JP5815824B2 - ネットワークノード制御方法 - Google Patents
ネットワークノード制御方法 Download PDFInfo
- Publication number
- JP5815824B2 JP5815824B2 JP2014198830A JP2014198830A JP5815824B2 JP 5815824 B2 JP5815824 B2 JP 5815824B2 JP 2014198830 A JP2014198830 A JP 2014198830A JP 2014198830 A JP2014198830 A JP 2014198830A JP 5815824 B2 JP5815824 B2 JP 5815824B2
- Authority
- JP
- Japan
- Prior art keywords
- host
- network node
- controller
- key
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、Openflowスイッチによって構成されたネットワークに適用することができる。例えば、図1に示すような複数の組織によって管理されたドメインが存在し、それぞれはOpenflowスイッチで構成されたネットワークを想定する。また、ネットワーク内は、例えば既存のIPルーティングプロトコルによって、IPレベルの到達性が維持されているとする。本発明は、図1のように異なる組織間をまたがった安全なネットワークノード制御を実現できる。
1)ホスト10のIPアドレス認証機能部11は、コントローラ30へREQ_TOKEN(以降、RQと記載する。)メッセージを送信する。
2)コントローラ30のIPアドレス認証機能部31はRQメッセージを受信後、ルックアップサービス50に問い合わせて認証補助サーバ20のIPアドレスを取得する。複数の認証補助サーバ20のIPアドレスを取得した場合は、1つ選択し、そのIPアドレス宛にREF_REQ_TOKEN(以降、RRQと記載する。)メッセージを送信する。
3)RRQメッセージを受信した認証補助サーバ20の認証補助機能部21は、REF_RES_TOKEN(以降、RRSと記載する。)メッセージを返信する。
4)RRSメッセージを受信したコントローラ30のIPアドレス認証機能部31は、RES_TOKEN(以降、RSと記載する。)メッセージをホスト10へ送信する。
5)RSメッセージを受信したホスト10のIPアドレス認証機能部11は、RSメッセージに書かれた認証補助サーバ20のIPアドレスに対して、RRQメッセージを送信する。
6)コントローラ30からのRRQメッセージと同様に、認証補助サーバ20の認証補助機能部21はホスト10からのRRQメッセージを受信後、RRSメッセージをホスト10へ返信する。
7)ホスト10のIPアドレス認証機能部11はコントローラ30からのRSメッセージと認証補助サーバ20からのRRSメッセージの情報をもとにMACを生成し、ホスト10の制御命令送信部12は生成したMACとともに制御内容をのせてCFG_INSTALL(以降、CIと記載する。)メッセージをコントローラ30へ送信する。
8)CIメッセージを受信したコントローラ30の制御権委譲機能部32は、CIメッセージにあるMACを検証し、正当性が確かめられればノード制御インタフェース部33を介してネットワークノード40の制御インタフェース部41へ制御内容を設定し、そうでなければ制御内容の設定を行わず、CFG_ACK(以降、CAと記載する。)メッセージをホスト10へ送信する。
1.ホスト10は、RQメッセージをコントローラ30へ送信する。
RQメッセージはホスト10によって生成された以下の情報を持つ。
■(p、α):素数と生成元のペア
■ID:シーケンス識別子
pは素数、αは集合{α|1≦α≦p−1}における生成元である。IDはIPアドレス認証からノード制御までの一連の手続きを識別する値である。
RRQメッセージは以下の情報を持つ。
■p:RQメッセージに含まれる素数の値
■K:コントローラ30が生成する値
■ID:RQメッセージに含まれるシーケンス識別子の値
■S*:コントローラ30が管理するシーケンス値
RRSメッセージは以下の情報を持つ。
■K*:認証補助サーバ20がKを入力として生成するトークン値
■ID:RRQメッセージに含まれるシーケンス識別子
■S*:RRQメッセージに含まれるシーケンス値
RSメッセージは以下の情報を持つ。
■K*:RRSメッセージに含まれるトークン値
■ID:RRSメッセージに含まれるシーケンス識別子
■S*:RRSメッセージに含まれるシーケンス値
■IPR:認証補助サーバ20のIPアドレス
認証補助サーバ20のIPアドレスIPRは、RRSメッセージのヘッダに含まれる送信元IPアドレスとする。
RRQメッセージは以下の情報を持つ。
■p:RQメッセージにのせた素数値
■T:ホスト10が生成する値
■ID:RQメッセージにのせたシーケンス識別子
■S*:RSメッセージに含まれるシーケンス値
RRSメッセージは以下の情報を持つ。
■T*:認証補助サーバ20がTを入力として生成したトークン値
■ID:RRQメッセージに含まれるシーケンス識別子
■S*:RRQメッセージに含まれるシーケンス値
CIメッセージは以下の情報を持つ。
■T*:RRSメッセージに含まれるトークン値
■ID:RQメッセージにのせたシーケンス識別子
■S*:RSおよびRRSメッセージに含まれるシーケンス値
■MAC:ホスト10が生成したMAC値
■R:ホスト10が作成したネットワークへ設定する制御内容
CAメッセージは、以下の情報を持つ。
■E:エラーコード
■ID:CIメッセージに含まれるシーケンス識別子
■S*:CIメッセージに含まれるシーケンス値
■D:ネットワークノード40への設定内容Rの有効時間
■MAC:コントローラ30が生成したMAC値
本形態では、実施形態1と異なるIPアドレス認証方法として、MACを生成するための鍵Kを求める手順を説明する。実施形態1と同様に図2および図3をもとに述べる。図5に、実施形態2のシーケンスの一例を示す。本形態では、
1)ホスト10はREQ_TOKEN(以降RQ)メッセージを認証補助サーバ20へ送信し、
2)RQメッセージを受信した認証補助サーバ20は、REF_RES_TOKEN1(以降RRS1)メッセージをホスト10へ送信し、また、
3)REF_RES_TOKEN2(以降RRS2)メッセージをコントローラ30へ送信する。
4)コントローラ30はRES_TOKEN(以降RS)メッセージをホスト10へ送信し、
5)ホスト10はRRS1メッセージとRSメッセージからMACを生成するための鍵を求める。
以降で上述の手順について詳述する。
RQメッセージはホスト10によって生成された以下の情報を持つ。
■p:素数
■IPC:コントローラ30のアドレス
■ID:シーケンス識別子
RRS1メッセージは認証補助サーバ20によって生成された以下の情報を持つ。
■KE:暗号鍵
■q:素数(q≠p)
RRS2メッセージは以下の情報を持つ。
■SC:サーバ証明書
■M:整数
■KE:暗号鍵
■IPH:ホスト10のアドレス
■ID:シーケンス識別子
RSメッセージはコントローラ30によって生成された以下の値を持つ。
■T:トークン
■nonce:乱数
■ID:シーケンス識別子
■S*:コントローラ30が管理するシーケンス値
11:IPアドレス認証機能部
12:制御命令送信部
20:認証補助サーバ
21:認証補助機能部
30:コントローラ
31:IPアドレス認証機能部
32:制御権委譲機能部
33:ノード制御インタフェース部
40:ネットワークノード
41:制御インタフェース部
42:フォワーディングテーブル
50:ルックアップサービス
100:ネットワーク
Claims (5)
- ホストのアドレスに詐称がないことを認証する認証手順と、
前記認証手順の認証結果にもとづいて、前記ホストへ転送されるトラヒックに対するネットワークノードの設定を行う設定手順と、
を有し、
前記認証手順において、
ホストが、ホストのID及び素数pを認証サーバへ送信するRQメッセージ送信手順と、
認証補助サーバが、前記素数p及び素数qを用いて暗号鍵KEを算出し、前記暗号鍵KE及び前記素数qをホストに送信すると共に、前記素数p及び前記素数q及び素数rを用いて整数Mを算出し、前記暗号鍵KE、前記整数M及びホストのIPアドレスIPHをコントローラに送信するRRSメッセージ送信手順と、
コントローラが、秘密情報KC及び乱数nonce及び前記IPアドレスIPHを用いて鍵Kを算出し、前記鍵K及び前記暗号鍵KE及び前記整数Mを用いてトークンTを算出し、前記トークンTをホストに送信するRSメッセージ送信手順と、
ホストが、前記トークンT及び前記暗号鍵KE及び前記素数qを用いて鍵Kを算出し、算出した鍵K及び前記IDを用いてMACを算出し、算出したMAC及びネットワークノードへの制御内容Rをコントローラに送信するCIメッセージ送信手順と、を順に有し、
前記設定手順において、
コントローラが、ホストからMACを受信し、前記RSメッセージ送信手順で算出した前記鍵K及びMACを受信したホストのIDを用いてMACを算出し、受信したMACと算出したMACとが一致するか否かを判定し、一致する場合には、ホストのIPアドレスIPHを宛先とするトラヒックに対して前記制御内容Rを実行するようネットワークノードを設定するネットワークノード設定手順を有する、
ことを特徴とするネットワークノード制御方法。 - 前記暗号鍵KEは、1=GCD(KE、Z)によって導かれ、
前記整数Mは、p×q×rによって導かれ、
前記トークンTは、K^{KE} mod Mによって導かれ、
前記鍵Kは、K^{KEKD} mod M(mod N)によって導かれる、
ことを特徴とする請求項1に記載のネットワークノード制御方法。 - 前記ネットワークノード設定手順において、前記ネットワークノードの設定内容の有効時間を指定し、前記有効時間が経過すると前記ネットワークノードが前記設定内容を解除することを特徴とする請求項1又は2に記載のネットワークノード制御方法。
- トラヒックを制御するネットワークノードと、
前記ネットワークノードの設定を試みるホストのアドレスに詐称がないことを認証し、認証が成功したホストのアドレスへのトラヒックに対する前記ネットワークノードの設定を行うコントローラと、
前記コントローラの認証を補助する認証補助サーバと、
自己のアドレスへのトラヒックに対する前記ネットワークノードの設定内容を前記コントローラに送信するホストと、
を備え、
前記コントローラは、秘密情報KC及び乱数nonce及び前記ホストのIPアドレスIPHを用いて鍵Kを算出し、前記鍵K及び暗号鍵KE及び整数Mを用いてトークンTを算出し、前記トークンTを前記ホストに送信し、前記ホストから前記MACを受信し、算出した前記鍵K及び前記ホストのIDを用いてMACを算出し、受信したMACと算出したMACとが一致するか否かを判定し、一致する場合には、前記ホストのIPアドレスIPHを宛先とするトラヒックに対して前記ホストから送信された制御内容Rを実行するようネットワークノードを設定し、
前記ホストは、自己のID及び素数pを前記認証サーバへ送信し、前記トークンT及び前記暗号鍵KE及び前記素数qを用いて鍵Kを算出し、当該鍵K及び自己のIDを用いてMACを算出し、算出したMAC及びネットワークノードへの制御内容Rを前記コントローラに送信し、
前記認証補助サーバは、前記素数p及び素数qを用いて暗号鍵KEを算出し、前記暗号鍵KE及び前記素数qを前記ホストに送信し、前記素数p及び前記素数q及び素数rを用いて整数Mを算出し、前記暗号鍵KE、前記整数M及び前記ホストのIPアドレスIPHをコントローラに送信する、
ネットワークノード制御システム。 - 前記ホストは、前記ネットワークノードの設定内容の有効時間を指定し、
前記ネットワークノードは、前記有効時間が経過すると前記設定内容を解除することを特徴とする請求項4に記載のネットワークノード制御システム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US41945110P | 2010-12-03 | 2010-12-03 | |
US61/419,451 | 2010-12-03 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011198206A Division JP5687164B2 (ja) | 2010-12-03 | 2011-09-12 | ネットワークノード制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015027098A JP2015027098A (ja) | 2015-02-05 |
JP5815824B2 true JP5815824B2 (ja) | 2015-11-17 |
Family
ID=52491370
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014198830A Active JP5815824B2 (ja) | 2010-12-03 | 2014-09-29 | ネットワークノード制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5815824B2 (ja) |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11234342A (ja) * | 1998-02-13 | 1999-08-27 | Nippon Telegr & Teleph Corp <Ntt> | アドレス設定方法及び装置 |
CN1658547B (zh) * | 2004-02-16 | 2010-08-18 | 华为技术有限公司 | 密钥分发方法 |
JP4302004B2 (ja) * | 2004-06-10 | 2009-07-22 | 日本電信電話株式会社 | パケットフィルタ設定方法およびパケットフィルタ設定システム |
JP2007060170A (ja) * | 2005-08-23 | 2007-03-08 | Matsushita Electric Ind Co Ltd | 通信システム及びホスト間の相互認証方法 |
CN102217228B (zh) * | 2007-09-26 | 2014-07-16 | Nicira股份有限公司 | 管理和保护网络的网络操作系统 |
US9148335B2 (en) * | 2008-09-30 | 2015-09-29 | Qualcomm Incorporated | Third party validation of internet protocol addresses |
JP2010136176A (ja) * | 2008-12-05 | 2010-06-17 | Nippon Telegr & Teleph Corp <Ntt> | 電子署名システム、認証補助サーバおよびicカード、並びに電子署名方法 |
WO2010103909A1 (ja) * | 2009-03-09 | 2010-09-16 | 日本電気株式会社 | OpenFlow通信システムおよびOpenFlow通信方法 |
-
2014
- 2014-09-29 JP JP2014198830A patent/JP5815824B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015027098A (ja) | 2015-02-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Bruschi et al. | S-ARP: a secure address resolution protocol | |
JP5414898B2 (ja) | 有線lanのセキュリティアクセス制御方法及びそのシステム | |
Goyal et al. | An efficient solution to the ARP cache poisoning problem | |
JP5291725B2 (ja) | Ipアドレス委任 | |
EP2329621B1 (en) | Key distribution to a set of routers | |
JP2009503916A (ja) | マルチ鍵暗号化生成アドレス | |
US9300681B2 (en) | Method for prefix reachability in a communication system | |
JP4006403B2 (ja) | ディジタル署名発行装置 | |
Lopez et al. | Pceps: Usage of tls to provide a secure transport for the path computation element communication protocol (pcep) | |
Dinu et al. | DHCP server authentication using digital certificates | |
Younes | Securing ARP and DHCP for mitigating link layer attacks | |
Younes | A secure DHCP protocol to mitigate LAN attacks | |
Shete et al. | DHCP protocol using OTP based two-factor authentication | |
Zapata | Key management and delayed verification for ad hoc networks | |
Kim et al. | Self-certifying id based trustworthy networking system for iot smart service domain | |
JP2018074395A (ja) | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 | |
Dinu et al. | DHCPAuth—a DHCP message authentication module | |
JP5815824B2 (ja) | ネットワークノード制御方法 | |
Shen et al. | Enhance IPv6 dynamic host configuration with cryptographically generated addresses | |
JP5687164B2 (ja) | ネットワークノード制御方法 | |
Jerschow et al. | CLL: A cryptographic link layer for local area networks | |
EP1836559A2 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
WO2010003326A1 (zh) | 保护代理邻居发现的方法、系统和相关装置 | |
Aiash et al. | Securing address registration in Location/ID split protocol using ID-based cryptography | |
JP2007166552A (ja) | 通信装置及び暗号通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150821 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150915 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150924 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5815824 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |