JP5687164B2 - ネットワークノード制御方法 - Google Patents
ネットワークノード制御方法 Download PDFInfo
- Publication number
- JP5687164B2 JP5687164B2 JP2011198206A JP2011198206A JP5687164B2 JP 5687164 B2 JP5687164 B2 JP 5687164B2 JP 2011198206 A JP2011198206 A JP 2011198206A JP 2011198206 A JP2011198206 A JP 2011198206A JP 5687164 B2 JP5687164 B2 JP 5687164B2
- Authority
- JP
- Japan
- Prior art keywords
- host
- value
- mac
- network node
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 62
- 230000005540 biological transmission Effects 0.000 claims description 19
- 101000682954 Homo sapiens Ribosome biogenesis regulatory protein homolog Proteins 0.000 description 6
- 102100023902 Ribosome biogenesis regulatory protein homolog Human genes 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 102000009097 Phosphorylases Human genes 0.000 description 1
- 108010073135 Phosphorylases Proteins 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Description
本発明は、Openflowスイッチによって構成されたネットワークに適用することができる。例えば、図1に示すような複数の組織によって管理されたドメインが存在し、それぞれはOpenflowスイッチで構成されたネットワークを想定する。また、ネットワーク内は、例えば既存のIPルーティングプロトコルによって、IPレベルの到達性が維持されているとする。本発明は、図1のように異なる組織間をまたがった安全なネットワークノード制御を実現できる。
1)ホスト10のIPアドレス認証機能部11は、コントローラ30へREQ_TOKEN(以降、RQと記載する。)メッセージを送信する。
2)コントローラ30のIPアドレス認証機能部31はRQメッセージを受信後、ルックアップサービス50に問い合わせて認証補助サーバ20のIPアドレスを取得する。複数の認証補助サーバ20のIPアドレスを取得した場合は、1つ選択し、そのIPアドレス宛にREF_REQ_TOKEN(以降、RRQと記載する。)メッセージを送信する。
3)RRQメッセージを受信した認証補助サーバ20の認証補助機能部21は、REF_RES_TOKEN(以降、RRSと記載する。)メッセージを返信する。
4)RRSメッセージを受信したコントローラ30のIPアドレス認証機能部31は、RES_TOKEN(以降、RSと記載する。)メッセージをホスト10へ送信する。
5)RSメッセージを受信したホスト10のIPアドレス認証機能部11は、RSメッセージに書かれた認証補助サーバ20のIPアドレスに対して、RRQメッセージを送信する。
6)コントローラ30からのRRQメッセージと同様に、認証補助サーバ20の認証補助機能部21はホスト10からのRRQメッセージを受信後、RRSメッセージをホスト10へ返信する。
7)ホスト10のIPアドレス認証機能部11はコントローラ30からのRSメッセージと認証補助サーバ20からのRRSメッセージの情報をもとにMACを生成し、ホスト10の制御命令送信部12は生成したMACとともに制御内容をのせてCFG_INSTALL(以降、CIと記載する。)メッセージをコントローラ30へ送信する。
8)CIメッセージを受信したコントローラ30の制御権委譲機能部32は、CIメッセージにあるMACを検証し、正当性が確かめられればノード制御インタフェース部33を介してネットワークノード40の制御インタフェース部41へ制御内容を設定し、そうでなければ制御内容の設定を行わず、CFG_ACK(以降、CAと記載する。)メッセージをホスト10へ送信する。
1.ホスト10は、RQメッセージをコントローラ30へ送信する。
RQメッセージはホスト10によって生成された以下の情報を持つ。
■(p、α):素数と生成元のペア
■ID:シーケンス識別子
pは素数、αは集合{α|1≦α≦p−1}における生成元である。IDはIPアドレス認証からノード制御までの一連の手続きを識別する値である。
RRQメッセージは以下の情報を持つ。
■p:RQメッセージに含まれる素数の値
■K:コントローラ30が生成する値
■ID:RQメッセージに含まれるシーケンス識別子の値
■S*:コントローラ30が管理するシーケンス値
RRSメッセージは以下の情報を持つ。
■K*:認証補助サーバ20がKを入力として生成するトークン値
■ID:RRQメッセージに含まれるシーケンス識別子
■S*:RRQメッセージに含まれるシーケンス値
RSメッセージは以下の情報を持つ。
■K*:RRSメッセージに含まれるトークン値
■ID:RRSメッセージに含まれるシーケンス識別子
■S*:RRSメッセージに含まれるシーケンス値
■IPR:認証補助サーバ20のIPアドレス
認証補助サーバ20のIPアドレスIPRは、RRSメッセージのヘッダに含まれる送信元IPアドレスとする。
RRQメッセージは以下の情報を持つ。
