ネットワークにおけるノードの識別
ノードの記述的パラメータを含むファイル(Fn)をノードごとに含む通信ネットワークにおけるノード(Nn)の確実な相互識別の方法であって、各パラメータは、ノードの暗号化識別子及びパラメータの識別子によってインデクシングされる。インターフェース(IR)は、ノードの暗号化識別子を含むメッセージをノードからネットワークの他のノードに同報通信する。ユニット(UC)は、第1の他のノードの暗号化識別子及びノードによって要求された第1の他のノードのパラメータの識別子を含む識別要求を送信する。ユニット(HF)は、ノードの暗号化識別子及び第2の他のノードによって送信されたパラメータの識別子の関数として第2の他のノードによって要求されたパラメータの部分のためのファイルを探索し、そしてインターフェースは、第2の他のノードによって要求されたパラメータの発見された部分を第2の他のノードに送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークにおいてノードを識別することに関する。
【0002】
本発明は、一層詳細には、インフラストラクチャのないネットワーク、例えば、アド・ホック・ネットワーク(特別目的のネットワーク)における異種のノードの確実な識別に関する。本発明による識別は、その引き続く一体化を容易にするために、DNS/DNSSEC(ドメイン・ネーム・システム/ドメイン・ネーム・システム・セキュリティ)仕様に従うドメイン・ネーム・システムに基づいている。
【背景技術】
【0003】
ドメイン・ネーム・システムは、端末またはサーバのようなノードに接続するインターネットまたはイントラネットのようなインフラストラクチャを含む通信ネットワークのために特に設計されている。ネーミング・システム(命名システム)は、テキスト・フィールド、暗号化識別子、セキュリティ・パラメータ、メール・サーバ、または一層詳細には、IP(インターネット・プロトコル)アドレスのような、ノードに関するネットワーク情報に対して、ドメイン・ネームとして知られている1つまたは2つ以上の理解可能なネーム(もしくは名称)、例えば“mydomain.com”、に、これらのノードの各々を付合させる。これらの付合は、DNSサーバとして知られている、ドメイン・ネーム・サービスに専用の1つまたは2つ以上のサーバに接続されるまたは一体化される1つまたは2つ以上のデータベースに記憶される。これらのすべてのサービスは、ドメイン・ネームと、該ドメイン・ネームに関連したネットワーク・ノードとの間の付合を見つけるために、ドメイン・ネームへのアクセスを要求するクライアント・ノードにアクセス可能である。
【0004】
現在のところ、ネットワーク、特にアド・ホック・ネットワークのようなインフラストラクチャを持たないネットワークにおいては、前記ノードのユーザ間の接続性を提供するためにネットワーク・ノードを用いる。これらのノードは非常に異種であり、そしてサーバまたは端末のような単純なエンティティもしくはネットワークのような複雑なエンティティであり得る。DNSは、複雑なエンティティに適用されない。
【0005】
同様に、DNSは、単純なエンティティの仲介無しで2つのノード間で自発的にコール(呼)をセット・アップする、アド・ホック・ネットワークのようなインフラストラクチャの無いネットワークにおいて接続されるノードには適用されない。アド・ホック・ネットワークのノードは、互いに事前に(a priori)知られておらず、DNSサーバに参照を持たない。
【発明の開示】
【発明が解決しようとする課題】
【0006】
本発明は、インフラストラクチャを持たないネットワークに存在する単純なノード及び複雑なノードとしての異種のノードを識別することにより、この欠点を克服するものである。
【課題を解決するための手段】
【0007】
本発明は、通信ネットワークにおける1つのノードを他のノードに対して識別する方法に関し、該方法は、
ノードの記述的パラメータを含むファイルを各ノードに記憶するステップであって、各パラメータは、ノードの暗号化識別子及びパラメータ識別子によってインデクシングされる、ステップと、
ネットワークへの接続時に、第1のノードの暗号化識別子をネットワークの他のノードに該第1のノードが同報通信するステップと、
第1のノードの暗号化識別子及びネットワークのもう1つのノードによって要求された第1のノードのパラメータの識別子を、前記他のノードから第1のノードに送るステップと、
暗号化識別子及び要求されたパラメータの識別子の関数として第1のノードのファイルにおける要求されたパラメータの部分を探索するステップと、
要求されたパラメータの発見された部分を第1のノードから前記他のノードに送るステップと、
を含むことを特徴とする。
【0008】
本発明は、サーバ、移動端末またはコンピュータのような単純なノード、及び、ネットワークのような複雑なノード、の双方の任意のタイプのノードを長所的に識別するものであり、このようなノードは、DNS仕様に従うドメイン・ネーム・システムにおいて未知である。
【0009】
各ノードの暗号化識別子が、ノードに割当てられた公開キー/秘密キーの対の公開キーに関するものであるので、暗号化識別子に基づく識別は、すべてのノードにとって万能である。
【0010】
本発明の一つの特徴によれば、記述的パラメータの識別子は、記述的パラメータを互いに区別し、従ってファイルが多くの数の記述的パラメータを含むのを可能とする、パラメータ専用のネームである。
【0011】
本発明のもう1つの特徴によれば、記述的パラメータの識別子は、パラメータを特徴付けるタイプであり、このことは、本発明のDNSへの引き続く一体化を容易にする。
【0012】
本発明は、また、通信ネットワークのノードにも関し、該ノードは、
ノードの記述的パラメータを含むファイルのためのメモリであって、各パラメータは、ノードの暗号化識別子及びパラメータ識別子によってインデクシングされる、前記メモリと、
前記ノードの暗号化識別子をネットワークの他のノードに同報通信するための手段と、
前記ノードによって要求される第1の他のノードのパラメータの識別子と前記第1の他のノードの暗号化識別子とを送るための手段と、
第2の他のノードによって送られたパラメータの識別子及び前記ノードの暗号化識別子の関数として第2の他のノードによって要求されたパラメータの部分のためのファイルを探索するための手段と、
パラメータの発見された部分を前記第2の他のノードに送るための手段と、
を備えたことを特徴とする。
【0013】
最後に、本発明は、本発明のノードにおけるプロセッサにより実行されるときに本発明の方法を実行するための命令を含むコンピュータ・プログラムに関する。
【0014】
本発明の他の特徴及び長所は、対応の添付図面を参照して非制限的な例として与えられる本発明の実施形態の以下の説明を読むことにより一層明瞭に明らかとなる。
【発明を実施するための最良の形態】
【0015】
図1を参照すると、本発明の識別システムは、インフラストラクチャを持たない通信ネットワークにおいて異種のノードN1及びNJを備えている。ネットワークは、例えば、アド・ホック・ネットワーク(特別目的のネットワーク)RAであり、以下の明細書においてそのようなものとして言及する。アド・ホック・ネットワークRAにおいて、ノード間のコール(呼)は、自発的にセット・アップされ、ノードは、ネットワークにおける他のノードの事前の知識を持たない。本発明によれば、2つのノードの相互の識別は、識別要求RQI及び識別応答RPIを交換することにより行われる。
【0016】
ノードは異種であり、サーバN1、移動端末N3、Nj+1、またはパーソナル・コンピュータNj、NJのような単純なエンティティ、及び/または、ノードN2を形成しかつ端末Tと関連するネットワークRのような複雑なエンティティであることができる。ネットワークRは、アド・ホック・ネットワークとは異なっており、クライアント端末が有線または無線で接続されるインターネットまたはイントラネットのような、もしくはGSM(移動通信のためのグローバル・システム)またはUMTS(ユニバーサル移動遠隔通信システム)無線通信ネットワークのような、インフラストラクチャを有するネットワークであることができる。
【0017】
各ノードNj(ここに、1≦j≦J)において、本発明は、ノードのアイデンティティに関する情報のような、ノードに特有な記述的情報を含む記述的ファイルFjを創成して記憶し、例えば、ノードがルータまたは端末である場合には、情報はノードの場所、例えば、IPアドレスに関し、そして他のノードにアクセス可能である。ノードN2に関する場合、ネットワークRに関連した端末Tは、ネットワークRを識別する記述的ファイルF2を含む。
【0018】
ノードNjに特有な記述的情報は、以下の明細書において、記述的パラメータPmj(ここに、1≦m≦Mであり、整数Mは1つのノードからもう1つのノードに対して異なり得る)として言及される。ノードNjのファイルFjを、図3を参照して一層詳細に説明する。
【0019】
図2に示されるように、アド・ホック・ネットワークRAのノードN1からNjは、図4を参照して説明する本発明の識別方法を履行するために同様のエンティティを含む。ノードNjは、該ノードが移動端末、例えば、通信ユニットUC、記述的ファイル管理ユニットUF、及び2つのメモリM1及びM2、であるならば、無線インターフェースであるネットワーク・インターフェースIRを含む。専用のユニットUSは、ノードNj、例えば、PCのプロセッサ・ユニット、サーバ、または移動端末を特徴とする。ノードのエンティティのすべては、双方向通信バスBによって接続される。
【0020】
ノードNjは、要求を送って該要求に対する応答を受信するために、ネットワーク・インターフェースIRを介してアド・ホック・ネットワークRAの他のノードと通信する。通信ユニットUCは、ノードNjのネットワーク・インターフェースから送られた識別要求RQIを組み立てる。同様に、通信ユニットUCは、ネットワーク・インターフェースIRによって受信された識別応答を処理する。記述的ファイル管理ユニットUFは、記述的ファイルFjに含まれるノードNjに関する情報を管理する。管理ユニットUFは、アド・ホック・ネットワークにおける他のノードによって送られたノードNjの識別に関する識別要求RQIに応答する。ユニットUC、UF及びUSの作用は、ノードNjの中央処理ユニットによって実行されるノードNjにおけるソフトウェア・モジュールにおいて履行され得る。
【0021】
メモリM1は、他の中でも特に、ノードNjの記述的ファイルFj、ノードNjに割当てられた公開キーKPUj/秘密キーKPVjの暗号化対の公開キーKPUj、及び一方向性ハッシング関数(a one-way hashing function)Hを含む。メモリM2は、暗号化対の秘密キー(private key)KPVjを含む安全メモリである。
【0022】
図3を参照すると、ノードNjのファイルFjは、ノードの記述的パラメータP1jからPmjまでに関するノードの一層完全な記述へのリンクをセット・アップするために、ノードに専用の暗号化識別子ICjによって特定される。本発明の一実施形態においては、ホスト・アイデンティティ・プロトコル(HIP)に順応して、暗号化識別子ICjは、ノードに割当てられた公開キーKPUj/秘密キーKPVjの暗号化の対の公開キーKPUjに依存する。暗号化識別子ICjは、ハッシング関数Hを公開キーKPUjに適用することによって決定される公開キーのハッシュ(a hash)H(KPUj)の公開キーKPUjであり、ハッシュされた(hashed)公開キーH(KPUj)は、概して、固定のサイズであり、公開キーKPUjよりも小さい。
【0023】
公開キーに基づくノード識別は、万能であるという利点を有し、ネットワークRAの各ノードは、それ自体の暗号化対を有する。さらに、ノードの暗号化対は、データを受信ノードに送るときに安全機能に参加する。従って、ノードの秘密キーを用いてデータをサインする(signing)ことは、データを送ったノードの公開キーを用いてサイン(signature)を確認する受信ノードに対してデータの完全性を保証する。受信ノードの公開キーを用いてデータを暗号化することは、ノードと、秘密キーを用いてデータを単独で解読することができる受信ノードとの間の通信の秘密性を保証する。
【0024】
ファイルFjは、ノードNjの性質に関係された1つまたは2つ以上の記述的パラメータを含む。例えば、パーソナル・コンピュータ(PC)NjまたはNJの1つの記述的パラメータは、そのIPアドレスである。同様に、ネットワークRの記述的パラメータは、ダイナミック・ホスト・コンフィギャレーション・プロトコル(DHCP)サーバのアドレス、またはハイパーテキスト・トランスファー・プロトコル(HTTP)プロキシのようなネットワーク・ゲートウェイのアドレスを含む。移動端末N3またはNj+1の記述的パラメータは、移動端末のMSISDN(移動ステーションISDN(一体化されたサービス・ディジタル・ネットワーク))番号である。ノードの公開キーKPUj及びハッシュされた公開キーH(KPUj)も、各ノードにおけるファイルに含まれた記述的パラメータである。ファイル内のパラメータのすべては他のノードによってアクセスされ得る。
【0025】
ファイルFjにおける各記述的パラメータPmjは、ネーム(名称)NPmj及び/またはタイプTPmjのようなパラメータ識別子、及びパラメータ値VPmjを含む。ネーム(名称)NPmjは、ノードNjの副識別子である。タイプTPmjは、例えば、パラメータがIPv4アドレス“A”、電子メッセージング・サーバ・ネーム(サーバ名)“MX”またはテキスト“TXT”であるということを示すことによって、パラメータPmjを特徴付ける。パラメータ値VPmjは、ネットワークのもう1つのノードによって要求され、例えばアドレス・タイプ・パラメータに対しては、形態“2001:2:56”のものであり、電子メッセージング・サーバ・タイプ・パラメータに対しては、形態“server_name_mail.com”のものである。
【0026】
ファイルFjにおける記述的パラメータ以外の情報は、ファイルの記述的パラメータ及び/またはそれらのネーム(名称)にリンクされ、そしてタイプ及び値を含む。この情報は、エラーの検出に、及びノードNpから送られるべき情報の完全性に対応する。
【0027】
タイプTEmjによって特徴付けられかつ各パラメータ・ネームNPmjと関連されたエラー指示は、要求されたパラメータの値VPの無いことの証明を提供する。エラー指示のエラー値VEmjは、TPmj、TAのようなパラメータ・ネームNPmj、及び次のパラメータNP(m+1)jのネーム(名称)にリンクされたタイプのリストを含む。従って、要求に含まれたタイプTPmjが間違っているファイルFjにおけるパラメータ・ネームNPmjに関するもう1つのノードによって送られる識別要求RQIは、応答においてエラー値VEmjを得る。該応答は、このパラメータ・ネーム要求に含まれたタイプがファイルFjに存在しないということを示し、このことは、要求されたパラメータのネーム(名称)NPmjと関連したタイプのリストによって正当化される。
【0028】
タイプTAによって特徴付けられ、かつそれを要求したもう1つのノードに送られるべきそれぞれの値VPmj、VEmjに関する認証情報は、ソースを認証し、そしてノードNjに対する前記それぞれの値の完全性を保証する。認証情報と関連した認証値VAPmj、VAEmjは、送られるべきそれぞれの値VPmj、VEmj及びノードNjに割当てられる秘密キーKPVjの関数として決定されるサイン(signature)に対応する。例えば、値VAPmj、VAEmjは、値VPmj、VEmjにハッシング関数を適用することによって、及びノードに割当てられる秘密キーKPVjの関数としてハッシュされた値の非対称暗号化によって決定される。要求されたパラメータPmjのそれぞれの値VPmjと同時にRPI応答において送られた値VAPmjは、前記それぞれの値がノードNmjから来るということを確実にする。同様に、要求されたパラメータPmjの名称NPmjに関するエラー値VEmjと同時に応答RPIにおいて送られる値VAEmjは、エラー値VEmjの完全性を確実にする。
【0029】
送られた値VAPmj、VAEmjは、他のノードの公開キーによって長所的に暗号化され、それにより、応答RPIにおける情報の交換の秘密性を保証する。
【0030】
値VPmjの完全性を確認するために、値VPmjを含む識別応答を受信する他のノードは、また、もしくは前以って、認可値VAPmjを解読するためのノードNjに割当てられた暗号化対の秘密キーKPVjと関連した公開キーKPUjを要求していた。該他のノードは、次に、ハッシュされた値を得るために、受信された値VPmjに一方向性(ワンウェイ)ハッシング関数Hを適用し、そして得られたハッシュされた値と、同一であるはずである解読された値とを比較する。
【0031】
ファイルFjにおける記述的パラメータをインデクシングする2つの方法がある。
【0032】
第1の方法は、関連された値VPmjを得るために、ノードNjの識別子ICjとパラメータのネーム(名称)NPmjとを関連させるパラメータ・インデクシング機構に対してインデクシングを行う。この方法においては、ノードのパラメータP1jからPmjまでを特徴付けるタイプTP1jからTPmjは同一であり、ノード・パラメータ間を区別しない。ノードのパラメータP1jからPmjまでは、それらのネーム(名称)NP1jからNPmjまでによって区別される。
【0033】
第2の方法は、関連された値VPmjを得るために、ノードNjの識別子ICjとパラメータのタイプNPmjとを関連させるパラメータ・インデクシング機構に対してインデクシングを行う。この方法においては、ノードのパラメータP1jからPmjまでを特徴付けるタイプTP1jからTPmjは互いに離れており、パラメータはネーム(名称)NP1jからNPmjを含まない。ファイルFjは、次に、ファイルのサイズを減少するノードNjの記述的ファイルからの情報及びすべてのパラメータ・タイプを含むエラー指示を含む。
【0034】
他の記述は、DNS/DNSSEC仕様に順応するよう、記述的ファイルに含まれる。記述的ファイル情報の各記述的パラメータまたは項目は、すべての情報に対して正確に同じであるクラスによって、例えば、インターネットに関するクラス“IN”、によって限定される。
【0035】
記述的ファイルは、タイプSOA(スタート・オブ・オーソリティ)によって特徴付けられるファイルのための管理情報を含み、その値は、ファイル管理者(アドミニストレータ)のアイデンティティ及びアドレス、並びにファイルが如何に管理されるかを記載するデータを含む。
【0036】
記述的ファイルは、さらに、ノードに割当てられた暗号化対の公開キーに関連するタイプDNSKEY(ドメイン・ネーム・システム・KEY)によって特徴付けられる暗号化情報を含み得る。
【0037】
この追加の情報の値は、タイプTAによって特徴付けられる認可情報によって認可される。
【0038】
上述の方法の第1のものを用いた第1のノードN1のもう1つのノードN2による識別が以下に説明され、そして図4に示されるステップE1からE8までを含む。
【0039】
ステップE1においては、ノードN1は、第1の時間の間、アド・ホック・ネットワーク(特別目的のネットワーク)RAに接続される。ノードN1のネットワーク・インターフェースIRは、他のノードがノードN1を識別してそれにメッセージまたは要求を送るために、ノードN1のユニットUCによって創設されかつノードN1の暗号化識別子及びノードN1に割当てられたソース・アドレスADN1を含むメッセージMSを、他のノードに同報通信する。アドレスADN1は、例えば、識別子及びシリアル番号を含むノードのMAC(媒体アクセス・コントロール)アドレスであり、または代替的には、暗号化識別子IC1から形成されたアドレスである。
【0040】
ステップE2においては、もう1つのノードN2のネットワーク・インターフェースIRは、メッセージMSを妨害もしくは傍受する。ノードN2の通信ユニットUCは、ノードN1に割当てられた少なくとも公開キーのような1つまたは2つ以上の要求された記述的パラメータをその中に読取るためにノードN1に対して意図された識別要求RQIを創設して、ノードN1から来るパラメータの完全性を確認する。第1の方法においては、要求RQIは、ノードN1がノードN2に要求RQIへの応答を送るために、少なくとも、メッセージMSから抽出されたノードN1の識別子IC1と、パラメータ識別子として要求されたパラメータのネーム(名称)NPm1と、ノードN2に関するソース・アドレスADN2とを含む。
【0041】
ノードN2は、特定の識別要求を送ることによりノードN1のパラメータのすべてを要求することができる。
【0042】
ステップE3において、ノードN1のネットワーク・インターフェースIRは、その通信ユニットUCによって処理される要求RQIを受信する。要求RQIから抽出される要求されたパラメータのファイルF1及びネーム(名称)NPm1を指定する暗号化識別子IC1の関数として、ノードN1の記述的ファイル管理ユニットUFは、ファイルF1におけるパラメータ・ネームNPm1と関連した値VPm1及び認可値VAPm1を調べる。
【0043】
値VPm1及びVAPm1がステップE4においてファイルF1内に発見されたならば、ノードN1の通信ユニットは、ノードN1の識別子IC1、ネーム(名称)NPm1及び第1のノードN1のファイルF1内に発見された要求されたパラメータの値VPm1及びVAPm1を含む識別応答RPIを創設する。応答RPIは、ステップE5においてノードN2に送られる。
【0044】
ステップE6において、ノードN2は応答RPIを受信し、その通信ユニットは、要求されたパラメータ値VPm1の完全性を確認する。ノードN2の通信ユニットは、ノードN1に割当てられかつ応答RPIにおいてまたは先の応答において送られた公開キーKPU1の関数として認可値VAPm1を解読し、そして解読された値を生成する。通信ユニットは、次に、送られた応答RPIから抽出された値VPm1に、一方向性(ワンウェイ)ハッシング関数Hを適用し、そしてハッシュされた値と、正確に同じであるはずである、解読された値とを比較する。
【0045】
ステップE4に戻ると、値VPm1及びVAPm1がファイルF1内に無いならば、ノードN1のコントロール・ユニット(制御ユニット)UCは、ノードN1の識別子IC1、パラメータのネーム(名称)NPm1、パラメータPm1に対応するエラー値VEm1、及び関連の認可値VAEm1を含む識別応答RPIを創設する。ステップE7において、ノードN1のインターフェースIRは、応答RPIをノードN2に送り、該ノードN2は、ステップE8においてエラー値VAEm1の完全性を、ステップE6と類似した態様で確認する。
【0046】
第2のインデクシング方法において、識別要求RQI及び識別応答RPIは、パラメータのネーム(名称)NPm1を含まないが、パラメータ識別子として、パラメータPm1を特徴付けるタイプTPm1を含む。ステップE3及びE4において、要求されたパラメータPm1の値VPm1及びVAPm1は、ステップE2において送られた要求RQIに含まれた識別子IC1及びパラメータ・タイプTPm1の関数としてファイルF1において調べられる(ルック・アップされる)。
【0047】
値VPm1及びVAPm1がステップE4においてファイルF1内に発見されないならば、記述的ファイルF1からの情報及びパラメータ・タイプのすべてを含みかつ関連の認可値が伴うエラー指示が、ノードN2に送られる。
【0048】
図5から図8に示されるように、本発明の識別要求RQIフレーム及び識別応答RPIフレームは、同一のフィールド構造を有し、かつDNS/DNSSEC仕様のフレームに従うもしくは順応する。
【0049】
フレームは、少なくとも4つのフィールドを含む。第1もしくはヘッダ・フィールドC_ETは、フレームがRQI要求に関するかまたはRPI応答に関するかを示し、第2フィールドC_RQは要求を含み、第3フィールドC_RPは応答を含み、そして第4フィールドC_ADは、追加の情報を含み得る。
【0050】
第1のインデクシング方法によれば、ここで図5及び図6を参照すると、要求RQIの及び応答RPIのフィールドC_RQは、要求が意図されているノードNjの識別子ICjと関連した要求されたパラメータのネーム(名称)NPmjを含む。パラメータ・タイプTPmjは、DNS/DNSSEC仕様に従うために要求内に含まれているが、パラメータ間を区別しない。
【0051】
応答RPIのフィールドC_RPも、パラメータの識別子ICj及びタイプTPjと関連した要求されたパラメータのネーム(名称)NPmjを含み、そしてさらに、パラメータの値VPmj及び関連の認可値VAPmjを含む。
【0052】
第2のインデクシング方法によれば、ここで図7及び図8を参照すると、要求RQIの及び応答RPIのフィールドC_RQは、要求が意図されているノードNjの識別子ICjと、要求されたパラメータを特徴付けるタイプTPmjとを含む。
【0053】
応答RPIのフィールドC_RPも、パラメータの識別子ICj及びタイプTPmjを含み、そしてさらに、パラメータの値VPmj及び関連の認可値VAPmjを含む。
【0054】
ノードNjの識別応答RPIの追加のフィールドC_ADは、ノードNjの公開キーKPUjまたはIPアドレスのような、もう1つのノードとの第1の交換のために有用なパラメータを含み得る。
【0055】
本発明は、インフラストラクチャを持たないアド・ホック・ネットワークに制限されるものではなく、ノードがDNSへのアクセスを有するインターネットのようなインフラストラクチャを有するネットワークにおいても等しく履行され得る。この状況において、本発明の識別システムは、何等の曖昧さを導入することなくDNSに一体化するのが容易である。本発明に関するDNS/DNSSECデータベースは、アドレスIPj及び暗号化識別子ICjをノードNjのドメイン・ネームと関連させる。
【0056】
このように、クライアント・ノードは、ノードNjによって同報通信された前記識別子を受信する以外の手段によりノードNjの暗号化識別子ICjを得ることができる。
【0057】
ノードNjの暗号化識別子を得るために、クライアント・ノードは、ノードNjのドメイン・ネームと関連した識別子ICjを、それをそれに送るデータベースに接続されたDNSサーバの1つから要求する。クライアント・ノードは、図4のステップE2からE8の後にノードNjの一層詳細な記述を得る。
【0058】
代替的には、DNSサーバからノードNjのIPアドレスを要求するクライアント・ノードは、また、追加のフィールドC_ADに含まれたノードNjの暗号化識別子ICjを応答において得る。
【0059】
ここに記載された本発明は、方法及び異種のノードに関する。一実施形態においては、本発明の方法のステップは、ノードに組み込まれたコンピュータ・プログラムの命令によって決定される。プログラムは、動作が該プログラムの実行によって制御されるノードのプロセッサでプログラムが実行されるときに、本発明の方法のステップを実行するプログラム命令を含む。
【0060】
従って、本発明は、コンピュータ・プログラム、特に、本発明を履行するよう適合された情報媒体上のもしくは情報媒体におけるコンピュータ・プログラムにも等しく適用される。該プログラムは、任意のプログラミング言語を用いることができ、ソース・コード、オブジェクト・コード、もしくはソース・コード及びオブジェクト・コード間の中間コードの形態、例えば、部分的にコンパイルされた形態または本発明の方法を履行するために望ましい任意の他の形態、を取ることができる。
【0061】
情報媒体は、プログラムを記憶することができる任意のエンティティまたは装置であることができる。例えば、該媒体は、CD ROMまたはマイクロエレクトロニックROMのようなROM、もしくはUSBキー、もしくはディスケット(フロッピー(登録商標)・ディスク)またはハード・ディスクのような磁気記憶手段、のような記憶手段を含み得る。
【0062】
さらに情報媒体は、無線によりまたは他の手段により電気または光ケーブルを介してルーティングされ得る電気または光信号のような送信可能媒体であり得る。本発明のプログラムは、特に、インターネット・タイプ・ネットワークを介してダウンロードされ得る。
【0063】
代替的には、情報媒体は、プログラムが組み込まれる集積回路であることができ、該回路は、本発明の方法を実行するよう適合されもしくはその実行において用いられるよう適合される。
【図面の簡単な説明】
【0064】
【図1】インフラストラクチャを持たない本発明のネットワークにおける識別システムを示すブロック図である。
【図2】本発明のノードを示すブロック図である。
【図3】本発明のノード記述子ファイルを表わす図である。
【図4】本発明のノード識別方法のアルゴリズムを示す図である。
【図5】本発明の第1の実施形態における識別要求を表わす図である。
【図6】本発明の第1の実施形態における識別応答を表わす図である。
【図7】本発明の第2の実施形態における識別要求を表わす図である。
【図8】本発明の第2の実施形態における識別応答を表わす図である。
【符号の説明】
【0065】
N1 サーバ
N3、Nj+1 移動端末
Nj、NJ パーソナル・コンピュータ
T 端末
RA アド・ホック・ネットワーク
R ネットワーク
【技術分野】
【0001】
本発明は、ネットワークにおいてノードを識別することに関する。
【0002】
本発明は、一層詳細には、インフラストラクチャのないネットワーク、例えば、アド・ホック・ネットワーク(特別目的のネットワーク)における異種のノードの確実な識別に関する。本発明による識別は、その引き続く一体化を容易にするために、DNS/DNSSEC(ドメイン・ネーム・システム/ドメイン・ネーム・システム・セキュリティ)仕様に従うドメイン・ネーム・システムに基づいている。
【背景技術】
【0003】
ドメイン・ネーム・システムは、端末またはサーバのようなノードに接続するインターネットまたはイントラネットのようなインフラストラクチャを含む通信ネットワークのために特に設計されている。ネーミング・システム(命名システム)は、テキスト・フィールド、暗号化識別子、セキュリティ・パラメータ、メール・サーバ、または一層詳細には、IP(インターネット・プロトコル)アドレスのような、ノードに関するネットワーク情報に対して、ドメイン・ネームとして知られている1つまたは2つ以上の理解可能なネーム(もしくは名称)、例えば“mydomain.com”、に、これらのノードの各々を付合させる。これらの付合は、DNSサーバとして知られている、ドメイン・ネーム・サービスに専用の1つまたは2つ以上のサーバに接続されるまたは一体化される1つまたは2つ以上のデータベースに記憶される。これらのすべてのサービスは、ドメイン・ネームと、該ドメイン・ネームに関連したネットワーク・ノードとの間の付合を見つけるために、ドメイン・ネームへのアクセスを要求するクライアント・ノードにアクセス可能である。
【0004】
現在のところ、ネットワーク、特にアド・ホック・ネットワークのようなインフラストラクチャを持たないネットワークにおいては、前記ノードのユーザ間の接続性を提供するためにネットワーク・ノードを用いる。これらのノードは非常に異種であり、そしてサーバまたは端末のような単純なエンティティもしくはネットワークのような複雑なエンティティであり得る。DNSは、複雑なエンティティに適用されない。
【0005】
同様に、DNSは、単純なエンティティの仲介無しで2つのノード間で自発的にコール(呼)をセット・アップする、アド・ホック・ネットワークのようなインフラストラクチャの無いネットワークにおいて接続されるノードには適用されない。アド・ホック・ネットワークのノードは、互いに事前に(a priori)知られておらず、DNSサーバに参照を持たない。
【発明の開示】
【発明が解決しようとする課題】
【0006】
本発明は、インフラストラクチャを持たないネットワークに存在する単純なノード及び複雑なノードとしての異種のノードを識別することにより、この欠点を克服するものである。
【課題を解決するための手段】
【0007】
本発明は、通信ネットワークにおける1つのノードを他のノードに対して識別する方法に関し、該方法は、
ノードの記述的パラメータを含むファイルを各ノードに記憶するステップであって、各パラメータは、ノードの暗号化識別子及びパラメータ識別子によってインデクシングされる、ステップと、
ネットワークへの接続時に、第1のノードの暗号化識別子をネットワークの他のノードに該第1のノードが同報通信するステップと、
第1のノードの暗号化識別子及びネットワークのもう1つのノードによって要求された第1のノードのパラメータの識別子を、前記他のノードから第1のノードに送るステップと、
暗号化識別子及び要求されたパラメータの識別子の関数として第1のノードのファイルにおける要求されたパラメータの部分を探索するステップと、
要求されたパラメータの発見された部分を第1のノードから前記他のノードに送るステップと、
を含むことを特徴とする。
【0008】
本発明は、サーバ、移動端末またはコンピュータのような単純なノード、及び、ネットワークのような複雑なノード、の双方の任意のタイプのノードを長所的に識別するものであり、このようなノードは、DNS仕様に従うドメイン・ネーム・システムにおいて未知である。
【0009】
各ノードの暗号化識別子が、ノードに割当てられた公開キー/秘密キーの対の公開キーに関するものであるので、暗号化識別子に基づく識別は、すべてのノードにとって万能である。
【0010】
本発明の一つの特徴によれば、記述的パラメータの識別子は、記述的パラメータを互いに区別し、従ってファイルが多くの数の記述的パラメータを含むのを可能とする、パラメータ専用のネームである。
【0011】
本発明のもう1つの特徴によれば、記述的パラメータの識別子は、パラメータを特徴付けるタイプであり、このことは、本発明のDNSへの引き続く一体化を容易にする。
【0012】
本発明は、また、通信ネットワークのノードにも関し、該ノードは、
ノードの記述的パラメータを含むファイルのためのメモリであって、各パラメータは、ノードの暗号化識別子及びパラメータ識別子によってインデクシングされる、前記メモリと、
前記ノードの暗号化識別子をネットワークの他のノードに同報通信するための手段と、
前記ノードによって要求される第1の他のノードのパラメータの識別子と前記第1の他のノードの暗号化識別子とを送るための手段と、
第2の他のノードによって送られたパラメータの識別子及び前記ノードの暗号化識別子の関数として第2の他のノードによって要求されたパラメータの部分のためのファイルを探索するための手段と、
パラメータの発見された部分を前記第2の他のノードに送るための手段と、
を備えたことを特徴とする。
【0013】
最後に、本発明は、本発明のノードにおけるプロセッサにより実行されるときに本発明の方法を実行するための命令を含むコンピュータ・プログラムに関する。
【0014】
本発明の他の特徴及び長所は、対応の添付図面を参照して非制限的な例として与えられる本発明の実施形態の以下の説明を読むことにより一層明瞭に明らかとなる。
【発明を実施するための最良の形態】
【0015】
図1を参照すると、本発明の識別システムは、インフラストラクチャを持たない通信ネットワークにおいて異種のノードN1及びNJを備えている。ネットワークは、例えば、アド・ホック・ネットワーク(特別目的のネットワーク)RAであり、以下の明細書においてそのようなものとして言及する。アド・ホック・ネットワークRAにおいて、ノード間のコール(呼)は、自発的にセット・アップされ、ノードは、ネットワークにおける他のノードの事前の知識を持たない。本発明によれば、2つのノードの相互の識別は、識別要求RQI及び識別応答RPIを交換することにより行われる。
【0016】
ノードは異種であり、サーバN1、移動端末N3、Nj+1、またはパーソナル・コンピュータNj、NJのような単純なエンティティ、及び/または、ノードN2を形成しかつ端末Tと関連するネットワークRのような複雑なエンティティであることができる。ネットワークRは、アド・ホック・ネットワークとは異なっており、クライアント端末が有線または無線で接続されるインターネットまたはイントラネットのような、もしくはGSM(移動通信のためのグローバル・システム)またはUMTS(ユニバーサル移動遠隔通信システム)無線通信ネットワークのような、インフラストラクチャを有するネットワークであることができる。
【0017】
各ノードNj(ここに、1≦j≦J)において、本発明は、ノードのアイデンティティに関する情報のような、ノードに特有な記述的情報を含む記述的ファイルFjを創成して記憶し、例えば、ノードがルータまたは端末である場合には、情報はノードの場所、例えば、IPアドレスに関し、そして他のノードにアクセス可能である。ノードN2に関する場合、ネットワークRに関連した端末Tは、ネットワークRを識別する記述的ファイルF2を含む。
【0018】
ノードNjに特有な記述的情報は、以下の明細書において、記述的パラメータPmj(ここに、1≦m≦Mであり、整数Mは1つのノードからもう1つのノードに対して異なり得る)として言及される。ノードNjのファイルFjを、図3を参照して一層詳細に説明する。
【0019】
図2に示されるように、アド・ホック・ネットワークRAのノードN1からNjは、図4を参照して説明する本発明の識別方法を履行するために同様のエンティティを含む。ノードNjは、該ノードが移動端末、例えば、通信ユニットUC、記述的ファイル管理ユニットUF、及び2つのメモリM1及びM2、であるならば、無線インターフェースであるネットワーク・インターフェースIRを含む。専用のユニットUSは、ノードNj、例えば、PCのプロセッサ・ユニット、サーバ、または移動端末を特徴とする。ノードのエンティティのすべては、双方向通信バスBによって接続される。
【0020】
ノードNjは、要求を送って該要求に対する応答を受信するために、ネットワーク・インターフェースIRを介してアド・ホック・ネットワークRAの他のノードと通信する。通信ユニットUCは、ノードNjのネットワーク・インターフェースから送られた識別要求RQIを組み立てる。同様に、通信ユニットUCは、ネットワーク・インターフェースIRによって受信された識別応答を処理する。記述的ファイル管理ユニットUFは、記述的ファイルFjに含まれるノードNjに関する情報を管理する。管理ユニットUFは、アド・ホック・ネットワークにおける他のノードによって送られたノードNjの識別に関する識別要求RQIに応答する。ユニットUC、UF及びUSの作用は、ノードNjの中央処理ユニットによって実行されるノードNjにおけるソフトウェア・モジュールにおいて履行され得る。
【0021】
メモリM1は、他の中でも特に、ノードNjの記述的ファイルFj、ノードNjに割当てられた公開キーKPUj/秘密キーKPVjの暗号化対の公開キーKPUj、及び一方向性ハッシング関数(a one-way hashing function)Hを含む。メモリM2は、暗号化対の秘密キー(private key)KPVjを含む安全メモリである。
【0022】
図3を参照すると、ノードNjのファイルFjは、ノードの記述的パラメータP1jからPmjまでに関するノードの一層完全な記述へのリンクをセット・アップするために、ノードに専用の暗号化識別子ICjによって特定される。本発明の一実施形態においては、ホスト・アイデンティティ・プロトコル(HIP)に順応して、暗号化識別子ICjは、ノードに割当てられた公開キーKPUj/秘密キーKPVjの暗号化の対の公開キーKPUjに依存する。暗号化識別子ICjは、ハッシング関数Hを公開キーKPUjに適用することによって決定される公開キーのハッシュ(a hash)H(KPUj)の公開キーKPUjであり、ハッシュされた(hashed)公開キーH(KPUj)は、概して、固定のサイズであり、公開キーKPUjよりも小さい。
【0023】
公開キーに基づくノード識別は、万能であるという利点を有し、ネットワークRAの各ノードは、それ自体の暗号化対を有する。さらに、ノードの暗号化対は、データを受信ノードに送るときに安全機能に参加する。従って、ノードの秘密キーを用いてデータをサインする(signing)ことは、データを送ったノードの公開キーを用いてサイン(signature)を確認する受信ノードに対してデータの完全性を保証する。受信ノードの公開キーを用いてデータを暗号化することは、ノードと、秘密キーを用いてデータを単独で解読することができる受信ノードとの間の通信の秘密性を保証する。
【0024】
ファイルFjは、ノードNjの性質に関係された1つまたは2つ以上の記述的パラメータを含む。例えば、パーソナル・コンピュータ(PC)NjまたはNJの1つの記述的パラメータは、そのIPアドレスである。同様に、ネットワークRの記述的パラメータは、ダイナミック・ホスト・コンフィギャレーション・プロトコル(DHCP)サーバのアドレス、またはハイパーテキスト・トランスファー・プロトコル(HTTP)プロキシのようなネットワーク・ゲートウェイのアドレスを含む。移動端末N3またはNj+1の記述的パラメータは、移動端末のMSISDN(移動ステーションISDN(一体化されたサービス・ディジタル・ネットワーク))番号である。ノードの公開キーKPUj及びハッシュされた公開キーH(KPUj)も、各ノードにおけるファイルに含まれた記述的パラメータである。ファイル内のパラメータのすべては他のノードによってアクセスされ得る。
【0025】
ファイルFjにおける各記述的パラメータPmjは、ネーム(名称)NPmj及び/またはタイプTPmjのようなパラメータ識別子、及びパラメータ値VPmjを含む。ネーム(名称)NPmjは、ノードNjの副識別子である。タイプTPmjは、例えば、パラメータがIPv4アドレス“A”、電子メッセージング・サーバ・ネーム(サーバ名)“MX”またはテキスト“TXT”であるということを示すことによって、パラメータPmjを特徴付ける。パラメータ値VPmjは、ネットワークのもう1つのノードによって要求され、例えばアドレス・タイプ・パラメータに対しては、形態“2001:2:56”のものであり、電子メッセージング・サーバ・タイプ・パラメータに対しては、形態“server_name_mail.com”のものである。
【0026】
ファイルFjにおける記述的パラメータ以外の情報は、ファイルの記述的パラメータ及び/またはそれらのネーム(名称)にリンクされ、そしてタイプ及び値を含む。この情報は、エラーの検出に、及びノードNpから送られるべき情報の完全性に対応する。
【0027】
タイプTEmjによって特徴付けられかつ各パラメータ・ネームNPmjと関連されたエラー指示は、要求されたパラメータの値VPの無いことの証明を提供する。エラー指示のエラー値VEmjは、TPmj、TAのようなパラメータ・ネームNPmj、及び次のパラメータNP(m+1)jのネーム(名称)にリンクされたタイプのリストを含む。従って、要求に含まれたタイプTPmjが間違っているファイルFjにおけるパラメータ・ネームNPmjに関するもう1つのノードによって送られる識別要求RQIは、応答においてエラー値VEmjを得る。該応答は、このパラメータ・ネーム要求に含まれたタイプがファイルFjに存在しないということを示し、このことは、要求されたパラメータのネーム(名称)NPmjと関連したタイプのリストによって正当化される。
【0028】
タイプTAによって特徴付けられ、かつそれを要求したもう1つのノードに送られるべきそれぞれの値VPmj、VEmjに関する認証情報は、ソースを認証し、そしてノードNjに対する前記それぞれの値の完全性を保証する。認証情報と関連した認証値VAPmj、VAEmjは、送られるべきそれぞれの値VPmj、VEmj及びノードNjに割当てられる秘密キーKPVjの関数として決定されるサイン(signature)に対応する。例えば、値VAPmj、VAEmjは、値VPmj、VEmjにハッシング関数を適用することによって、及びノードに割当てられる秘密キーKPVjの関数としてハッシュされた値の非対称暗号化によって決定される。要求されたパラメータPmjのそれぞれの値VPmjと同時にRPI応答において送られた値VAPmjは、前記それぞれの値がノードNmjから来るということを確実にする。同様に、要求されたパラメータPmjの名称NPmjに関するエラー値VEmjと同時に応答RPIにおいて送られる値VAEmjは、エラー値VEmjの完全性を確実にする。
【0029】
送られた値VAPmj、VAEmjは、他のノードの公開キーによって長所的に暗号化され、それにより、応答RPIにおける情報の交換の秘密性を保証する。
【0030】
値VPmjの完全性を確認するために、値VPmjを含む識別応答を受信する他のノードは、また、もしくは前以って、認可値VAPmjを解読するためのノードNjに割当てられた暗号化対の秘密キーKPVjと関連した公開キーKPUjを要求していた。該他のノードは、次に、ハッシュされた値を得るために、受信された値VPmjに一方向性(ワンウェイ)ハッシング関数Hを適用し、そして得られたハッシュされた値と、同一であるはずである解読された値とを比較する。
【0031】
ファイルFjにおける記述的パラメータをインデクシングする2つの方法がある。
【0032】
第1の方法は、関連された値VPmjを得るために、ノードNjの識別子ICjとパラメータのネーム(名称)NPmjとを関連させるパラメータ・インデクシング機構に対してインデクシングを行う。この方法においては、ノードのパラメータP1jからPmjまでを特徴付けるタイプTP1jからTPmjは同一であり、ノード・パラメータ間を区別しない。ノードのパラメータP1jからPmjまでは、それらのネーム(名称)NP1jからNPmjまでによって区別される。
【0033】
第2の方法は、関連された値VPmjを得るために、ノードNjの識別子ICjとパラメータのタイプNPmjとを関連させるパラメータ・インデクシング機構に対してインデクシングを行う。この方法においては、ノードのパラメータP1jからPmjまでを特徴付けるタイプTP1jからTPmjは互いに離れており、パラメータはネーム(名称)NP1jからNPmjを含まない。ファイルFjは、次に、ファイルのサイズを減少するノードNjの記述的ファイルからの情報及びすべてのパラメータ・タイプを含むエラー指示を含む。
【0034】
他の記述は、DNS/DNSSEC仕様に順応するよう、記述的ファイルに含まれる。記述的ファイル情報の各記述的パラメータまたは項目は、すべての情報に対して正確に同じであるクラスによって、例えば、インターネットに関するクラス“IN”、によって限定される。
【0035】
記述的ファイルは、タイプSOA(スタート・オブ・オーソリティ)によって特徴付けられるファイルのための管理情報を含み、その値は、ファイル管理者(アドミニストレータ)のアイデンティティ及びアドレス、並びにファイルが如何に管理されるかを記載するデータを含む。
【0036】
記述的ファイルは、さらに、ノードに割当てられた暗号化対の公開キーに関連するタイプDNSKEY(ドメイン・ネーム・システム・KEY)によって特徴付けられる暗号化情報を含み得る。
【0037】
この追加の情報の値は、タイプTAによって特徴付けられる認可情報によって認可される。
【0038】
上述の方法の第1のものを用いた第1のノードN1のもう1つのノードN2による識別が以下に説明され、そして図4に示されるステップE1からE8までを含む。
【0039】
ステップE1においては、ノードN1は、第1の時間の間、アド・ホック・ネットワーク(特別目的のネットワーク)RAに接続される。ノードN1のネットワーク・インターフェースIRは、他のノードがノードN1を識別してそれにメッセージまたは要求を送るために、ノードN1のユニットUCによって創設されかつノードN1の暗号化識別子及びノードN1に割当てられたソース・アドレスADN1を含むメッセージMSを、他のノードに同報通信する。アドレスADN1は、例えば、識別子及びシリアル番号を含むノードのMAC(媒体アクセス・コントロール)アドレスであり、または代替的には、暗号化識別子IC1から形成されたアドレスである。
【0040】
ステップE2においては、もう1つのノードN2のネットワーク・インターフェースIRは、メッセージMSを妨害もしくは傍受する。ノードN2の通信ユニットUCは、ノードN1に割当てられた少なくとも公開キーのような1つまたは2つ以上の要求された記述的パラメータをその中に読取るためにノードN1に対して意図された識別要求RQIを創設して、ノードN1から来るパラメータの完全性を確認する。第1の方法においては、要求RQIは、ノードN1がノードN2に要求RQIへの応答を送るために、少なくとも、メッセージMSから抽出されたノードN1の識別子IC1と、パラメータ識別子として要求されたパラメータのネーム(名称)NPm1と、ノードN2に関するソース・アドレスADN2とを含む。
【0041】
ノードN2は、特定の識別要求を送ることによりノードN1のパラメータのすべてを要求することができる。
【0042】
ステップE3において、ノードN1のネットワーク・インターフェースIRは、その通信ユニットUCによって処理される要求RQIを受信する。要求RQIから抽出される要求されたパラメータのファイルF1及びネーム(名称)NPm1を指定する暗号化識別子IC1の関数として、ノードN1の記述的ファイル管理ユニットUFは、ファイルF1におけるパラメータ・ネームNPm1と関連した値VPm1及び認可値VAPm1を調べる。
【0043】
値VPm1及びVAPm1がステップE4においてファイルF1内に発見されたならば、ノードN1の通信ユニットは、ノードN1の識別子IC1、ネーム(名称)NPm1及び第1のノードN1のファイルF1内に発見された要求されたパラメータの値VPm1及びVAPm1を含む識別応答RPIを創設する。応答RPIは、ステップE5においてノードN2に送られる。
【0044】
ステップE6において、ノードN2は応答RPIを受信し、その通信ユニットは、要求されたパラメータ値VPm1の完全性を確認する。ノードN2の通信ユニットは、ノードN1に割当てられかつ応答RPIにおいてまたは先の応答において送られた公開キーKPU1の関数として認可値VAPm1を解読し、そして解読された値を生成する。通信ユニットは、次に、送られた応答RPIから抽出された値VPm1に、一方向性(ワンウェイ)ハッシング関数Hを適用し、そしてハッシュされた値と、正確に同じであるはずである、解読された値とを比較する。
【0045】
ステップE4に戻ると、値VPm1及びVAPm1がファイルF1内に無いならば、ノードN1のコントロール・ユニット(制御ユニット)UCは、ノードN1の識別子IC1、パラメータのネーム(名称)NPm1、パラメータPm1に対応するエラー値VEm1、及び関連の認可値VAEm1を含む識別応答RPIを創設する。ステップE7において、ノードN1のインターフェースIRは、応答RPIをノードN2に送り、該ノードN2は、ステップE8においてエラー値VAEm1の完全性を、ステップE6と類似した態様で確認する。
【0046】
第2のインデクシング方法において、識別要求RQI及び識別応答RPIは、パラメータのネーム(名称)NPm1を含まないが、パラメータ識別子として、パラメータPm1を特徴付けるタイプTPm1を含む。ステップE3及びE4において、要求されたパラメータPm1の値VPm1及びVAPm1は、ステップE2において送られた要求RQIに含まれた識別子IC1及びパラメータ・タイプTPm1の関数としてファイルF1において調べられる(ルック・アップされる)。
【0047】
値VPm1及びVAPm1がステップE4においてファイルF1内に発見されないならば、記述的ファイルF1からの情報及びパラメータ・タイプのすべてを含みかつ関連の認可値が伴うエラー指示が、ノードN2に送られる。
【0048】
図5から図8に示されるように、本発明の識別要求RQIフレーム及び識別応答RPIフレームは、同一のフィールド構造を有し、かつDNS/DNSSEC仕様のフレームに従うもしくは順応する。
【0049】
フレームは、少なくとも4つのフィールドを含む。第1もしくはヘッダ・フィールドC_ETは、フレームがRQI要求に関するかまたはRPI応答に関するかを示し、第2フィールドC_RQは要求を含み、第3フィールドC_RPは応答を含み、そして第4フィールドC_ADは、追加の情報を含み得る。
【0050】
第1のインデクシング方法によれば、ここで図5及び図6を参照すると、要求RQIの及び応答RPIのフィールドC_RQは、要求が意図されているノードNjの識別子ICjと関連した要求されたパラメータのネーム(名称)NPmjを含む。パラメータ・タイプTPmjは、DNS/DNSSEC仕様に従うために要求内に含まれているが、パラメータ間を区別しない。
【0051】
応答RPIのフィールドC_RPも、パラメータの識別子ICj及びタイプTPjと関連した要求されたパラメータのネーム(名称)NPmjを含み、そしてさらに、パラメータの値VPmj及び関連の認可値VAPmjを含む。
【0052】
第2のインデクシング方法によれば、ここで図7及び図8を参照すると、要求RQIの及び応答RPIのフィールドC_RQは、要求が意図されているノードNjの識別子ICjと、要求されたパラメータを特徴付けるタイプTPmjとを含む。
【0053】
応答RPIのフィールドC_RPも、パラメータの識別子ICj及びタイプTPmjを含み、そしてさらに、パラメータの値VPmj及び関連の認可値VAPmjを含む。
【0054】
ノードNjの識別応答RPIの追加のフィールドC_ADは、ノードNjの公開キーKPUjまたはIPアドレスのような、もう1つのノードとの第1の交換のために有用なパラメータを含み得る。
【0055】
本発明は、インフラストラクチャを持たないアド・ホック・ネットワークに制限されるものではなく、ノードがDNSへのアクセスを有するインターネットのようなインフラストラクチャを有するネットワークにおいても等しく履行され得る。この状況において、本発明の識別システムは、何等の曖昧さを導入することなくDNSに一体化するのが容易である。本発明に関するDNS/DNSSECデータベースは、アドレスIPj及び暗号化識別子ICjをノードNjのドメイン・ネームと関連させる。
【0056】
このように、クライアント・ノードは、ノードNjによって同報通信された前記識別子を受信する以外の手段によりノードNjの暗号化識別子ICjを得ることができる。
【0057】
ノードNjの暗号化識別子を得るために、クライアント・ノードは、ノードNjのドメイン・ネームと関連した識別子ICjを、それをそれに送るデータベースに接続されたDNSサーバの1つから要求する。クライアント・ノードは、図4のステップE2からE8の後にノードNjの一層詳細な記述を得る。
【0058】
代替的には、DNSサーバからノードNjのIPアドレスを要求するクライアント・ノードは、また、追加のフィールドC_ADに含まれたノードNjの暗号化識別子ICjを応答において得る。
【0059】
ここに記載された本発明は、方法及び異種のノードに関する。一実施形態においては、本発明の方法のステップは、ノードに組み込まれたコンピュータ・プログラムの命令によって決定される。プログラムは、動作が該プログラムの実行によって制御されるノードのプロセッサでプログラムが実行されるときに、本発明の方法のステップを実行するプログラム命令を含む。
【0060】
従って、本発明は、コンピュータ・プログラム、特に、本発明を履行するよう適合された情報媒体上のもしくは情報媒体におけるコンピュータ・プログラムにも等しく適用される。該プログラムは、任意のプログラミング言語を用いることができ、ソース・コード、オブジェクト・コード、もしくはソース・コード及びオブジェクト・コード間の中間コードの形態、例えば、部分的にコンパイルされた形態または本発明の方法を履行するために望ましい任意の他の形態、を取ることができる。
【0061】
情報媒体は、プログラムを記憶することができる任意のエンティティまたは装置であることができる。例えば、該媒体は、CD ROMまたはマイクロエレクトロニックROMのようなROM、もしくはUSBキー、もしくはディスケット(フロッピー(登録商標)・ディスク)またはハード・ディスクのような磁気記憶手段、のような記憶手段を含み得る。
【0062】
さらに情報媒体は、無線によりまたは他の手段により電気または光ケーブルを介してルーティングされ得る電気または光信号のような送信可能媒体であり得る。本発明のプログラムは、特に、インターネット・タイプ・ネットワークを介してダウンロードされ得る。
【0063】
代替的には、情報媒体は、プログラムが組み込まれる集積回路であることができ、該回路は、本発明の方法を実行するよう適合されもしくはその実行において用いられるよう適合される。
【図面の簡単な説明】
【0064】
【図1】インフラストラクチャを持たない本発明のネットワークにおける識別システムを示すブロック図である。
【図2】本発明のノードを示すブロック図である。
【図3】本発明のノード記述子ファイルを表わす図である。
【図4】本発明のノード識別方法のアルゴリズムを示す図である。
【図5】本発明の第1の実施形態における識別要求を表わす図である。
【図6】本発明の第1の実施形態における識別応答を表わす図である。
【図7】本発明の第2の実施形態における識別要求を表わす図である。
【図8】本発明の第2の実施形態における識別応答を表わす図である。
【符号の説明】
【0065】
N1 サーバ
N3、Nj+1 移動端末
Nj、NJ パーソナル・コンピュータ
T 端末
RA アド・ホック・ネットワーク
R ネットワーク
【特許請求の範囲】
【請求項1】
通信ネットワークにおける1つのノードを他のノードに対して識別する方法であって、
ノードの記述的パラメータ(P1j−PMj)を含むファイル(Fj)を各ノード(Nj)に記憶するステップであって、各パラメータは、ノードの暗号化識別子(ICj)及びパラメータ識別子(NPmj、TPmj)によってインデクシングされる、ステップと、
ネットワークへの接続時に、第1のノードの暗号化識別子をネットワークの他のノードに該第1のノードが同報通信する(E1)ステップと、
第1のノードの暗号化識別子及びネットワークのもう1つのノードによって要求された第1のノードのパラメータの識別子を、前記他のノード(N2)から第1のノードに送る(E2)ステップと、
暗号化識別子及び要求されたパラメータの識別子の関数として第1のノードのファイルにおける要求されたパラメータの部分(VPmj)を探索する(E3−E4)ステップと、
要求されたパラメータの発見された部分を第1のノードから前記他のノードに送る(E5)ステップと、
を含むことを特徴とする方法。
【請求項2】
パラメータ識別子(Pmj)は、パラメータ専用のネーム(NPnj)である請求項1に記載の方法。
【請求項3】
パラメータ識別子(Pmj)は、パラメータを特徴付けるタイプ(TPnj)である請求項1に記載の方法。
【請求項4】
ノード(Nj)の暗号化識別子(ICj)は、ノードに割当てられた公開キー(KPUj)/秘密キー(KPVj)の対の公開キー(KPUj)に依存する請求項1乃至3のいずれか1項に記載の方法。
【請求項5】
パラメータの部分(Vmj)は、第1のノードに割当てられる秘密キー(KPVn)によって決定される前記パラメータ部分(VPmj)のサイン(VAPmj)と共に送られる請求項4に記載の方法。
【請求項6】
第1のノード(N1)のファイル(F1)が、要求されたパラメータ部分を含まないならば、ファイルに含まれたエラー指示(VEmj)を送り(E7)そしてファイルにおける要求されたパラメータの前記部分の非存在を立証することを含む請求項1乃至5のいずれか1項に記載の方法。
【請求項7】
通信ネットワーク(RA)は、アド・ホック・ネットワークである請求項1乃至6のいずれか1項に記載の方法。
【請求項8】
通信ネットワークのノードであって、
ノードの記述的パラメータ(P1j−PMj)を含むファイル(Fj)のためのメモリ(M1)であって、各パラメータは、ノードの暗号化識別子(ICj)及びパラメータ識別子(NPmj、TPmj)によってインデクシングされる前記メモリと、
前記ノードの暗号化識別子をネットワークの他のノードに同報通信するための手段(UC、IR)と、
前記ノードによって要求される第1の他のノードのパラメータの識別子と前記第1の他のノードの暗号化識別子とを送るための手段(UC、IR)と、
第2の他のノードによって送られたパラメータの識別子及び前記ノードの暗号化識別子の関数として第2の他のノードによって要求されたパラメータの部分(VPmj)のためのファイル(Fj)を探索するための手段(UF)と、
前記第2の他のノードによって要求されたパラメータの発見された部分を前記第2の他のノードに送るための手段(UC、IR)と、
を備えたことを特徴とするノード。
【請求項9】
通信ネットワークのノードにおいて実行されるよう適合されたコンピュータ・プログラムであって、該プログラムが前記ノード(Nj)において実行されるときに、
ノードの記述的パラメータ(P1j−PMj)を含むファイル(Fj)をノード(Nj)に記憶するステップであって、各パラメータは、ノードの暗号化識別子(ICj)及びパラメータ識別子(NPmj、TPmj)によってインデクシングされる、前記ステップと、
前記ノードの暗号化識別子をネットワークの他のノードに同報通信する(E1)ステップと、
前記ノードによって要求される第1の他のノードのパラメータの識別子及び該第1の他のノードの暗号化識別子を送る(E2)ステップと、
前記ノードの暗号化識別子及び第2の他のノードによって送られるパラメータの識別子の関数として前記ノードのファイルにおいて第2の他のノードによって要求されるパラメータの部分(VPmj)を探索する(E3−E4)ステップと、
前記第2の他のノードに該第2の他のノードによって要求されたパラメータの発見された部分を送る(E5)ステップと、
を実行する命令を含むことを特徴とするコンピュータ・プログラム。
【請求項10】
請求項1乃至7のいずれか1項に記載の方法のステップを実行するためのコンピュータ・プログラム・コード命令を含む部分的または全体的に取り外し可能なデータ記憶手段。
【請求項1】
通信ネットワークにおける1つのノードを他のノードに対して識別する方法であって、
ノードの記述的パラメータ(P1j−PMj)を含むファイル(Fj)を各ノード(Nj)に記憶するステップであって、各パラメータは、ノードの暗号化識別子(ICj)及びパラメータ識別子(NPmj、TPmj)によってインデクシングされる、ステップと、
ネットワークへの接続時に、第1のノードの暗号化識別子をネットワークの他のノードに該第1のノードが同報通信する(E1)ステップと、
第1のノードの暗号化識別子及びネットワークのもう1つのノードによって要求された第1のノードのパラメータの識別子を、前記他のノード(N2)から第1のノードに送る(E2)ステップと、
暗号化識別子及び要求されたパラメータの識別子の関数として第1のノードのファイルにおける要求されたパラメータの部分(VPmj)を探索する(E3−E4)ステップと、
要求されたパラメータの発見された部分を第1のノードから前記他のノードに送る(E5)ステップと、
を含むことを特徴とする方法。
【請求項2】
パラメータ識別子(Pmj)は、パラメータ専用のネーム(NPnj)である請求項1に記載の方法。
【請求項3】
パラメータ識別子(Pmj)は、パラメータを特徴付けるタイプ(TPnj)である請求項1に記載の方法。
【請求項4】
ノード(Nj)の暗号化識別子(ICj)は、ノードに割当てられた公開キー(KPUj)/秘密キー(KPVj)の対の公開キー(KPUj)に依存する請求項1乃至3のいずれか1項に記載の方法。
【請求項5】
パラメータの部分(Vmj)は、第1のノードに割当てられる秘密キー(KPVn)によって決定される前記パラメータ部分(VPmj)のサイン(VAPmj)と共に送られる請求項4に記載の方法。
【請求項6】
第1のノード(N1)のファイル(F1)が、要求されたパラメータ部分を含まないならば、ファイルに含まれたエラー指示(VEmj)を送り(E7)そしてファイルにおける要求されたパラメータの前記部分の非存在を立証することを含む請求項1乃至5のいずれか1項に記載の方法。
【請求項7】
通信ネットワーク(RA)は、アド・ホック・ネットワークである請求項1乃至6のいずれか1項に記載の方法。
【請求項8】
通信ネットワークのノードであって、
ノードの記述的パラメータ(P1j−PMj)を含むファイル(Fj)のためのメモリ(M1)であって、各パラメータは、ノードの暗号化識別子(ICj)及びパラメータ識別子(NPmj、TPmj)によってインデクシングされる前記メモリと、
前記ノードの暗号化識別子をネットワークの他のノードに同報通信するための手段(UC、IR)と、
前記ノードによって要求される第1の他のノードのパラメータの識別子と前記第1の他のノードの暗号化識別子とを送るための手段(UC、IR)と、
第2の他のノードによって送られたパラメータの識別子及び前記ノードの暗号化識別子の関数として第2の他のノードによって要求されたパラメータの部分(VPmj)のためのファイル(Fj)を探索するための手段(UF)と、
前記第2の他のノードによって要求されたパラメータの発見された部分を前記第2の他のノードに送るための手段(UC、IR)と、
を備えたことを特徴とするノード。
【請求項9】
通信ネットワークのノードにおいて実行されるよう適合されたコンピュータ・プログラムであって、該プログラムが前記ノード(Nj)において実行されるときに、
ノードの記述的パラメータ(P1j−PMj)を含むファイル(Fj)をノード(Nj)に記憶するステップであって、各パラメータは、ノードの暗号化識別子(ICj)及びパラメータ識別子(NPmj、TPmj)によってインデクシングされる、前記ステップと、
前記ノードの暗号化識別子をネットワークの他のノードに同報通信する(E1)ステップと、
前記ノードによって要求される第1の他のノードのパラメータの識別子及び該第1の他のノードの暗号化識別子を送る(E2)ステップと、
前記ノードの暗号化識別子及び第2の他のノードによって送られるパラメータの識別子の関数として前記ノードのファイルにおいて第2の他のノードによって要求されるパラメータの部分(VPmj)を探索する(E3−E4)ステップと、
前記第2の他のノードに該第2の他のノードによって要求されたパラメータの発見された部分を送る(E5)ステップと、
を実行する命令を含むことを特徴とするコンピュータ・プログラム。
【請求項10】
請求項1乃至7のいずれか1項に記載の方法のステップを実行するためのコンピュータ・プログラム・コード命令を含む部分的または全体的に取り外し可能なデータ記憶手段。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2009−535875(P2009−535875A)
【公表日】平成21年10月1日(2009.10.1)
【国際特許分類】
【出願番号】特願2009−507124(P2009−507124)
【出願日】平成19年4月12日(2007.4.12)
【国際出願番号】PCT/FR2007/051097
【国際公開番号】WO2007/125235
【国際公開日】平成19年11月8日(2007.11.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(591034154)フランス テレコム ソシエテ アノニム (290)
【氏名又は名称原語表記】France Telecom SA
【Fターム(参考)】
【公表日】平成21年10月1日(2009.10.1)
【国際特許分類】
【出願日】平成19年4月12日(2007.4.12)
【国際出願番号】PCT/FR2007/051097
【国際公開番号】WO2007/125235
【国際公開日】平成19年11月8日(2007.11.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(591034154)フランス テレコム ソシエテ アノニム (290)
【氏名又は名称原語表記】France Telecom SA
【Fターム(参考)】
[ Back to top ]