装置を、
    少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、
    前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、
    前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段として機能させ、
    前記ルータ広告によって前記端末装置の可到達時間が指定されている場合に、前記記憶手段は、前記可到達時間と、前記端末装置から送信された通信パケットの到達性確認パケットを前記送受信手段によって受信した時刻とを記憶しておき、
    前記制御手段は、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えていない場合には、当該到達性確認パケットを通過させ、前記ルータ広告を受信した時刻から前記端末装置から送信された前記到達性確認パケットを受信した時刻までの時間が、当該端末装置に対する可到達時間を超えている場合には、次に当該端末装置から到達性確認パケットを受信するまで通信パケットを遮断すること
    を特徴とする通信制御装置のプログラム。
  9. 通信制御装置に実行されるプログラムであって、当該通信制御装置を、
    少なくともルータ及び通信パケットを送受信する端末装置と接続され、当該ルータからルータ広告によって送信されたプリフィックス情報を受信する送受信手段と、
    前記送受信手段により受信されたプレフィックス情報を記憶する記憶手段と、
    前記送受信手段により受信された通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報とは異なる場合には、当該通信パケットを遮断し、当該受信した通信パケットに含まれる送信元アドレス又は宛先アドレスのプレフィックス情報が前記記憶手段に記憶されたプレフィックス情報である場合には、当該通信パケットを通過させる制御手段として機能させ
    前記送受信手段がDHCP(Dynamic Host Configuration Protocol)サーバと接続され、
    前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたアドレスを使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって前記端末装置に割り当てられたアドレス情報を記憶し、
    前記制御手段は、前記送受信手段により受信された通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれている場合には、当該通信パケットを通過し、当該受信した通信パケットに含まれる送信元アドレスが前記記憶手段に記憶されたアドレス情報として含まれていない場合には、当該通信パケットを遮断させ、
    前記ルータ広告によって前記端末装置が前記DHCPサーバにより割り当てられたDNSサーバアドレス情報を使用することが指定されている場合に、前記記憶手段は、前記DHCPサーバによって割り当てられたDNSサーバアドレス情報を記憶し、
    前記制御手段は、前記端末装置から送信された通信パケットにおけるポート番号がDNSである場合に、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれているときには当該通信パケットを通過させ、当該通信パケットの宛先アドレスが前記記憶手段に記憶されたDNSサーバアドレス情報として含まれていないときには当該通信パケットを遮断させること
    を特徴とする通信制御装置のプログラム。
JP2010168370A 2010-07-27 2010-07-27 通信制御装置、通信システム及びプログラム Active JP5385872B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2010168370A JP5385872B2 (ja) 2010-07-27 2010-07-27 通信制御装置、通信システム及びプログラム
US13/811,515 US9100433B2 (en) 2010-07-27 2011-07-27 Communications control device, communications system, and program
CN201180036633.2A CN103026685B (zh) 2010-07-27 2011-07-27 通信控制装置、通信系统
EP11812520.2A EP2600567A4 (en) 2010-07-27 2011-07-27 COMMUNICATION CONTROL DEVICE, COMMUNICATION SYSTEM, AND PROGRAM
PCT/JP2011/067079 WO2012014931A1 (ja) 2010-07-27 2011-07-27 通信制御装置、通信システム及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010168370A JP5385872B2 (ja) 2010-07-27 2010-07-27 通信制御装置、通信システム及びプログラム

Publications (2)

Publication Number Publication Date
JP2012029222A JP2012029222A (ja) 2012-02-09
JP5385872B2 true JP5385872B2 (ja) 2014-01-08

Family

ID=45530135

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010168370A Active JP5385872B2 (ja) 2010-07-27 2010-07-27 通信制御装置、通信システム及びプログラム

Country Status (5)

Country Link
US (1) US9100433B2 (ja)
EP (1) EP2600567A4 (ja)
JP (1) JP5385872B2 (ja)
CN (1) CN103026685B (ja)
WO (1) WO2012014931A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130332586A1 (en) * 2012-06-08 2013-12-12 Apple Inc. Providing ipv6 connectivity through shared external interfaces on electronic devices
US9445354B2 (en) * 2013-02-05 2016-09-13 Mediatek Inc. Apparatus and method for acquiring IPv6 domain name system server and SIP server address
JP2014179809A (ja) * 2013-03-14 2014-09-25 Ricoh Co Ltd サーバ装置、情報送信システム、情報送信プログラム、および情報送信プログラムを記憶したコンピュータ読み取り可能な記憶媒体
CN105635067B (zh) * 2014-11-04 2019-11-15 华为技术有限公司 报文发送方法及装置
JP7359586B2 (ja) * 2019-07-25 2023-10-11 アズビル株式会社 アドレス管理装置およびアドレス管理方法
US20210377296A1 (en) * 2020-05-29 2021-12-02 Avaya Management L.P. Method and system for discovering, reporting, and preventing duplicate address detection attacks

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001211180A (ja) 2000-01-26 2001-08-03 Nec Commun Syst Ltd クライアント認証機能付きdhcpサーバ、及びその認証方法
JP2003348116A (ja) 2002-05-28 2003-12-05 Hitachi Ltd 家庭内ネットワーク向けアドレス自動設定方式
EP2472823B1 (en) 2002-11-06 2013-09-18 Telefonaktiebolaget L M Ericsson AB (Publ) A method and a device in an IP network
JP2004180211A (ja) * 2002-11-29 2004-06-24 Fujitsu Ltd 代理ネットワーク制御装置
JP2005064570A (ja) * 2003-08-12 2005-03-10 Hitachi Ltd ネットワークシステム及びインターネットワーク装置
US20050041671A1 (en) * 2003-07-28 2005-02-24 Naoya Ikeda Network system and an interworking apparatus
JP2006094416A (ja) * 2004-09-27 2006-04-06 Nec Corp 加入者回線収容装置およびパケットフィルタリング方法
JP2006324723A (ja) * 2005-05-17 2006-11-30 Fujitsu Ltd Lanへの不正アクセス防止方式

Also Published As

Publication number Publication date
JP2012029222A (ja) 2012-02-09
US9100433B2 (en) 2015-08-04
EP2600567A4 (en) 2015-06-10
EP2600567A1 (en) 2013-06-05
CN103026685A (zh) 2013-04-03
CN103026685B (zh) 2015-05-20
US20130124711A1 (en) 2013-05-16
WO2012014931A1 (ja) 2012-02-02

Similar Documents

Publication Publication Date Title
Arkko et al. Failure detection and locator pair exploration protocol for IPv6 multihoming
KR100908320B1 (ko) IPv6 네트워크 내 호스트 차단 및 탐색방법
JP5385872B2 (ja) 通信制御装置、通信システム及びプログラム
Issac Secure ARP and secure DHCP protocols to mitigate security attacks
JP2006086800A (ja) ソースアドレスを選択する通信装置
CN107547510B (zh) 一种邻居发现协议安全表项处理方法和装置
JP2007520970A (ja) トンネリングサービス方法及びシステム
McPherson et al. Architectural considerations of IP anycast
WO2013165881A1 (en) Method and devices for protecting neighbor discovery cache against dos attacks
JP6137178B2 (ja) 通信情報検出装置及び通信情報検出方法
US9503889B2 (en) System and method for mobile IP
KR20100087124A (ko) 액세스 네트워크에서 멀티캐스트 ip 패킷들을 제어하기 위한 방법 및 장치
US20140019641A1 (en) Communication device, communication system, and communication method
Bi et al. Source address validation improvement (SAVI) solution for DHCP
JP2004357016A (ja) 特定アドレス使用制限装置
JP2007104396A (ja) 不正接続防止システムおよび方法、プログラム
Nordmark et al. Neighbor unreachability detection is too impatient
KR20020074322A (ko) 정보가전의 네트워크 구성을 위해 정보가전을 도메인 이름서비스에 등록하는 방법과 그를 이용한 원격 제어 방법
Issac et al. Secure unicast address resolution protocol (S-UARP) by extending DHCP
Liang et al. A SDN-Based Hierarchical Authentication Mechanism for IPv6 Address
Behringer et al. Using Only Link-Local Addressing inside an IPv6 Network
Byrne et al. Extending an IPv6/64 Prefix from a Third Generation Partnership Project (3GPP) Mobile Interface to a LAN Link
Supriyanto et al. Risk analysis of the implementation of IPv6 neighbor discovery in public network
Baker et al. RFC 8678 Enterprise Multihoming Using Provider-Assigned IPv6 Addresses without Network Prefix Translation: Requirements and Solutions
JP2015186081A (ja) スイッチングハブ及び機器検証用ネットワークシステム

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20120116

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130313

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130507

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130716

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130820

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130910

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131004

R150 Certificate of patent or registration of utility model

Ref document number: 5385872

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150