■p:RQメッセージにのせた素数値
■T:ホスト10が生成する値
■ID:RQメッセージにのせたシーケンス識別子
■S*:RSメッセージに含まれるシーケンス値
RRSメッセージは以下の情報を持つ。
■T*:認証補助サーバ20がTを入力として生成したトークン値
■ID:RRQメッセージに含まれるシーケンス識別子
■S*:RRQメッセージに含まれるシーケンス値
CIメッセージは以下の情報を持つ。
■T*:RRSメッセージに含まれるトークン値
■ID:RQメッセージにのせたシーケンス識別子
■S*:RSおよびRRSメッセージに含まれるシーケンス値
■MAC:ホスト10が生成したMAC値
■R:ホスト10が作成したネットワークへ設定する制御内容
CAメッセージは、以下の情報を持つ。
■E:エラーコード
■ID:CIメッセージに含まれるシーケンス識別子
■S*:CIメッセージに含まれるシーケンス値
■D:ネットワークノード40への設定内容Rの有効時間
■MAC:コントローラ30が生成したMAC値
本形態では、実施形態1と異なるIPアドレス認証方法として、MACを生成するための鍵Kを求める手順を説明する。実施形態1と同様に図2および図3をもとに述べる。図5に、実施形態2のシーケンスの一例を示す。本形態では、
1)ホスト10はREQ_TOKEN(以降RQ)メッセージを認証補助サーバ20へ送信し、
2)RQメッセージを受信した認証補助サーバ20は、REF_RES_TOKEN1(以降RRS1)メッセージをホスト10へ送信し、また、
3)REF_RES_TOKEN2(以降RRS2)メッセージをコントローラ30へ送信する。
4)コントローラ30はRES_TOKEN(以降RS)メッセージをホスト10へ送信し、
5)ホスト10はRRS1メッセージとRSメッセージからMACを生成するための鍵を求める。
以降で上述の手順について詳述する。
RQメッセージはホスト10によって生成された以下の情報を持つ。
■p:素数
■IPC:コントローラ30のアドレス
■ID:シーケンス識別子
RRS1メッセージは認証補助サーバ20によって生成された以下の情報を持つ。
■KE:暗号鍵
■q:素数(q≠p)
RRS2メッセージは以下の情報を持つ。
■SC:サーバ証明書
■M:整数
■KE:暗号鍵
■IPH:ホスト10のアドレス
■ID:シーケンス識別子
RSメッセージはコントローラ30によって生成された以下の値を持つ。
■T:トークン
■nonce:乱数
■ID:シーケンス識別子
■S*:コントローラ30が管理するシーケンス値
11:IPアドレス認証機能部
12:制御命令送信部
20:認証補助サーバ
21:認証補助機能部
30:コントローラ
31:IPアドレス認証機能部
32:制御権委譲機能部
33:ノード制御インタフェース部
40:ネットワークノード
41:制御インタフェース部
42:フォワーディングテーブル
50:ルックアップサービス
100:ネットワーク
Claims (7)
- ホストのアドレスに詐称がないことを認証する認証手順と、
前記認証手順の認証結果にもとづいて、前記ホストへ転送されるトラヒックに対するネットワークノードの設定を行う設定手順と、
を有し、
前記認証手順において、ホストが、当該ホストの鍵K A 及び当該ホストのIDを用いてMAC(Message Authentication Code)を算出し、当該MAC及びネットワークノードへの制御内容Rをコントローラに送信し、
前記設定手順において、コントローラが、MACを受信したホストのIDを用いてMACを算出し、受信したMACと算出したMACとが一致するか否かを判定し、一致する場合には、ホストのIPアドレスIP H を宛先とするトラヒックに対して前記制御内容Rを実行するようネットワークノードを設定する、
ことを特徴とするネットワークノード制御方法。 - 前記認証手順において、
ホストが、ホストのID及び素数pを、コントローラへ送信するRQメッセージ送信手順と、
コントローラが、コントローラのみが持つ秘密情報KCを用いて値y及び値Kを算出し、前記値K及びホストのIPアドレスIPHを認証補助サーバに送信する第1のRRQメッセージ送信手順と、
認証補助サーバが、認証補助サーバのみが持つ秘密情報KR及び前記IPアドレスIPHを用いて値zを算出するとともに前記値K及び前記値zを用いて値K*を算出し、前記値K*をコントローラに送信する第1のRRSメッセージ送信手順と、
コントローラが、認証補助サーバのIPアドレスIPR及び前記値K*をホストに送信するRSメッセージ送信手順と、
ホストが、ホストのみが持つ秘密情報xを用いて値Tを算出して前記IPアドレスIPR宛に送信する第2のRRQメッセージ送信手順と、
認証補助サーバが、前記値T及び前記値zを用いて値T*を算出してホストに送信する第2のRRSメッセージ送信手順と、
ホストが、前記値K*及び前記値xを用いて算出される鍵KA並びに前記IDを用いてMAC(Message Authentication Code)を算出し、当該MAC及びネットワークノードへの制御内容R及び前記値T*をコントローラに送信するCIメッセージ送信手順と、を順に有し、
前記設定手順において、
コントローラが、ホストから前記MACを受信し、前記値T*及び前記値y用いて算出される値TA並びに前記MACを受信したホストのIDを用いてMACを算出し、受信したMACと算出したMACとが一致するか否かを判定し、一致する場合には、ホストのIPアドレスIPHを宛先とするトラヒックに対して前記制御内容Rを実行するようネットワークノードを設定するネットワークノード設定手順を有する、
請求項1に記載のネットワークノード制御方法。 - 前記値yは、コントローラのみが持つ秘密情報KC、ホストのIPアドレスIPH、ホストのID、ネットワークノードに制御を実施したホストのシーケンス番号Sを入力として、1≦y≦√pを満たす整数値であり、
前記値Kは、K=αy mod pによって導かれ、
前記値zは、認証補助サーバのみが持つ秘密情報KR、ホストのIPアドレスIPH、ホストのID、ネットワークノードに制御を実施したホストのシーケンス番号Sを入力として、1≦z≦√pとなる整数値であり、
前記値K*は、K*=Kz=αyz mod pによって導かれ、
前記値Tは、T=αx mod pによって導かれ、
前記値T*は、T*=Tz=αxz mod pによって導かれ、
前記鍵KAは、KA=(K * ) x =αxyz mod pによって導かれ、
前記値TAは、TA=(T*)y=αxyz mod pによって導かれる、
ことを特徴とする請求項2に記載のネットワークノード制御方法。 - 前記ネットワークノード設定手順において、前記ネットワークノードの設定内容の有効時間を指定し、前記有効時間が経過すると前記ネットワークノードが前記設定内容を解除することを特徴とする請求項2又は3に記載のネットワークノード制御方法。
- トラヒックを制御するネットワークノードと、
前記ネットワークノードの設定を試みるホストのアドレスに詐称がないことを認証し、認証が成功したホストのアドレスへのトラヒックに対する前記ネットワークノードの設定を行うコントローラと、
前記コントローラの認証を補助する認証補助サーバと、
自己のアドレスへのトラヒックに対する前記ネットワークノードの設定内容を前記コントローラに送信するホストと、
を備え、
前記ホストが、当該ホストの鍵K A 及び当該ホストのIDを用いてMAC(Message Authentication Code)を算出し、当該MAC及びネットワークノードへの制御内容Rをコントローラに送信し、
前記コントローラが、MACを受信したホストのIDを用いてMACを算出し、受信したMACと算出したMACとが一致するか否かを判定し、一致する場合には、ホストのIPアドレスIP H を宛先とするトラヒックに対して前記制御内容Rを実行するようネットワークノードを設定する、
ネットワークノード制御システム。 - 前記コントローラは、自己のみが持つ秘密情報KCを用いて値y及び値Kを算出し、値K及びホストのIPアドレスIPHを認証補助サーバに送信し、認証補助サーバのIPアドレスIPR及び値K*をホストに送信し、ホストからMACを受信し、値T*及び値y用いて算出される値TA並びに前記MACを受信したホストのIDを用いてMACを算出し、受信したMACと算出したMACとが一致するか否かを判定し、一致する場合には、ホストのIPアドレスIPHを宛先とするトラヒックに対して制御内容Rを実行するようネットワークノードを設定し、
前記ホストは、ホストのID及び素数pを、コントローラへ送信し、ホストのみが持つ秘密情報xを用いて値Tを算出してIPアドレスIPR宛に送信し、値K*及び値xを用いて算出される鍵KA並びにホストのIDを用いてMACを算出し、当該MAC及びネットワークノードへの制御内容R及び値T*をコントローラに送信し、
前記認証補助サーバは、自己のみが持つ秘密情報KR及びIPアドレスIPHを用いて値zを算出するとともに値K及び値zを用いて値K*を算出し、値K*をコントローラに送信し、値T及び値zを用いて値T*を算出してホストに送信する、
ことを特徴とする請求項5に記載のネットワークノード制御システム。 - 前記ホストは、前記ネットワークノードの設定内容の有効時間を指定し、
前記ネットワークノードは、前記有効時間が経過すると前記設定内容を解除することを特徴とする請求項5又は6に記載のネットワークノード制御システム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US41945110A | 2010-12-03 | 2010-12-03 | |
US61/419,451 | 2010-12-03 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014198830A Division JP5815824B2 (ja) | 2010-12-03 | 2014-09-29 | ネットワークノード制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012120154A JP2012120154A (ja) | 2012-06-21 |
JP5687164B2 true JP5687164B2 (ja) | 2015-03-18 |
Family
ID=46502450
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011198206A Active JP5687164B2 (ja) | 2010-12-03 | 2011-09-12 | ネットワークノード制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5687164B2 (ja) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11234342A (ja) * | 1998-02-13 | 1999-08-27 | Nippon Telegr & Teleph Corp <Ntt> | アドレス設定方法及び装置 |
JP4302004B2 (ja) * | 2004-06-10 | 2009-07-22 | 日本電信電話株式会社 | パケットフィルタ設定方法およびパケットフィルタ設定システム |
JP2007060170A (ja) * | 2005-08-23 | 2007-03-08 | Matsushita Electric Ind Co Ltd | 通信システム及びホスト間の相互認証方法 |
CA2926677C (en) * | 2007-09-26 | 2020-07-14 | Nicira, Inc. | Network operating system for managing and securing networks |
US9148335B2 (en) * | 2008-09-30 | 2015-09-29 | Qualcomm Incorporated | Third party validation of internet protocol addresses |
JP5408243B2 (ja) * | 2009-03-09 | 2014-02-05 | 日本電気株式会社 | OpenFlow通信システムおよびOpenFlow通信方法 |
-
2011
- 2011-09-12 JP JP2011198206A patent/JP5687164B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012120154A (ja) | 2012-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Bruschi et al. | S-ARP: a secure address resolution protocol | |
Goyal et al. | An efficient solution to the ARP cache poisoning problem | |
JP5414898B2 (ja) | 有線lanのセキュリティアクセス制御方法及びそのシステム | |
JP4410791B2 (ja) | アドレス詐称チェック装置およびネットワークシステム | |
JP5291725B2 (ja) | Ipアドレス委任 | |
EP2329621B1 (en) | Key distribution to a set of routers | |
JP2009503916A (ja) | マルチ鍵暗号化生成アドレス | |
US20150047041A1 (en) | Method for prefix reachability in a communication system | |
Lopez et al. | Pceps: Usage of tls to provide a secure transport for the path computation element communication protocol (pcep) | |
Dinu et al. | DHCP server authentication using digital certificates | |
Younes | Securing ARP and DHCP for mitigating link layer attacks | |
Shete et al. | DHCP protocol using OTP based two-factor authentication | |
US8364949B1 (en) | Authentication for TCP-based routing and management protocols | |
Zapata | Key management and delayed verification for ad hoc networks | |
JP2018074395A (ja) | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 | |
Dinu et al. | DHCPAuth—a DHCP message authentication module | |
JP5815824B2 (ja) | ネットワークノード制御方法 | |
Kim et al. | Self-certifying id based trustworthy networking system for iot smart service domain | |
JP5687164B2 (ja) | ネットワークノード制御方法 | |
Jerschow et al. | CLL: A cryptographic link layer for local area networks | |
Machana et al. | Leveraging Secure Hash Algorithm for Securing IPv6 Protocols SLAAC and DAD. | |
WO2006083369A2 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
WO2010003326A1 (zh) | 保护代理邻居发现的方法、系统和相关装置 | |
Aiash et al. | Securing address registration in Location/ID split protocol using ID-based cryptography | |
JP2007166552A (ja) | 通信装置及び暗号通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131003 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140718 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140729 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140929 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150120 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150121 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5687164 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |