パケット認証システム、認証方法、およびプログラム
【課題】パケットの送受信とは別の認証プロトコルを備えずに、パケット転送能力に影響を与えることなく、パケット単位でパケットの送信者または受信者の認証を行なうことが可能な認証システム、該認証方法およびプログラムを提供することを目的とする。
【解決手段】第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなる認証システムであって、第1の装置は、データパケットに認証用データを埋め込む認証用データ埋め込み部と、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信部と、を備え、第2の装置は、第1の装置からデータパケットを受信するパケット受信部と、受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備える構成とした。
【解決手段】第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなる認証システムであって、第1の装置は、データパケットに認証用データを埋め込む認証用データ埋め込み部と、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信部と、を備え、第2の装置は、第1の装置からデータパケットを受信するパケット受信部と、受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備える構成とした。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上で送受信されるパケットの認証システム、認証方法、およびプログラムに関する。
【背景技術】
【0002】
通常、ユーザが個人宅内の端末を用いてインターネットを利用するためには、ISP(Internet Service Provider)などのネットワークサービス提供者によって提供されるインターネット接続サービスに加入する必要がある。ユーザは、このようなサービスに加入することにより、電子メールアカウントの提供や、ポータルサイトからのコンテンツの提供など、サービス提供者による様々なサービスを利用することができる。このようなサービスの提供にあたり、サービス加入者以外の者によるサービスの不正利用や、サービス提供者へのなりすましなどを防ぐために、サービス提供者とサービス加入者との間でセキュリティを確保するための認証が必要となる。
【0003】
この場合の認証方法としては、PPP(Point to Point Protocol)におけるユーザIDおよびパスワードを用いたPAPやCHAPなどの認証プロトコルが良く知られている。これは、サービス加入者の端末からサービス提供者に対して接続要求を行なう際に、サービス提供者側のルータとサービス加入者側の端末との間でユーザIDおよびパスワードがやり取りされ、正当な加入者であるか否かなどが確認される。そして、正当な加入者であることが確認された場合には、サービス提供ルータから当該サービス加入者端末へサービスの提供が開始される。また、PPPでは、各加入者の認証結果や、次に認証を行なうタイミング等のステータスを保持することにより、ユーザ毎の接続状況が管理されている。さらに、PPPの機能をイーサネット(登録商標)上で利用するためにPPPoe(PPP over Ethernet(登録商標))と呼ばれる通信プロトコルも知られている。PPPoeでは、PPPをカプセル化して、サービス提供ルータと当該サービス加入者端末との間にトンネルを確立する。また、PPPoeでは、トンネルのセットアップの際に、PPPの認証プロトコルを用いた認証が行なわれ、各トンネルにおける認証結果などステータスが管理される。
【0004】
また、特許文献1には、データパケットの送信元アドレスのなりすましを防ぐための認証方法が記載されている。特許文献1の認証システムでは、移動ステーションから仮想接続の確立のために送信されるパケットデータアドレスが、予めゲートウェイノードにおいて記憶される。その後、ゲートウェイノードにて、移動ステーションからデータパケットを受信すると、該受信したデータパケットにおける送信元アドレスと、記憶されたパケットデータアドレスとが比較され、送信元アドレスが正当であるか否かが判断される。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−259507号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ここで、特許文献1のシステムや一般的なPPPまたはPPPoeにおける認証システムでは、実際のパケットの送受信とは別に、認証のための装置間でのやり取りが必要となり、仕組みが複雑であるとともに、認証が完了するまではデータパケットの疎通を行なうことができない。また、PPPやPPPoeでは、各加入者(トンネル)におけるステータスを個別に管理する必要があるため、特に加入者の数が多い場合には、ステータス管理のために必要とされる処理能力も膨大となり、スケーラビリティが問題となる。
【0007】
さらに、上記のような従来の認証システムでは、認証が行なわれた後、一定時間の間はその認証を有効とする場合が多い。そのため、一旦認証された加入者に関しては、その後なりすまし等の不正な利用があった場合も、一定時間の間は正当な加入者として処理が行なわれてしまう。とはいえ、パケットの送受信毎に、毎回ユーザIDやパスワードなどの認証処理を別途行なう場合には、処理のオーバーヘッドが大きくなり、パケット転送能力に影響を与えることになる。さらに、特許文献1の認証システムの場合には、ゲートウェイノードにおいて、認証のためにパケットデータアドレスをあらかじめ記憶するためのデータベース等を備える必要がある。
【0008】
本発明は上記の事情に鑑みてなされたものであり、パケットの送受信とは別の認証プロトコルを必要とせず、且つ、パケット転送能力に影響を与えることなく、パケット単位で該パケットの送信者および受信者の認証を行なうことが可能な認証システム、該認証方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記の課題を解決するため、本発明により、第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなる認証システムであって、第1の装置は、データパケットに認証用データを埋め込む認証用データ埋め込み部と、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信部と、を備え、第2の装置は、第1の装置からデータパケットを受信するパケット受信部と、受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、抽出した認証用データに基づいて、データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする認証システムが提供される。
【0010】
このように構成することにより、パケットの送受信とは別の認証プロトコルを備えることなく、送受信されるデータパケットに埋め込まれた認証用データに基づいて、パケット単位で送信者または受信者の認証が可能になる。これにより、第1の装置および第2の装置間のデータパケット通信におけるセキュリティを確保することができる。
【0011】
また、上記認証システムにおいて、第2の装置の正当性判断部は、データパケットに基づいて認証用データを算出し、認証用データ抽出部において抽出した認証用データと、算出した認証用データとを比較して、該データパケットの送信者または受信者の正当性を判断するよう構成しても良い。さらに、正当性判断部は、抽出した認証用データと、算出した認証用データとが一致しない場合には、該データパケットの送信者または受信者は正当でないと判断して、該データパケットを破棄する構成としても良い。
【0012】
また、上記データパケットは、アウターヘッダによってカプセル化されたものであり、認証用データ埋め込み部は、認証用データを該アウターヘッダに埋め込む構成としても良い。また、この場合、アウターヘッダは、IPv6アドレスであり、認証用データ埋め込み部は、IPv6アドレスのインターフェースID部に、認証用データを埋め込む構成としても良い。または、アウターヘッダは、IPv4アドレスであり、認証用データ埋め込み部は、IPv4アドレスのホスト部に、認証用データを埋め込む構成としても良い。このように構成することで、データパケットの送受信には影響を与えることなく、データパケットに認証のためのデータを埋め込むことが可能となり、パケット送受信とは別の認証を備えることなく、セキュリティを確保することが可能となる。
【0013】
また、上記認証用データ埋め込み部は、データパケットの送信元アドレスに認証用データを埋め込み、正当性判断部は、データパケットの送信元アドレスに埋め込まれた認証用データに基づいて、データパケットの送信者の正当性を判断するものであっても良い。または、認証用データ埋め込み部は、データパケットの宛先アドレスに認証用データを埋め込み、正当性判断は、データパケットの宛先アドレスに埋め込まれた認証用データに基づいて、データパケットの受信者の正当性を判断するものであっても良い。
【0014】
また、上記認証システムにおいて、第2の装置は、第1のネットワークと第2のネットワークを接続するものであり、データパケットを、第2のネットワークへ転送するパケット転送部をさらに備え、正当性判断部は、抽出した認証用データと、算出した認証用データとが一致する場合には、データパケットの送信者または受信者は正当であると判断して、該データパケットをパケット転送部へ送信する構成としても良い。これにより、正当であると判断された送信者または受信者によるデータパケットのみを第2のネットワークへと転送することが可能となる。
【0015】
また、第1のネットワークはIPv6対応の地域IPネットワークであり、第2のネットワークはIPv6対応のパブリックネットワークであっても良いし、第1のネットワークはIPv4ネットワークであり、第2のネットワークはIPv6ネットワークであっても良い。
【0016】
また、上記認証システムにおいて、認証用データは、データパケットから求められるチェックサム値、またはデータパケットから求められるハッシュ値であっても良い。また、認証用データは、認証サーバから提供されても良いし、予め第1の装置および第2の装置に記憶されていても良い。
【0017】
さらに、第1の装置はサービス加入者ルータであり、第2の装置はサービス提供ルータであっても良く、第1の装置はサービス提供ルータであり、第2の装置はサービス加入者ルータであっても良い。さらに、第1の装置または第2の装置は、携帯端末装置としても良い。
【0018】
また、本発明により、ネットワークを介して第2の装置と接続される第1の装置であって、データパケットに、認証用データを埋め込む認証用データ埋め込み部と、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信部と、を備えることを特徴とする装置、ならびに、ネットワークを介して第1の装置と接続される第2の装置であって、第1の装置からデータパケットを受信するパケット受信部と、受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする装置が提供される。
【0019】
また、本発明により、第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなるネットワークシステムにおける認証方法であって、第1の装置における、データパケットに認証用データを埋め込む認証用データ埋め込みステップと、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信ステップと、第2の装置における、第1の装置からデータパケットを受信するパケット受信ステップと、受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法が提供される。
【0020】
また、本発明により、ネットワークを介して第2の装置と接続される第1の装置における認証方法であって、データパケットに、認証用データを埋め込む認証用データ埋め込みステップと、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信ステップと、を含むことを特徴とする認証方法、およびネットワークを介して第1の装置と接続される第2の装置における認証方法であって、第1の装置からデータパケットを受信するパケット受信ステップと、受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法が提供される。
【0021】
さらに、本発明により、上記認証方法をコンピュータに実行させるためのプログラムが提供される。
【発明の効果】
【0022】
したがって、本発明によれば、パケットの送受信とは別の認証プロトコルを必要とせずに、容易にパケット毎の送信者および受信者の認証を行なうことが可能な認証システム、認証方法およびプログラムを提供することができる。
【図面の簡単な説明】
【0023】
【図1】本発明の実施形態における認証システムのネットワーク構成の概略を示した図である。
【図2】本発明の実施形態における認証システムのCPEおよびリレールータの概略構成を示す図である。
【図3】本発明の実施形態におけるデータパケットのフォーマットを示す図である。
【発明を実施するための形態】
【0024】
以下、図面を参照して、本発明の実施形態について説明する。
【0025】
図1は、本発明の第1の実施形態に係る認証システムにおけるネットワーク構成の概略を示す図である。図1に示されるように、本発明の認証システムは、ユーザ宅内のPC等である端末1aおよび1bを第1のネットワーク100に接続するためのCPE(Customer Premise Equipment)2aおよび2b、ならびに第1のネットワーク100と第2のネットワーク200を接続するためのリレールータ5からなる。本実施形態において、リレールータ5は、ISPによるインターネット接続サービスを提供するためのサービス提供ルータである。また、CPE2aは、サービス提供ルータから提供されるサービスの加入者宅内に設置されるサービス加入者ルータであり、CPE2bは、サービス提供ルータから提供されるサービスには加入していない、非加入者宅内のルータである。
【0026】
また、本実施形態において、第1のネットワーク100は地域IPネットワーク等のIPv6(Internet Protocol Version 6)対応の第三者IPネットワークであり、第2のネットワーク200はインターネットなどのIPv6対応のパブリックネットワークである。本実施形態においては、リレールータ5によって、端末1aから送信されるデータパケットが第三者IPネットワークである第1のネットワーク100を介してパブリックネットワークである第2のネットワーク200へと転送される。この場合、リレールータ5とCPE2aとの間では「IPv6 over IPv6」と呼ばれるトンネリング技術が用いられる。
【0027】
まず、一般的なIPv6 over IPv6トンネリングにおいて、端末1aから第2のネットワーク200上にあるサーバ6にデータパケットを送信する場合の処理の流れについて、図1を参照して説明する。まず、IPv6 over IPv6トンネリングでは、CPE2aに2つのIPv6アドレスが割り当てられる。一つは、第1のネットワーク100内のDHCPやRASから付与されるIPv6アドレスAD1であり、もう一つはサービス提供者であるISPから割り当てられるIPv6アドレスAD2である。ここで、IPv6アドレスAD1は、第1のネットワーク100内転送用のアドレスであり、第2のネットワーク200においては使用できない。また、IPv6アドレスAD2は、第2のネットワーク200内転送用のアドレスであり、第1のネットワーク100においては使用できない。
【0028】
端末1aでは、第2のネットワーク200上にあるWebサーバ等のサーバ6にデータパケットを送信するため、ISPより割り当てられたIPv6アドレスAD2に基づいてデータパケットが生成され、CPE2aに送られる。そして、CPE2aでは、端末1aから受信したデータパケットのアウターヘッダとして、第1のネットワーク内転送用のIPv6アドレスAD1が付加される。すなわち、端末1aから送信されるデータパケットが、IPv6アドレスAD1によりカプセル化される。ここで、第1のネットワーク100内のDHCPやRASからCPE2aに割り当てられるのは、IPv6アドレスのプレフィックスのみである。そして、CPE2aでは、割り当てられたプレフィックスに含まれるアドレスを自身のアドレスとして使用する。例えば、「2100:100::/48」といったIPv6プレフィックスが割り当てられた場合、CPE2aは、例えば「2100:100::1」を自身のIPv6アドレスAD1として設定し、当該アドレスを用いてデータパケットのカプセル化を行なう。
【0029】
続いて、CPE2aにてカプセル化されたデータパケットは、第1のネットワーク100内を転送されリレールータ5へ送られる。ここで、CPE2aとリレールータ5の間では、第1のネットワーク100内転送用のIPv6アドレスAD1におけるプレフィックスに基づいてルーティングが行なわれる。その後、リレールータ5において、受信したデータパケットのカプセル化が解除され、リレールータ5から第2のネットワーク200上のサーバ6へと転送される。
【0030】
また、第2のネットワーク200上のサーバ6から、端末1aへの応答としてデータパケットが送信された場合、当該データパケットを受信したリレールータ5は、CPE2aと同様に、データパケットを第1のネットワーク100内転送用として用いられるIPv6アドレスAD1にてカプセル化する。そして、カプセル化されたデータパケットは、第1のネットワーク100内を転送されCPE2aへ送られる。この場合も、上記のようにCPE2aとリレールータ5の間は、IPv6アドレスのプレフィックスのみに基づいてルーティングが行なわれるため、「2100:100::/48」に含まれるアドレスを宛先としたデータパケットは全てCPE2aに送信される。
【0031】
CPE2aでは、転送されたデータパケットが自局のアドレス(すなわち「2100:100::1」)のものであるかを判断する。そして、自局宛てのものである場合には、データパケットのカプセル化を解除し、端末1aへと転送する。一方、受信したデータパケットが自局宛てでない場合には、該データパケットを破棄する。このように、本実施形態では、IPv6 over IPv6トンネリングにより、割り当てられたIPv6アドレスのプレフィックスに基づいてパケットの送受信を行なうことで、CPE2aとリレールータ5との間のトンネリングを実現する。すなわち、本実施形態のようなIPv6 over IPv6トンネリングでは、CPE2aとリレールータ5との間では、ユーザIDやパスワードに基づく認証などのネゴシエーションを必要とせず、各サービス加入者(CPE)について個別のステータス管理も行なわない。このようにトンネルのステータス管理が行なわれないトンネルをステートレストンネルという。
【0032】
ここで、IPv6 over IPv6におけるデータパケットのフォーマットは、誰もが容易に知ることができるため、上述のようなステートレストンネルにおいては、悪意のある者によって、リレールータ5から提供されるサービスが不正に利用されることがある。例えば、図1の破線矢印で示されるように、サービス加入者ではない端末1bのユーザが、不正にリレールータ5を利用してサーバ6にデータパケットを送ったり、非加入者ルータであるCPE2bがリレールータ5になりすまして、CPE2aから送られるパケットを不正に受信したりすることが考えられる。このような事態を防ぐため、本実施形態では、サービス提供者側のリレールータ5と加入者側のCPE2aとの間で共通するアルゴリズムに基づいた認証機能を備え、パケット単位での送信者および受信者の認証を行なう構成を備えている。
【0033】
本実施形態におけるパケット単位の認証について、図2および図3を参照して説明する。図2は、本実施形態におけるCPE2aおよびリレールータ5の概略構成を示すブロック図であり、図3は各段階におけるデータパケットのフォーマットを示す図である。尚、図2に示されるCPE2aおよびリレールータ5の各部の処理は、CPE2aおよびリレールータ5が備えるROMなどのメモリ(不図示)に記憶されたプログラムを呼び出すことにより、同じくCPE2aおよびリレールータ5が備えるCPU(不図示)にて実行される構成であっても良いし、各装置にASIC(Application Specific Integrated Circuit)として各部の処理の全部または一部を実装し、該ASICによってハードウェア的に実現される構成としても良い。
【0034】
本実施形態の認証システムでは、送受信されるデータパケット毎に、送信者および/または受信者の認証が行なわれる。この場合の送信者/受信者とは、CPE2aおよびリレールータ5のいずれかまたは両方である。まず、送信者の認証について説明する。図2における実線矢印は、端末1aから第2のネットワーク200上のサーバ6へデータパケットが送信される場合の流れを示す。この場合は、リレールータ5にて、受信したデータパケットの送信者の正当性が判断される。まず、端末1aでは、第2のネットワーク200上のサーバ6を宛先として、図3(a)に示されるデータパケット10aが生成される。データパケット10aは、第2のネットワーク200内転送用のIPv6送信元アドレスおよび宛先アドレスを含むインナーIPv6ヘッダとペイロードからなる。端末1aにおいて生成されたデータパケット10aは、CPE2aへと送信される。
【0035】
CPE2aでは、パケット受信部21にてデータパケット10aを受信する。そして、受信したデータパケット10aは認証用データ埋め込み部22へ送られる。認証用データ埋め込み部22では、まず認証用データ生成部220にて、認証に使用するためのデータが生成される。本実施形態では、認証用データ生成部220において、データパケット10aから求められる16ビットのチェックサム値を認証用データとして生成する。具体的には、データパケット10aの全てを16ビット単位で加算し、総計の下位16ビットの1の補数をチェックサム値とする。通常、チェックサム値は、データパケットのIPヘッダに埋め込まれ、データパケットに含まれるデータの改ざんや破損の有無を確認するために用いられる。これに対し、本実施形態においては、後述するように、データパケットの受信者もしくは送信者が正当であるか否かを判断するために、チェックサム値を認証用データとして用いる。
【0036】
続いて、データパケット10aは、認証用データ生成部220で生成された認証用データとともにカプセル化部225に送られる。カプセル化部225では、データパケット10aに、アウターIPv6ヘッダが付加され、図3(b)に示すデータパケット10bとされる。ここで、上記のように、通常のIPv6 over IPv6では、アウターIPv6ヘッダとして、第1のネットワーク100内転送用のIPv6アドレスAD1が付加される。これに対し、本実施形態では、IPv6アドレスAD1に、認証用データ生成部220にて生成された認証用データを埋め込んだものを、アウターIPv6ヘッダとして使用する。
【0037】
図3(c)は、認証用データが埋め込まれたアウターIPv6ヘッダを示す図である。IPv6アドレスAD1は、各々128ビットの送信元アドレスおよび宛先アドレスを含む。そして、送信元アドレスおよび宛先アドレスの上位64ビットは、ネットワークを表す「プレフィックス」(IPv4の「ネットワーク部」に相当)であり、下位64ビットは端末を表す「インターフェースID」(IPv4の「ホスト部」に相当)である。
【0038】
上記したように、CPE2aにはIPv6アドレスAD1としては、IPv6アドレスのプレフィックスのみが割り当てられ、該プレフィックスに基づいてCPE2aとリレールータ5との間のルーティングが行なわれる。すなわち、IPv6アドレスAD1のインターフェースID部はCPE2aにおいて自由に使用することができる。そこで、本実施形態では、IPv6アドレスAD1の送信元アドレスにおけるインターフェースID部の下位16ビットに、認証用データを埋め込んでアウターIPv6ヘッダとする。ここで、認証用データとして用いるチェックサム値は、全てのビットが0または1になる可能性がある。そのような認証用データをそのまま送信元アドレスの下位16ビットに埋め込むと、アドレスが不正なものとされる可能性があるため、数ビットずらして埋め込むことも可能である。また、チェックサム値は16ビットに限定されるものではなく、送信元アドレスのインターフェースID部に埋め込み可能な、8〜64ビットの間で適宜設定可能である。尚、認証用データ埋め込み部22は、認証用データを生成してからカプセル化を行なうだけでなく、例えば、カプセル化を行なってから認証用データを生成し、認証用データの埋め込みを行なう構成としても良いし、認証用データの生成とカプセル化を並行して行なう構成としても良い。
【0039】
こうして、認証用データ埋め込み部22にて認証用データが埋め込まれたデータパケット10bは、パケット送信部23に送られる。パケット送信部23に送られたデータパケット10bは、その後アウターIPv6ヘッダのプレフィックスに基づいて第1のネットワーク100内をルーティングされ、リレールータ5へと送られる。
【0040】
リレールータ5では、パケット受信部51にてデータパケット10bを受信する。そして、受信したデータパケット10bは、パケット認証部54へ送られる。パケット認証部54では、まず、認証用データ抽出部540にて、受信したデータパケット10bのアウターIPv6ヘッダから、認証用データが抽出される。詳しくは、アウターIPv6ヘッダの送信元アドレスにおけるインターフェースID部の下位16ビットが、認証用データとして抽出される。
【0041】
続いて、データパケット10bからIPv6アウターヘッダが取り外され、データパケット10bのカプセル化が解除される。カプセル解除されたデータパケットは、図3(a)に示すデータパケット10aとなる。そして、カプセル化が解除されたデータパケット10aは、抽出された認証用データと共に正当性判断部545へ送られる。正当性判断部545では、まず、データパケット10aからチェックサム値が計算される。ここでは、CPE2aの認証用データ生成部220と同様に、データパケット10aを16ビット単位で加算し、総計の下位16ビットの1の補数をチェックサム値として求める。ここで、パケット認証部54においても、チェックサム値の計算後に認証用データの抽出が行なわれても良く、さらにチェックサム値の計算と認証用データの抽出とが並行して行なわれても良い。
【0042】
続いて、正当性判断部545は、求めたチェックサム値と、抽出した認証用データが一致するか否かを判断する。そして、求めたチェックサム値と、抽出した認証用データが一致する場合には、当該データパケット10aの送信元は正当であると判断され、データパケット10aがパケット送信部53へと送られる。一方、求めたチェックサム値と、抽出した認証用データが一致しない場合は、当該データパケット10aの送信元は正当ではないと判断され、データパケット10aが破棄される。パケット送信部53は、受信したデータパケット10aを、インナーIPv6ヘッダに基づいて、第2のネットワーク200に転送する。そして、データパケット10aは、第2のネットワーク200をルーティングされ、サーバ6へと送られる。
【0043】
このように、正当な送信者であるサービス加入者ルータ(CPE2a)から送信されるデータパケットには、サービス提供者側のリレールータ5と共通するアルゴリズムにより求めたチェックサム値が認証用データとして送信元アドレスに埋め込まれるため、リレールータ5にて正当な送信者であると判断される。一方、正当な加入者でないCPE2bからリレールータ5にデータパケットが送信された場合には、該データパケットには認証用データが埋め込まれていないため、リレールータ5において、正当な送信者でないと判断され、破棄される。これにより、リレールータ5のパケット送信部53からは、正当な送信者から送信されたデータパケット10aのみが第2のネットワーク200へと転送される。
【0044】
次に受信者の認証について説明する。図2における破線矢印は、第2のネットワーク200上のサーバ6から端末1aへの応答としてデータパケットが送信される際の処理の流れを示す。この場合は、正当な受信者のみが当該データパケットを受信可能とすることによって、受信者の正当性が確認される。まず、サーバ6では、上記端末1aと同様に図3(a)に示すフォーマットを有するデータパケット10aが生成され、第2のネットワーク200を介してリレールータ5へ転送される。リレールータ5では、パケット受信部51にてデータパケット10aを受信する。そして、受信したデータパケット10aを認証用データ埋め込み部52へ送る。認証用データ埋め込み部52では、まず認証用データ生成部520にて、認証に使用するためのデータが生成される。具体的には、認証用データ生成部520では、上記CPE2aの認証用データ生成部220と同様の方法で、データパケット10aから16ビットのチェックサム値が求められ、認証用データとして使用される。
【0045】
続いて、データパケット10aが、認証用データ生成部520で生成された認証用データとともにカプセル化部525に送られる。カプセル化部525では、CPE2aのカプセル化部225と同様に、アウターIPv6ヘッダとして、IPv6アドレスAD1に認証用データ生成部520にて生成された認証用データを埋め込んだものが、データパケット10aに付加される。上述のように、送信者の正当性を確認するために、CPE2aの認証用データ埋め込み部22ではアウターIPv6ヘッダの「送信元アドレス」におけるインターフェースID部の下位16ビットに認証用データが埋め込まれる。これに対し、受信者の正当性を確認するために、認証用データ埋め込み部52では、図3(d)に示されるように、アウターIPv6ヘッダの「宛先アドレス」におけるインターフェースID部の下位16ビットに、認証用データが埋め込まれ、データパケット10cとされる。尚、認証用データ埋め込み部52においても、カプセル化を行なってから認証用データを生成して、認証用データの埋め込みを行なう構成としても良いし、認証用データの生成とカプセル化を並行して行なう構成としても良い。
【0046】
こうして、認証用データ埋め込み部52にて認証用データが埋め込まれたデータパケット10cは、パケット送信部53に送られる。そして、パケット送信部53から第1のネットワーク100を介してCPE2aへ転送される。ここで、通常、IPv6においては、第1のネットワーク100におけるCPE2aの上流側ルータが、アウターIPv6ヘッダの宛先アドレスから、同一セグメント上に存在するノードのアドレスを特定するために、ネイバーディスカバリを行なう。通常であれば、データパケット10cのアウターIPv6ヘッダにおける宛先アドレスを保有するノードの問い合わせが行なわれるが、本実施形態においては、該宛先アドレスのインターフェースID部には、認証用データが埋め込まれている。そのため、該認証用データが埋め込まれた宛先アドレスを持つようなノードは存在せず、ネイバーディスカバリに失敗して、データパケットが正常に転送されなくなる可能性がある。そのため、本実施形態においては、CPE2aにおいてネイバーディスカバリを受信した際には、アウターIPv6ヘッダの宛先アドレスにおけるインターフェースIDのチェックは行なわずに、プレフィックスが一致すれば、該当するネイバーディスカバリに応答するよう構成される。これにより、アウターIPv6ヘッダの宛先アドレスにおけるインターフェースID部に認証用データが埋め込まれたことで、CPE2aが有するIPv6アドレスAD1と異なっていても、ネイバーディスカバリに対して正常に応答することができ、データパケットが正しく転送される。
【0047】
CPE2aに転送されたデータパケット10cは、パケット受信部21にて受信される。そして、パケット受信部21にて受信されたデータパケット10cは、パケット認証部24へ送られる。パケット認証部24では、まず、認証用データ抽出部240にて、受信したデータパケット10cのアウターIPv6ヘッダから、認証用データが抽出される。詳しくは、アウターIPv6ヘッダの宛先アドレスにおけるインターフェースIDの下位16ビットが、認証用データとして抽出される。
【0048】
続いて、データパケット10cからIPv6アウターヘッダが取り外され、データパケット10cのカプセル化が解除される。カプセル化が解除されたデータパケットは、図3(a)に示すデータパケット10aとなる。そして、データパケット10aは、抽出された認証用データと共に正当性判断部245へ送られる。正当性判断部245では、まず、データパケット10aからチェックサム値が計算される。ここでは、リレールータ5の認証用データ生成部520と同様に、データパケット10aを16ビット単位で加算し、総計の下位16ビットの1の補数をチェックサム値として求める。ここで、パケット認証部24においても、チェックサム値の計算後に認証用データの抽出が行なわれても良く、さらにチェックサム値の計算と認証用データの抽出とが並行して行なわれても良い。
【0049】
そして、正当性判断部245において、求めたチェックサム値と、抽出した認証用データが一致するか否かが判断され、求めたチェックサム値と、抽出した認証用データが一致する場合には、当該データパケット10aをパケット送信部23へと送る。一方、求めたチェックサム値と、抽出した認証用データが一致しない場合は、データパケット10aをパケット送信部23へ送ることなく破棄する。そして、パケット送信部23は、受信したデータパケット10aを端末1aへ送信する。
【0050】
このように、正当な受信者であるサービス加入者ルータ(CPE2a)は、サービス提供者側のリレールータ5と共通するアルゴリズムにより、宛先アドレスのインターフェースID部における認証用データに基づいて、データパケットの受信および転送を行なう。これに対し、非加入者であるCPE2b(図1)は、パケット認証部24を備えていない。そのため、リレールータ5からのデータパケットを受信した場合、アウターIPv6ヘッダに認証用データが埋め込まれていることにより、宛先が自局宛てのものでないと判断し、当該パケットを破棄する。このように、正当な加入者でない受信者は、リレールータ5(サービス提供者)からデータパケットを受信することができないようになっており、これにより受信者の正当性の確認が行なわれる。
【0051】
また、CPE2aからリレールータ5へデータパケットを送信する際に、CPE2aの認証用データ埋め込み部22にて、アウターIPv6ヘッダの宛先アドレスに認証用データを埋め込むよう構成しても良い。このように構成することで、非加入者ルータであるCPE2bが、サービス提供ルータ(リレールータ5)になりすまし、CPE2aからのデータパケットを不正に受信しようとした場合も、アウターIPv6ヘッダに認証用データが埋め込まれていることにより、CPE2bにて当該データパケットは自局宛てのものではないと判断され、当該パケットが破棄されるので、不正な受信を防ぐことができる。さらに、リレールータ5からCPE2aへデータパケットを送信する際に、リレールータ5の認証用データ埋め込み部52にて、アウターIPv6ヘッダの送信元アドレスに認証用データを埋め込むよう構成しても良く、さらにCPE2aおよびリレールータ5において、アウターIPv6ヘッダの送信元アドレスおよび宛先アドレスの両方に認証用データを埋め込むよう構成しても良い。
【0052】
このように、本実施形態においては、トンネルのステータスを個別に管理する必要のないステートレストンネルにおいて、送受信されるデータパケットにサービス加入者およびサービス提供者のみが認識できる認証用データ埋め込むことにより、サービス提供者側のリレールータ5と、サービス加入側のCPE2aとの間のセキュリティを確保することが可能となる。また、データパケットのアウターヘッダにおけるインターフェースID部に認証用データを埋め込んで認証を行なうことにより、オーバーヘッドを抑え、パケット転送能力に影響を与えることなく、パケット単位のセキュリティチェックを行うことができる。
【0053】
さらに、従来のようにチェックサム値を用いてデータパケットに含まれるデータの正当性のみが確認される場合には、データ自体が正当なものであれば、不正な受信者または送信者からのデータパケットであっても正当なものとして送受信されてしまう。これに対し、本実施形態においては、送受信されるデータパケットの送信元アドレスまたは宛先アドレス、もしくは両方に認証用データ埋め込むことにより、受信者および送信者の正当性を確認し、不正な受信者および送信者からのデータパケットの送受信を防ぐことができる。
【0054】
また、一般的にリレールータ5から第2のネットワーク200へデータパケットを送信する際には、インターネットエクスチェンジと呼ばれる有料のインターネットの相互接続サービスが利用される。このインターネットエクスチェンジサービスでは、トラフィック(通信量)に応じた従量課金制が採用されているものある。このような場合、本実施形態のような認証システムを備えることで、正当な加入者から送信されるデータパケットのみをリレールータ5から第2のネットワーク200へ送信することができ、不正な利用者のデータパケットの送信により発生するコストを削減することが可能となり、結果としてユーザが負担するパケット通信料を削減することができる。
【0055】
以上が本発明の実施形態であるが、本発明はこれらの実施形態に限定されるものではなく様々な範囲で変形が可能である。例えば、上記実施形態は、CPE2aとリレールータ5との間でIPv6 over IPv6トンネリングを用いた場合について説明したが、本発明は、様々なトンネリング技術が用いられるリレールータ5とCPE2aとの間の認証に適用可能である。例えば、図1において、端末1aのある加入者宅内とアクセス先のサーバ6などがある第2のネットワーク200はIPv6に対応しているが、第1のネットワーク100はIPv4(Internet Protocol Version 4)に対応している場合には、IPv4ネットワークを経由してIPv6の通信を行う「IPv6 over IPv4」と呼ばれるトンネリング技術が用いられる。
【0056】
このIPv6 over IPv4では、端末1aにおいて生成されるIPv6データパケットが、CPE2aにおいてIPv4パケットのヘッダによってカプセル化される。このようにIPv6データパケットをIPv4ヘッダでカプセル化することにより、IPv4ネットワークである第1のネットワーク100ではルーティングできないIPv6パケットをIPv4パケットとして取り扱うことが可能となる。また、このIPv6 over IPv4トンネリング技術の一つとして、6rd(IPv6 rapid deployment)と呼ばれる技術が開発されている。
【0057】
6rdでは、まず、サービス提供者から、リレールータ5に、IPv6アドレスのプレフィックスを割り当てておく。そして、CPE2aには、第1のネットワーク100上のDHCPから、IPv4アドレスが自動的に割り当てられる。この時、リレールータ5のIPv6プレフィックスについても、一緒にCPE2aに通知される。そして、CPE2aでは、通知されたIPv6プレフィックスとIPv4アドレスを組み合わせることで、IPv6アドレスを構成し、端末1aのIPv6アドレスは、CPE2aにて生成されたIPv6アドレスに基づいて割り当てられる。そして、端末1aから第2のネットワーク200へデータパケットが送信される際には、端末1aで生成されるIPv6データパケットに、CPE2aにてアウターIPv4ヘッダが付加され、リレールータ5へと転送される。また、CPE2aとリレールータ5の間は、リレールータ5に割り当てられたIPv6プレフィックスに基づくアウターIPv4ヘッダによってルーティングが行なわれる。このように、6rdにおけるトンネルも、CPE2aとリレールータ5との間においてユーザIDやパスワードの認証は行なわず、また各トンネルでの個別のステータス管理も行なわれない、ステートレストンネルである。
【0058】
このような6rdを含むIPv6 over IPv4トンネリングに本発明の認証システムを適用する場合には、CPE2aまたはリレールータ5の認証用データ埋め込み部22または52において、アウターIPv4ヘッダの送信元アドレスおよび/または宛先アドレスのホスト部(IPv6の「インターフェースID部」に相当)に認証用データを埋め込めば良い。ただし、IPv4ヘッダの送信元アドレスおよび宛先アドレスのホスト部は32ビットしかないため、認証用データのビット数は32ビット以下で適宜設定される。そして、CPE2aまたはリレールータ5のパケット認証部24または54において、アウターIPv4ヘッダのホスト部に埋め込まれた認証用データに基づいて、送信者/受信者の正当性が判断される。
【0059】
さらに、IPv4 over IPv6や、IPv4 over IPv4など、その他のステートレストンネにおいても、本発明を適用することが可能である。これらの場合も、それぞれ、アウターIPv6ヘッダ(IPv4 over IPv6の場合)またはアウターIPv4ヘッダ(IPv4 over IPv4の場合)の送信元アドレスおよび/または宛先アドレスのインターフェースID部またはホスト部に認証用データが埋め込まれ、当該認証用データに基づいて、送信者/受信者の正当性が確認される。
【0060】
また、上記実施形態においては、認証用データとして、データパケットのチェックサム値を用いる構成としたが、本発明はこれに限定されるものではなく、データパケットを元に抽出できる様々な値を認証用データとして用いることが可能である。例えば、CPE2aとリレールータ5にて共通するハッシュ関数を用いて、データパケットよりハッシュ値を求め、該ハッシュ値を認証用データとして用いても良い。さらに、データパケットに基づいて算出されたシグネチャや、その他の暗号化技術によって求められた暗号化データを認証用データとして用いることも可能である。
【0061】
さらに、第1のネットワーク100に認証サーバを備え、該認証サーバからCPE2aおよびリレールータ5に対して、認証用データとして用いるためのハッシュキーなどの認証キーを提供するよう構成することや、サービス提供者からサービス加入者にルータを提供する際に、予め当該ルータに所定の認証キーを記憶させておくことも可能である。この場合は、認証用データ埋め込み部22および52の認証用データ生成部220および520にて、認証サーバから提供される、または予め記憶される認証キーを読み出すだけで良く、認証用データを生成する必要はない。また、パケット認証部24および54における正当性判断部245および545においても、認証用データの算出は不要であり、認証キーを読み出して、抽出した認証データと比較すれば良い。
【0062】
また、上記実施形態においては、全てのパケットに対して、認証用データの埋め込みおよび判定を行なう構成としたが、これに限定されるものではなく、一度認証を行なった結果や、正当性が確認されたデータパケットの送信元情報を保持しておき、その後は認証処理を行なわずにデータパケットを転送することも可能である。また、上記実施形態においては、トンネリング技術においてカプセル化されるデータパケットのアウターヘッダへ認証用データを埋め込む構成としたが、本発明はこれに限定されるものではない。例えば、トンネリング技術が採用されない(カプセル化されない)データパケットの宛先アドレス/送信元アドレス、またはカプセル化されるデータパケットのインナーヘッダにおける宛先アドレス/送信元アドレスに認証用データを埋め込む構成としても、上記実施形態と同様に、パケット単位の送信者/受信者の正当性を確認することができる。また、リレールータ5またはCPE2aにおいて、正当性判断部で正当な送信元からのデータパケットではないと判断され、破棄されたデータパケットのログを保存しておくことも有効である。このようにログを保存しておくことにより、該ログに基づいて不正な利用者を特定することが可能となる。
【0063】
さらに、上記実施形態においては、サービス加入者ルータのCPE2aにて、送信パケットへの認証用データの埋め込み、および受信パケットの認証を行なう構成としたが、端末1aにて認証用データの埋め込み、および受信パケットの認証を行なう構成としてもよく、またCPE2aは、中継機能を備える携帯端末であっても良い。
【符号の説明】
【0064】
1a、1b 端末
2a、2b CPE
5 リレールータ
6 サーバ
21、51 パケット受信部
22、52 認証用データ埋め込み部
220、520 認証用データ生成部
225、525 カプセル化部
23、53 パケット送信部
24、54 パケット認証部
240、540 認証用データ抽出部
245、545 正当性判断部
100 第1のネットワーク
200 第2のネットワーク
【技術分野】
【0001】
本発明は、ネットワーク上で送受信されるパケットの認証システム、認証方法、およびプログラムに関する。
【背景技術】
【0002】
通常、ユーザが個人宅内の端末を用いてインターネットを利用するためには、ISP(Internet Service Provider)などのネットワークサービス提供者によって提供されるインターネット接続サービスに加入する必要がある。ユーザは、このようなサービスに加入することにより、電子メールアカウントの提供や、ポータルサイトからのコンテンツの提供など、サービス提供者による様々なサービスを利用することができる。このようなサービスの提供にあたり、サービス加入者以外の者によるサービスの不正利用や、サービス提供者へのなりすましなどを防ぐために、サービス提供者とサービス加入者との間でセキュリティを確保するための認証が必要となる。
【0003】
この場合の認証方法としては、PPP(Point to Point Protocol)におけるユーザIDおよびパスワードを用いたPAPやCHAPなどの認証プロトコルが良く知られている。これは、サービス加入者の端末からサービス提供者に対して接続要求を行なう際に、サービス提供者側のルータとサービス加入者側の端末との間でユーザIDおよびパスワードがやり取りされ、正当な加入者であるか否かなどが確認される。そして、正当な加入者であることが確認された場合には、サービス提供ルータから当該サービス加入者端末へサービスの提供が開始される。また、PPPでは、各加入者の認証結果や、次に認証を行なうタイミング等のステータスを保持することにより、ユーザ毎の接続状況が管理されている。さらに、PPPの機能をイーサネット(登録商標)上で利用するためにPPPoe(PPP over Ethernet(登録商標))と呼ばれる通信プロトコルも知られている。PPPoeでは、PPPをカプセル化して、サービス提供ルータと当該サービス加入者端末との間にトンネルを確立する。また、PPPoeでは、トンネルのセットアップの際に、PPPの認証プロトコルを用いた認証が行なわれ、各トンネルにおける認証結果などステータスが管理される。
【0004】
また、特許文献1には、データパケットの送信元アドレスのなりすましを防ぐための認証方法が記載されている。特許文献1の認証システムでは、移動ステーションから仮想接続の確立のために送信されるパケットデータアドレスが、予めゲートウェイノードにおいて記憶される。その後、ゲートウェイノードにて、移動ステーションからデータパケットを受信すると、該受信したデータパケットにおける送信元アドレスと、記憶されたパケットデータアドレスとが比較され、送信元アドレスが正当であるか否かが判断される。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−259507号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ここで、特許文献1のシステムや一般的なPPPまたはPPPoeにおける認証システムでは、実際のパケットの送受信とは別に、認証のための装置間でのやり取りが必要となり、仕組みが複雑であるとともに、認証が完了するまではデータパケットの疎通を行なうことができない。また、PPPやPPPoeでは、各加入者(トンネル)におけるステータスを個別に管理する必要があるため、特に加入者の数が多い場合には、ステータス管理のために必要とされる処理能力も膨大となり、スケーラビリティが問題となる。
【0007】
さらに、上記のような従来の認証システムでは、認証が行なわれた後、一定時間の間はその認証を有効とする場合が多い。そのため、一旦認証された加入者に関しては、その後なりすまし等の不正な利用があった場合も、一定時間の間は正当な加入者として処理が行なわれてしまう。とはいえ、パケットの送受信毎に、毎回ユーザIDやパスワードなどの認証処理を別途行なう場合には、処理のオーバーヘッドが大きくなり、パケット転送能力に影響を与えることになる。さらに、特許文献1の認証システムの場合には、ゲートウェイノードにおいて、認証のためにパケットデータアドレスをあらかじめ記憶するためのデータベース等を備える必要がある。
【0008】
本発明は上記の事情に鑑みてなされたものであり、パケットの送受信とは別の認証プロトコルを必要とせず、且つ、パケット転送能力に影響を与えることなく、パケット単位で該パケットの送信者および受信者の認証を行なうことが可能な認証システム、該認証方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記の課題を解決するため、本発明により、第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなる認証システムであって、第1の装置は、データパケットに認証用データを埋め込む認証用データ埋め込み部と、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信部と、を備え、第2の装置は、第1の装置からデータパケットを受信するパケット受信部と、受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、抽出した認証用データに基づいて、データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする認証システムが提供される。
【0010】
このように構成することにより、パケットの送受信とは別の認証プロトコルを備えることなく、送受信されるデータパケットに埋め込まれた認証用データに基づいて、パケット単位で送信者または受信者の認証が可能になる。これにより、第1の装置および第2の装置間のデータパケット通信におけるセキュリティを確保することができる。
【0011】
また、上記認証システムにおいて、第2の装置の正当性判断部は、データパケットに基づいて認証用データを算出し、認証用データ抽出部において抽出した認証用データと、算出した認証用データとを比較して、該データパケットの送信者または受信者の正当性を判断するよう構成しても良い。さらに、正当性判断部は、抽出した認証用データと、算出した認証用データとが一致しない場合には、該データパケットの送信者または受信者は正当でないと判断して、該データパケットを破棄する構成としても良い。
【0012】
また、上記データパケットは、アウターヘッダによってカプセル化されたものであり、認証用データ埋め込み部は、認証用データを該アウターヘッダに埋め込む構成としても良い。また、この場合、アウターヘッダは、IPv6アドレスであり、認証用データ埋め込み部は、IPv6アドレスのインターフェースID部に、認証用データを埋め込む構成としても良い。または、アウターヘッダは、IPv4アドレスであり、認証用データ埋め込み部は、IPv4アドレスのホスト部に、認証用データを埋め込む構成としても良い。このように構成することで、データパケットの送受信には影響を与えることなく、データパケットに認証のためのデータを埋め込むことが可能となり、パケット送受信とは別の認証を備えることなく、セキュリティを確保することが可能となる。
【0013】
また、上記認証用データ埋め込み部は、データパケットの送信元アドレスに認証用データを埋め込み、正当性判断部は、データパケットの送信元アドレスに埋め込まれた認証用データに基づいて、データパケットの送信者の正当性を判断するものであっても良い。または、認証用データ埋め込み部は、データパケットの宛先アドレスに認証用データを埋め込み、正当性判断は、データパケットの宛先アドレスに埋め込まれた認証用データに基づいて、データパケットの受信者の正当性を判断するものであっても良い。
【0014】
また、上記認証システムにおいて、第2の装置は、第1のネットワークと第2のネットワークを接続するものであり、データパケットを、第2のネットワークへ転送するパケット転送部をさらに備え、正当性判断部は、抽出した認証用データと、算出した認証用データとが一致する場合には、データパケットの送信者または受信者は正当であると判断して、該データパケットをパケット転送部へ送信する構成としても良い。これにより、正当であると判断された送信者または受信者によるデータパケットのみを第2のネットワークへと転送することが可能となる。
【0015】
また、第1のネットワークはIPv6対応の地域IPネットワークであり、第2のネットワークはIPv6対応のパブリックネットワークであっても良いし、第1のネットワークはIPv4ネットワークであり、第2のネットワークはIPv6ネットワークであっても良い。
【0016】
また、上記認証システムにおいて、認証用データは、データパケットから求められるチェックサム値、またはデータパケットから求められるハッシュ値であっても良い。また、認証用データは、認証サーバから提供されても良いし、予め第1の装置および第2の装置に記憶されていても良い。
【0017】
さらに、第1の装置はサービス加入者ルータであり、第2の装置はサービス提供ルータであっても良く、第1の装置はサービス提供ルータであり、第2の装置はサービス加入者ルータであっても良い。さらに、第1の装置または第2の装置は、携帯端末装置としても良い。
【0018】
また、本発明により、ネットワークを介して第2の装置と接続される第1の装置であって、データパケットに、認証用データを埋め込む認証用データ埋め込み部と、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信部と、を備えることを特徴とする装置、ならびに、ネットワークを介して第1の装置と接続される第2の装置であって、第1の装置からデータパケットを受信するパケット受信部と、受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする装置が提供される。
【0019】
また、本発明により、第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなるネットワークシステムにおける認証方法であって、第1の装置における、データパケットに認証用データを埋め込む認証用データ埋め込みステップと、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信ステップと、第2の装置における、第1の装置からデータパケットを受信するパケット受信ステップと、受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法が提供される。
【0020】
また、本発明により、ネットワークを介して第2の装置と接続される第1の装置における認証方法であって、データパケットに、認証用データを埋め込む認証用データ埋め込みステップと、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信ステップと、を含むことを特徴とする認証方法、およびネットワークを介して第1の装置と接続される第2の装置における認証方法であって、第1の装置からデータパケットを受信するパケット受信ステップと、受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法が提供される。
【0021】
さらに、本発明により、上記認証方法をコンピュータに実行させるためのプログラムが提供される。
【発明の効果】
【0022】
したがって、本発明によれば、パケットの送受信とは別の認証プロトコルを必要とせずに、容易にパケット毎の送信者および受信者の認証を行なうことが可能な認証システム、認証方法およびプログラムを提供することができる。
【図面の簡単な説明】
【0023】
【図1】本発明の実施形態における認証システムのネットワーク構成の概略を示した図である。
【図2】本発明の実施形態における認証システムのCPEおよびリレールータの概略構成を示す図である。
【図3】本発明の実施形態におけるデータパケットのフォーマットを示す図である。
【発明を実施するための形態】
【0024】
以下、図面を参照して、本発明の実施形態について説明する。
【0025】
図1は、本発明の第1の実施形態に係る認証システムにおけるネットワーク構成の概略を示す図である。図1に示されるように、本発明の認証システムは、ユーザ宅内のPC等である端末1aおよび1bを第1のネットワーク100に接続するためのCPE(Customer Premise Equipment)2aおよび2b、ならびに第1のネットワーク100と第2のネットワーク200を接続するためのリレールータ5からなる。本実施形態において、リレールータ5は、ISPによるインターネット接続サービスを提供するためのサービス提供ルータである。また、CPE2aは、サービス提供ルータから提供されるサービスの加入者宅内に設置されるサービス加入者ルータであり、CPE2bは、サービス提供ルータから提供されるサービスには加入していない、非加入者宅内のルータである。
【0026】
また、本実施形態において、第1のネットワーク100は地域IPネットワーク等のIPv6(Internet Protocol Version 6)対応の第三者IPネットワークであり、第2のネットワーク200はインターネットなどのIPv6対応のパブリックネットワークである。本実施形態においては、リレールータ5によって、端末1aから送信されるデータパケットが第三者IPネットワークである第1のネットワーク100を介してパブリックネットワークである第2のネットワーク200へと転送される。この場合、リレールータ5とCPE2aとの間では「IPv6 over IPv6」と呼ばれるトンネリング技術が用いられる。
【0027】
まず、一般的なIPv6 over IPv6トンネリングにおいて、端末1aから第2のネットワーク200上にあるサーバ6にデータパケットを送信する場合の処理の流れについて、図1を参照して説明する。まず、IPv6 over IPv6トンネリングでは、CPE2aに2つのIPv6アドレスが割り当てられる。一つは、第1のネットワーク100内のDHCPやRASから付与されるIPv6アドレスAD1であり、もう一つはサービス提供者であるISPから割り当てられるIPv6アドレスAD2である。ここで、IPv6アドレスAD1は、第1のネットワーク100内転送用のアドレスであり、第2のネットワーク200においては使用できない。また、IPv6アドレスAD2は、第2のネットワーク200内転送用のアドレスであり、第1のネットワーク100においては使用できない。
【0028】
端末1aでは、第2のネットワーク200上にあるWebサーバ等のサーバ6にデータパケットを送信するため、ISPより割り当てられたIPv6アドレスAD2に基づいてデータパケットが生成され、CPE2aに送られる。そして、CPE2aでは、端末1aから受信したデータパケットのアウターヘッダとして、第1のネットワーク内転送用のIPv6アドレスAD1が付加される。すなわち、端末1aから送信されるデータパケットが、IPv6アドレスAD1によりカプセル化される。ここで、第1のネットワーク100内のDHCPやRASからCPE2aに割り当てられるのは、IPv6アドレスのプレフィックスのみである。そして、CPE2aでは、割り当てられたプレフィックスに含まれるアドレスを自身のアドレスとして使用する。例えば、「2100:100::/48」といったIPv6プレフィックスが割り当てられた場合、CPE2aは、例えば「2100:100::1」を自身のIPv6アドレスAD1として設定し、当該アドレスを用いてデータパケットのカプセル化を行なう。
【0029】
続いて、CPE2aにてカプセル化されたデータパケットは、第1のネットワーク100内を転送されリレールータ5へ送られる。ここで、CPE2aとリレールータ5の間では、第1のネットワーク100内転送用のIPv6アドレスAD1におけるプレフィックスに基づいてルーティングが行なわれる。その後、リレールータ5において、受信したデータパケットのカプセル化が解除され、リレールータ5から第2のネットワーク200上のサーバ6へと転送される。
【0030】
また、第2のネットワーク200上のサーバ6から、端末1aへの応答としてデータパケットが送信された場合、当該データパケットを受信したリレールータ5は、CPE2aと同様に、データパケットを第1のネットワーク100内転送用として用いられるIPv6アドレスAD1にてカプセル化する。そして、カプセル化されたデータパケットは、第1のネットワーク100内を転送されCPE2aへ送られる。この場合も、上記のようにCPE2aとリレールータ5の間は、IPv6アドレスのプレフィックスのみに基づいてルーティングが行なわれるため、「2100:100::/48」に含まれるアドレスを宛先としたデータパケットは全てCPE2aに送信される。
【0031】
CPE2aでは、転送されたデータパケットが自局のアドレス(すなわち「2100:100::1」)のものであるかを判断する。そして、自局宛てのものである場合には、データパケットのカプセル化を解除し、端末1aへと転送する。一方、受信したデータパケットが自局宛てでない場合には、該データパケットを破棄する。このように、本実施形態では、IPv6 over IPv6トンネリングにより、割り当てられたIPv6アドレスのプレフィックスに基づいてパケットの送受信を行なうことで、CPE2aとリレールータ5との間のトンネリングを実現する。すなわち、本実施形態のようなIPv6 over IPv6トンネリングでは、CPE2aとリレールータ5との間では、ユーザIDやパスワードに基づく認証などのネゴシエーションを必要とせず、各サービス加入者(CPE)について個別のステータス管理も行なわない。このようにトンネルのステータス管理が行なわれないトンネルをステートレストンネルという。
【0032】
ここで、IPv6 over IPv6におけるデータパケットのフォーマットは、誰もが容易に知ることができるため、上述のようなステートレストンネルにおいては、悪意のある者によって、リレールータ5から提供されるサービスが不正に利用されることがある。例えば、図1の破線矢印で示されるように、サービス加入者ではない端末1bのユーザが、不正にリレールータ5を利用してサーバ6にデータパケットを送ったり、非加入者ルータであるCPE2bがリレールータ5になりすまして、CPE2aから送られるパケットを不正に受信したりすることが考えられる。このような事態を防ぐため、本実施形態では、サービス提供者側のリレールータ5と加入者側のCPE2aとの間で共通するアルゴリズムに基づいた認証機能を備え、パケット単位での送信者および受信者の認証を行なう構成を備えている。
【0033】
本実施形態におけるパケット単位の認証について、図2および図3を参照して説明する。図2は、本実施形態におけるCPE2aおよびリレールータ5の概略構成を示すブロック図であり、図3は各段階におけるデータパケットのフォーマットを示す図である。尚、図2に示されるCPE2aおよびリレールータ5の各部の処理は、CPE2aおよびリレールータ5が備えるROMなどのメモリ(不図示)に記憶されたプログラムを呼び出すことにより、同じくCPE2aおよびリレールータ5が備えるCPU(不図示)にて実行される構成であっても良いし、各装置にASIC(Application Specific Integrated Circuit)として各部の処理の全部または一部を実装し、該ASICによってハードウェア的に実現される構成としても良い。
【0034】
本実施形態の認証システムでは、送受信されるデータパケット毎に、送信者および/または受信者の認証が行なわれる。この場合の送信者/受信者とは、CPE2aおよびリレールータ5のいずれかまたは両方である。まず、送信者の認証について説明する。図2における実線矢印は、端末1aから第2のネットワーク200上のサーバ6へデータパケットが送信される場合の流れを示す。この場合は、リレールータ5にて、受信したデータパケットの送信者の正当性が判断される。まず、端末1aでは、第2のネットワーク200上のサーバ6を宛先として、図3(a)に示されるデータパケット10aが生成される。データパケット10aは、第2のネットワーク200内転送用のIPv6送信元アドレスおよび宛先アドレスを含むインナーIPv6ヘッダとペイロードからなる。端末1aにおいて生成されたデータパケット10aは、CPE2aへと送信される。
【0035】
CPE2aでは、パケット受信部21にてデータパケット10aを受信する。そして、受信したデータパケット10aは認証用データ埋め込み部22へ送られる。認証用データ埋め込み部22では、まず認証用データ生成部220にて、認証に使用するためのデータが生成される。本実施形態では、認証用データ生成部220において、データパケット10aから求められる16ビットのチェックサム値を認証用データとして生成する。具体的には、データパケット10aの全てを16ビット単位で加算し、総計の下位16ビットの1の補数をチェックサム値とする。通常、チェックサム値は、データパケットのIPヘッダに埋め込まれ、データパケットに含まれるデータの改ざんや破損の有無を確認するために用いられる。これに対し、本実施形態においては、後述するように、データパケットの受信者もしくは送信者が正当であるか否かを判断するために、チェックサム値を認証用データとして用いる。
【0036】
続いて、データパケット10aは、認証用データ生成部220で生成された認証用データとともにカプセル化部225に送られる。カプセル化部225では、データパケット10aに、アウターIPv6ヘッダが付加され、図3(b)に示すデータパケット10bとされる。ここで、上記のように、通常のIPv6 over IPv6では、アウターIPv6ヘッダとして、第1のネットワーク100内転送用のIPv6アドレスAD1が付加される。これに対し、本実施形態では、IPv6アドレスAD1に、認証用データ生成部220にて生成された認証用データを埋め込んだものを、アウターIPv6ヘッダとして使用する。
【0037】
図3(c)は、認証用データが埋め込まれたアウターIPv6ヘッダを示す図である。IPv6アドレスAD1は、各々128ビットの送信元アドレスおよび宛先アドレスを含む。そして、送信元アドレスおよび宛先アドレスの上位64ビットは、ネットワークを表す「プレフィックス」(IPv4の「ネットワーク部」に相当)であり、下位64ビットは端末を表す「インターフェースID」(IPv4の「ホスト部」に相当)である。
【0038】
上記したように、CPE2aにはIPv6アドレスAD1としては、IPv6アドレスのプレフィックスのみが割り当てられ、該プレフィックスに基づいてCPE2aとリレールータ5との間のルーティングが行なわれる。すなわち、IPv6アドレスAD1のインターフェースID部はCPE2aにおいて自由に使用することができる。そこで、本実施形態では、IPv6アドレスAD1の送信元アドレスにおけるインターフェースID部の下位16ビットに、認証用データを埋め込んでアウターIPv6ヘッダとする。ここで、認証用データとして用いるチェックサム値は、全てのビットが0または1になる可能性がある。そのような認証用データをそのまま送信元アドレスの下位16ビットに埋め込むと、アドレスが不正なものとされる可能性があるため、数ビットずらして埋め込むことも可能である。また、チェックサム値は16ビットに限定されるものではなく、送信元アドレスのインターフェースID部に埋め込み可能な、8〜64ビットの間で適宜設定可能である。尚、認証用データ埋め込み部22は、認証用データを生成してからカプセル化を行なうだけでなく、例えば、カプセル化を行なってから認証用データを生成し、認証用データの埋め込みを行なう構成としても良いし、認証用データの生成とカプセル化を並行して行なう構成としても良い。
【0039】
こうして、認証用データ埋め込み部22にて認証用データが埋め込まれたデータパケット10bは、パケット送信部23に送られる。パケット送信部23に送られたデータパケット10bは、その後アウターIPv6ヘッダのプレフィックスに基づいて第1のネットワーク100内をルーティングされ、リレールータ5へと送られる。
【0040】
リレールータ5では、パケット受信部51にてデータパケット10bを受信する。そして、受信したデータパケット10bは、パケット認証部54へ送られる。パケット認証部54では、まず、認証用データ抽出部540にて、受信したデータパケット10bのアウターIPv6ヘッダから、認証用データが抽出される。詳しくは、アウターIPv6ヘッダの送信元アドレスにおけるインターフェースID部の下位16ビットが、認証用データとして抽出される。
【0041】
続いて、データパケット10bからIPv6アウターヘッダが取り外され、データパケット10bのカプセル化が解除される。カプセル解除されたデータパケットは、図3(a)に示すデータパケット10aとなる。そして、カプセル化が解除されたデータパケット10aは、抽出された認証用データと共に正当性判断部545へ送られる。正当性判断部545では、まず、データパケット10aからチェックサム値が計算される。ここでは、CPE2aの認証用データ生成部220と同様に、データパケット10aを16ビット単位で加算し、総計の下位16ビットの1の補数をチェックサム値として求める。ここで、パケット認証部54においても、チェックサム値の計算後に認証用データの抽出が行なわれても良く、さらにチェックサム値の計算と認証用データの抽出とが並行して行なわれても良い。
【0042】
続いて、正当性判断部545は、求めたチェックサム値と、抽出した認証用データが一致するか否かを判断する。そして、求めたチェックサム値と、抽出した認証用データが一致する場合には、当該データパケット10aの送信元は正当であると判断され、データパケット10aがパケット送信部53へと送られる。一方、求めたチェックサム値と、抽出した認証用データが一致しない場合は、当該データパケット10aの送信元は正当ではないと判断され、データパケット10aが破棄される。パケット送信部53は、受信したデータパケット10aを、インナーIPv6ヘッダに基づいて、第2のネットワーク200に転送する。そして、データパケット10aは、第2のネットワーク200をルーティングされ、サーバ6へと送られる。
【0043】
このように、正当な送信者であるサービス加入者ルータ(CPE2a)から送信されるデータパケットには、サービス提供者側のリレールータ5と共通するアルゴリズムにより求めたチェックサム値が認証用データとして送信元アドレスに埋め込まれるため、リレールータ5にて正当な送信者であると判断される。一方、正当な加入者でないCPE2bからリレールータ5にデータパケットが送信された場合には、該データパケットには認証用データが埋め込まれていないため、リレールータ5において、正当な送信者でないと判断され、破棄される。これにより、リレールータ5のパケット送信部53からは、正当な送信者から送信されたデータパケット10aのみが第2のネットワーク200へと転送される。
【0044】
次に受信者の認証について説明する。図2における破線矢印は、第2のネットワーク200上のサーバ6から端末1aへの応答としてデータパケットが送信される際の処理の流れを示す。この場合は、正当な受信者のみが当該データパケットを受信可能とすることによって、受信者の正当性が確認される。まず、サーバ6では、上記端末1aと同様に図3(a)に示すフォーマットを有するデータパケット10aが生成され、第2のネットワーク200を介してリレールータ5へ転送される。リレールータ5では、パケット受信部51にてデータパケット10aを受信する。そして、受信したデータパケット10aを認証用データ埋め込み部52へ送る。認証用データ埋め込み部52では、まず認証用データ生成部520にて、認証に使用するためのデータが生成される。具体的には、認証用データ生成部520では、上記CPE2aの認証用データ生成部220と同様の方法で、データパケット10aから16ビットのチェックサム値が求められ、認証用データとして使用される。
【0045】
続いて、データパケット10aが、認証用データ生成部520で生成された認証用データとともにカプセル化部525に送られる。カプセル化部525では、CPE2aのカプセル化部225と同様に、アウターIPv6ヘッダとして、IPv6アドレスAD1に認証用データ生成部520にて生成された認証用データを埋め込んだものが、データパケット10aに付加される。上述のように、送信者の正当性を確認するために、CPE2aの認証用データ埋め込み部22ではアウターIPv6ヘッダの「送信元アドレス」におけるインターフェースID部の下位16ビットに認証用データが埋め込まれる。これに対し、受信者の正当性を確認するために、認証用データ埋め込み部52では、図3(d)に示されるように、アウターIPv6ヘッダの「宛先アドレス」におけるインターフェースID部の下位16ビットに、認証用データが埋め込まれ、データパケット10cとされる。尚、認証用データ埋め込み部52においても、カプセル化を行なってから認証用データを生成して、認証用データの埋め込みを行なう構成としても良いし、認証用データの生成とカプセル化を並行して行なう構成としても良い。
【0046】
こうして、認証用データ埋め込み部52にて認証用データが埋め込まれたデータパケット10cは、パケット送信部53に送られる。そして、パケット送信部53から第1のネットワーク100を介してCPE2aへ転送される。ここで、通常、IPv6においては、第1のネットワーク100におけるCPE2aの上流側ルータが、アウターIPv6ヘッダの宛先アドレスから、同一セグメント上に存在するノードのアドレスを特定するために、ネイバーディスカバリを行なう。通常であれば、データパケット10cのアウターIPv6ヘッダにおける宛先アドレスを保有するノードの問い合わせが行なわれるが、本実施形態においては、該宛先アドレスのインターフェースID部には、認証用データが埋め込まれている。そのため、該認証用データが埋め込まれた宛先アドレスを持つようなノードは存在せず、ネイバーディスカバリに失敗して、データパケットが正常に転送されなくなる可能性がある。そのため、本実施形態においては、CPE2aにおいてネイバーディスカバリを受信した際には、アウターIPv6ヘッダの宛先アドレスにおけるインターフェースIDのチェックは行なわずに、プレフィックスが一致すれば、該当するネイバーディスカバリに応答するよう構成される。これにより、アウターIPv6ヘッダの宛先アドレスにおけるインターフェースID部に認証用データが埋め込まれたことで、CPE2aが有するIPv6アドレスAD1と異なっていても、ネイバーディスカバリに対して正常に応答することができ、データパケットが正しく転送される。
【0047】
CPE2aに転送されたデータパケット10cは、パケット受信部21にて受信される。そして、パケット受信部21にて受信されたデータパケット10cは、パケット認証部24へ送られる。パケット認証部24では、まず、認証用データ抽出部240にて、受信したデータパケット10cのアウターIPv6ヘッダから、認証用データが抽出される。詳しくは、アウターIPv6ヘッダの宛先アドレスにおけるインターフェースIDの下位16ビットが、認証用データとして抽出される。
【0048】
続いて、データパケット10cからIPv6アウターヘッダが取り外され、データパケット10cのカプセル化が解除される。カプセル化が解除されたデータパケットは、図3(a)に示すデータパケット10aとなる。そして、データパケット10aは、抽出された認証用データと共に正当性判断部245へ送られる。正当性判断部245では、まず、データパケット10aからチェックサム値が計算される。ここでは、リレールータ5の認証用データ生成部520と同様に、データパケット10aを16ビット単位で加算し、総計の下位16ビットの1の補数をチェックサム値として求める。ここで、パケット認証部24においても、チェックサム値の計算後に認証用データの抽出が行なわれても良く、さらにチェックサム値の計算と認証用データの抽出とが並行して行なわれても良い。
【0049】
そして、正当性判断部245において、求めたチェックサム値と、抽出した認証用データが一致するか否かが判断され、求めたチェックサム値と、抽出した認証用データが一致する場合には、当該データパケット10aをパケット送信部23へと送る。一方、求めたチェックサム値と、抽出した認証用データが一致しない場合は、データパケット10aをパケット送信部23へ送ることなく破棄する。そして、パケット送信部23は、受信したデータパケット10aを端末1aへ送信する。
【0050】
このように、正当な受信者であるサービス加入者ルータ(CPE2a)は、サービス提供者側のリレールータ5と共通するアルゴリズムにより、宛先アドレスのインターフェースID部における認証用データに基づいて、データパケットの受信および転送を行なう。これに対し、非加入者であるCPE2b(図1)は、パケット認証部24を備えていない。そのため、リレールータ5からのデータパケットを受信した場合、アウターIPv6ヘッダに認証用データが埋め込まれていることにより、宛先が自局宛てのものでないと判断し、当該パケットを破棄する。このように、正当な加入者でない受信者は、リレールータ5(サービス提供者)からデータパケットを受信することができないようになっており、これにより受信者の正当性の確認が行なわれる。
【0051】
また、CPE2aからリレールータ5へデータパケットを送信する際に、CPE2aの認証用データ埋め込み部22にて、アウターIPv6ヘッダの宛先アドレスに認証用データを埋め込むよう構成しても良い。このように構成することで、非加入者ルータであるCPE2bが、サービス提供ルータ(リレールータ5)になりすまし、CPE2aからのデータパケットを不正に受信しようとした場合も、アウターIPv6ヘッダに認証用データが埋め込まれていることにより、CPE2bにて当該データパケットは自局宛てのものではないと判断され、当該パケットが破棄されるので、不正な受信を防ぐことができる。さらに、リレールータ5からCPE2aへデータパケットを送信する際に、リレールータ5の認証用データ埋め込み部52にて、アウターIPv6ヘッダの送信元アドレスに認証用データを埋め込むよう構成しても良く、さらにCPE2aおよびリレールータ5において、アウターIPv6ヘッダの送信元アドレスおよび宛先アドレスの両方に認証用データを埋め込むよう構成しても良い。
【0052】
このように、本実施形態においては、トンネルのステータスを個別に管理する必要のないステートレストンネルにおいて、送受信されるデータパケットにサービス加入者およびサービス提供者のみが認識できる認証用データ埋め込むことにより、サービス提供者側のリレールータ5と、サービス加入側のCPE2aとの間のセキュリティを確保することが可能となる。また、データパケットのアウターヘッダにおけるインターフェースID部に認証用データを埋め込んで認証を行なうことにより、オーバーヘッドを抑え、パケット転送能力に影響を与えることなく、パケット単位のセキュリティチェックを行うことができる。
【0053】
さらに、従来のようにチェックサム値を用いてデータパケットに含まれるデータの正当性のみが確認される場合には、データ自体が正当なものであれば、不正な受信者または送信者からのデータパケットであっても正当なものとして送受信されてしまう。これに対し、本実施形態においては、送受信されるデータパケットの送信元アドレスまたは宛先アドレス、もしくは両方に認証用データ埋め込むことにより、受信者および送信者の正当性を確認し、不正な受信者および送信者からのデータパケットの送受信を防ぐことができる。
【0054】
また、一般的にリレールータ5から第2のネットワーク200へデータパケットを送信する際には、インターネットエクスチェンジと呼ばれる有料のインターネットの相互接続サービスが利用される。このインターネットエクスチェンジサービスでは、トラフィック(通信量)に応じた従量課金制が採用されているものある。このような場合、本実施形態のような認証システムを備えることで、正当な加入者から送信されるデータパケットのみをリレールータ5から第2のネットワーク200へ送信することができ、不正な利用者のデータパケットの送信により発生するコストを削減することが可能となり、結果としてユーザが負担するパケット通信料を削減することができる。
【0055】
以上が本発明の実施形態であるが、本発明はこれらの実施形態に限定されるものではなく様々な範囲で変形が可能である。例えば、上記実施形態は、CPE2aとリレールータ5との間でIPv6 over IPv6トンネリングを用いた場合について説明したが、本発明は、様々なトンネリング技術が用いられるリレールータ5とCPE2aとの間の認証に適用可能である。例えば、図1において、端末1aのある加入者宅内とアクセス先のサーバ6などがある第2のネットワーク200はIPv6に対応しているが、第1のネットワーク100はIPv4(Internet Protocol Version 4)に対応している場合には、IPv4ネットワークを経由してIPv6の通信を行う「IPv6 over IPv4」と呼ばれるトンネリング技術が用いられる。
【0056】
このIPv6 over IPv4では、端末1aにおいて生成されるIPv6データパケットが、CPE2aにおいてIPv4パケットのヘッダによってカプセル化される。このようにIPv6データパケットをIPv4ヘッダでカプセル化することにより、IPv4ネットワークである第1のネットワーク100ではルーティングできないIPv6パケットをIPv4パケットとして取り扱うことが可能となる。また、このIPv6 over IPv4トンネリング技術の一つとして、6rd(IPv6 rapid deployment)と呼ばれる技術が開発されている。
【0057】
6rdでは、まず、サービス提供者から、リレールータ5に、IPv6アドレスのプレフィックスを割り当てておく。そして、CPE2aには、第1のネットワーク100上のDHCPから、IPv4アドレスが自動的に割り当てられる。この時、リレールータ5のIPv6プレフィックスについても、一緒にCPE2aに通知される。そして、CPE2aでは、通知されたIPv6プレフィックスとIPv4アドレスを組み合わせることで、IPv6アドレスを構成し、端末1aのIPv6アドレスは、CPE2aにて生成されたIPv6アドレスに基づいて割り当てられる。そして、端末1aから第2のネットワーク200へデータパケットが送信される際には、端末1aで生成されるIPv6データパケットに、CPE2aにてアウターIPv4ヘッダが付加され、リレールータ5へと転送される。また、CPE2aとリレールータ5の間は、リレールータ5に割り当てられたIPv6プレフィックスに基づくアウターIPv4ヘッダによってルーティングが行なわれる。このように、6rdにおけるトンネルも、CPE2aとリレールータ5との間においてユーザIDやパスワードの認証は行なわず、また各トンネルでの個別のステータス管理も行なわれない、ステートレストンネルである。
【0058】
このような6rdを含むIPv6 over IPv4トンネリングに本発明の認証システムを適用する場合には、CPE2aまたはリレールータ5の認証用データ埋め込み部22または52において、アウターIPv4ヘッダの送信元アドレスおよび/または宛先アドレスのホスト部(IPv6の「インターフェースID部」に相当)に認証用データを埋め込めば良い。ただし、IPv4ヘッダの送信元アドレスおよび宛先アドレスのホスト部は32ビットしかないため、認証用データのビット数は32ビット以下で適宜設定される。そして、CPE2aまたはリレールータ5のパケット認証部24または54において、アウターIPv4ヘッダのホスト部に埋め込まれた認証用データに基づいて、送信者/受信者の正当性が判断される。
【0059】
さらに、IPv4 over IPv6や、IPv4 over IPv4など、その他のステートレストンネにおいても、本発明を適用することが可能である。これらの場合も、それぞれ、アウターIPv6ヘッダ(IPv4 over IPv6の場合)またはアウターIPv4ヘッダ(IPv4 over IPv4の場合)の送信元アドレスおよび/または宛先アドレスのインターフェースID部またはホスト部に認証用データが埋め込まれ、当該認証用データに基づいて、送信者/受信者の正当性が確認される。
【0060】
また、上記実施形態においては、認証用データとして、データパケットのチェックサム値を用いる構成としたが、本発明はこれに限定されるものではなく、データパケットを元に抽出できる様々な値を認証用データとして用いることが可能である。例えば、CPE2aとリレールータ5にて共通するハッシュ関数を用いて、データパケットよりハッシュ値を求め、該ハッシュ値を認証用データとして用いても良い。さらに、データパケットに基づいて算出されたシグネチャや、その他の暗号化技術によって求められた暗号化データを認証用データとして用いることも可能である。
【0061】
さらに、第1のネットワーク100に認証サーバを備え、該認証サーバからCPE2aおよびリレールータ5に対して、認証用データとして用いるためのハッシュキーなどの認証キーを提供するよう構成することや、サービス提供者からサービス加入者にルータを提供する際に、予め当該ルータに所定の認証キーを記憶させておくことも可能である。この場合は、認証用データ埋め込み部22および52の認証用データ生成部220および520にて、認証サーバから提供される、または予め記憶される認証キーを読み出すだけで良く、認証用データを生成する必要はない。また、パケット認証部24および54における正当性判断部245および545においても、認証用データの算出は不要であり、認証キーを読み出して、抽出した認証データと比較すれば良い。
【0062】
また、上記実施形態においては、全てのパケットに対して、認証用データの埋め込みおよび判定を行なう構成としたが、これに限定されるものではなく、一度認証を行なった結果や、正当性が確認されたデータパケットの送信元情報を保持しておき、その後は認証処理を行なわずにデータパケットを転送することも可能である。また、上記実施形態においては、トンネリング技術においてカプセル化されるデータパケットのアウターヘッダへ認証用データを埋め込む構成としたが、本発明はこれに限定されるものではない。例えば、トンネリング技術が採用されない(カプセル化されない)データパケットの宛先アドレス/送信元アドレス、またはカプセル化されるデータパケットのインナーヘッダにおける宛先アドレス/送信元アドレスに認証用データを埋め込む構成としても、上記実施形態と同様に、パケット単位の送信者/受信者の正当性を確認することができる。また、リレールータ5またはCPE2aにおいて、正当性判断部で正当な送信元からのデータパケットではないと判断され、破棄されたデータパケットのログを保存しておくことも有効である。このようにログを保存しておくことにより、該ログに基づいて不正な利用者を特定することが可能となる。
【0063】
さらに、上記実施形態においては、サービス加入者ルータのCPE2aにて、送信パケットへの認証用データの埋め込み、および受信パケットの認証を行なう構成としたが、端末1aにて認証用データの埋め込み、および受信パケットの認証を行なう構成としてもよく、またCPE2aは、中継機能を備える携帯端末であっても良い。
【符号の説明】
【0064】
1a、1b 端末
2a、2b CPE
5 リレールータ
6 サーバ
21、51 パケット受信部
22、52 認証用データ埋め込み部
220、520 認証用データ生成部
225、525 カプセル化部
23、53 パケット送信部
24、54 パケット認証部
240、540 認証用データ抽出部
245、545 正当性判断部
100 第1のネットワーク
200 第2のネットワーク
【特許請求の範囲】
【請求項1】
第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなる認証システムであって、
前記第1の装置は、
データパケットに認証用データを埋め込む認証用データ埋め込み部と、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信部と、を備え、
前記第2の装置は、
前記第1の装置から前記データパケットを受信するパケット受信部と、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、
前記抽出した認証用データに基づいて、前記データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする認証システム。
【請求項2】
前記正当性判断部は、前記データパケットに基づいて認証用データを算出し、前記認証用データ抽出部において抽出した認証用データと、前記算出した認証用データとを比較して、該データパケットの送信者または受信者の正当性を判断することを特徴とする、請求項1に記載の認証システム。
【請求項3】
前記正当性判断部は、前記抽出した認証用データと、前記算出した認証用データとが一致しない場合には、該データパケットの送信者または受信者は正当でないと判断して、該データパケットを破棄することを特徴とする、請求項2に記載の認証システム。
【請求項4】
前記データパケットは、アウターヘッダによってカプセル化されたものであり、前記認証用データ埋め込み部は、前記認証用データを該アウターヘッダに埋め込むことを特徴とする、請求項1から3のいずれか一項に記載の認証システム。
【請求項5】
前記アウターヘッダは、IPv6アドレスであり、
前記認証用データ埋め込み部は、前記IPv6アドレスのインターフェースID部に、前記認証用データを埋め込むことを特徴とする、請求項4に記載の認証システム。
【請求項6】
前記アウターヘッダは、IPv4アドレスであり、
前記認証用データ埋め込み部は、前記IPv4アドレスのホスト部に、前記認証用データを埋め込むことを特徴とする、請求項4に記載の認証システム。
【請求項7】
前記認証用データ埋め込み部は、前記データパケットの送信元アドレスに前記認証用データを埋め込み、
前記正当性判断部は、前記データパケットの送信元アドレスに埋め込まれた認証用データに基づいて、前記データパケットの送信者の正当性を判断することを特徴とする、請求項1から6のいずれか一項に記載の認証システム。
【請求項8】
前記認証用データ埋め込み部は、前記データパケットの宛先アドレスに前記認証用データを埋め込み、
前記正当性判断は、前記データパケットの宛先アドレスに埋め込まれた認証用データに基づいて、前記データパケットの受信者の正当性を判断することを特徴とする、請求項1から7のいずれか一項に記載の認証システム。
【請求項9】
前記第2の装置は、前記第1のネットワークと第2のネットワークを接続するものであり、前記データパケットを、前記第2のネットワークへ転送するパケット転送部をさらに備え、
前記正当性判断部は、前記抽出した認証用データと、前記算出した認証用データとが一致する場合には、前記データパケットの送信者または受信者は正当であると判断して、該データパケットを前記パケット転送部へ送信することを特徴とする、請求項2から8のいずれか一項に記載の認証システム。
【請求項10】
前記第1のネットワークはIPv6対応の地域IPネットワークであり、前記第2のネットワークはIPv6対応のパブリックネットワークであること、または、前記第1のネットワークはIPv4ネットワークであり、前記第2のネットワークはIPv6ネットワークであることを特徴とする、請求項9に記載の認証システム。
【請求項11】
前記認証用データは、前記データパケットから求められる、チェックサム値またはハッシュ値であることを特徴とする、請求項1から10のいずれか一項に記載の認証システム。
【請求項12】
前記認証用データは、認証サーバから提供されることを特徴とする、請求項1から10のいずれか一項に記載の認証システム。
【請求項13】
前記認証用データは、予め前記第1の装置および第2の装置に記憶されていることを特徴とする、請求項1から10のいずれか一項に記載の認証システム。
【請求項14】
前記第1の装置はサービス加入者ルータであり、前記第2の装置はサービス提供ルータであること、または、前記第1の装置はサービス提供ルータであり、前記第2の装置はサービス加入者ルータであることを特徴とする、請求項1から13のいずれか一項に記載の認証システム。
【請求項15】
前記第1の装置または第2の装置は、携帯端末装置であることを特徴とする、請求項1から13のいずれか一項に記載の認証システム。
【請求項16】
ネットワークを介して第2の装置と接続される第1の装置であって、
データパケットに、認証用データを埋め込む認証用データ埋め込み部と、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信部と、を備えることを特徴とする装置。
【請求項17】
ネットワークを介して第1の装置と接続される第2の装置であって、
前記第1の装置からデータパケットを受信するパケット受信部と、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、
前記抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする装置。
【請求項18】
第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなるネットワークシステムにおける認証方法であって、
前記第1の装置における、
データパケットに認証用データを埋め込む認証用データ埋め込みステップと、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信ステップと、
前記第2の装置における、
前記第1の装置から前記データパケットを受信するパケット受信ステップと、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、
前記抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法。
【請求項19】
ネットワークを介して第2の装置と接続される第1の装置における認証方法であって、
データパケットに、認証用データを埋め込む認証用データ埋め込みステップと、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信ステップと、を含むことを特徴とする認証方法。
【請求項20】
ネットワークを介して第1の装置と接続される第2の装置における認証方法であって、
前記第1の装置からデータパケットを受信するパケット受信ステップと、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、
前記抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法。
【請求項21】
請求項19または20に記載される認証方法をコンピュータに実行させるためのプログラム。
【請求項1】
第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなる認証システムであって、
前記第1の装置は、
データパケットに認証用データを埋め込む認証用データ埋め込み部と、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信部と、を備え、
前記第2の装置は、
前記第1の装置から前記データパケットを受信するパケット受信部と、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、
前記抽出した認証用データに基づいて、前記データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする認証システム。
【請求項2】
前記正当性判断部は、前記データパケットに基づいて認証用データを算出し、前記認証用データ抽出部において抽出した認証用データと、前記算出した認証用データとを比較して、該データパケットの送信者または受信者の正当性を判断することを特徴とする、請求項1に記載の認証システム。
【請求項3】
前記正当性判断部は、前記抽出した認証用データと、前記算出した認証用データとが一致しない場合には、該データパケットの送信者または受信者は正当でないと判断して、該データパケットを破棄することを特徴とする、請求項2に記載の認証システム。
【請求項4】
前記データパケットは、アウターヘッダによってカプセル化されたものであり、前記認証用データ埋め込み部は、前記認証用データを該アウターヘッダに埋め込むことを特徴とする、請求項1から3のいずれか一項に記載の認証システム。
【請求項5】
前記アウターヘッダは、IPv6アドレスであり、
前記認証用データ埋め込み部は、前記IPv6アドレスのインターフェースID部に、前記認証用データを埋め込むことを特徴とする、請求項4に記載の認証システム。
【請求項6】
前記アウターヘッダは、IPv4アドレスであり、
前記認証用データ埋め込み部は、前記IPv4アドレスのホスト部に、前記認証用データを埋め込むことを特徴とする、請求項4に記載の認証システム。
【請求項7】
前記認証用データ埋め込み部は、前記データパケットの送信元アドレスに前記認証用データを埋め込み、
前記正当性判断部は、前記データパケットの送信元アドレスに埋め込まれた認証用データに基づいて、前記データパケットの送信者の正当性を判断することを特徴とする、請求項1から6のいずれか一項に記載の認証システム。
【請求項8】
前記認証用データ埋め込み部は、前記データパケットの宛先アドレスに前記認証用データを埋め込み、
前記正当性判断は、前記データパケットの宛先アドレスに埋め込まれた認証用データに基づいて、前記データパケットの受信者の正当性を判断することを特徴とする、請求項1から7のいずれか一項に記載の認証システム。
【請求項9】
前記第2の装置は、前記第1のネットワークと第2のネットワークを接続するものであり、前記データパケットを、前記第2のネットワークへ転送するパケット転送部をさらに備え、
前記正当性判断部は、前記抽出した認証用データと、前記算出した認証用データとが一致する場合には、前記データパケットの送信者または受信者は正当であると判断して、該データパケットを前記パケット転送部へ送信することを特徴とする、請求項2から8のいずれか一項に記載の認証システム。
【請求項10】
前記第1のネットワークはIPv6対応の地域IPネットワークであり、前記第2のネットワークはIPv6対応のパブリックネットワークであること、または、前記第1のネットワークはIPv4ネットワークであり、前記第2のネットワークはIPv6ネットワークであることを特徴とする、請求項9に記載の認証システム。
【請求項11】
前記認証用データは、前記データパケットから求められる、チェックサム値またはハッシュ値であることを特徴とする、請求項1から10のいずれか一項に記載の認証システム。
【請求項12】
前記認証用データは、認証サーバから提供されることを特徴とする、請求項1から10のいずれか一項に記載の認証システム。
【請求項13】
前記認証用データは、予め前記第1の装置および第2の装置に記憶されていることを特徴とする、請求項1から10のいずれか一項に記載の認証システム。
【請求項14】
前記第1の装置はサービス加入者ルータであり、前記第2の装置はサービス提供ルータであること、または、前記第1の装置はサービス提供ルータであり、前記第2の装置はサービス加入者ルータであることを特徴とする、請求項1から13のいずれか一項に記載の認証システム。
【請求項15】
前記第1の装置または第2の装置は、携帯端末装置であることを特徴とする、請求項1から13のいずれか一項に記載の認証システム。
【請求項16】
ネットワークを介して第2の装置と接続される第1の装置であって、
データパケットに、認証用データを埋め込む認証用データ埋め込み部と、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信部と、を備えることを特徴とする装置。
【請求項17】
ネットワークを介して第1の装置と接続される第2の装置であって、
前記第1の装置からデータパケットを受信するパケット受信部と、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、
前記抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする装置。
【請求項18】
第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなるネットワークシステムにおける認証方法であって、
前記第1の装置における、
データパケットに認証用データを埋め込む認証用データ埋め込みステップと、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信ステップと、
前記第2の装置における、
前記第1の装置から前記データパケットを受信するパケット受信ステップと、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、
前記抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法。
【請求項19】
ネットワークを介して第2の装置と接続される第1の装置における認証方法であって、
データパケットに、認証用データを埋め込む認証用データ埋め込みステップと、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信ステップと、を含むことを特徴とする認証方法。
【請求項20】
ネットワークを介して第1の装置と接続される第2の装置における認証方法であって、
前記第1の装置からデータパケットを受信するパケット受信ステップと、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、
前記抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法。
【請求項21】
請求項19または20に記載される認証方法をコンピュータに実行させるためのプログラム。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2012−34169(P2012−34169A)
【公開日】平成24年2月16日(2012.2.16)
【国際特許分類】
【出願番号】特願2010−171596(P2010−171596)
【出願日】平成22年7月30日(2010.7.30)
【出願人】(591112522)株式会社ACCESS (91)
【出願人】(501275178)ソフトバンクBB株式会社 (112)
【Fターム(参考)】
【公開日】平成24年2月16日(2012.2.16)
【国際特許分類】
【出願日】平成22年7月30日(2010.7.30)
【出願人】(591112522)株式会社ACCESS (91)
【出願人】(501275178)ソフトバンクBB株式会社 (112)
【Fターム(参考)】
[ Back to top ]