ホーム・エージェントに対するサービス妨害攻撃を緩和する方法
【解決手段】本発明は、複数のモバイル・ノードに対してモビリティをサポートしているホーム・エージェントに対するDoS攻撃の影響を緩和する方法に関する。さらに、本発明は、複数のモバイル・ノードに対してモビリティをサポートしているホーム・エージェントに対するDoS攻撃の影響を緩和する前記方法を実現するホーム・エージェント、モバイル・ノード、及び通信システムにも関する。モバイル・ノードのモビリティを可能にする通信システムを改良するためのメカニズムの設計においてDoS攻撃の問題を考慮するため、本発明は、通信ネットワークにおいてホーム・エージェントに到達可能な複数のアドレスを設定して、各モバイル・ノードに複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当てることを提案する。ホーム・エージェントによってサービス妨害攻撃が検出された場合、ホーム・エージェントは、サービス妨害攻撃のデータ・パケットの宛先となっているホーム・エージェント・アドレスを設定解除する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数のモバイル・ノードに対してモビリティをサポートしているホーム・エージェントに対するサービス妨害攻撃の影響を緩和する方法に関する。さらに、本発明は、複数のモバイル・ノードに対してモビリティをサポートしているホーム・エージェントに対するサービス妨害攻撃の影響を緩和する前記方法を実現するホーム・エージェント、モバイル・ノード、及び通信システムにも関する。
【背景技術】
【0002】
通信システムは、インターネット・プロトコル(IP)ベースのネットワークに向かってますます進化している。それらの通信システムは、一般的には、相互に接続された多数のネットワークからなり、ネットワーク内においては、音声及びデータがパケットと呼ばれる断片の形で端末間で送信される。これらのIPパケットは、コネクションレス方式でルータによって宛先へルーティングされる。従って、パケットはIPヘッダとペイロード情報から構成され、ヘッダはとりわけ送信元及び宛先IPアドレスを含む。
【0003】
スケーラビリティ上の理由により、IPネットワークは階層型アドレッシング方式を使用する。従って、IPアドレスは、対応する端末を識別するだけではなく、この端末に関するロケーション情報もさらに含む。ネットワーク内のルータは、ルーティング・プロトコルによって提供される追加情報を用いて、特定の宛先へ向けて次のルータを識別することができる。
【0004】
端末がモバイル・ノード(MN)と呼ばれる移動可能なものであって、サブネット間を移動する場合、階層型アドレッシング方式のため、端末はIPアドレスをトポロジー的に正しいアドレスに変更しなければならない。しかしながら、TCP接続などの上位層における接続は、通信ノードのIPアドレス(及びポート)で定義されるので、ノードの一方が例えば移動などのためIPアドレスを変更すると、接続が切れてしまう。
【0005】
モバイルIPv6―MIPv6とも表記される―(D. Johnson, C. Perkins, J. Arkko,”Mobility Support in IPv6,”IETF RFC 3775,2004年6月を参照のこと。この文献はhttp://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)は、上位層及びアプリケーションにトランスペアレントに、すなわち、上位層の接続を切断することのない形で、モバイル・ノードがサブネット間を移動できるようにするIPベースのモビリティ・プロトコルである。従って、1つのモバイル・ノードに対し、2つのIPアドレス、すなわち、気付アドレス(CoA)とホーム・アドレス(HoA)が設定される。モバイル・ノードの上位層は、以後通信相手ノード(CN)と呼ぶ通信相手(宛先端末)との通信にホーム・アドレスを使用する。このアドレスは不変であり、モバイル・ノードを識別するという目的にかなう。トポロジー的には、このアドレスはモバイル・ノードのホーム・ネットワーク(HN)に属する。一方、気付アドレスは、サブネットの変更を伴う移動の度に変化し、ルーティング・インフラストラクチャのロケータとして使用される。トポロジー的には、このアドレスは、モバイル・ノードが現在訪れているネットワークに属する。ホーム・リンク上に位置する一群のホーム・エージェント(HA)のうちの1つが、モバイル・ノードの気付アドレスからモバイル・ノードのホーム・アドレスへのマッピングを保持し、モバイル・ノードへの着信トラフィックをモバイル・ノードの現在位置に転送する。単一のホーム・エージェントではなく一群のホーム・エージェントを配置する理由は、冗長性と負荷分散である。
【0006】
モバイルIPv6は現在、2つの動作モード、すなわち、双方向トンネリング(図1)とルート最適化(図2)とを定義している。通信相手ノードにより送信されたモバイル・ノードのホーム・アドレス宛てのデータ・パケットは、双方向トンネリングを用いて、ホーム・ネットワーク内のホーム・エージェントによりインターセプトされ、モバイル・ノードの気付アドレスへトンネリングされる。モバイル・ノードにより送信されたデータ・パケットは、ホーム・エージェントへ逆方向トンネリングされ、ホーム・エージェントは、これらのパケットをカプセル開放し、通信相手ノードへ送信する(逆方向トンネリングとは、モバイル・ノードからホーム・エージェントまでのトンネルを介してモバイル・ノードによりパケットが送信されることを意味する)。
【0007】
この動作では、ホーム・エージェントだけがモバイル・ノードの気付アドレスを通知される。従って、モバイル・ノードはBinding Updateメッセージ(BUメッセージ)をホーム・エージェントに送信する。これらのメッセージは、IPsecセキュリティ・アソシエーションを介して送信されるので、認証され完全性が保護されている。欠点は、モバイル・ノードがホーム・ネットワークから遠く離れ、通信相手ノードがモバイル・ノードに近い場合、通信経路が不必要に長くなり、非効率なルーティングと大きなパケット遅延を招くことである。
【0008】
ルート最適化モードは、通信相手ノードとモバイル・ノードとの間の直接経路を利用することによって、双方向トンネリングの非効率性を防止することができる。ルート最適化を使用する場合、モバイル・ノードはBinding Updateメッセージを通信相手ノードに送信するので、通信相手ノードは、データ・パケットをモバイル・ノードに直接送信することができる(モバイル・ノードの気付アドレスへの直接経路上でモバイル・ノードのホーム・アドレス宛てのパケットを送信するには、タイプ2ルーティング・ヘッダが使用される)。もちろん、通信相手ノードはモバイルIPv6ルート最適化サポートを実装していなければならない。
【0009】
近年、モバイルIPv6が拡張され、例えば、IETFインターネット草稿,Giaretta他、”Mobile IPv6 bootstrapping in split scenario,”2006年3月又はChowdhury他、”MIP6−bootstrapping via DHCPv6 for the Integrated Scenario,”2006年6月、及びDevarapalli他、”Mobile IPv6 Bootstrapping for the Authentication Option Protocol,”2006年6月(これらの草稿は全て、参照することによりここに組み込まれ、http://http.ietf.orgにて入手可能)に記載されているように、モバイル・ノードがホーム・エージェントを用いて動的にブートストラップできるようになった。モバイルIPv6におけるブートストラッピングは、一般的には、ホーム・エージェントの発見、対応するホーム・アドレスの設定、鍵の配布、及びモバイル・ノードとホーム・エージェントとの間のセキュリティ・アソシエーションの設定を含む。
【0010】
一般に、2つのシナリオが定義されている。いわゆる統合シナリオにおいては、在圏ネットワークはホーム・ネットワークとの間に信頼関係を持っているが、いわゆる分割シナリオにおいては、必ずしもそうとは限らない。統合シナリオにおいては、ホーム・エージェント・アドレスは、AAA(認証、認可、及びアカウンティング)とDHCP(動的ホスト設定プロトコル)を介してモバイル・ノードに割り当てることができる。スリットシナリオにおいては、ホーム・エージェント・アドレスは、ドメイン・ネーム・サービス(DNS)において発行され得る。従って、モバイル・ノードは、ドメイン名で事前設定されるだけでよく、モバイル・ノードは、DNSに問い合わせることにより、ホーム・エージェント・アドレスを発見することができる。
【0011】
モバイルIPの一般的な問題は、ホーム・エージェント・アドレスが全てのモバイル・ノードに知られていなければならないということである。全てのモバイル・ノードがデータ・パケット及びシグナリング・パケットをホーム・エージェントに直接送信できなければならないからである。これはセキュリティ上問題であるとモバイル事業者は考えている(例えば、Yabusaki他、”Mobility Management in All−IP Mobile Network: End−to−End Intelligence or Network Intelligence,”IEEE Radio Communications, 2005年12月を参照のこと。この文献は、参照することによりここに組み込まれる)。一部のモバイル・ネットワーク事業者がこれに関連して恐れているセキュリティ上の主な脅威は、ホーム・エージェントに対するサービス妨害(DoS)攻撃である。
【0012】
考え得る攻撃のシナリオが、例示の目的のために、図3に示されている。モバイル・ノードMN1〜MN4は、ホーム・エージェントHAによって提供されるモビリティ・サービスを使用している。攻撃者は、(1)(図中は丸付き数字で示す、以下同じ)例えば、DNSを介して、あるいは、モバイル・ノードの1つ(この場合は、例えばMN1)をウイルスに感染させてこのモバイル・ノードからホーム・エージェント・アドレスを読みだすことによって、ホーム・エージェント・アドレスを入手する。さらに、攻撃者は、(2)そのホーム・エージェント・アドレスを自身の支配下にある一群のPC(例えば、予めウイルスに感染させておいたPC)に送信する。続いて、攻撃者は、(3)全てのPCを作動させて、全てホーム・エージェントにおいて処理しなければならないパケットを、盗み出したホーム・エージェント・アドレスに同時に送信することによって、連係された分散サービス妨害(DDoS)攻撃をホーム・エージェントに仕掛ける。例えば、ここでボトルネックとなるのは、ホーム・エージェントにかかる負荷であり、リンク上の利用可能帯域及び経路上のルータではないとする。もちろん、必要とする処理が少ないパケットよりも、より多くの処理を必要とするパケットの方が、サービス妨害に関しては、より効果的である。すなわち、ホーム・エージェントを過負荷状態にするためには、より少ないパケットを送信しなければならない。より多くの処理を必要とするパケットの例は、例えば、モバイル・ノードとホーム・エージェントとの間のIPsec(IPセキュリティ・プロトコル)又は認証プロトコルのセキュリティ・アソシエーションを介して送信される、Binding Updateメッセージあるいは何らかのシグナリング・パケット又はデータ・パケットである。必要とする処理が少ないパケットは、例えば、 IKE_SA_INITメッセージ又は保護されていないデータ・パケットである。いずれにせよ、ホーム・エージェントが十分多くのメッセージを同時に処理しなければならない場合、ホーム・エージェントは過負荷状態になり、モビリティ・サービスのためにこのホーム・エージェントを使用している全てのモバイル・ノード(この場合は、モバイル・ノードMN1〜MN4)を含めて、ノードはもはやホーム・エージェントと通信できなくなる。結果として、モバイル・ノードMN1〜MN4の通信セッションは切断され、これらのモバイル・ノードはもはや到達不可能になってしまうであろう。ユーザがこの障害の責任はネットワーク事業者にあると非難する可能性があるので、攻撃者がモバイル・ネットワーク事業者を脅迫して金銭的な利益を得ることもあり得る。
【0013】
DoSの脅威全般を緩和するメカニズムが多数提案されている。それらのメカニズムの概要は、例えば、Rocky K.C. Chang”Defending against Flooding−Based Distributed Denial−of−Service Attacks: A Tutorial,”IEEE Communications Magazine,2002年10月において見つけることができるであろう。しかしながら、それらのメカニズムはどれも、モバイルIPにおける分散サービス妨害攻撃の問題を完全に解決することはできない。
【0014】
例えば、攻撃者はよく、スプーフィングされた送信元アドレスを使用する。このことは、Ferguson他”Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing,”IETF RFC 2827,2000年5月(http://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)において提案されているように、イングレス・フィルタリングを用いて、あるいは、例えばIETF RFC 3775においてルート最適化モードについて提案されているように、又はUS20060161980号において提案されているように、プローブ・メッセージ/リターン・ルータビリティ・チェックを用いて、ある程度は防止できる。しかしながら、送信元アドレスのスプーフィングがイングレス・フィルタリングによって防止できるのは、イングレス・フィルタリングが世界的に展開されている場合のみである。実際にはそうではなく、インターネット・サービス・プロバイダ(ISP)に対する奨励策もないため、いつかそうなる見込みもない。プローブ・メッセージ/リターン・ルータビリティ・チェックはスプーフィングを完全には防止できず、シグナリングのオーバーヘッドとパケットの遅延が増加するという欠点を持つ。さらに、DDoS攻撃はアドレスをスプーフィングしなくても可能である。
【0015】
DoS攻撃に対する別の対応策としては、例えばアカマイが行ったように、サービスを分散してもよい。一般に、好ましくはトポロジー的に離れた位置に、複数のホーム・エージェントを配置して負荷を分散させることは可能であるが、これは全ての配置シナリオにおいて可能なわけではない(例えば、カスタマーの敷地内のホーム・エージェント)。さらに、これは攻撃者にとっての障壁を高くするだけであり、言い換えるならDoS攻撃自体を防止するものではない。
【0016】
DoS攻撃に対する様々な対応策が提案されてきたが、ホーム・エージェントに対するDoS攻撃の問題は、モバイルIPv6を使用するネットワークにおいては解消できていない。モバイル・ノードがシグナリング・パケット及びデータ・パケットをホーム・エージェントに直接送信するので、ホーム・エージェント・アドレスは少なくとも全てのモバイル・ノードに知られなくてはならないからである。攻撃が成功し、更なる対策が取られない場合、このホーム・エージェントに関連付けられた全てのモバイル・ノードはモビリティ・サービスを失うことになる。すなわち、それらのモバイル・ノードの通信セッションは切断する。
【先行技術文献】
【特許文献】
【0017】
【特許文献1】US20060161980号
【非特許文献】
【0018】
【非特許文献1】D. Johnson, C. Perkins, J. Arkko,”Mobility Support in IPv6,”IETF RFC 3775,2004年6月
【非特許文献2】IETFインターネット草稿,Giaretta他、”Mobile IPv6 bootstrapping in split scenario,”2006年3月
【非特許文献3】Chowdhury他、”MIP6−bootstrapping via DHCPv6 for the Integrated Scenario,”2006年6月
【非特許文献4】Devarapalli他、”Mobile IPv6 Bootstrapping for the Authentication Option Protocol,”2006年6月
【非特許文献5】Yabusaki他、”Mobility Management in All−IP Mobile Network: End−to−End Intelligence or Network Intelligence,”IEEE Radio Communications, 2005年12月
【非特許文献6】Rocky K. C. Chang,”Defending against Flooding−Based Distributed Denial−of−Service Attacks: A Tutorial,”IEEE Communications Magazine,2002年10月
【非特許文献7】Ferguson他、”Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing,”IETF RFC 2827,2000年5月
【非特許文献8】”COMPUTER NETWORKS,” Andrew S.Tanenbaum,fourth edition,2003,Prentice Hall PTR
【非特許文献9】Plummer,”An Ethernet Address Resolution Protocol −− or −− Converting Network Protocol Addresses to 48.bit Ethernet Address for Transmission on Ethernet Hardware,”IETF RFC 826,1982年11月
【非特許文献10】Narten他、”Neighbor Discovery for IP Version 6 (IPv6),”IETF RFC 2461,1998年12月
【非特許文献11】Eronen、”IKEv2 Mobility and Multihoming Protocol (MOBIKE),”IETF RFC 4555,2006年6月
【非特許文献12】Haley他、”Mobility Header Home Agent Switch Message,”IETFインターネット草稿,draft−ietf−mip6−ha−switch−00.txt,2006年6月
【非特許文献13】Wakikawa,”Home Agent Reliability Protocol,”IETFインターネット草稿,draft−ietf−mip6−hareliability−00.txt,2006年6月
【非特許文献14】Haley他、”Mobility Header Home Agent Switch Message,”IETFインターネット草稿,draft−ietf−mip6−ha−switch−00.txt,2006年6月
【非特許文献15】Chowdhury他、”MIP6−bootstrapping via DHCPv6 for the Integrated Scenario,”IETFインターネット草稿,draft−ietf−mip6−bootstrapping−integrated−dhc− 01.txt,2006年6月
【非特許文献16】Kaufman,”Internet Key Exchange (IKEv2) Protocol,”IETF RFC 4306,2005年12月
【非特許文献17】Dupont and Weniger,”IKEv2−based Home Agent Assignment in Mobile IPv6/NEMO Bootstrapping,”IETFインターネット草稿,draft−dupont−ikev2−haassign−01.txt,2006年3月
【非特許文献18】Giaretta他、”Mobile IPv6 bootstrapping in split scenario,”IETFインターネット草稿,draft−ietf−mip6−bootstrapping−split− 02.txt,2006年3月
【非特許文献19】Chowdhury他、”Network Based Layer 3 Connectivity and Mobility Management for IPv6,”IETFインターネット草稿,draft−chowdhury− netmip6−01.txt,2006年9月
【発明の概要】
【発明が解決しようとする課題】
【0019】
本発明の目的の1つは、モバイル・ノードのモビリティを可能にする通信システムを改良するためのメカニズムを提案することである。別の目的は、このメカニズムの設計においてサービス妨害攻撃の問題を考慮することである。
【課題を解決するための手段】
【0020】
上記目的のうちの少なくとも1つは、独立請求項の主題によって解決される。有利な実施の形態は従属請求項に従う。
【0021】
本発明の態様の1つは、ホーム・エージェントに仕掛けられたサービス妨害攻撃に際して反応する応答的対策を提供する。この態様によれば、ホーム・エージェントに、ホーム・エージェントに到達可能な複数のアドレス(いわゆるホーム・エージェント・アドレス)を設定してもよい。ホーム・アドレスのうちの特定の1つに対して攻撃が仕掛けられると、ホーム・エージェントは、攻撃されたアドレスを単に設定解除すればよい。このことは、その攻撃(例えば、(分散)サービス妨害攻撃)を止める可能性がある。ホーム・エージェントの設定解除されたアドレス宛てのパケットは、もはやホーム・エージェントによって処理されることがないからである。また、別のモバイル・ノードに複数のホーム・エージェント・アドレスのうちの別のホーム・エージェント・アドレスを割り当てることによって、サブセットのモバイル・ノードだけが、すなわち、設定解除されたホーム・エージェント・アドレスを使用していたモバイル・ノードだけがサービス妨害攻撃の影響を受ける可能性がある。
【0022】
本発明の別の態様は、モバイル・ノードに対する、設定された複数のホーム・エージェント・アドレスの生成/関連付けである。これらの異なる実行可能な手段においては、モビリティ・サポートにおけるセキュリティを向上させるために、更なる応答的対策及び事前対策を実装することが可能である。一般に、ホーム・エージェントのサービスを受ける各モバイル・ノードには、そのモバイル・ノードがホーム・エージェントとの通信のために使うことのできる(少なくとも1つの)ホーム・エージェント・アドレスを割り当ててもよい。
【0023】
一実施の形態においては、ホーム・エージェントはデフォルトで、あるいはモバイル・ノード毎に、複数のホーム・エージェント・アドレスを設定してもよい。したがって、1つ又は複数のモバイル・ノードが単一のホーム・エージェント・アドレスを共有してもよい。ホーム・エージェント・アドレスとモバイル・ノードとを関連付ける手法(例えば、1対1、1対多、又は多対1)によっては、ホーム・エージェントは、攻撃下にある、又は攻撃者によって制御されているモバイル・ノードを検出できる可能性があり、この情報を更なる攻撃を避けるための予防的対策のために使用してもよい。
【0024】
他の実施の形態はホーム・エージェント・アドレスの生成における事前対策に関する。例えば、ホーム・エージェントとモバイル・ノードは、ホーム・エージェント・アドレスをマスクしてもよく、又は、進行中のセッションの間にも変更され得るホーム・エージェントの擬似アドレスを通信に使用してもよい。これによって、例えば、攻撃を防止できる可能性がある。ホーム・エージェントの(擬似)ホーム・アドレスは、盗み出されにくい場合もあるし、さらに/あるいは、万一、擬似ホーム・アドレスが盗み出されたとしても、そのアドレスが設定解除されるまでの時間が、それを盗み出した者にとって攻撃を仕掛けるには十分ではない場合もあるからである。
【0025】
本発明の一実施の形態によれば、通信ネットワークにおいて複数のモバイル・ノードに対してモビリティをサポートしているホーム・エージェントに対するサービス妨害攻撃の影響を緩和する方法が提案される。この実施の形態においては、ホーム・エージェントは、通信ネットワークにおいてホーム・エージェントに到達可能な複数のアドレスで設定されてもよい。また、各モバイル・ノードに、複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当ててもよい。サービス妨害攻撃を検出した場合、ホーム・エージェントは、サービス妨害攻撃のデータ・パケットの宛先となっているホーム・エージェント・アドレスを設定解除してもよい。
【0026】
ホーム・エージェントの攻撃されたアドレスの設定解除は、サービス妨害攻撃の影響を緩和する応答的対策と見なすことができ、DoSを止めることが可能であるという長所を持つ可能性がある。設定解除されたアドレス宛ての攻撃のパケットは、もはやホーム・エージェントによって処理されないからである。
【0027】
別の実施の形態においては、ホーム・エージェントは、設定されたホーム・エージェント・アドレスのそれぞれについて、ホーム・エージェントによって受信されるパケットの受信レートを監視してもよい。監視された受信レートに基づいて、ホーム・エージェントは、例えば、サービス妨害攻撃を検出してもよい。例えば、ホーム・エージェントは、データ・パケットの受信レートが閾値レベルを超えている(これを攻撃の兆候と見なしてもよい)ホーム・エージェント・アドレスを特定してもよく、特定されたホーム・エージェント・アドレスを設定解除してもよい。既に概説したように、攻撃されているホーム・エージェント・アドレスを設定解除することによって、攻撃を止められる可能性がある。
【0028】
例えば、ホーム・エージェント・アドレスがネットワーク層アドレスであると仮定すると、ホーム・エージェントのネットワーク層は攻撃者のパケットをもはや処理しない。しかしながら、下位層アドレッシングの方式がネットワーク層プロトコルのパケットを移送するのに使用されている場合(例えば、メディア・アクセス制御(MAC)アドレスなど、リンク層アドレッシング)、下位層プロトコルは、上記パケットを落とす前に(ホーム・エージェント・アドレスのマッチングのため、これらのパケットのリンク層アドレスは設定解除されている)、それらを依然として処理しなければならない。従って、本発明の別の実施の形態においては、ホーム・エージェントは、設定解除されたホーム・エージェント・アドレスの代わりに、ホーム・エージェントのリンク層アドレスを広告する。ここで、広告されるリンク層アドレスは、ホーム・エージェントの(正しい)リンク層アドレスとは異なる。このことによって、例えば、設定解除されたホーム・エージェント・アドレス宛てのパケットは、もはや下位のプロトコル層(リンク層など)を介してホーム・エージェントに提供されなくなるであろう。従って、これによって前述の問題は克服できる。
【0029】
本発明の別の実施の形態は、ホーム・エージェントに設定されたホーム・エージェント・アドレスの保護に関する。例えば、1つのオプションとして、少なくとも1つのモバイル・ノードに割り当てられたホーム・エージェント・アドレスを、その少なくとも1つのモバイル・ノードとホーム・エージェントとの間で交換されるパケットのヘッダにおいて、マスクしてもよい。従って、ホーム・エージェント・アドレスは、モバイル・ノードとホーム・エージェントとの間の経路上の攻撃者によってもはや盗み出されない可能性がある。例えば、ホーム・エージェント・アドレスは、上位のプロトコル層及びモビリティ関連のセキュリティ機能にとってトランスペアレントなネットワーク層アドレスである擬似ホーム・エージェント・アドレスを含むことによりによって、マスクすることができる。
【0030】
本発明の例示的な一実施の形態においては、モバイル・ノードのモビリティを可能にするために、モバイルIPv6(及び組み込まれたIPsec)が使用される。さらに、IPv6アドレッシングを使用してもよい。この例においては、擬似ホーム・エージェント・アドレスを上位のプロトコル層及びモビリティ関連のセキュリティ機能にとってトランスペアレントにしておくことは、モバイル・ノードのIPv6プロトコル層はホーム・エージェントとの通信に擬似ホーム・エージェント・アドレスを使用するが、例えば、上記擬似ホーム・エージェント・アドレスをIPsec及びMIPv6プロトコル層により使用されるホーム・エージェント・アドレスと交換することによって、擬似ホーム・エージェント・アドレスをIPsec及びMIPv6プロトコル層からは隠す、ということを意味する。このホーム・エージェント・アドレスは、モバイル・ノードとホーム・エージェントとの間のIPsecのセキュリティ・アソシエーションが定義されるホーム・エージェント・アドレスでもよい。
【0031】
擬似ホーム・エージェント・アドレスを生成する1つのオプションとしては、鍵付きハッシュ関数を使用してもよい。さらに、擬似ホーム・エージェント・アドレスは、擬似ホーム・エージェント・アドレスを用いたパケット(シグナリング・パケット又はデータ・パケット)の交換が可能なように、ホーム・エージェントによって設定される必要がある。
【0032】
また、別の実施の形態によれば、モバイル・ノードとホーム・エージェントの両方が、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するのに使用される鍵に基づく鍵付きハッシュ関数を用いて、擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成する。様々な実施の形態の記載から明らかになるように、擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成するのに使用される、ホーム・エージェントとモバイル・ノードとにとって既知の鍵を選択するための可能な手段は多数ある。
【0033】
さらに、本発明の別の実施の形態においては、擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスは、モバイル・ノードとホーム・エージェントとの間のセッションにおいて、定期的に変更されてもよい。これによって、セキュリティが向上する可能性がある。攻撃者が擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを知ってからそのアドレスに対して攻撃を仕掛ける時間は、その擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスがホーム・エージェントにおいて変更されて設定解除される前に攻撃を開始するには十分ではない可能性がある。
【0034】
本発明の他の実施の形態は、ホーム・エージェント(又は別のネットワーク要素)が複数のモバイル・ノードに同一のホーム・エージェント・アドレスを割り当てる状況に関する。
【0035】
一実施の形態においては、それらの複数のモバイル・ノードに割り当てたホーム・エージェント・アドレスを設定解除したあと、新しい個別のホーム・エージェント・アドレスをそれらの複数のモバイル・ノードの各々に割り当ててもよい。
【0036】
さらに、別の実施の形態においては、ホーム・エージェントは、例えば、サービス妨害攻撃のレコードを保持できる。このレコードは、例えば、攻撃されたホーム・エージェント・アドレスと、その攻撃されたホーム・エージェント・アドレスを割り当てられていたモバイル・ノードのリストとを示す。あるいは、ホーム・エージェントは、攻撃が検出された、特定の攻撃されたホーム・エージェント・アドレスを割り当てられていたモバイル・ノードのリストを単に保持してもよい。
【0037】
また、ホーム・エージェントは、保持しているレコード(又はリスト)に基づいて、モバイル・ノードに対する攻撃を検出してもよい。例えば、特定のモバイル・ノードがいくつかの攻撃に関するレコードに含まれている場合、ホーム・エージェントは、これを、モバイル・ノードが攻撃されている(例えば、コンピュータ・ウイルスに感染している)及び/又は攻撃者によって盗み出されていると解釈してもよい。従って、ホーム・エージェントは、例えば、攻撃されたモバイル・ノードに対するモビリティ・サービスの提供を停止してもよい。この事前対策によって、ホーム・エージェントに対する更なるサービス妨害攻撃が防止される可能性がある。
【0038】
本発明の他の実施の形態は、各モバイル・ノードが、割り当てられたホーム・エージェント・アドレスによって一意に識別できる状況に関する。つまり、各モバイル・ノードが、ホーム・エージェントとの通信に個別のホーム・エージェント・アドレスを使用する。
【0039】
本発明の別の実施の形態は、ホーム・エージェント・アドレスのモバイル・ノードへの割り当てに関する。例えば、ホーム・エージェントは、ホーム・エージェントと要求を出しているモバイル・ノードとの間にセキュリティ・アソシエーションを設定するために、又は、ホーム・エージェント・アドレスを発見するためにモバイル・ノードによって送信されたエニーキャスト又はマルチキャストの要求を受信したことに応じて、モバイル・ノードに対してホーム・エージェント・アドレスを生成してもよい。それによって(ホーム・エージェント・アドレスを生成するためのメカニズムにもよるが)、各モバイル・ノードに個別のホーム・エージェント・アドレスを提供できる可能性がある。モバイル・ノードに対してホーム・アドレスを生成した後、ホーム・エージェントは、例えば、生成したホーム・エージェント・アドレスを用いてエニーキャスト又はマルチキャストの要求に応答することによって、生成したアドレスをモバイル・ノードに提供してもよい。従って、生成されたアドレスは、そのアドレスをモバイル・ノードに送信されるパケットのヘッダ・フィールド(例えば、送信元アドレス・フィールド)に含めることによって、シグナリング・メッセージ(例えば、パラメータとして)において、又は暗黙的に、モバイル・ノードに提供することができる。
【0040】
さらに、本発明の別の実施の形態においては、ホーム・エージェントは、ホーム・エージェント・アドレスを生成したあと、モバイル・ノードに対して生成したホーム・エージェント・アドレスで、インタフェースをさらに設定してもよい。
【0041】
アドレス生成メカニズムは本発明の別の実施の形態に従う。例えば、ホーム・エージェントのシード値を公開してもよく、このシード値と、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵とに基づいて、モバイル・ノードに対応するホーム・エージェント・アドレスを生成してもよい。例えば、シード値は、DNSにおいてアドレスをホーム・エージェントのドメイン名にバインドすることによって公開されたホーム・エージェント・アドレスでもよい。
【0042】
また、別の実施の形態においては、モバイル・ノードとホーム・エージェントの両方が、シード値と鍵とに基づいて、同一のホーム・エージェント・アドレスを生成してもよい。従って、ホーム・エージェントは、生成したホーム・エージェント・アドレスで、ホーム・エージェントのインタフェースを設定してもよい。
【0043】
本発明の別の実施の形態においては、ホーム・エージェントに対して設定された複数のアドレスは、モバイル・ノードのホーム・アドレスを設定するのに用いるネットワーク・プレフィックスとは異なるネットワーク・プレフィックスを持つ。このことは、有益である可能性がある。以下にさらに概説するように、ホーム・エージェントが設置されているネットワーク(ホーム・ネットワークとも呼ぶ)におけるシグナリングのオーバーヘッドが減少する可能性があるからである。
【0044】
例示的な一実施の形態においては、ホーム・エージェント・アドレスはネットワーク層アドレス及び/又はIPv6プロトコルに従ったアドレスである。また、ホーム・エージェントは、例えば、モバイル・ノード及び/又はホーム・エージェントのネットワーク層モビリティをサポートしてもよく、モバイル・ノードはモバイルIPv6又はプロキシ・モバイルIPを実装する。
【0045】
本発明の別の実施の形態は、サービス妨害攻撃の影響を緩和するホーム・エージェントに関する。ホーム・エージェントは、複数のモバイル・ノードにモビリティをサポートしてもよく、通信ネットワークにおいてホーム・エージェントに到達可能な複数のアドレスを設定して、各モバイル・ノードに複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当てる処理部を含んでもよい。さらに、処理部は、サービス妨害攻撃がホーム・エージェントによって検出された場合、サービス妨害攻撃のデータ・パケットの宛先となっているホーム・エージェント・アドレスを設定解除してもよい。
【0046】
別の実施の形態は、ここに記載の別の実施の形態のいずれか1つに記載の、サービス妨害攻撃の影響を緩和する方法におけるステップを実行するように、又はそれらのステップに関与するように適応された手段を含むホーム・エージェントに関する。
【0047】
本発明の別の実施の形態は、モビリティをサポートしている通信システムにおいて使用されるモバイル・ノードに関する。モバイル・ノードは、モバイル・ノードとホーム・エージェントとの間で交換されるパケットのヘッダに挿入される前記ホーム・エージェントの擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成する処理部と、さらに、生成された擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを用いてホーム・エージェントとの間でパケットを交換する通信部とを含んでもよい。
【0048】
別の実施の形態においては、処理部は、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵に基づく鍵付きハッシュ関数を用いて擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスをそれぞれ生成してもよい。
【0049】
また、別の実施の形態においては、通信部は、例えば、ホーム・エージェントと要求を出しているモバイル・ノードとの間にセキュリティ・アソシエーションを設定するための、あるいはホーム・エージェント・アドレスを発見するためのエニーキャスト又はマルチキャストの要求をホーム・エージェントに送信してもよい。さらに、通信部は、エニーキャスト又はマルチキャストの要求に応じてホーム・エージェントによって生成されたホーム・エージェント・アドレスを含むエニーキャスト又はマルチキャストの要求に応じて受信してもよい。
【0050】
別の例示的な実施の形態によるモバイル・ノードの通信部は、ホーム・エージェントのシード値を入手可能であってもよく、このモバイル・ノードの処理部は、シード値と、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵とに基づいて、モバイル・ノードに対してホーム・エージェント・アドレスを生成してもよい。
【0051】
既に述べたように、モバイル・ノードとホーム・エージェントの両方が、シード値と鍵とに基づいて、同一のホーム・エージェント・アドレスを生成してもよい。
【0052】
本発明の別の実施の形態においては、モバイル・ノードは、モバイル・ノードのモビリティをサポートしているホーム・エージェントの割り当てられた少なくとも1つのホーム・エージェント・アドレスを入手する通信部を含んでもよい。
【0053】
モバイル・ノードに関する別の実施の形態は、ここに記載の別の実施の形態のいずれか1つに記載の、サービス妨害攻撃の影響を緩和する方法におけるステップを実行するように、又はそれらのステップに関与するように適応されている。
【0054】
さらに、本発明の別の実施の形態は、モバイル・ノードのモビリティをサポートし、ここに記載の様々な実施の形態のいずれか1つに記載のホーム・エージェント及び/又はモバイル・ノードを含む通信システムに関する。
【0055】
別の実施の形態によれば、コンピュータ読み取り可能媒体が提供される。このコンピュータ読み取り可能媒体は、命令を格納する。それらの命令は、ホーム・エージェントのプロセッサ(又は処理部)によって実行された場合に、複数のモバイル・ノードのモビリティをサポートするホーム・エージェントに、通信ネットワークにおいてホーム・エージェントに到達可能な複数のアドレスを設定させ、モバイル・ノードのそれぞれに対して複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当てさせ、サービス妨害攻撃がホーム・エージェントによって検出された場合にサービス妨害攻撃のデータ・パケットの宛先になっているホーム・エージェント・アドレスを設定解除させることによって、サービス妨害攻撃の影響を緩和させる。
【0056】
別の実施の形態によるコンピュータ読み取り可能媒体は、命令がホーム・エージェントのプロセッサによって実行された場合に、ホーム・エージェントに、ここに記載の別の実施の形態のいずれか1つに記載の、サービス妨害攻撃の影響を緩和する方法におけるステップを実行させるか、又はそれらのステップに関与させる、その命令を格納する。
【0057】
本発明の別の実施の形態は、コンピュータ読み取り可能媒体に関する。このコンピュータ読み取り可能媒体は、命令がモバイル・ノードのプロセッサによって実行された場合に、モバイル・ノードに、モバイル・ノードとホーム・エージェントとの間で交換されるパケットのヘッダに挿入されるホーム・エージェントの擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成させ、生成された擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを用いてホーム・エージェントとの間でパケットをそれぞれ交換させる、その命令を格納する。
【0058】
別の実施の形態によるコンピュータ読み取り可能媒体は、命令がモバイル・ノードのプロセッサによって実行された場合に、モバイル・ノードに、ここに記載の別の実施の形態のいずれか1つに記載の、サービス妨害攻撃の影響を緩和する方法におけるステップを実行させるか、又はそれらのステップに関与させる、その命令を格納する。
【図面の簡単な説明】
【0059】
以下において、添付の図面を参照して、本発明をより詳細に説明する。図面において類似又は対応する部分には、同じ参照番号を付してある。
【図1】モバイル・ノードと通信相手ノードとの間のMIPv6に従った通信のための双方向トンネリングの使用を例示する図である。
【図2】モバイル・ノードと通信相手ノードとの間のMIPv6に従った通信のためのルート最適化の使用を例示する図である。
【図3】複数のモバイル・ノードにサービスを提供するホーム・エージェントに仕掛けられた分散サービス妨害(DDoS)攻撃の例示的なシナリオを示す図である。
【図4】複数のモバイル・ノードにサービスを提供するホーム・エージェントに仕掛けられたDDoS攻撃のシナリオの例と、本発明の一実施の形態によるその攻撃を止める方法を示す図である。
【図5】図4のシナリオにおいてホーム・エージェントによって実行される、本発明の実施の形態によるステップを例示的に示すフローチャートである。
【図6】本発明の例示的な実施の形態による、ホーム・アドレスの生成、設定、配布、及び設定解除の手順の様々な態様を示す例示的なフローチャートである。
【図7】本発明の一実施の形態による、モバイル・ノードとホーム・エージェントにおける例示的なプロトコル・スタックを示す図である。
【発明を実施するための形態】
【0060】
以下の各節で、本発明の種々の実施の形態について説明する。例示的な目的でのみ、実施の形態の大半を、上記背景技術の項で述べたようなMIPv6を使用する通信ネットワークに関連して概説しているが、本発明はこの特定の例示的な通信ネットワークでの使用に限定されない。
【0061】
したがって、ここで使用される用語もモバイルIPv6の標準化においてIETFにより使用される用語に主として基づいている。しかしながら、ここで使用される用語とモバイルIPv6に関する実施の形態の説明とは、本発明の原理とアイデアとをそのようなシステムとこのプロトコルの使用とだけに限定するものではない。
【0062】
また、上記背景技術の項で行った説明は、ここに記載の具体的で例示的な実施の形態をよりよく理解するためのものであって、ここに具体的に記載されている通りに処理及び機能を上記移動体通信ネットワークに実装することに本発明を限定するものと理解すべきではない。しかしながら、ここで提案される改良は、背景技術の項に記載のプロトコル/システムに容易に適用し得るし、また、本発明のいくつかの実施の形態においては、これらのプロトコル/システムの標準的な手順及び改良された手順を利用し得る。
用語の定義
【0063】
以下に、本明細書において頻繁に使用されるいくつかの用語の定義を記載する。
【0064】
モバイル・ノードは通信ネットワーク内の物理エンティティである。1つのノードがいくつかの機能エンティティを有してもよい。機能エンティティとは、ノード又はそのネットワークの他の機能エンティティに対して所定の機能群を実現する及び/又は提供するソフトウエア・モジュール又はハードウエア・モジュールのことである。ノードはそれぞれ、ノードの通信が可能な通信設備又は通信媒体に自身を接続する1つ又は複数のインタフェースを有してもよい。同様に、ネットワーク・エンティティは、他の機能エンティティ又はノードとの通信が可能な通信設備又は通信媒体にこの機能エンティティを接続する論理インタフェースを有してもよい。
【0065】
ノード又は機能エンティティのアドレスは、そのノード又は機能エンティティのグローバルな識別子あるいはサイト・ローカルの識別子であり、永久的に有効な又は一時的に制限付きで有効な識別子である。一般的には、ここに記載の実施の形態のいくつかにおいては、アドレスはネットワーク層アドレス、すなわち、OSI参照モデルのネットワーク層においてノード及びネットワーク・エンティティの識別に使われるアドレスである(例えば、”COMPUTER NETWORKS,” Andrew S.Tanenbaum,fourth edition,2003,Prentice Hall PTRのchapter 1.4を参照のこと。参照することによりここに組み込まれる)。ネットワーク層すなわちレイヤ3は、一般的には、可変長のパケットを送信元から宛先へ1つ又は複数のネットワークを介して転送するための機能的及び手続き的手段を提供する。
【0066】
一般的には、1つのノードの1つのインタフェースには1つのアドレスが割り当てられる。しかしながら、単一のインタフェースに対して複数のアドレスを割り当てることも可能である。また、複数の機能エンティティを有するノードの場合は、1つ又は複数のアドレスが各機能エンティティの論理インタフェースに関連付けられてもよい。
【0067】
一般的には、各ネットワークは少なくとも1つの番号、例えばいわゆるプレフィックスによって識別される。この番号は、そのネットワークにおいてパケットをノードにルーティングするためのものである。さらに、この番号は、そのネットワーク内のノードが使用できる識別子のプールを参照する。あるネットワークにおける1つのアドレスは、その識別子プールから取り出した1つの識別子である。例えば、IPv6では、ネットワークの番号はIPv6プレフィックスであり、あるネットワークにおけるアドレスはIPv6プレフィックスとIPv6ホスト部からなるIPv6アドレスである。異なる種類のネットワークでは、例えばホーム・ネットワークと外部(フォーリン)ネットワークとでは、異なるアドレスが使用される。
【0068】
本発明のいくつかの実施の形態においては、IPv6プロトコルはネットワーク層で使用される。この場合、アドレスはあるノードの単一の(論理)インタフェースの識別子であり、別のIPv6サブネットからそのノードへ送信されたパケットが、より下位の層のリンクを介して、そのアドレスにより識別される(論理)インタフェースへ転送されるようになっている。
【0069】
モバイル・ノードの属するホーム・ネットワーク(すなわちホーム・リンク)は、一般的には、そのモバイル・ノードが、与えられたそのモバイル・ノードのホーム・アドレスに対して1つ又は複数の気付アドレスを登録する、ホーム・エージェントの位置により識別される。
【0070】
ホーム・アドレスとは、モバイル・ノードに割り当てられるアドレスであり、そのモバイル・ノードのパーマネント・アドレスとして使用される。このアドレスは、モバイル・ノードのホーム・ネットワークのプレフィックスを有する。気付アドレスとは、モバイル・ノードが外部(フォーリン)ネットワークを訪れているときにそのモバイル・ノードに関連付けられるアドレスである。気付アドレスのプレフィックスは一般的には、その在圏ネットワークのプレフィックスに等しい。モバイル・ノードは同時に1つ又は複数の気付アドレスを有してもよい。
【0071】
ホーム・エージェントとは、モバイル・ノードが現在の気付アドレスを登録するためのルーティング機能を、モバイル・ノードのホーム・ネットワーク上で提供するルータ又は機能エンティティである。モバイル・ノードがホームから離れている間、ホーム・エージェントは、例えば、そのモバイル・ノードのホーム・アドレス宛てのホーム・リンク上にあるパケットをインターセプトし、それらのパケットをカプセル化し、モバイル・ノードの登録済み気付アドレスのうちの1つ又はいくつかへそれらをトンネリングさせることによって、そのモバイル・ノードにモビリティ・サービスを提供してもよい。
【0072】
セキュリティ・アソシエーションは、2つのノード又は機能エンティティが安全な通信をサポートするために共有するセキュリティ情報群として定義できる。例えば、セキュリティ・アソシエーションは、データ暗号化アルゴリズム、データ暗号化キー(例えば、秘密鍵又は公開/秘密鍵ペア、初期化ベクトル、デジタル証明書等)を含むことができる。一般的には、外部(フォーリン)ネットワーク内のモバイル・ノードとホーム・ネットワーク内のホーム・エージェントとの間に設けられたセキュリティ・アソシエーションがある。したがって、モバイル・ノードが外部(フォーリン)ネットワークに接続しているときでも、ホーム・エージェントとモバイル・ノードとの間の(たとえば安全なトンネルを介して)暗号化された及び/又は認証/許可された通信は保証され得る。セキュリティ・アソシエーションは一般的には、エンドポイントのアドレスに、すなわち、ホーム・エージェント・アドレスとモバイル・ノードのアドレス(一般的には、ホーム・アドレス)のうちの1つとにバインドされる。
【0073】
本発明の態様の1つは、ホーム・エージェントに仕掛けられたサービス妨害攻撃に際して反応する応答的対策を提供する。この態様によれば、ホーム・エージェントは、ホーム・エージェントに到達可能な複数のアドレス(いわゆるホーム・エージェント・アドレス)で設定されてもよい。一実施の形態においては、ホーム・エージェントにより提供されるモビリティ・サービス(ホーム・エージェント機能)を使用する各モバイル・ノードには、ホーム・エージェントとの通信において使用するための個別のホーム・エージェント・アドレスを割り当ててもよい。したがって、ホーム・エージェント又は他のネットワーク要素により割り当てられた各ホーム・エージェント・アドレスは、各ホーム・エージェント・アドレスを用いたパケット交換を可能にするため、ホーム・エージェントのインタフェースに設定されるべきである。別のモバイル・ノードには別のホーム・エージェント・アドレスが割り当てられるので、攻撃者にとっては、ホーム・エージェントに設定された、サービス妨害攻撃に使用可能なアドレスを入手することははるかに難しい。例えば、単にDNSに問い合わせる代わりに、攻撃者は、ホーム・エージェント・アドレスを入手するために、あるモバイル・ノードになり済ましたり、モバイル・ノードとホーム・エージェントとの間の経路において盗み出したり、モバイル・ノードをその制御下においたり(例えば、そのモバイル・ノードをウイルスに感染させることにより)する必要があるかもしれない。
【0074】
ホーム・アドレスのうちの特定の1つに対して攻撃が仕掛けられると、ホーム・エージェントは、例えば、攻撃されたアドレスを単に設定解除することによって、攻撃を止めるための適切な対策を取ってもよく、また、例えば、攻撃されたモバイル・ノードに提供しているモビリティ・サービスの停止といった、更なる攻撃を防止するための更なるステップをオプションとして行ってもよい。ホーム・エージェントの攻撃された個々のアドレスを設定解除することは、その攻撃(例えば、(分散)サービス妨害攻撃)を止める可能性がある。設定解除されたアドレス宛てのパケットは、もはやホーム・エージェントによって処理されることがないからである。
【0075】
本発明の別の態様は、ホーム・エージェント・アドレスの生成/関連付けである。一般に、ホーム・エージェントのサービスを受ける各モバイル・ノードには、そのモバイル・ノードがホーム・エージェントとの通信のために使うことのできる(少なくとも1つの)ホーム・エージェント・アドレスを割り当ててもよい。一実施の形態においては、ホーム・エージェントはデフォルトで、あるいはモバイル・ノード毎に、複数のホーム・エージェント・アドレスを設定してもよい。したがって、1つ又は複数のモバイル・ノードが単一のホーム・エージェント・アドレスを共有してもよい。あるいは、ホーム・エージェントは、各モバイル・ノードに対して個別のホーム・エージェント・アドレスを生成し割り当ててもよい。
【0076】
ホーム・エージェント・アドレスをモバイル・ノードに関連付ける手法(例えば、1対1、1対多、又は多対1)によっては、ホーム・エージェントは、攻撃下にある、又は攻撃者によって制御されているモバイル・ノードを検出できる可能性があり、この情報を更なる攻撃を避けるための応答的対策のために使用することができる。例えば、ホーム・エージェント・アドレスとモバイル・ノードとの間に1対1の対応がある場合は、モバイル・ノードに割り当てられたホーム・エージェント・アドレスが使用されているホーム・エージェントに対する単一又は複数の攻撃が検出されたとき、ホーム・エージェントはそのモバイル・ノードが攻撃下にあると仮定してもよい。1対多の関係がある場合は、ホーム・エージェントは、例えば、他のホーム・エージェント・アドレスに対する更なる攻撃の後で攻撃されたモバイル・ノードを特定するために、攻撃のリストを保持することによって、攻撃を仕掛けられたホーム・エージェント・アドレスを割り当てられている複数のモバイル・ノードを再配置してもよい(以下を参照)。例えば、それらのモバイル・ノードはそれぞれ、別のモバイル・ノード群に割り当てられる。ここで、各モバイル・ノード群は、個別のホーム・エージェント・アドレスを持つ。この場合、ホーム・エージェントは、各モバイル・ノードが、攻撃された又は攻撃されるホーム・エージェント・アドレスをそれぞれ割り当てられているモバイル・ノード群に含まれるかどうかを確認することにより、攻撃されたモバイル・ノードを検出してもよい。
【0077】
他の実施の形態は攻撃を防止するための事前対策に関する。事前オプションの1つとして、ホーム・エージェントとモバイル・ノードは、ホーム・エージェント・アドレスをマスクしてもよい。あるいは、進行中のセッションの間にも変更され得るホーム・エージェントの複数の擬似アドレスを、通信に使用してもよい。これによって、例えば、攻撃を防止できる可能性がある。ホーム・エージェントの(擬似)ホーム・アドレスは、攻撃者に盗み出されにくい場合もあるし、さらに/あるいは、万一、攻撃者がホーム・エージェント・アドレスを盗み出されたとしても、盗み出されたアドレスが設定解除される(すなわち、別の(擬似)ホーム・エージェント・アドレスが通信に使用される)までの時間が、攻撃者にとって攻撃を仕掛けるには十分ではない場合もあるからである。
【0078】
本発明の別の態様は、ホーム・エージェント・アドレスを生成する新しいメカニズムの提案である。例えば、ホーム・エージェントは、例えばセッションを開始する前や、モバイル・ノードがホーム・エージェントとの間にセキュリティ・アソシエーションを確立するように要求したとき、ホーム・エージェント・アドレスを発見したとき、あるいはセッションの最中にBinding Updateを受信したとき又はある数のデータ・パケットがモバイル・ノードにより受信されたときなど、必要が生じる毎にモバイル・ノード毎に個別のホーム・エージェント・アドレスを設定し生成してもよい。
【0079】
別の実施の形態においては、ホーム・エージェントが、ホーム・エージェント・アドレスからモバイル・ノード・アドレスへのマッピングを保持することにしてもよい。これにより、DoS攻撃の対象としてホーム・エージェント・アドレスを得るために(例えば、盗み出された、又はコンピュータ・ウイルス感染によって)攻撃されたモバイル・ノードの検出が容易になる可能性がある。この点で有利なさらに進んだメカニズムは、ホーム・エージェントが個々のホーム・エージェント・アドレスに対して受信したパケットの受信レートを監視することである。特定のホーム・エージェント・アドレス宛てのパケット・レートが増加して、ある閾値レートを超えると、ホーム・エージェントはこれを攻撃の兆候と見なしてもよい。この場合の応答的対応策の1つは、既に述べたように、攻撃されているホーム・エージェント・アドレスを設定解除することでもよい。
【0080】
閾値レートは、例えば、ある特定のホーム・エージェント・アドレスが割り当てられた各モバイル・ノードの最大許容データ・トラフィック・レートの合計に基づいて計算されてもよい。この解決法は、特にQoS提供が使用される場合に適用してもよい。この場合は、閾値を決定するための関連情報の全てがホーム・エージェントにおいて入手可能だからである。ホーム・エージェントによってアドレスが設定解除された後、攻撃(潜在的には分散サービス妨害攻撃)のパケットがホーム・エージェントによって処理されることはもはやないので、その攻撃は止められる。同一のホーム・エージェント上で他のホーム・エージェント・アドレスを使用しているアクティブなモビリティ・セッションはそのアドレス設定解除に影響されないので、設定解除されたアドレス以外のホーム・エージェント・アドレスを使用しているモビリティ・セッションについてはサービスの中断は起こらないであろう。
【0081】
図4は、DDoS攻撃のシナリオの例と、本発明の一実施の形態によるその攻撃を止める方法を示す。また、図5は、図4のシナリオにおいてホーム・エージェントによって行われる本発明の一実施の形態によるステップを例示的に示すフローチャートを示す。ホーム・エージェントHAが異なるホーム・エージェント・アドレスHA1〜HA4をモバイル・ノードMN1〜MN4に割り当てた(ステップ501)と仮定する。この例においては、各モバイル・ノードは他のホーム・エージェント・アドレスとは異なる個別のホーム・エージェント・アドレスを割り当てられている。さらに、この例においては、モバイル・ノードMN1は、攻撃者が(1)(図中は丸付き数字で示す、以下同じ)モバイル・ノードMN1に割り当てられたホーム・エージェント・アドレスHA1を読むことを可能にするコンピュータ・ウイルスに感染しているものとする。
【0082】
攻撃者は、さらに、(2)ホーム・エージェント・アドレスHA1を自身の支配下にある他のコンピュータ機器にばら撒く可能性がある。その目的は、大量のパケットをホーム・エージェント・アドレスHA1に送ってホーム・エージェントを「過負荷」状態にすることによって、ホーム・エージェントHAに対する分散サービス妨害攻撃を開始することである。
【0083】
図5に示すように、ホーム・エージェントHAは、設定された異なるホーム・エージェント・アドレスHA1〜HA4について受信パケット・レートを継続的に監視してもよい(502)。例えば、測定されたパケット・レートと閾値/レートを比較することによって、ホーム・エージェントは、攻撃がホーム・エージェントHAに仕掛けられている兆候と見なすことの可能な、検出されたパケット・レートの異常な増加を検出してもよい(503)。例えば、攻撃者の支配下にあるコンピュータ機器が(3)ホーム・エージェントHAに対する連係された攻撃を開始すると、ホーム・エージェントHAによって(4)ホーム・エージェント・アドレスHA1についてのデータ・パケットの受信レートの異常な増加が検出される可能性がある(503)。
【0084】
この検出に応じて、ホーム・エージェントHAは、攻撃を止める応答的対応策を取ってもよい。この例示的な実施の形態においては、ホーム・エージェントHAはこのアドレス宛てのパケットがさらにホーム・エージェントによって処理されることがないように(4)ホーム・エージェント・アドレスHA1を設定解除する(504)。
【0085】
オプションとして、ホーム・エージェントHAは、更なる攻撃を防止する更なる対策を取ってもよい(505)。これは、例えば、攻撃されている1つ又は複数のモバイル・ノードを検出すること及び(さらにオプションとして)例えば、攻撃されているモバイル・ノードに対してホーム・エージェント機能の提供を停止するなど、そのモバイル・ノードに対してモビリティ・サービスを停止することを含んでもよい。
【0086】
以下の節において、本発明のその他の態様及び本発明の別の実施の形態による上述の基本的な手順をさらに改良したものをさらに詳細に述べる。
【0087】
上述の図4及び図5に基づいて述べた例示的な実施の形態を考慮すると、提案されたメカニズムはホーム・エージェントHA自体に対するDoS攻撃を防止できない可能性があることに気付く。その理由の1つは、ホーム・エージェント・アドレスHA1を設定解除した後、このアドレス宛てのパケットがホーム・エージェントの下位層のプロトコルによって依然として処理される可能性があることである。
【0088】
例えば、ホーム・エージェント・アドレスがネットワーク層で設定されると仮定するとき、1つ又は複数のリンク層プロトコル(リンク層はメディア・アクセス制御(MAC)層と呼ばれることも多い)は設定解除されたネットワーク層アドレス宛てのパケットを依然として処理しなければならない可能性がある。オンリンクのルータにおけるアドレス解決キャッシュの既存のエントリ(ARP/NDPキャッシュのエントリなど)がまだ期限切れになっていない、あるいは更新されていない可能性があるからである(ARP=Address Resolution Protocol(アドレス解決プロトコル)、NDP=Neighbor Discovery Protocol(近隣探索プロトコル)。Plummer,”An Ethernet Address Resolution Protocol −− or −− Converting Network Protocol Addresses to 48.bit Ethernet Address for Transmission on Ethernet Hardware,”IETF RFC 826,1982年11月及びNarten他、”Neighbor Discovery for IP Version 6 (IPv6),”IETF RFC 2461,1998年12月を参照のこと。両文献はHTTP://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)。
【0089】
この潜在的な欠点を克服するため、本発明の一実施の形態によれば、ホーム・エージェントは設定解除されたホーム・エージェント・アドレスの代わりに下位層アドレス(ホーム・エージェントのリンク層アドレスなど)を広告してもよい。ここで、広告される下位層アドレスはホーム・エージェントの下位層アドレスとは異なる。例えば、アドレス解決機能(例えば、上述したようにNDPとARP)を提供するプロトコルがこの目的に適している可能性がある。
【0090】
1つの例においては、設定解除されたホーム・エージェント・アドレスと広告された下位層アドレスはホーム・エージェントのネットワーク上のいずれのノード上にも設定されていない。これにより、ホーム・エージェントが位置するネットワークのルータ又はホストが影響を受けて、設定解除されたホーム・エージェント・アドレス宛てのパケットを落とす可能性がある。別のオプションは、設定解除されたホーム・エージェント・アドレスを引き継ぐ専用サーバをホーム・エージェントのネットワークに配置することである。その場合、ホーム・エージェントによって広告された下位層アドレスは、専用サーバの下位層アドレスと等しくなければならない。どちらのオプションも有益である可能性がある。設定解除されたホーム・エージェント・アドレス宛てのパケットは、もはやホーム・エージェントによって受信されないので、もはやホーム・エージェントにおける処理のためのシステム・リソースを利用しない可能性があるからである。
【0091】
設定解除されたホーム・エージェント・アドレスの代わりに新しい下位層アドレスを広告する方法の1つの例は、ホーム・エージェントが1つ又は複数の自発的近隣広告メッセージ(ホーム・エージェント・アドレスがIPv6アドレスの場合)又は無償ARP応答(ホーム・エージェント・アドレスがIPv4アドレスの場合)を上書きフラグを設定して送信することである。これらのメッセージは、ホーム・エージェントに対して、設定解除されたホーム・エージェント・アドレスと、正しいホーム・エージェントのリンク層アドレスとは異なる別のリンク層アドレスとの新しい対応付けを設定する。その結果、そのリンク上のホスト及びルータにおける近隣キャッシュは更新され、ホーム・エージェント・アドレスHA1宛てのパケットはもはや、ネットワーク層(例えばIPv4又はIPv6)及びリンク層(例えばMAC)のいずれにおいても、ホーム・エージェントによって処理されない。
【0092】
本発明の別の態様は、攻撃が少なくともより困難になる可能性のある事前対策を提案することである。一実施の形態によれば、モバイル・ノードに割り当てられたホーム・エージェント・アドレスは潜在的な攻撃者から隠してもよい。したがって、潜在的な攻撃者は設定されたホーム・エージェント・アドレスをもはや盗み出すことはできない可能性があるので、攻撃は防止できる可能性がある。もちろん、モバイル・ノードが、例えばコンピュータ・ウイルス感染のため攻撃者の支配下にある場合は、攻撃者は依然として有効なホーム・エージェント・アドレスを入手できる可能性がある。
【0093】
一般的に、更なる対策を講じなければ、一般的には、モバイル・ノードとホーム・エージェントとの間の経路上の攻撃者が、モバイル・ノードにより送受信されたシグナリング・パケット及びデータ・パケットのヘッダ(例えばIPヘッダ)中の送信元と宛先のアドレスを単に監視することによって、ホーム・エージェント・アドレスを割り出すことは可能である。上に提案されたように、モバイル・ノードとホーム・エージェントとの間で交換されるパケットからホーム・エージェント・アドレスをこのように読みだすことを防止するための1つのオプションにおいては、ヘッダ中のホーム・エージェント・アドレス(モバイル・ノードからホーム・エージェントに送信されたパケットでは宛先アドレス、ホーム・エージェントからモバイル・ノードに送信されたパケットでは送信元アドレス)を、盗み出した者から隠してもよい。これを実現する1つの例示的なオプションとしては、パケットを暗号化してゲートウェイへトンネリングさせてもよい。しかしながら、このオプションは、ゲートウェイのアドレスが暴かれて、ホーム・エージェントがそうであったのと同じように、DoS攻撃に対して無防備になってしまいかねないという潜在的な欠点を持つ可能性がある。
【0094】
本発明の別の実施の形態による別のオプションは、1つ又は複数のモバイル・ノードに割り当てられたホーム・エージェント・アドレスを頻繁に変更することによって、ホーム・エージェント・アドレスを経路上の潜在的な攻撃者から隠すこと、あるいは、少なくとも攻撃に影響されにくくすることである。アドレスを頻繁に変更することは、攻撃者に、アドレスがまた変わりホーム・エージェントのインタフェースから設定解除されるまでにアドレスをばら撒いて攻撃を調整するための十分な時間を与えない可能性がある。しかしながら、ホーム・エージェントからモバイル・ノードへ送信されるパケットのヘッダ中のアドレスを変更することは、IPv6の上で動作するIPsecなど、上位層プロトコルにとっては問題となる可能性がある。セキュリティ・アソシエーションが通信しているピアの個々のアドレスにバインドされる可能性があるからである。
【0095】
本発明の一実施の形態は、確立されたセキュリティ・アソシエーションがバインドされる個々のアドレスが更新されるように、セキュリティ・アソシエーションを確立するプロトコルの拡張を提案する。進行中のセッションの間に行われるホーム・エージェント・アドレスの変更(モバイル・ノード・アドレスの変更も)は、セキュリティ・アソシエーションのアドレスを更新するための更なるシグナリングを必要とする可能性がある。1つの考え得る解決法としては、セキュリティ・アソシエーションがバインドされる新しいアドレスを含むメッセージを、他方のピア(すなわち、モバイル・ノード又はホーム・エージェント)に送信してもよい。このシグナリング・メッセージは、例えば、セキュリティ・アソシエーションにより保護されていてもよい。セキュリティ・アソシエーションにバインドされたアドレスを更新するためのシグナリング・メッセージは、例えば、Eronen、”IKEv2 Mobility and Multihoming Protocol (MOBIKE),”IETF RFC 4555,2006年6月(http://www.ietf.orgにおいて入手可能であり、参照することによりここに組み込まれる)で定義されているようなメッセージと同様に、あるいは、新しいセキュリティ・アソシエーションを確立するためのメッセージ(例えば、Haley他、”Mobility Header Home Agent Switch Message,”IETFインターネット草稿,draft−ietf−mip6−ha−switch−00.txt,2006年6月参照)と同様に設計されていてもよい。
【0096】
進行中のセッションにおけるアドレス変更の潜在的な問題を克服する可能性のある本発明の別の実施の形態による別の代替的な解決策は、送信元/宛先アドレスの変更をIPsecなど、上位層プロトコルにとってトランスペアレントにしておくことである。これは、例えば、ホーム・エージェントとモバイル・ノードとの間で送信されるパケットのヘッダにおいて擬似ホーム・エージェント・アドレスを使用することによって実現してもよい。この場合、モバイル・ノード(及びホーム・エージェント)におけるIPプロトコル層は、パケットをプロトコル・スタックにおける1つ上の層に渡す前に、擬似ホーム・エージェント・アドレスを(「実際の」)割り当てられたホーム・エージェント・アドレスで置き換えてもよい。擬似ホーム・エージェント・アドレスはモバイル・ノードとホーム・エージェントとの間の通信に使用されるので、ホーム・エージェントの少なくとも1つのインタフェースは擬似アドレスで設定されなければならない。擬似アドレスが変更されたら、古い擬似アドレスはホーム・エージェントのインタフェースから設定解除されてもよい。
【0097】
図7は、本発明の一実施の形態によるモバイル・ノード及びホーム・エージェントにおける例示的なプロトコル・スタックを示す。以下、この例示的なプロトコル・スタックを参照しながら、擬似ホーム・エージェント・アドレスの使用についてさらに詳細に説明する。この例示的な実施の形態において、物理層(すなわち、物理層プロトコル)の実装は、特に重要なものではない可能性があるので、最下層を総称して「物理層」と呼んでいる。また、リンク層はメディア・アクセス制御層プロトコルを使用して実装されてもよい。
【0098】
このプロトコル層は、この例ではIPv6を提供するネットワーク層とインタフェースする。ここで、IPv6プロトコルとMACプロトコルとの間のアドレッシングには、擬似ホーム・エージェント・アドレスが使用される。すなわち、この例では、MAC層に渡されるIPv6パケットのヘッダが、モバイル・ノードからホーム・エージェントへ宛てたパケットの宛先アドレス、あるいはホーム・エージェントからモバイル・ノードへ宛てたパケットの送信元アドレスとして擬似ホーム・エージェント・アドレスを含む。MIPv6やIPsecなど、セッション層及び/又はアプリケーション層プロトコルとしての上位層のデータを運ぶIPv6パケットが、その上位層に渡される必要のある場合、擬似ホーム・エージェント・アドレスは「実際の」ホーム・エージェント・アドレス、すなわち、上位層プロトコルに知られているホーム・エージェント・アドレスに置き換えられる。このようにして、擬似ホーム・エージェント・アドレスの使用はプロトコル・スタックにおいて使用されている上位層プロトコルにとってトランスペアレントであってもよい。
【0099】
擬似ホーム・エージェント・アドレスを、IPsecなど、セキュリティ機能をモバイル・ノードとホーム・エージェントとの間の通信に提供するプロトコルから見てトランスペアレントにしておくことは、有益である可能性がある。特定のホーム・エージェント・アドレスに対するセキュリティ・アソシエーションがモバイル・ノードとホーム・エージェントとの間に確立されている(例えば、MIPv6の場合)と仮定すると、使用されている各ホーム・エージェント・アドレスは一般的にはそれぞれ別のセキュリティ・アソシエーションを必要とする。したがって、頻繁に変化する可能性のある擬似ホーム・エージェント・アドレスをセキュリティ関連の機能又はプロトコルから見てトランスペアレントにしておくことによって、「実際の」ホーム・エージェント・アドレスに対して確立された1つのセキュリティ・アソシエーション(例えば、図7の例ではMIPv6用のIPsec)を、アドレッシング機能を提供する下位のネットワーク層プロトコル(例えば、図7の例ではIPv6)によって通信のために採用されて実際に使用される「擬似」ホーム・エージェント・アドレスとは独立に使用することができる。
【0100】
ホーム・エージェント・アドレスの変更に関連する別の潜在的な問題は、変化するアドレスが、モバイル・ノードとホーム・エージェントとの間で交換されるパケットのルーティングに一般的に利用されることである(例えば、変化するアドレスが、パケットの送信元アドレス及び/又は宛先アドレスとして設定される必要がある場合には、パケットのヘッダに設定される)。ルーティングは一般的にはパケットのヘッダに設定された宛先アドレスのプレフィックスに基づくので、設定されたホーム・エージェント・アドレスを潜在的な攻撃者から隠すために考え得る別の解決法は、インタフェースの識別子のみをマスクすることであろう。擬似ホーム・エージェント・アドレスを使用する例示的な場合を考えると、上記の問題と潜在的な解決策は似ている。擬似ホーム・エージェント・アドレスでホーム・エージェントに到達可能なようにするために、一般的には、これらアドレスがホーム・エージェントに設定される必要があり、このことは、ホーム・エージェントの持つ擬似ホーム・エージェント・アドレスもDoS攻撃の対象になり得ることを意味しているからである。
【0101】
従って、パケットのヘッダにおいて宛先又は送信元アドレスとして使用されるホーム・エージェント・アドレスが長時間使用されることがないということは有益なようである。本発明の一実施の形態において、1つ又は複数のモバイル・ノードに割り当てられたホーム・エージェント・アドレスはこのようにホーム・エージェントによって定期的に変更されてもよい。ホーム・エージェント・アドレスの変更が上位の層にとってトランスペアレントに行われなければならない場合は、モバイル・ノードによって使用される擬似ホーム・エージェント・アドレスは定期的に変更してもよい。例示の目的のために、攻撃者が現在有効な(擬似)ホーム・エージェント・アドレスを入手し、その有効なアドレスを自身の支配下にあるコンピュータ機器にばら撒いて、DDoS攻撃を仕掛けるのに約30分必要であると仮定すると、モバイル・ノードに割り当てられた(擬似)ホーム・エージェント・アドレスは30分間隔よりも頻繁に、例えば、20分毎などに変更されてもよい。このことは、ホーム・エージェント・アドレスの盗み出しに対して役立つだけではなく、モバイル・ノードを支配下に置く攻撃者に対しても役立つ。ホーム・エージェント・アドレスが十分頻繁に変われば、攻撃者にとってホーム・エージェント・アドレスを突き止め、それらのアドレスをばら撒き、攻撃を開始するのに十分な時間がない可能性がある。
【0102】
1つ又は複数のモバイル・ノードに対応する実際のホーム・エージェント・アドレスを変更する際には、アクティブなモビリティ・セッションを実行し続けることが一般的に望ましいようである。したがって、本発明の一実施の形態による1つの考え得る解決策は、例えば、IETF mip6作業グループにおいて現在開発中のホーム・エージェント・スイッチ・プロトコル(例えば、Wakikawa,”Home Agent Reliability Protocol,”IETFインターネット草稿,draft−ietf−mip6−hareliability−00.txt,2006年6月及びHaley他、”Mobility Header Home Agent Switch Message,”IETFインターネット草稿,draft−ietf−mip6−ha−switch−00.txt,2006年6月を参照のこと。両文献は、http://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)を使用して、モバイル・ノードを新しいホーム・エージェント・アドレスに再配置することである。
【0103】
(擬似)ホーム・エージェント・アドレスの変更が達成できる方法については、いくつかの異なる手段があり得る。例えば、一実施の形態においては、鍵付きハッシュ関数を使用して新しい(擬似)ホーム・エージェント・アドレスを生成してもよい。鍵関数を使用してアドレスを生成するために使用される鍵は例えば、モバイル・ノードとホーム・エージェントとの間でBinding Updateメッセージを認証するために共有される鍵から導き出してもよい。
【0104】
この実施の形態の変形例においては、新しい(擬似)アドレスはパケットx個毎に生成されてもよい。したがって、鍵ハッシュ関数だけではなく、カウンタの値が鍵の生成に含まれるようにし、パケットx個毎に別のインタフェース識別子を生成してもよい。極端な場合においては、整数xは1であり、モバイル・ノードとホーム・エージェントとの間で交換されるパケット毎に異なる宛先/送信元アドレス((擬似)ホーム・エージェント・アドレス)を持つ。カウンタとしては、例えば、パケット・カウンタ又はBinding Updateメッセージのシーケンス番号を用いることができる。
【0105】
ホーム・エージェントは、一般的には、モバイル・ノードからパケットを受信できるように、(擬似)ホーム・エージェント・アドレスで設定されている必要があるので、ホーム・エージェントは、モバイル・ノードによって新しいホーム・エージェント・アドレスとして予想される次の宛先アドレスを決定するだけではなく、この新しいアドレス宛てのパケットが適切に受信されるように、この新しいアドレスで少なくとも1つのインタフェースをさらに設定してもよい。パケット・ロスに対応できるように、ホーム・エージェントは例えば、単に次に予想されるアドレスだけに留まらず、それ以外にもアドレスを設定してもよい(すなわち、その後に使用するためのいくつかの、例えばn個のアドレスを同時に設定してもよい)。
【0106】
将来の攻撃を防止するために、攻撃者の支配下にある(例えば、ウイルスに感染している)モバイル・ノードを特定することが望ましい可能性がある。本発明の1つの態様は、攻撃されたモバイル・ノードの検出に関し、さらにその結果に応じて対処することに関する。この場合、例えば、ホーム・エージェントは、攻撃されたモバイル端末が攻撃に対してもはや無防備ではないということが確実にならない限り(例えば、そのモバイル・ノードがウイルス・チェックを行いコンピュータ・ウイルスを除去するまで)、攻撃されたモバイル・ノードに対してモビリティ・サービスの提供及びホーム・エージェント・アドレスの割り当てを停止することができる。
【0107】
各モバイル・ノードに個別のホーム・エージェント・アドレスが割り当てられる場合は、ホーム・エージェント・アドレスを攻撃者に知られてしまったモバイル・ノードを特定するのはホーム・エージェントにとって簡単なことである。この状況においては、ホーム・エージェントが、攻撃されたホーム・エージェント・アドレス及び対応するホーム・エージェント・アドレスを割り当てられた対応するモバイル・ノード・アドレスのリストを維持するだけで十分である可能性がある。このリストによって、攻撃されたモバイル・ノードを即座に特定できる可能性がある。
【0108】
しかしながら、1つのモバイル・ノードに一意に割り当てられたホーム・エージェント・アドレスに対する攻撃が最初に検出された際には、可能ではあるものの、反応しないことが有益である可能性がある。例えば、個々のホーム・エージェント・アドレスに対するパケット・レートを監視しても、攻撃者がモバイル・ノードとホーム・エージェントとの間の経路上にいてホーム・エージェント・アドレスを盗み出すかどうか、あるいは、モバイル・ノードが実際に「永久的に」攻撃者の支配下にあるのかどうか、識別できない可能性がある。しかしながら、ホーム・エージェントにより保持されている検出された攻撃に関するレコード(例えば、攻撃されたホーム・エージェント・アドレスと、そのアドレスを割り当てられたモバイル・ノードと、オプションとして、攻撃の仕掛けられた時点などの更なる情報と、を特定する)を使用して、偶発的な「経路上攻撃」であるのか攻撃者の支配下にあるモバイル・ノードであるのかを識別してもよい。例えば、あるモバイル・ノード(例えば、ホーム・アドレスによって識別される)がいくつかのレコード(例えば、所定の期間内に閾値を超える回数の攻撃)に含まれる場合、これを、そのモバイル・ノードは頻繁に攻撃されているので、攻撃に対して無防備である、あるいは攻撃者によって支配されてさえいる兆候と見なしてもよい。
【0109】
1つの例示的な実施の形態によれば、ホーム・エージェントは、攻撃された可能性のあるモバイル・ノードを検出した場合、モバイル・ノードにモビリティ・サービスをもはや提供しないことを決定してもよい。あるいは、ホーム・エージェントは、更なる攻撃を防止する何らかの対応策を取る前に、まずモバイル端末が実際に攻撃者の支配下にあるかどうか又は攻撃の原因となっているかどうかさえテストしてもよい。例えば、攻撃された可能性のあるモバイル・ノードに、1回以上ホーム・エージェントのサービスを受けたことのある他のモバイル・ノードによって使用されていないホーム・エージェント・アドレスを割り当ててもよい。このアドレス(これらのアドレス)が攻撃にさらされる場合は、ホーム・エージェントはこれを最初の疑いを裏付けるものと見なしてもよく、モビリティ機能をそのモバイル・ノードに提供するのを停止してもよい。
【0110】
上述のように、設定されたホーム・エージェント・アドレスとモバイル・ノードとの間の1対1対応は、例えば、攻撃されている又はそれ自身が攻撃者であるモバイル・ノードを特定することとの関連では、有益である可能性がある。しかしながら、潜在的な問題は、ホーム・エージェントのインタフェース上に何千ものアドレスを設定することはできないということである可能性がある。例えば、運用システムは、同時に設定されているアドレスを限られた数しかサポートしないからである。
【0111】
この場合、複数のモバイル・ノードに同じホーム・エージェント・アドレスを割り当ててもよい。もちろん、このシナリオにおいては、同じホーム・エージェント・アドレスを割り当てられたモバイル・ノードの集合の中で、攻撃者の支配下にあるモバイル・ノードを特定することはもはや簡単ではない。本質的には、上述したように、この潜在的な問題は、遭遇した攻撃に関するレコードを保持することにより緩和される可能性がある。さらに、一群のモバイル・ノードに割り当てられたホーム・エージェント・アドレスに対する攻撃を検出したとき、ホーム・エージェントは、例えば、攻撃下にあるホーム・エージェント・アドレスを持つ各モバイル・ノードを、別のホーム・エージェント・アドレスを割り当てられる別の端末群に再配置してもよい。上記した例と同様に、複数の攻撃の後、単一の又は少数のモバイル・ノードのみが最近の一連の攻撃のうちの複数に含まれている場合、それらのモバイル・ノードは攻撃者の支配下にあると見なしてもよく、上記において概説したように適切な対応策を取ってもよい。
【0112】
単一のホーム・エージェント上にモバイル・ノード毎のホーム・エージェント・アドレスを多数設定することによるもう1つの結果として、例えば、重複アドレス検出(DAD)及びアドレス解決が原因で、ホーム・エージェントが位置しているホーム・リンク上でARP/NDPのオーバーヘッドが著しく増加する可能性がある。従って、本発明の別の実施の形態によれば、ホーム・エージェントは自身のネットワーク・インタフェース上にホーム・エージェント・アドレス専用に設定されたプレフィックスを使用してもよい。このプレフィックスは、どのホーム・リンク・プレフィックスとも違っていてもよい(すなわち、モバイル・ノードのホーム・アドレスのプレフィックスと違っていてもよい)。
【0113】
従って、ホーム・エージェントは、重複ホーム・エージェント・アドレスが存在しないことを内部で確実にしてもよく、それらのアドレスに対するDADシグナリングは省略されてもよい。別のオプションとしては、各モバイル・ノードが異なるホーム・プレフィックスを割り当てられて、特定のモバイル・ノードに割り当てられたホーム・エージェント・アドレスのプレフィックスがモバイル・ノードのホーム・アドレスのプレフィックスに一致するようにしてもよい。従って、モバイル・ノードとホーム・エージェントだけが同じプレフィックスからアドレスを設定し、そして、ホーム・エージェントがモバイル・ノードにホーム・アドレスを割り当てる場合、DADは要求されない。さらに、例えば、既に言及したIETF RFC 2461に概説されるように、ホーム・エージェントとモバイル・ノードがNS及びRS/RAパケットにおいて送信元/宛先リンク層アドレスを使用する場合、アドレス解決シグナリングはほぼゼロである。
【0114】
さらに、以下の各節では、各モバイル・ノードが1つ又は複数の個別のホーム・エージェント・アドレスを割り当てられる本発明の様々な実施の形態に焦点を合わせる。ホーム・エージェント・アドレスとモバイル・ノードとの間の対応は1対1対応が望ましいということを考慮して、異なるホーム・エージェント・アドレスを異なるモバイル・ノードに割り当てること、理想的には、モバイル・ノード1つ毎に異なるホーム・エージェント・アドレスを割り当てることが可能な様々なメカニズムが以下で提案される。しかしながら、本発明は、いかなるホーム・エージェント・アドレス割り当て/発見メカニズムと共に用いることも可能であり、以下の実施の形態によるメカニズムのみを用いた作業には限定されないことに注意されたい。さらに、記載されているメカニズムのうちのいくつかは、同じホーム・エージェント・アドレスを複数のモバイル・ノードに割り当てるために使用することが可能である。
【0115】
本発明の例示的な一実施の形態によるアドレス割り当て手法は、DHCPを用いたモバイル・ノード毎のホーム・エージェント・アドレス割り当てに基づく。DHCPベースのアドレス割り当ての1つの考え得る実装は、Chowdhury他、”MIP6−bootstrapping via DHCPv6 for the Integrated Scenario,”IETFインターネット草稿,draft−ietf−mip6−bootstrapping−integrated−dhc− 01.txt,2006年6月(http://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)に記載の原理を利用する。この文献によれば、ホーム・ネットワーク内のAAAサーバ(AAAHとも呼ばれる)はホーム・ネットワークのホーム・エージェント・アドレスをモバイル・ノードに割り当てる。基本的な手順は次の通りである。すなわち、ネットワーク・アクセス認証において、モバイル・ノードはネットワーク・アクセス・サーバ(NAS)と対話し、次に、ネットワーク・アクセス・サーバがAAAHサーバと対話する。この対話において、AAAHサーバはホーム・エージェント・アドレス(ホーム・エージェント情報に含まれる)をNASに伝える。そして、モバイル・ノードがDHCP要求をホーム・ネットワークに関する付加的な情報とともに送信する。NASと同じ場所に配置されるDHCPリレーは、このメッセージをインターセプトし、AAAHから受信したホーム・エージェント・アドレスを追加して、このメッセージをDHCPサーバに送信する。DHCPサーバはDHCP応答メッセージにホーム・エージェント・アドレスと場合によっては他のコンフィギュレーション情報を追加して、それをDHCPリレー経由でモバイル・ノードに送信する。
【0116】
本発明のこの実施の形態においては、この動作は変更され、AAAHサーバが、例えば、各モバイル・ノードに個別のホーム・エージェント・アドレスを割り当ててもよい。この動作は、統合シナリオの存在を必要とする。すなわち、在圏ネットワークのプロバイダがホーム・ネットワークのプロバイダと同一であるか、又は、ホーム・ネットワークのプロバイダとの間に信頼関係を持っている。
【0117】
本発明の別の実施の形態によるホーム・エージェント・アドレスをモバイル・ノードに割り当てる別のメカニズムにおいては、エニーキャスト又はマルチキャストベースのホーム・エージェント発見を使用してもよい。例えば、あるモバイル・ノードに対応するホーム・エージェント・アドレスは、モバイル・ノードとホーム・エージェントとの間にセキュリティ・アソシエーションを確立するための手順の一部として生成されてもよい。MIPv6においては、一般的には、セキュリティ・アソシエーションを確立するのに使用されるインターネット鍵交換プロトコル(通例、IKEと略される)がある。IKEプロトコルは一般的には、ディフィー・へルマン鍵交換を使用してセッション共有秘密を設定する。このセッション共有秘密から、モバイル・ノードとホーム・エージェントとの間の通信のために暗号化キーが導き出される。さらに、公開鍵の手法又は事前共有鍵(事前共有秘密とも呼ぶ)を使用して、通信ノード間、すなわち、モバイル・ノードとホーム・エージェントとの間で相互に認証を行ってもよい。詳細は、Kaufman,”Internet Key Exchange (IKEv2) Protocol,”IETF RFC 4306,2005年12月(http://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)を参照されたい。
【0118】
例示的な一実施の形態においては、Dupont and Weniger,”IKEv2−based Home Agent Assignment in Mobile IPv6/NEMO Bootstrapping,”IETFインターネット草稿,draft−dupont−ikev2−haassign−01.txt,2006年3月に記載されているようにモバイル・ノードによってエニーキャストのホーム・エージェント・アドレスに送信されたIKE_SA_INITメッセージを受信すると、ホーム・エージェントはホーム・エージェント・アドレスを生成してもよく、さらに自身のインタフェースのうち少なくとも1つをこの生成したアドレスで設定してもよい。モバイル・ノードからのIKE_SA_INITメッセージに応じて、ホーム・エージェントは、生成したホーム・エージェント・アドレスを応答メッセージの送信元アドレスとして用いて、応答メッセージを送信してもよい。
【0119】
ホーム・エージェント・アドレスは、例えば、乱数発生器を用いて生成されてもよいし、又は、データベースへのアクセスを用いてあるいはIKE_SA_INITの送信元アドレス(すなわち、モバイル・ノードのアドレス)に基づく数学関数を用いて決定することもできる。しかしながら、ホーム・エージェントに何百万ものホーム・エージェント・アドレスを生成する新しいDoS攻撃を防止するために、別の実施の形態によるホーム・エージェントは、まだ完了していないIKEセッション、すなわち、モバイル・ノードがまだ自身をホーム・エージェントに対して正常に認証できていないセッションに使用されるホーム・エージェント・アドレスの同時に設定できる数を制限してもよい。このモバイル・ノード毎にホーム・エージェント・アドレスを割り当てるメカニズムは、DHCPベースのメカニズムよりも一般的である。なぜなら、在圏ネットワークのプロバイダとホーム・ネットワークのプロバイダとの間に信頼関係を必要としないからである(すなわち、分割シナリオ)。本発明の別の実施の形態において上述のIKEベースのメカニズムの代わりに使用される別の代替的なエニーキャストベースの発見メカニズムとしては、IETF RFC 3775に記載のDHAAD発見メカニズムを用いてもよい。この場合、ホーム・エージェントは、DHAAD要求メッセージを受信したときに新しいホーム・エージェント・アドレスを生成し、新たに生成したアドレスをDHAAD応答メッセージに挿入する。
【0120】
図6は、本発明の例示的な一実施の形態によるホーム・アドレスの生成、設定、配布、及び設定解除の手順の様々な態様を示す例示的なフローチャートを示す。
【0121】
本発明のこの実施の形態においては、例えばIKEなどのセキュリティ関連のプロトコルがホーム・エージェントとモバイル・ノードとの間でセキュリティ・アソシエーションを確立するのに使用されると仮定する。例示的な一実施の形態によれば、セキュリティ・アソシエーション(SA)の確立手順は、モバイル端末に対する個別のホーム・エージェント・アドレスの生成と配布を含んでもよい。例えば、モバイル・ノードMN1が、SA開始メッセージ(例えば、IKE_SA_INITメッセージ)を自身のホーム・エージェントHAに送信する(601)と。このメッセージとしては、例えば、ホーム・リンクに対して送信されるエニーキャストの要求メッセージを用いることができる。ホーム・エージェントHAは、このメッセージに応じて、ホーム・エージェント・アドレスを生成する(602)。例えば、ホーム・エージェントHAは、ハッシュ化された鍵関数を使用して、要求を出しているモバイル・ノードMN1に対して個別のIPアドレスHA1(この例ではホーム・エージェント・アドレス)を生成してもよい。また、ホーム・エージェントHAは、さらに、生成したアドレスHA1を用いてホーム・リンク上に自身のインタフェースのうちの1つを設定してもよい。SA開始メッセージに応じて、ホーム・エージェントHAは、モバイル・ノードMN1にSA開始応答を返す(603)。この応答メッセージとしては、例えば、新たに生成されたホーム・エージェント・アドレスHA1がパケットの送信元アドレスとして設定されているパケットを用いることができる。モバイル・ノードMN1は応答メッセージからホーム・エージェント・アドレスHA1を読み出し、それによって、更なる通信に使うホーム・エージェント・アドレスHA1及びどのアドレスにセキュリティ・アソシエーションが確立されるのかを知らされる。点線の四角で示されるように、ホーム・エージェントHAとモバイル・ノードMN1はさらに、セキュリティ・アソシエーションを確立するための標準ブートストラップ手順を進める(604)。このセキュリティ・アソシエーションは、図1に基づいて説明したようにMIPv6と類似して又は同様に、例えば、セッション内でモバイル・ノードMN1とホーム・エージェントHAとの間でトンネリングされるパケット(例えば、シグナリング・パケット及びデータ・パケット)を保護するために用いることができる。
【0122】
また、図6はさらに、ステップ605、606、607、及び608において、第2のモバイル・ノードMN2に対するホーム・エージェント・アドレスHA2の生成と配布を示す。この手順は、上述のモバイル・ノードMN1に対する手順と類似している。また、別の実施の形態においては、モバイル・ノードMN1がモビリティ・サービスを停止する(609)と仮定してもよい。例えば、モバイル・ノードMN1がホームに戻ると(すなわち、MIPv6環境では、ホーム・リンクに接続すると)、モバイル・ノードMN1は自身の気付アドレスのホーム・エージェントでの登録を解除してもよい。これは、例えば、モバイル・ノードのホーム・アドレスを新しい気付アドレスとして示すBinding Updateをホーム・エージェントHAに送信する(610)ことによって達成されてもよい。例えばそのBinding Updateに基づいて、モビリティ・サービスがホーム・エージェントHAで停止されることを検出すると、ホーム・エージェントHAはこれまでモバイル・ノードMN1に割り当てていたホーム・エージェント・アドレスHA1を設定解除してもよい(611)。
【0123】
別の例示的な実施の形態においては、攻撃者がモバイル・ノードMN2のホーム・エージェント・アドレスHA2を知ってしまったと仮定してもよい。攻撃者が、ホーム・エージェント・アドレスHA2を使用するホーム・エージェントHAに対して(D)DoS攻撃を仕掛ける(612)と仮定する。次に、ホーム・エージェントHAは、例えばHA2宛てのパケットについてのパケット受信レートの急な増加に基づいて、その攻撃を検出してもよい(613)。したがって、ホーム・エージェントは、MN2に対応するホーム・エージェント・アドレスHA2を設定解除してもよい(614)。オプションとして、ホーム・エージェントHAはさらに、新しいホーム・エージェント・アドレスをモバイル・ノードMN2に割り当ててもよい。あるいは、モバイル・ノードMN2がホーム・エージェントHAに対する過去の攻撃のいくつかに関与していた場合、ホーム・エージェントHAは、既に概説したように、もはやモビリティ機能をモバイル・ノードMN2に提供しなくてもよい。
【0124】
本発明の別の実施の形態による分割シナリオにおけるモバイル・ノード毎にホーム・エージェント・アドレスを割り当てるためのさらに別の代替的なメカニズムは、Giaretta他、”Mobile IPv6 bootstrapping in split scenario,”IETFインターネット草稿,draft−ietf−mip6−bootstrapping−split− 02.txt,2006年3月(http://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)に記載されるようなホーム・エージェント・アドレス発見のためのDNSを共有秘密ベースのホーム・エージェント・アドレス生成と組み合わせることである。この例示的な実施の形態においては、ホーム・エージェントは例えば、DNSにおいてシード値(これは公開されているホーム・エージェント・アドレスであってもよい)を発行してもよい。モバイル・ノードとホーム・エージェントは、このシード値を共有鍵と共に用いて、ホーム・エージェントとモバイル・ノードだけが知っているモバイル・ノード毎のホーム・エージェント・アドレスを算出する。
【0125】
このホーム・エージェント・アドレスの生成において使用される鍵は例えば、モバイルIPシグナリングを保護するのに必要な共有鍵から(例えば、IETF RFC 3775に記載されているようなリターン・ルータビリティ手順から、又はセキュリティ・アソシエーションを確立するためのIPsec関連のシグナリングから)導き出してもよい。
【0126】
ホーム・エージェント・アドレスを算出する又は生成するための関数は、例えば、鍵付きハッシュ関数であってもよい。例示的な目的のために、PHAをDNSにおいて発行された公開ホーム・エージェント・アドレス、kをモバイル・ノードとホーム・エージェントだけが知っている共有秘密であると仮定すると、モバイル・ノードとホーム・エージェントは例えば、関数MHA=H(k,PHA)を用いてモバイル・ノード毎のホーム・エージェント・アドレスMHAを算出できる。ここで、Hは公開ホーム・エージェント・アドレスPHAに適用される鍵kを用いる鍵付きハッシュ関数である。また、変形例においては、プレフィックスは予め設定されたもの又はホーム・エージェントによって割り当てられたものに変更されてもよい。ホーム・エージェントは例えば、公開ホーム・エージェント・アドレスPHAを変更することにより、又は新しい鍵kを導きだすことにより、モバイル・ノード毎のホーム・エージェント・アドレスを変更してもよい。あるいは、既に述べたように、シーケンス番号などほかのパラメータ又はパケット・カウンタを鍵生成メカニズムにおいて考慮してもよい。
【0127】
このホーム・アドレス生成メカニズムの利点として考えられるのは、モバイル・ノード毎にホーム・エージェント・アドレスを割り当てるためのシグナリングを必要としないことである。しかしながら、特定のホーム・エージェント・アドレスをモバイル・ノードに割り当てること、あるいは、同じホーム・エージェント・アドレスを複数のモバイル・ノードに割り当てることは困難である可能性がある。
【0128】
また、別の実施の形態による別の例示的なホーム・アドレス配布メカニズムは特に、プロキシ・モバイルIP(PMIPとも呼ばれる。Chowdhury他、”Network Based Layer 3 Connectivity and Mobility Management for IPv6,”IETFインターネット草稿,draft−chowdhury− netmip6−01.txt,2006年9月を参照のこと。この文献は、http://wwwjetf.orgにて入手可能であり、参照することによりここに組み込まれる)とモバイルIPv6の組み合わせが使用される状況に適用可能である。この実施の形態においては、モバイル・ノードではなくMIPプロキシ・エージェント(例えば、プロキシMIPにおけるAR)に特定のホーム・エージェント・アドレスを排他的に割り当ててもよい。これは有益である可能性がある。これらのエージェントはネットワーク・プロバイダの支配下にあるネットワーク・エンティティであるので、モバイル・ノードよりも安全で、全体的に見てプロキシは攻撃者の支配下に置かれる可能性が低いと仮定し得るからである。従って、プロキシがモバイル・ノードとは異なるホーム・エージェント・アドレスを使用する場合、同じホーム・エージェントがMIP及びPMIPサービスに使用されているにもかかわらず、また、感染しているモバイル・ノードによりMIPサービスのために使用されていたホーム・エージェント・アドレスは攻撃のためホーム・エージェントによって設定解除されたにもかかわらず、感染しているモバイル・ノードはPMIPモビリティ・サービスを使い続けることが可能である。
【0129】
本発明の別の実施の形態は、ハードウエア及びソフトウエアを用いた上述の様々な実施の形態の実現に関する。本発明の様々な実施の形態はコンピュータ機器(プロセッサ又は処理装置)を用いて実現又は実施し得ることが分かる。コンピュータ機器、プロセッサ、又は処理装置としては、例えば、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブル・ゲートアレイ(FPGA)、又は他のプログラマブル論理装置などを用いることができる。本発明の様々な実施の形態は、これらの機器の組み合わせによっても実施又は具体化し得る。
【0130】
また、本発明の様々な実施の形態は、プロセッサにより実行されるソフトウエア・モジュールによって、あるいはハードウエアにおいて直接、実現することができる。さらに、ソフトウエア・モジュールとハードウエア実装とを組み合わせることも可能であろう。ソフトウエア・モジュールは、例えば、RAM、EPROM、EEPROM、フラッシュメモリ、レジスタ、ハードディスク、CD−ROM、DVDなど、あらゆる種類のコンピュータ読み取り可能媒体に格納することができる。
【0131】
さらに、本発明の様々な実施の形態の個別の特徴は、単独で又は任意の組み合わせで、別の発明の主題であり得ることに留意されたい。
【0132】
具体的な実施の形態に示したように、広く記述された本発明の要旨又は範囲を逸脱することなく本発明に対して様々な変形及び/又は改良を実施し得ることが当業者には理解されるであろう。従って、これらの実施の形態はあらゆる点において限定的ではなく例示的と見なされるべきである。
【技術分野】
【0001】
本発明は、複数のモバイル・ノードに対してモビリティをサポートしているホーム・エージェントに対するサービス妨害攻撃の影響を緩和する方法に関する。さらに、本発明は、複数のモバイル・ノードに対してモビリティをサポートしているホーム・エージェントに対するサービス妨害攻撃の影響を緩和する前記方法を実現するホーム・エージェント、モバイル・ノード、及び通信システムにも関する。
【背景技術】
【0002】
通信システムは、インターネット・プロトコル(IP)ベースのネットワークに向かってますます進化している。それらの通信システムは、一般的には、相互に接続された多数のネットワークからなり、ネットワーク内においては、音声及びデータがパケットと呼ばれる断片の形で端末間で送信される。これらのIPパケットは、コネクションレス方式でルータによって宛先へルーティングされる。従って、パケットはIPヘッダとペイロード情報から構成され、ヘッダはとりわけ送信元及び宛先IPアドレスを含む。
【0003】
スケーラビリティ上の理由により、IPネットワークは階層型アドレッシング方式を使用する。従って、IPアドレスは、対応する端末を識別するだけではなく、この端末に関するロケーション情報もさらに含む。ネットワーク内のルータは、ルーティング・プロトコルによって提供される追加情報を用いて、特定の宛先へ向けて次のルータを識別することができる。
【0004】
端末がモバイル・ノード(MN)と呼ばれる移動可能なものであって、サブネット間を移動する場合、階層型アドレッシング方式のため、端末はIPアドレスをトポロジー的に正しいアドレスに変更しなければならない。しかしながら、TCP接続などの上位層における接続は、通信ノードのIPアドレス(及びポート)で定義されるので、ノードの一方が例えば移動などのためIPアドレスを変更すると、接続が切れてしまう。
【0005】
モバイルIPv6―MIPv6とも表記される―(D. Johnson, C. Perkins, J. Arkko,”Mobility Support in IPv6,”IETF RFC 3775,2004年6月を参照のこと。この文献はhttp://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)は、上位層及びアプリケーションにトランスペアレントに、すなわち、上位層の接続を切断することのない形で、モバイル・ノードがサブネット間を移動できるようにするIPベースのモビリティ・プロトコルである。従って、1つのモバイル・ノードに対し、2つのIPアドレス、すなわち、気付アドレス(CoA)とホーム・アドレス(HoA)が設定される。モバイル・ノードの上位層は、以後通信相手ノード(CN)と呼ぶ通信相手(宛先端末)との通信にホーム・アドレスを使用する。このアドレスは不変であり、モバイル・ノードを識別するという目的にかなう。トポロジー的には、このアドレスはモバイル・ノードのホーム・ネットワーク(HN)に属する。一方、気付アドレスは、サブネットの変更を伴う移動の度に変化し、ルーティング・インフラストラクチャのロケータとして使用される。トポロジー的には、このアドレスは、モバイル・ノードが現在訪れているネットワークに属する。ホーム・リンク上に位置する一群のホーム・エージェント(HA)のうちの1つが、モバイル・ノードの気付アドレスからモバイル・ノードのホーム・アドレスへのマッピングを保持し、モバイル・ノードへの着信トラフィックをモバイル・ノードの現在位置に転送する。単一のホーム・エージェントではなく一群のホーム・エージェントを配置する理由は、冗長性と負荷分散である。
【0006】
モバイルIPv6は現在、2つの動作モード、すなわち、双方向トンネリング(図1)とルート最適化(図2)とを定義している。通信相手ノードにより送信されたモバイル・ノードのホーム・アドレス宛てのデータ・パケットは、双方向トンネリングを用いて、ホーム・ネットワーク内のホーム・エージェントによりインターセプトされ、モバイル・ノードの気付アドレスへトンネリングされる。モバイル・ノードにより送信されたデータ・パケットは、ホーム・エージェントへ逆方向トンネリングされ、ホーム・エージェントは、これらのパケットをカプセル開放し、通信相手ノードへ送信する(逆方向トンネリングとは、モバイル・ノードからホーム・エージェントまでのトンネルを介してモバイル・ノードによりパケットが送信されることを意味する)。
【0007】
この動作では、ホーム・エージェントだけがモバイル・ノードの気付アドレスを通知される。従って、モバイル・ノードはBinding Updateメッセージ(BUメッセージ)をホーム・エージェントに送信する。これらのメッセージは、IPsecセキュリティ・アソシエーションを介して送信されるので、認証され完全性が保護されている。欠点は、モバイル・ノードがホーム・ネットワークから遠く離れ、通信相手ノードがモバイル・ノードに近い場合、通信経路が不必要に長くなり、非効率なルーティングと大きなパケット遅延を招くことである。
【0008】
ルート最適化モードは、通信相手ノードとモバイル・ノードとの間の直接経路を利用することによって、双方向トンネリングの非効率性を防止することができる。ルート最適化を使用する場合、モバイル・ノードはBinding Updateメッセージを通信相手ノードに送信するので、通信相手ノードは、データ・パケットをモバイル・ノードに直接送信することができる(モバイル・ノードの気付アドレスへの直接経路上でモバイル・ノードのホーム・アドレス宛てのパケットを送信するには、タイプ2ルーティング・ヘッダが使用される)。もちろん、通信相手ノードはモバイルIPv6ルート最適化サポートを実装していなければならない。
【0009】
近年、モバイルIPv6が拡張され、例えば、IETFインターネット草稿,Giaretta他、”Mobile IPv6 bootstrapping in split scenario,”2006年3月又はChowdhury他、”MIP6−bootstrapping via DHCPv6 for the Integrated Scenario,”2006年6月、及びDevarapalli他、”Mobile IPv6 Bootstrapping for the Authentication Option Protocol,”2006年6月(これらの草稿は全て、参照することによりここに組み込まれ、http://http.ietf.orgにて入手可能)に記載されているように、モバイル・ノードがホーム・エージェントを用いて動的にブートストラップできるようになった。モバイルIPv6におけるブートストラッピングは、一般的には、ホーム・エージェントの発見、対応するホーム・アドレスの設定、鍵の配布、及びモバイル・ノードとホーム・エージェントとの間のセキュリティ・アソシエーションの設定を含む。
【0010】
一般に、2つのシナリオが定義されている。いわゆる統合シナリオにおいては、在圏ネットワークはホーム・ネットワークとの間に信頼関係を持っているが、いわゆる分割シナリオにおいては、必ずしもそうとは限らない。統合シナリオにおいては、ホーム・エージェント・アドレスは、AAA(認証、認可、及びアカウンティング)とDHCP(動的ホスト設定プロトコル)を介してモバイル・ノードに割り当てることができる。スリットシナリオにおいては、ホーム・エージェント・アドレスは、ドメイン・ネーム・サービス(DNS)において発行され得る。従って、モバイル・ノードは、ドメイン名で事前設定されるだけでよく、モバイル・ノードは、DNSに問い合わせることにより、ホーム・エージェント・アドレスを発見することができる。
【0011】
モバイルIPの一般的な問題は、ホーム・エージェント・アドレスが全てのモバイル・ノードに知られていなければならないということである。全てのモバイル・ノードがデータ・パケット及びシグナリング・パケットをホーム・エージェントに直接送信できなければならないからである。これはセキュリティ上問題であるとモバイル事業者は考えている(例えば、Yabusaki他、”Mobility Management in All−IP Mobile Network: End−to−End Intelligence or Network Intelligence,”IEEE Radio Communications, 2005年12月を参照のこと。この文献は、参照することによりここに組み込まれる)。一部のモバイル・ネットワーク事業者がこれに関連して恐れているセキュリティ上の主な脅威は、ホーム・エージェントに対するサービス妨害(DoS)攻撃である。
【0012】
考え得る攻撃のシナリオが、例示の目的のために、図3に示されている。モバイル・ノードMN1〜MN4は、ホーム・エージェントHAによって提供されるモビリティ・サービスを使用している。攻撃者は、(1)(図中は丸付き数字で示す、以下同じ)例えば、DNSを介して、あるいは、モバイル・ノードの1つ(この場合は、例えばMN1)をウイルスに感染させてこのモバイル・ノードからホーム・エージェント・アドレスを読みだすことによって、ホーム・エージェント・アドレスを入手する。さらに、攻撃者は、(2)そのホーム・エージェント・アドレスを自身の支配下にある一群のPC(例えば、予めウイルスに感染させておいたPC)に送信する。続いて、攻撃者は、(3)全てのPCを作動させて、全てホーム・エージェントにおいて処理しなければならないパケットを、盗み出したホーム・エージェント・アドレスに同時に送信することによって、連係された分散サービス妨害(DDoS)攻撃をホーム・エージェントに仕掛ける。例えば、ここでボトルネックとなるのは、ホーム・エージェントにかかる負荷であり、リンク上の利用可能帯域及び経路上のルータではないとする。もちろん、必要とする処理が少ないパケットよりも、より多くの処理を必要とするパケットの方が、サービス妨害に関しては、より効果的である。すなわち、ホーム・エージェントを過負荷状態にするためには、より少ないパケットを送信しなければならない。より多くの処理を必要とするパケットの例は、例えば、モバイル・ノードとホーム・エージェントとの間のIPsec(IPセキュリティ・プロトコル)又は認証プロトコルのセキュリティ・アソシエーションを介して送信される、Binding Updateメッセージあるいは何らかのシグナリング・パケット又はデータ・パケットである。必要とする処理が少ないパケットは、例えば、 IKE_SA_INITメッセージ又は保護されていないデータ・パケットである。いずれにせよ、ホーム・エージェントが十分多くのメッセージを同時に処理しなければならない場合、ホーム・エージェントは過負荷状態になり、モビリティ・サービスのためにこのホーム・エージェントを使用している全てのモバイル・ノード(この場合は、モバイル・ノードMN1〜MN4)を含めて、ノードはもはやホーム・エージェントと通信できなくなる。結果として、モバイル・ノードMN1〜MN4の通信セッションは切断され、これらのモバイル・ノードはもはや到達不可能になってしまうであろう。ユーザがこの障害の責任はネットワーク事業者にあると非難する可能性があるので、攻撃者がモバイル・ネットワーク事業者を脅迫して金銭的な利益を得ることもあり得る。
【0013】
DoSの脅威全般を緩和するメカニズムが多数提案されている。それらのメカニズムの概要は、例えば、Rocky K.C. Chang”Defending against Flooding−Based Distributed Denial−of−Service Attacks: A Tutorial,”IEEE Communications Magazine,2002年10月において見つけることができるであろう。しかしながら、それらのメカニズムはどれも、モバイルIPにおける分散サービス妨害攻撃の問題を完全に解決することはできない。
【0014】
例えば、攻撃者はよく、スプーフィングされた送信元アドレスを使用する。このことは、Ferguson他”Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing,”IETF RFC 2827,2000年5月(http://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)において提案されているように、イングレス・フィルタリングを用いて、あるいは、例えばIETF RFC 3775においてルート最適化モードについて提案されているように、又はUS20060161980号において提案されているように、プローブ・メッセージ/リターン・ルータビリティ・チェックを用いて、ある程度は防止できる。しかしながら、送信元アドレスのスプーフィングがイングレス・フィルタリングによって防止できるのは、イングレス・フィルタリングが世界的に展開されている場合のみである。実際にはそうではなく、インターネット・サービス・プロバイダ(ISP)に対する奨励策もないため、いつかそうなる見込みもない。プローブ・メッセージ/リターン・ルータビリティ・チェックはスプーフィングを完全には防止できず、シグナリングのオーバーヘッドとパケットの遅延が増加するという欠点を持つ。さらに、DDoS攻撃はアドレスをスプーフィングしなくても可能である。
【0015】
DoS攻撃に対する別の対応策としては、例えばアカマイが行ったように、サービスを分散してもよい。一般に、好ましくはトポロジー的に離れた位置に、複数のホーム・エージェントを配置して負荷を分散させることは可能であるが、これは全ての配置シナリオにおいて可能なわけではない(例えば、カスタマーの敷地内のホーム・エージェント)。さらに、これは攻撃者にとっての障壁を高くするだけであり、言い換えるならDoS攻撃自体を防止するものではない。
【0016】
DoS攻撃に対する様々な対応策が提案されてきたが、ホーム・エージェントに対するDoS攻撃の問題は、モバイルIPv6を使用するネットワークにおいては解消できていない。モバイル・ノードがシグナリング・パケット及びデータ・パケットをホーム・エージェントに直接送信するので、ホーム・エージェント・アドレスは少なくとも全てのモバイル・ノードに知られなくてはならないからである。攻撃が成功し、更なる対策が取られない場合、このホーム・エージェントに関連付けられた全てのモバイル・ノードはモビリティ・サービスを失うことになる。すなわち、それらのモバイル・ノードの通信セッションは切断する。
【先行技術文献】
【特許文献】
【0017】
【特許文献1】US20060161980号
【非特許文献】
【0018】
【非特許文献1】D. Johnson, C. Perkins, J. Arkko,”Mobility Support in IPv6,”IETF RFC 3775,2004年6月
【非特許文献2】IETFインターネット草稿,Giaretta他、”Mobile IPv6 bootstrapping in split scenario,”2006年3月
【非特許文献3】Chowdhury他、”MIP6−bootstrapping via DHCPv6 for the Integrated Scenario,”2006年6月
【非特許文献4】Devarapalli他、”Mobile IPv6 Bootstrapping for the Authentication Option Protocol,”2006年6月
【非特許文献5】Yabusaki他、”Mobility Management in All−IP Mobile Network: End−to−End Intelligence or Network Intelligence,”IEEE Radio Communications, 2005年12月
【非特許文献6】Rocky K. C. Chang,”Defending against Flooding−Based Distributed Denial−of−Service Attacks: A Tutorial,”IEEE Communications Magazine,2002年10月
【非特許文献7】Ferguson他、”Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing,”IETF RFC 2827,2000年5月
【非特許文献8】”COMPUTER NETWORKS,” Andrew S.Tanenbaum,fourth edition,2003,Prentice Hall PTR
【非特許文献9】Plummer,”An Ethernet Address Resolution Protocol −− or −− Converting Network Protocol Addresses to 48.bit Ethernet Address for Transmission on Ethernet Hardware,”IETF RFC 826,1982年11月
【非特許文献10】Narten他、”Neighbor Discovery for IP Version 6 (IPv6),”IETF RFC 2461,1998年12月
【非特許文献11】Eronen、”IKEv2 Mobility and Multihoming Protocol (MOBIKE),”IETF RFC 4555,2006年6月
【非特許文献12】Haley他、”Mobility Header Home Agent Switch Message,”IETFインターネット草稿,draft−ietf−mip6−ha−switch−00.txt,2006年6月
【非特許文献13】Wakikawa,”Home Agent Reliability Protocol,”IETFインターネット草稿,draft−ietf−mip6−hareliability−00.txt,2006年6月
【非特許文献14】Haley他、”Mobility Header Home Agent Switch Message,”IETFインターネット草稿,draft−ietf−mip6−ha−switch−00.txt,2006年6月
【非特許文献15】Chowdhury他、”MIP6−bootstrapping via DHCPv6 for the Integrated Scenario,”IETFインターネット草稿,draft−ietf−mip6−bootstrapping−integrated−dhc− 01.txt,2006年6月
【非特許文献16】Kaufman,”Internet Key Exchange (IKEv2) Protocol,”IETF RFC 4306,2005年12月
【非特許文献17】Dupont and Weniger,”IKEv2−based Home Agent Assignment in Mobile IPv6/NEMO Bootstrapping,”IETFインターネット草稿,draft−dupont−ikev2−haassign−01.txt,2006年3月
【非特許文献18】Giaretta他、”Mobile IPv6 bootstrapping in split scenario,”IETFインターネット草稿,draft−ietf−mip6−bootstrapping−split− 02.txt,2006年3月
【非特許文献19】Chowdhury他、”Network Based Layer 3 Connectivity and Mobility Management for IPv6,”IETFインターネット草稿,draft−chowdhury− netmip6−01.txt,2006年9月
【発明の概要】
【発明が解決しようとする課題】
【0019】
本発明の目的の1つは、モバイル・ノードのモビリティを可能にする通信システムを改良するためのメカニズムを提案することである。別の目的は、このメカニズムの設計においてサービス妨害攻撃の問題を考慮することである。
【課題を解決するための手段】
【0020】
上記目的のうちの少なくとも1つは、独立請求項の主題によって解決される。有利な実施の形態は従属請求項に従う。
【0021】
本発明の態様の1つは、ホーム・エージェントに仕掛けられたサービス妨害攻撃に際して反応する応答的対策を提供する。この態様によれば、ホーム・エージェントに、ホーム・エージェントに到達可能な複数のアドレス(いわゆるホーム・エージェント・アドレス)を設定してもよい。ホーム・アドレスのうちの特定の1つに対して攻撃が仕掛けられると、ホーム・エージェントは、攻撃されたアドレスを単に設定解除すればよい。このことは、その攻撃(例えば、(分散)サービス妨害攻撃)を止める可能性がある。ホーム・エージェントの設定解除されたアドレス宛てのパケットは、もはやホーム・エージェントによって処理されることがないからである。また、別のモバイル・ノードに複数のホーム・エージェント・アドレスのうちの別のホーム・エージェント・アドレスを割り当てることによって、サブセットのモバイル・ノードだけが、すなわち、設定解除されたホーム・エージェント・アドレスを使用していたモバイル・ノードだけがサービス妨害攻撃の影響を受ける可能性がある。
【0022】
本発明の別の態様は、モバイル・ノードに対する、設定された複数のホーム・エージェント・アドレスの生成/関連付けである。これらの異なる実行可能な手段においては、モビリティ・サポートにおけるセキュリティを向上させるために、更なる応答的対策及び事前対策を実装することが可能である。一般に、ホーム・エージェントのサービスを受ける各モバイル・ノードには、そのモバイル・ノードがホーム・エージェントとの通信のために使うことのできる(少なくとも1つの)ホーム・エージェント・アドレスを割り当ててもよい。
【0023】
一実施の形態においては、ホーム・エージェントはデフォルトで、あるいはモバイル・ノード毎に、複数のホーム・エージェント・アドレスを設定してもよい。したがって、1つ又は複数のモバイル・ノードが単一のホーム・エージェント・アドレスを共有してもよい。ホーム・エージェント・アドレスとモバイル・ノードとを関連付ける手法(例えば、1対1、1対多、又は多対1)によっては、ホーム・エージェントは、攻撃下にある、又は攻撃者によって制御されているモバイル・ノードを検出できる可能性があり、この情報を更なる攻撃を避けるための予防的対策のために使用してもよい。
【0024】
他の実施の形態はホーム・エージェント・アドレスの生成における事前対策に関する。例えば、ホーム・エージェントとモバイル・ノードは、ホーム・エージェント・アドレスをマスクしてもよく、又は、進行中のセッションの間にも変更され得るホーム・エージェントの擬似アドレスを通信に使用してもよい。これによって、例えば、攻撃を防止できる可能性がある。ホーム・エージェントの(擬似)ホーム・アドレスは、盗み出されにくい場合もあるし、さらに/あるいは、万一、擬似ホーム・アドレスが盗み出されたとしても、そのアドレスが設定解除されるまでの時間が、それを盗み出した者にとって攻撃を仕掛けるには十分ではない場合もあるからである。
【0025】
本発明の一実施の形態によれば、通信ネットワークにおいて複数のモバイル・ノードに対してモビリティをサポートしているホーム・エージェントに対するサービス妨害攻撃の影響を緩和する方法が提案される。この実施の形態においては、ホーム・エージェントは、通信ネットワークにおいてホーム・エージェントに到達可能な複数のアドレスで設定されてもよい。また、各モバイル・ノードに、複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当ててもよい。サービス妨害攻撃を検出した場合、ホーム・エージェントは、サービス妨害攻撃のデータ・パケットの宛先となっているホーム・エージェント・アドレスを設定解除してもよい。
【0026】
ホーム・エージェントの攻撃されたアドレスの設定解除は、サービス妨害攻撃の影響を緩和する応答的対策と見なすことができ、DoSを止めることが可能であるという長所を持つ可能性がある。設定解除されたアドレス宛ての攻撃のパケットは、もはやホーム・エージェントによって処理されないからである。
【0027】
別の実施の形態においては、ホーム・エージェントは、設定されたホーム・エージェント・アドレスのそれぞれについて、ホーム・エージェントによって受信されるパケットの受信レートを監視してもよい。監視された受信レートに基づいて、ホーム・エージェントは、例えば、サービス妨害攻撃を検出してもよい。例えば、ホーム・エージェントは、データ・パケットの受信レートが閾値レベルを超えている(これを攻撃の兆候と見なしてもよい)ホーム・エージェント・アドレスを特定してもよく、特定されたホーム・エージェント・アドレスを設定解除してもよい。既に概説したように、攻撃されているホーム・エージェント・アドレスを設定解除することによって、攻撃を止められる可能性がある。
【0028】
例えば、ホーム・エージェント・アドレスがネットワーク層アドレスであると仮定すると、ホーム・エージェントのネットワーク層は攻撃者のパケットをもはや処理しない。しかしながら、下位層アドレッシングの方式がネットワーク層プロトコルのパケットを移送するのに使用されている場合(例えば、メディア・アクセス制御(MAC)アドレスなど、リンク層アドレッシング)、下位層プロトコルは、上記パケットを落とす前に(ホーム・エージェント・アドレスのマッチングのため、これらのパケットのリンク層アドレスは設定解除されている)、それらを依然として処理しなければならない。従って、本発明の別の実施の形態においては、ホーム・エージェントは、設定解除されたホーム・エージェント・アドレスの代わりに、ホーム・エージェントのリンク層アドレスを広告する。ここで、広告されるリンク層アドレスは、ホーム・エージェントの(正しい)リンク層アドレスとは異なる。このことによって、例えば、設定解除されたホーム・エージェント・アドレス宛てのパケットは、もはや下位のプロトコル層(リンク層など)を介してホーム・エージェントに提供されなくなるであろう。従って、これによって前述の問題は克服できる。
【0029】
本発明の別の実施の形態は、ホーム・エージェントに設定されたホーム・エージェント・アドレスの保護に関する。例えば、1つのオプションとして、少なくとも1つのモバイル・ノードに割り当てられたホーム・エージェント・アドレスを、その少なくとも1つのモバイル・ノードとホーム・エージェントとの間で交換されるパケットのヘッダにおいて、マスクしてもよい。従って、ホーム・エージェント・アドレスは、モバイル・ノードとホーム・エージェントとの間の経路上の攻撃者によってもはや盗み出されない可能性がある。例えば、ホーム・エージェント・アドレスは、上位のプロトコル層及びモビリティ関連のセキュリティ機能にとってトランスペアレントなネットワーク層アドレスである擬似ホーム・エージェント・アドレスを含むことによりによって、マスクすることができる。
【0030】
本発明の例示的な一実施の形態においては、モバイル・ノードのモビリティを可能にするために、モバイルIPv6(及び組み込まれたIPsec)が使用される。さらに、IPv6アドレッシングを使用してもよい。この例においては、擬似ホーム・エージェント・アドレスを上位のプロトコル層及びモビリティ関連のセキュリティ機能にとってトランスペアレントにしておくことは、モバイル・ノードのIPv6プロトコル層はホーム・エージェントとの通信に擬似ホーム・エージェント・アドレスを使用するが、例えば、上記擬似ホーム・エージェント・アドレスをIPsec及びMIPv6プロトコル層により使用されるホーム・エージェント・アドレスと交換することによって、擬似ホーム・エージェント・アドレスをIPsec及びMIPv6プロトコル層からは隠す、ということを意味する。このホーム・エージェント・アドレスは、モバイル・ノードとホーム・エージェントとの間のIPsecのセキュリティ・アソシエーションが定義されるホーム・エージェント・アドレスでもよい。
【0031】
擬似ホーム・エージェント・アドレスを生成する1つのオプションとしては、鍵付きハッシュ関数を使用してもよい。さらに、擬似ホーム・エージェント・アドレスは、擬似ホーム・エージェント・アドレスを用いたパケット(シグナリング・パケット又はデータ・パケット)の交換が可能なように、ホーム・エージェントによって設定される必要がある。
【0032】
また、別の実施の形態によれば、モバイル・ノードとホーム・エージェントの両方が、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するのに使用される鍵に基づく鍵付きハッシュ関数を用いて、擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成する。様々な実施の形態の記載から明らかになるように、擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成するのに使用される、ホーム・エージェントとモバイル・ノードとにとって既知の鍵を選択するための可能な手段は多数ある。
【0033】
さらに、本発明の別の実施の形態においては、擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスは、モバイル・ノードとホーム・エージェントとの間のセッションにおいて、定期的に変更されてもよい。これによって、セキュリティが向上する可能性がある。攻撃者が擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを知ってからそのアドレスに対して攻撃を仕掛ける時間は、その擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスがホーム・エージェントにおいて変更されて設定解除される前に攻撃を開始するには十分ではない可能性がある。
【0034】
本発明の他の実施の形態は、ホーム・エージェント(又は別のネットワーク要素)が複数のモバイル・ノードに同一のホーム・エージェント・アドレスを割り当てる状況に関する。
【0035】
一実施の形態においては、それらの複数のモバイル・ノードに割り当てたホーム・エージェント・アドレスを設定解除したあと、新しい個別のホーム・エージェント・アドレスをそれらの複数のモバイル・ノードの各々に割り当ててもよい。
【0036】
さらに、別の実施の形態においては、ホーム・エージェントは、例えば、サービス妨害攻撃のレコードを保持できる。このレコードは、例えば、攻撃されたホーム・エージェント・アドレスと、その攻撃されたホーム・エージェント・アドレスを割り当てられていたモバイル・ノードのリストとを示す。あるいは、ホーム・エージェントは、攻撃が検出された、特定の攻撃されたホーム・エージェント・アドレスを割り当てられていたモバイル・ノードのリストを単に保持してもよい。
【0037】
また、ホーム・エージェントは、保持しているレコード(又はリスト)に基づいて、モバイル・ノードに対する攻撃を検出してもよい。例えば、特定のモバイル・ノードがいくつかの攻撃に関するレコードに含まれている場合、ホーム・エージェントは、これを、モバイル・ノードが攻撃されている(例えば、コンピュータ・ウイルスに感染している)及び/又は攻撃者によって盗み出されていると解釈してもよい。従って、ホーム・エージェントは、例えば、攻撃されたモバイル・ノードに対するモビリティ・サービスの提供を停止してもよい。この事前対策によって、ホーム・エージェントに対する更なるサービス妨害攻撃が防止される可能性がある。
【0038】
本発明の他の実施の形態は、各モバイル・ノードが、割り当てられたホーム・エージェント・アドレスによって一意に識別できる状況に関する。つまり、各モバイル・ノードが、ホーム・エージェントとの通信に個別のホーム・エージェント・アドレスを使用する。
【0039】
本発明の別の実施の形態は、ホーム・エージェント・アドレスのモバイル・ノードへの割り当てに関する。例えば、ホーム・エージェントは、ホーム・エージェントと要求を出しているモバイル・ノードとの間にセキュリティ・アソシエーションを設定するために、又は、ホーム・エージェント・アドレスを発見するためにモバイル・ノードによって送信されたエニーキャスト又はマルチキャストの要求を受信したことに応じて、モバイル・ノードに対してホーム・エージェント・アドレスを生成してもよい。それによって(ホーム・エージェント・アドレスを生成するためのメカニズムにもよるが)、各モバイル・ノードに個別のホーム・エージェント・アドレスを提供できる可能性がある。モバイル・ノードに対してホーム・アドレスを生成した後、ホーム・エージェントは、例えば、生成したホーム・エージェント・アドレスを用いてエニーキャスト又はマルチキャストの要求に応答することによって、生成したアドレスをモバイル・ノードに提供してもよい。従って、生成されたアドレスは、そのアドレスをモバイル・ノードに送信されるパケットのヘッダ・フィールド(例えば、送信元アドレス・フィールド)に含めることによって、シグナリング・メッセージ(例えば、パラメータとして)において、又は暗黙的に、モバイル・ノードに提供することができる。
【0040】
さらに、本発明の別の実施の形態においては、ホーム・エージェントは、ホーム・エージェント・アドレスを生成したあと、モバイル・ノードに対して生成したホーム・エージェント・アドレスで、インタフェースをさらに設定してもよい。
【0041】
アドレス生成メカニズムは本発明の別の実施の形態に従う。例えば、ホーム・エージェントのシード値を公開してもよく、このシード値と、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵とに基づいて、モバイル・ノードに対応するホーム・エージェント・アドレスを生成してもよい。例えば、シード値は、DNSにおいてアドレスをホーム・エージェントのドメイン名にバインドすることによって公開されたホーム・エージェント・アドレスでもよい。
【0042】
また、別の実施の形態においては、モバイル・ノードとホーム・エージェントの両方が、シード値と鍵とに基づいて、同一のホーム・エージェント・アドレスを生成してもよい。従って、ホーム・エージェントは、生成したホーム・エージェント・アドレスで、ホーム・エージェントのインタフェースを設定してもよい。
【0043】
本発明の別の実施の形態においては、ホーム・エージェントに対して設定された複数のアドレスは、モバイル・ノードのホーム・アドレスを設定するのに用いるネットワーク・プレフィックスとは異なるネットワーク・プレフィックスを持つ。このことは、有益である可能性がある。以下にさらに概説するように、ホーム・エージェントが設置されているネットワーク(ホーム・ネットワークとも呼ぶ)におけるシグナリングのオーバーヘッドが減少する可能性があるからである。
【0044】
例示的な一実施の形態においては、ホーム・エージェント・アドレスはネットワーク層アドレス及び/又はIPv6プロトコルに従ったアドレスである。また、ホーム・エージェントは、例えば、モバイル・ノード及び/又はホーム・エージェントのネットワーク層モビリティをサポートしてもよく、モバイル・ノードはモバイルIPv6又はプロキシ・モバイルIPを実装する。
【0045】
本発明の別の実施の形態は、サービス妨害攻撃の影響を緩和するホーム・エージェントに関する。ホーム・エージェントは、複数のモバイル・ノードにモビリティをサポートしてもよく、通信ネットワークにおいてホーム・エージェントに到達可能な複数のアドレスを設定して、各モバイル・ノードに複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当てる処理部を含んでもよい。さらに、処理部は、サービス妨害攻撃がホーム・エージェントによって検出された場合、サービス妨害攻撃のデータ・パケットの宛先となっているホーム・エージェント・アドレスを設定解除してもよい。
【0046】
別の実施の形態は、ここに記載の別の実施の形態のいずれか1つに記載の、サービス妨害攻撃の影響を緩和する方法におけるステップを実行するように、又はそれらのステップに関与するように適応された手段を含むホーム・エージェントに関する。
【0047】
本発明の別の実施の形態は、モビリティをサポートしている通信システムにおいて使用されるモバイル・ノードに関する。モバイル・ノードは、モバイル・ノードとホーム・エージェントとの間で交換されるパケットのヘッダに挿入される前記ホーム・エージェントの擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成する処理部と、さらに、生成された擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを用いてホーム・エージェントとの間でパケットを交換する通信部とを含んでもよい。
【0048】
別の実施の形態においては、処理部は、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵に基づく鍵付きハッシュ関数を用いて擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスをそれぞれ生成してもよい。
【0049】
また、別の実施の形態においては、通信部は、例えば、ホーム・エージェントと要求を出しているモバイル・ノードとの間にセキュリティ・アソシエーションを設定するための、あるいはホーム・エージェント・アドレスを発見するためのエニーキャスト又はマルチキャストの要求をホーム・エージェントに送信してもよい。さらに、通信部は、エニーキャスト又はマルチキャストの要求に応じてホーム・エージェントによって生成されたホーム・エージェント・アドレスを含むエニーキャスト又はマルチキャストの要求に応じて受信してもよい。
【0050】
別の例示的な実施の形態によるモバイル・ノードの通信部は、ホーム・エージェントのシード値を入手可能であってもよく、このモバイル・ノードの処理部は、シード値と、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵とに基づいて、モバイル・ノードに対してホーム・エージェント・アドレスを生成してもよい。
【0051】
既に述べたように、モバイル・ノードとホーム・エージェントの両方が、シード値と鍵とに基づいて、同一のホーム・エージェント・アドレスを生成してもよい。
【0052】
本発明の別の実施の形態においては、モバイル・ノードは、モバイル・ノードのモビリティをサポートしているホーム・エージェントの割り当てられた少なくとも1つのホーム・エージェント・アドレスを入手する通信部を含んでもよい。
【0053】
モバイル・ノードに関する別の実施の形態は、ここに記載の別の実施の形態のいずれか1つに記載の、サービス妨害攻撃の影響を緩和する方法におけるステップを実行するように、又はそれらのステップに関与するように適応されている。
【0054】
さらに、本発明の別の実施の形態は、モバイル・ノードのモビリティをサポートし、ここに記載の様々な実施の形態のいずれか1つに記載のホーム・エージェント及び/又はモバイル・ノードを含む通信システムに関する。
【0055】
別の実施の形態によれば、コンピュータ読み取り可能媒体が提供される。このコンピュータ読み取り可能媒体は、命令を格納する。それらの命令は、ホーム・エージェントのプロセッサ(又は処理部)によって実行された場合に、複数のモバイル・ノードのモビリティをサポートするホーム・エージェントに、通信ネットワークにおいてホーム・エージェントに到達可能な複数のアドレスを設定させ、モバイル・ノードのそれぞれに対して複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当てさせ、サービス妨害攻撃がホーム・エージェントによって検出された場合にサービス妨害攻撃のデータ・パケットの宛先になっているホーム・エージェント・アドレスを設定解除させることによって、サービス妨害攻撃の影響を緩和させる。
【0056】
別の実施の形態によるコンピュータ読み取り可能媒体は、命令がホーム・エージェントのプロセッサによって実行された場合に、ホーム・エージェントに、ここに記載の別の実施の形態のいずれか1つに記載の、サービス妨害攻撃の影響を緩和する方法におけるステップを実行させるか、又はそれらのステップに関与させる、その命令を格納する。
【0057】
本発明の別の実施の形態は、コンピュータ読み取り可能媒体に関する。このコンピュータ読み取り可能媒体は、命令がモバイル・ノードのプロセッサによって実行された場合に、モバイル・ノードに、モバイル・ノードとホーム・エージェントとの間で交換されるパケットのヘッダに挿入されるホーム・エージェントの擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成させ、生成された擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを用いてホーム・エージェントとの間でパケットをそれぞれ交換させる、その命令を格納する。
【0058】
別の実施の形態によるコンピュータ読み取り可能媒体は、命令がモバイル・ノードのプロセッサによって実行された場合に、モバイル・ノードに、ここに記載の別の実施の形態のいずれか1つに記載の、サービス妨害攻撃の影響を緩和する方法におけるステップを実行させるか、又はそれらのステップに関与させる、その命令を格納する。
【図面の簡単な説明】
【0059】
以下において、添付の図面を参照して、本発明をより詳細に説明する。図面において類似又は対応する部分には、同じ参照番号を付してある。
【図1】モバイル・ノードと通信相手ノードとの間のMIPv6に従った通信のための双方向トンネリングの使用を例示する図である。
【図2】モバイル・ノードと通信相手ノードとの間のMIPv6に従った通信のためのルート最適化の使用を例示する図である。
【図3】複数のモバイル・ノードにサービスを提供するホーム・エージェントに仕掛けられた分散サービス妨害(DDoS)攻撃の例示的なシナリオを示す図である。
【図4】複数のモバイル・ノードにサービスを提供するホーム・エージェントに仕掛けられたDDoS攻撃のシナリオの例と、本発明の一実施の形態によるその攻撃を止める方法を示す図である。
【図5】図4のシナリオにおいてホーム・エージェントによって実行される、本発明の実施の形態によるステップを例示的に示すフローチャートである。
【図6】本発明の例示的な実施の形態による、ホーム・アドレスの生成、設定、配布、及び設定解除の手順の様々な態様を示す例示的なフローチャートである。
【図7】本発明の一実施の形態による、モバイル・ノードとホーム・エージェントにおける例示的なプロトコル・スタックを示す図である。
【発明を実施するための形態】
【0060】
以下の各節で、本発明の種々の実施の形態について説明する。例示的な目的でのみ、実施の形態の大半を、上記背景技術の項で述べたようなMIPv6を使用する通信ネットワークに関連して概説しているが、本発明はこの特定の例示的な通信ネットワークでの使用に限定されない。
【0061】
したがって、ここで使用される用語もモバイルIPv6の標準化においてIETFにより使用される用語に主として基づいている。しかしながら、ここで使用される用語とモバイルIPv6に関する実施の形態の説明とは、本発明の原理とアイデアとをそのようなシステムとこのプロトコルの使用とだけに限定するものではない。
【0062】
また、上記背景技術の項で行った説明は、ここに記載の具体的で例示的な実施の形態をよりよく理解するためのものであって、ここに具体的に記載されている通りに処理及び機能を上記移動体通信ネットワークに実装することに本発明を限定するものと理解すべきではない。しかしながら、ここで提案される改良は、背景技術の項に記載のプロトコル/システムに容易に適用し得るし、また、本発明のいくつかの実施の形態においては、これらのプロトコル/システムの標準的な手順及び改良された手順を利用し得る。
用語の定義
【0063】
以下に、本明細書において頻繁に使用されるいくつかの用語の定義を記載する。
【0064】
モバイル・ノードは通信ネットワーク内の物理エンティティである。1つのノードがいくつかの機能エンティティを有してもよい。機能エンティティとは、ノード又はそのネットワークの他の機能エンティティに対して所定の機能群を実現する及び/又は提供するソフトウエア・モジュール又はハードウエア・モジュールのことである。ノードはそれぞれ、ノードの通信が可能な通信設備又は通信媒体に自身を接続する1つ又は複数のインタフェースを有してもよい。同様に、ネットワーク・エンティティは、他の機能エンティティ又はノードとの通信が可能な通信設備又は通信媒体にこの機能エンティティを接続する論理インタフェースを有してもよい。
【0065】
ノード又は機能エンティティのアドレスは、そのノード又は機能エンティティのグローバルな識別子あるいはサイト・ローカルの識別子であり、永久的に有効な又は一時的に制限付きで有効な識別子である。一般的には、ここに記載の実施の形態のいくつかにおいては、アドレスはネットワーク層アドレス、すなわち、OSI参照モデルのネットワーク層においてノード及びネットワーク・エンティティの識別に使われるアドレスである(例えば、”COMPUTER NETWORKS,” Andrew S.Tanenbaum,fourth edition,2003,Prentice Hall PTRのchapter 1.4を参照のこと。参照することによりここに組み込まれる)。ネットワーク層すなわちレイヤ3は、一般的には、可変長のパケットを送信元から宛先へ1つ又は複数のネットワークを介して転送するための機能的及び手続き的手段を提供する。
【0066】
一般的には、1つのノードの1つのインタフェースには1つのアドレスが割り当てられる。しかしながら、単一のインタフェースに対して複数のアドレスを割り当てることも可能である。また、複数の機能エンティティを有するノードの場合は、1つ又は複数のアドレスが各機能エンティティの論理インタフェースに関連付けられてもよい。
【0067】
一般的には、各ネットワークは少なくとも1つの番号、例えばいわゆるプレフィックスによって識別される。この番号は、そのネットワークにおいてパケットをノードにルーティングするためのものである。さらに、この番号は、そのネットワーク内のノードが使用できる識別子のプールを参照する。あるネットワークにおける1つのアドレスは、その識別子プールから取り出した1つの識別子である。例えば、IPv6では、ネットワークの番号はIPv6プレフィックスであり、あるネットワークにおけるアドレスはIPv6プレフィックスとIPv6ホスト部からなるIPv6アドレスである。異なる種類のネットワークでは、例えばホーム・ネットワークと外部(フォーリン)ネットワークとでは、異なるアドレスが使用される。
【0068】
本発明のいくつかの実施の形態においては、IPv6プロトコルはネットワーク層で使用される。この場合、アドレスはあるノードの単一の(論理)インタフェースの識別子であり、別のIPv6サブネットからそのノードへ送信されたパケットが、より下位の層のリンクを介して、そのアドレスにより識別される(論理)インタフェースへ転送されるようになっている。
【0069】
モバイル・ノードの属するホーム・ネットワーク(すなわちホーム・リンク)は、一般的には、そのモバイル・ノードが、与えられたそのモバイル・ノードのホーム・アドレスに対して1つ又は複数の気付アドレスを登録する、ホーム・エージェントの位置により識別される。
【0070】
ホーム・アドレスとは、モバイル・ノードに割り当てられるアドレスであり、そのモバイル・ノードのパーマネント・アドレスとして使用される。このアドレスは、モバイル・ノードのホーム・ネットワークのプレフィックスを有する。気付アドレスとは、モバイル・ノードが外部(フォーリン)ネットワークを訪れているときにそのモバイル・ノードに関連付けられるアドレスである。気付アドレスのプレフィックスは一般的には、その在圏ネットワークのプレフィックスに等しい。モバイル・ノードは同時に1つ又は複数の気付アドレスを有してもよい。
【0071】
ホーム・エージェントとは、モバイル・ノードが現在の気付アドレスを登録するためのルーティング機能を、モバイル・ノードのホーム・ネットワーク上で提供するルータ又は機能エンティティである。モバイル・ノードがホームから離れている間、ホーム・エージェントは、例えば、そのモバイル・ノードのホーム・アドレス宛てのホーム・リンク上にあるパケットをインターセプトし、それらのパケットをカプセル化し、モバイル・ノードの登録済み気付アドレスのうちの1つ又はいくつかへそれらをトンネリングさせることによって、そのモバイル・ノードにモビリティ・サービスを提供してもよい。
【0072】
セキュリティ・アソシエーションは、2つのノード又は機能エンティティが安全な通信をサポートするために共有するセキュリティ情報群として定義できる。例えば、セキュリティ・アソシエーションは、データ暗号化アルゴリズム、データ暗号化キー(例えば、秘密鍵又は公開/秘密鍵ペア、初期化ベクトル、デジタル証明書等)を含むことができる。一般的には、外部(フォーリン)ネットワーク内のモバイル・ノードとホーム・ネットワーク内のホーム・エージェントとの間に設けられたセキュリティ・アソシエーションがある。したがって、モバイル・ノードが外部(フォーリン)ネットワークに接続しているときでも、ホーム・エージェントとモバイル・ノードとの間の(たとえば安全なトンネルを介して)暗号化された及び/又は認証/許可された通信は保証され得る。セキュリティ・アソシエーションは一般的には、エンドポイントのアドレスに、すなわち、ホーム・エージェント・アドレスとモバイル・ノードのアドレス(一般的には、ホーム・アドレス)のうちの1つとにバインドされる。
【0073】
本発明の態様の1つは、ホーム・エージェントに仕掛けられたサービス妨害攻撃に際して反応する応答的対策を提供する。この態様によれば、ホーム・エージェントは、ホーム・エージェントに到達可能な複数のアドレス(いわゆるホーム・エージェント・アドレス)で設定されてもよい。一実施の形態においては、ホーム・エージェントにより提供されるモビリティ・サービス(ホーム・エージェント機能)を使用する各モバイル・ノードには、ホーム・エージェントとの通信において使用するための個別のホーム・エージェント・アドレスを割り当ててもよい。したがって、ホーム・エージェント又は他のネットワーク要素により割り当てられた各ホーム・エージェント・アドレスは、各ホーム・エージェント・アドレスを用いたパケット交換を可能にするため、ホーム・エージェントのインタフェースに設定されるべきである。別のモバイル・ノードには別のホーム・エージェント・アドレスが割り当てられるので、攻撃者にとっては、ホーム・エージェントに設定された、サービス妨害攻撃に使用可能なアドレスを入手することははるかに難しい。例えば、単にDNSに問い合わせる代わりに、攻撃者は、ホーム・エージェント・アドレスを入手するために、あるモバイル・ノードになり済ましたり、モバイル・ノードとホーム・エージェントとの間の経路において盗み出したり、モバイル・ノードをその制御下においたり(例えば、そのモバイル・ノードをウイルスに感染させることにより)する必要があるかもしれない。
【0074】
ホーム・アドレスのうちの特定の1つに対して攻撃が仕掛けられると、ホーム・エージェントは、例えば、攻撃されたアドレスを単に設定解除することによって、攻撃を止めるための適切な対策を取ってもよく、また、例えば、攻撃されたモバイル・ノードに提供しているモビリティ・サービスの停止といった、更なる攻撃を防止するための更なるステップをオプションとして行ってもよい。ホーム・エージェントの攻撃された個々のアドレスを設定解除することは、その攻撃(例えば、(分散)サービス妨害攻撃)を止める可能性がある。設定解除されたアドレス宛てのパケットは、もはやホーム・エージェントによって処理されることがないからである。
【0075】
本発明の別の態様は、ホーム・エージェント・アドレスの生成/関連付けである。一般に、ホーム・エージェントのサービスを受ける各モバイル・ノードには、そのモバイル・ノードがホーム・エージェントとの通信のために使うことのできる(少なくとも1つの)ホーム・エージェント・アドレスを割り当ててもよい。一実施の形態においては、ホーム・エージェントはデフォルトで、あるいはモバイル・ノード毎に、複数のホーム・エージェント・アドレスを設定してもよい。したがって、1つ又は複数のモバイル・ノードが単一のホーム・エージェント・アドレスを共有してもよい。あるいは、ホーム・エージェントは、各モバイル・ノードに対して個別のホーム・エージェント・アドレスを生成し割り当ててもよい。
【0076】
ホーム・エージェント・アドレスをモバイル・ノードに関連付ける手法(例えば、1対1、1対多、又は多対1)によっては、ホーム・エージェントは、攻撃下にある、又は攻撃者によって制御されているモバイル・ノードを検出できる可能性があり、この情報を更なる攻撃を避けるための応答的対策のために使用することができる。例えば、ホーム・エージェント・アドレスとモバイル・ノードとの間に1対1の対応がある場合は、モバイル・ノードに割り当てられたホーム・エージェント・アドレスが使用されているホーム・エージェントに対する単一又は複数の攻撃が検出されたとき、ホーム・エージェントはそのモバイル・ノードが攻撃下にあると仮定してもよい。1対多の関係がある場合は、ホーム・エージェントは、例えば、他のホーム・エージェント・アドレスに対する更なる攻撃の後で攻撃されたモバイル・ノードを特定するために、攻撃のリストを保持することによって、攻撃を仕掛けられたホーム・エージェント・アドレスを割り当てられている複数のモバイル・ノードを再配置してもよい(以下を参照)。例えば、それらのモバイル・ノードはそれぞれ、別のモバイル・ノード群に割り当てられる。ここで、各モバイル・ノード群は、個別のホーム・エージェント・アドレスを持つ。この場合、ホーム・エージェントは、各モバイル・ノードが、攻撃された又は攻撃されるホーム・エージェント・アドレスをそれぞれ割り当てられているモバイル・ノード群に含まれるかどうかを確認することにより、攻撃されたモバイル・ノードを検出してもよい。
【0077】
他の実施の形態は攻撃を防止するための事前対策に関する。事前オプションの1つとして、ホーム・エージェントとモバイル・ノードは、ホーム・エージェント・アドレスをマスクしてもよい。あるいは、進行中のセッションの間にも変更され得るホーム・エージェントの複数の擬似アドレスを、通信に使用してもよい。これによって、例えば、攻撃を防止できる可能性がある。ホーム・エージェントの(擬似)ホーム・アドレスは、攻撃者に盗み出されにくい場合もあるし、さらに/あるいは、万一、攻撃者がホーム・エージェント・アドレスを盗み出されたとしても、盗み出されたアドレスが設定解除される(すなわち、別の(擬似)ホーム・エージェント・アドレスが通信に使用される)までの時間が、攻撃者にとって攻撃を仕掛けるには十分ではない場合もあるからである。
【0078】
本発明の別の態様は、ホーム・エージェント・アドレスを生成する新しいメカニズムの提案である。例えば、ホーム・エージェントは、例えばセッションを開始する前や、モバイル・ノードがホーム・エージェントとの間にセキュリティ・アソシエーションを確立するように要求したとき、ホーム・エージェント・アドレスを発見したとき、あるいはセッションの最中にBinding Updateを受信したとき又はある数のデータ・パケットがモバイル・ノードにより受信されたときなど、必要が生じる毎にモバイル・ノード毎に個別のホーム・エージェント・アドレスを設定し生成してもよい。
【0079】
別の実施の形態においては、ホーム・エージェントが、ホーム・エージェント・アドレスからモバイル・ノード・アドレスへのマッピングを保持することにしてもよい。これにより、DoS攻撃の対象としてホーム・エージェント・アドレスを得るために(例えば、盗み出された、又はコンピュータ・ウイルス感染によって)攻撃されたモバイル・ノードの検出が容易になる可能性がある。この点で有利なさらに進んだメカニズムは、ホーム・エージェントが個々のホーム・エージェント・アドレスに対して受信したパケットの受信レートを監視することである。特定のホーム・エージェント・アドレス宛てのパケット・レートが増加して、ある閾値レートを超えると、ホーム・エージェントはこれを攻撃の兆候と見なしてもよい。この場合の応答的対応策の1つは、既に述べたように、攻撃されているホーム・エージェント・アドレスを設定解除することでもよい。
【0080】
閾値レートは、例えば、ある特定のホーム・エージェント・アドレスが割り当てられた各モバイル・ノードの最大許容データ・トラフィック・レートの合計に基づいて計算されてもよい。この解決法は、特にQoS提供が使用される場合に適用してもよい。この場合は、閾値を決定するための関連情報の全てがホーム・エージェントにおいて入手可能だからである。ホーム・エージェントによってアドレスが設定解除された後、攻撃(潜在的には分散サービス妨害攻撃)のパケットがホーム・エージェントによって処理されることはもはやないので、その攻撃は止められる。同一のホーム・エージェント上で他のホーム・エージェント・アドレスを使用しているアクティブなモビリティ・セッションはそのアドレス設定解除に影響されないので、設定解除されたアドレス以外のホーム・エージェント・アドレスを使用しているモビリティ・セッションについてはサービスの中断は起こらないであろう。
【0081】
図4は、DDoS攻撃のシナリオの例と、本発明の一実施の形態によるその攻撃を止める方法を示す。また、図5は、図4のシナリオにおいてホーム・エージェントによって行われる本発明の一実施の形態によるステップを例示的に示すフローチャートを示す。ホーム・エージェントHAが異なるホーム・エージェント・アドレスHA1〜HA4をモバイル・ノードMN1〜MN4に割り当てた(ステップ501)と仮定する。この例においては、各モバイル・ノードは他のホーム・エージェント・アドレスとは異なる個別のホーム・エージェント・アドレスを割り当てられている。さらに、この例においては、モバイル・ノードMN1は、攻撃者が(1)(図中は丸付き数字で示す、以下同じ)モバイル・ノードMN1に割り当てられたホーム・エージェント・アドレスHA1を読むことを可能にするコンピュータ・ウイルスに感染しているものとする。
【0082】
攻撃者は、さらに、(2)ホーム・エージェント・アドレスHA1を自身の支配下にある他のコンピュータ機器にばら撒く可能性がある。その目的は、大量のパケットをホーム・エージェント・アドレスHA1に送ってホーム・エージェントを「過負荷」状態にすることによって、ホーム・エージェントHAに対する分散サービス妨害攻撃を開始することである。
【0083】
図5に示すように、ホーム・エージェントHAは、設定された異なるホーム・エージェント・アドレスHA1〜HA4について受信パケット・レートを継続的に監視してもよい(502)。例えば、測定されたパケット・レートと閾値/レートを比較することによって、ホーム・エージェントは、攻撃がホーム・エージェントHAに仕掛けられている兆候と見なすことの可能な、検出されたパケット・レートの異常な増加を検出してもよい(503)。例えば、攻撃者の支配下にあるコンピュータ機器が(3)ホーム・エージェントHAに対する連係された攻撃を開始すると、ホーム・エージェントHAによって(4)ホーム・エージェント・アドレスHA1についてのデータ・パケットの受信レートの異常な増加が検出される可能性がある(503)。
【0084】
この検出に応じて、ホーム・エージェントHAは、攻撃を止める応答的対応策を取ってもよい。この例示的な実施の形態においては、ホーム・エージェントHAはこのアドレス宛てのパケットがさらにホーム・エージェントによって処理されることがないように(4)ホーム・エージェント・アドレスHA1を設定解除する(504)。
【0085】
オプションとして、ホーム・エージェントHAは、更なる攻撃を防止する更なる対策を取ってもよい(505)。これは、例えば、攻撃されている1つ又は複数のモバイル・ノードを検出すること及び(さらにオプションとして)例えば、攻撃されているモバイル・ノードに対してホーム・エージェント機能の提供を停止するなど、そのモバイル・ノードに対してモビリティ・サービスを停止することを含んでもよい。
【0086】
以下の節において、本発明のその他の態様及び本発明の別の実施の形態による上述の基本的な手順をさらに改良したものをさらに詳細に述べる。
【0087】
上述の図4及び図5に基づいて述べた例示的な実施の形態を考慮すると、提案されたメカニズムはホーム・エージェントHA自体に対するDoS攻撃を防止できない可能性があることに気付く。その理由の1つは、ホーム・エージェント・アドレスHA1を設定解除した後、このアドレス宛てのパケットがホーム・エージェントの下位層のプロトコルによって依然として処理される可能性があることである。
【0088】
例えば、ホーム・エージェント・アドレスがネットワーク層で設定されると仮定するとき、1つ又は複数のリンク層プロトコル(リンク層はメディア・アクセス制御(MAC)層と呼ばれることも多い)は設定解除されたネットワーク層アドレス宛てのパケットを依然として処理しなければならない可能性がある。オンリンクのルータにおけるアドレス解決キャッシュの既存のエントリ(ARP/NDPキャッシュのエントリなど)がまだ期限切れになっていない、あるいは更新されていない可能性があるからである(ARP=Address Resolution Protocol(アドレス解決プロトコル)、NDP=Neighbor Discovery Protocol(近隣探索プロトコル)。Plummer,”An Ethernet Address Resolution Protocol −− or −− Converting Network Protocol Addresses to 48.bit Ethernet Address for Transmission on Ethernet Hardware,”IETF RFC 826,1982年11月及びNarten他、”Neighbor Discovery for IP Version 6 (IPv6),”IETF RFC 2461,1998年12月を参照のこと。両文献はHTTP://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)。
【0089】
この潜在的な欠点を克服するため、本発明の一実施の形態によれば、ホーム・エージェントは設定解除されたホーム・エージェント・アドレスの代わりに下位層アドレス(ホーム・エージェントのリンク層アドレスなど)を広告してもよい。ここで、広告される下位層アドレスはホーム・エージェントの下位層アドレスとは異なる。例えば、アドレス解決機能(例えば、上述したようにNDPとARP)を提供するプロトコルがこの目的に適している可能性がある。
【0090】
1つの例においては、設定解除されたホーム・エージェント・アドレスと広告された下位層アドレスはホーム・エージェントのネットワーク上のいずれのノード上にも設定されていない。これにより、ホーム・エージェントが位置するネットワークのルータ又はホストが影響を受けて、設定解除されたホーム・エージェント・アドレス宛てのパケットを落とす可能性がある。別のオプションは、設定解除されたホーム・エージェント・アドレスを引き継ぐ専用サーバをホーム・エージェントのネットワークに配置することである。その場合、ホーム・エージェントによって広告された下位層アドレスは、専用サーバの下位層アドレスと等しくなければならない。どちらのオプションも有益である可能性がある。設定解除されたホーム・エージェント・アドレス宛てのパケットは、もはやホーム・エージェントによって受信されないので、もはやホーム・エージェントにおける処理のためのシステム・リソースを利用しない可能性があるからである。
【0091】
設定解除されたホーム・エージェント・アドレスの代わりに新しい下位層アドレスを広告する方法の1つの例は、ホーム・エージェントが1つ又は複数の自発的近隣広告メッセージ(ホーム・エージェント・アドレスがIPv6アドレスの場合)又は無償ARP応答(ホーム・エージェント・アドレスがIPv4アドレスの場合)を上書きフラグを設定して送信することである。これらのメッセージは、ホーム・エージェントに対して、設定解除されたホーム・エージェント・アドレスと、正しいホーム・エージェントのリンク層アドレスとは異なる別のリンク層アドレスとの新しい対応付けを設定する。その結果、そのリンク上のホスト及びルータにおける近隣キャッシュは更新され、ホーム・エージェント・アドレスHA1宛てのパケットはもはや、ネットワーク層(例えばIPv4又はIPv6)及びリンク層(例えばMAC)のいずれにおいても、ホーム・エージェントによって処理されない。
【0092】
本発明の別の態様は、攻撃が少なくともより困難になる可能性のある事前対策を提案することである。一実施の形態によれば、モバイル・ノードに割り当てられたホーム・エージェント・アドレスは潜在的な攻撃者から隠してもよい。したがって、潜在的な攻撃者は設定されたホーム・エージェント・アドレスをもはや盗み出すことはできない可能性があるので、攻撃は防止できる可能性がある。もちろん、モバイル・ノードが、例えばコンピュータ・ウイルス感染のため攻撃者の支配下にある場合は、攻撃者は依然として有効なホーム・エージェント・アドレスを入手できる可能性がある。
【0093】
一般的に、更なる対策を講じなければ、一般的には、モバイル・ノードとホーム・エージェントとの間の経路上の攻撃者が、モバイル・ノードにより送受信されたシグナリング・パケット及びデータ・パケットのヘッダ(例えばIPヘッダ)中の送信元と宛先のアドレスを単に監視することによって、ホーム・エージェント・アドレスを割り出すことは可能である。上に提案されたように、モバイル・ノードとホーム・エージェントとの間で交換されるパケットからホーム・エージェント・アドレスをこのように読みだすことを防止するための1つのオプションにおいては、ヘッダ中のホーム・エージェント・アドレス(モバイル・ノードからホーム・エージェントに送信されたパケットでは宛先アドレス、ホーム・エージェントからモバイル・ノードに送信されたパケットでは送信元アドレス)を、盗み出した者から隠してもよい。これを実現する1つの例示的なオプションとしては、パケットを暗号化してゲートウェイへトンネリングさせてもよい。しかしながら、このオプションは、ゲートウェイのアドレスが暴かれて、ホーム・エージェントがそうであったのと同じように、DoS攻撃に対して無防備になってしまいかねないという潜在的な欠点を持つ可能性がある。
【0094】
本発明の別の実施の形態による別のオプションは、1つ又は複数のモバイル・ノードに割り当てられたホーム・エージェント・アドレスを頻繁に変更することによって、ホーム・エージェント・アドレスを経路上の潜在的な攻撃者から隠すこと、あるいは、少なくとも攻撃に影響されにくくすることである。アドレスを頻繁に変更することは、攻撃者に、アドレスがまた変わりホーム・エージェントのインタフェースから設定解除されるまでにアドレスをばら撒いて攻撃を調整するための十分な時間を与えない可能性がある。しかしながら、ホーム・エージェントからモバイル・ノードへ送信されるパケットのヘッダ中のアドレスを変更することは、IPv6の上で動作するIPsecなど、上位層プロトコルにとっては問題となる可能性がある。セキュリティ・アソシエーションが通信しているピアの個々のアドレスにバインドされる可能性があるからである。
【0095】
本発明の一実施の形態は、確立されたセキュリティ・アソシエーションがバインドされる個々のアドレスが更新されるように、セキュリティ・アソシエーションを確立するプロトコルの拡張を提案する。進行中のセッションの間に行われるホーム・エージェント・アドレスの変更(モバイル・ノード・アドレスの変更も)は、セキュリティ・アソシエーションのアドレスを更新するための更なるシグナリングを必要とする可能性がある。1つの考え得る解決法としては、セキュリティ・アソシエーションがバインドされる新しいアドレスを含むメッセージを、他方のピア(すなわち、モバイル・ノード又はホーム・エージェント)に送信してもよい。このシグナリング・メッセージは、例えば、セキュリティ・アソシエーションにより保護されていてもよい。セキュリティ・アソシエーションにバインドされたアドレスを更新するためのシグナリング・メッセージは、例えば、Eronen、”IKEv2 Mobility and Multihoming Protocol (MOBIKE),”IETF RFC 4555,2006年6月(http://www.ietf.orgにおいて入手可能であり、参照することによりここに組み込まれる)で定義されているようなメッセージと同様に、あるいは、新しいセキュリティ・アソシエーションを確立するためのメッセージ(例えば、Haley他、”Mobility Header Home Agent Switch Message,”IETFインターネット草稿,draft−ietf−mip6−ha−switch−00.txt,2006年6月参照)と同様に設計されていてもよい。
【0096】
進行中のセッションにおけるアドレス変更の潜在的な問題を克服する可能性のある本発明の別の実施の形態による別の代替的な解決策は、送信元/宛先アドレスの変更をIPsecなど、上位層プロトコルにとってトランスペアレントにしておくことである。これは、例えば、ホーム・エージェントとモバイル・ノードとの間で送信されるパケットのヘッダにおいて擬似ホーム・エージェント・アドレスを使用することによって実現してもよい。この場合、モバイル・ノード(及びホーム・エージェント)におけるIPプロトコル層は、パケットをプロトコル・スタックにおける1つ上の層に渡す前に、擬似ホーム・エージェント・アドレスを(「実際の」)割り当てられたホーム・エージェント・アドレスで置き換えてもよい。擬似ホーム・エージェント・アドレスはモバイル・ノードとホーム・エージェントとの間の通信に使用されるので、ホーム・エージェントの少なくとも1つのインタフェースは擬似アドレスで設定されなければならない。擬似アドレスが変更されたら、古い擬似アドレスはホーム・エージェントのインタフェースから設定解除されてもよい。
【0097】
図7は、本発明の一実施の形態によるモバイル・ノード及びホーム・エージェントにおける例示的なプロトコル・スタックを示す。以下、この例示的なプロトコル・スタックを参照しながら、擬似ホーム・エージェント・アドレスの使用についてさらに詳細に説明する。この例示的な実施の形態において、物理層(すなわち、物理層プロトコル)の実装は、特に重要なものではない可能性があるので、最下層を総称して「物理層」と呼んでいる。また、リンク層はメディア・アクセス制御層プロトコルを使用して実装されてもよい。
【0098】
このプロトコル層は、この例ではIPv6を提供するネットワーク層とインタフェースする。ここで、IPv6プロトコルとMACプロトコルとの間のアドレッシングには、擬似ホーム・エージェント・アドレスが使用される。すなわち、この例では、MAC層に渡されるIPv6パケットのヘッダが、モバイル・ノードからホーム・エージェントへ宛てたパケットの宛先アドレス、あるいはホーム・エージェントからモバイル・ノードへ宛てたパケットの送信元アドレスとして擬似ホーム・エージェント・アドレスを含む。MIPv6やIPsecなど、セッション層及び/又はアプリケーション層プロトコルとしての上位層のデータを運ぶIPv6パケットが、その上位層に渡される必要のある場合、擬似ホーム・エージェント・アドレスは「実際の」ホーム・エージェント・アドレス、すなわち、上位層プロトコルに知られているホーム・エージェント・アドレスに置き換えられる。このようにして、擬似ホーム・エージェント・アドレスの使用はプロトコル・スタックにおいて使用されている上位層プロトコルにとってトランスペアレントであってもよい。
【0099】
擬似ホーム・エージェント・アドレスを、IPsecなど、セキュリティ機能をモバイル・ノードとホーム・エージェントとの間の通信に提供するプロトコルから見てトランスペアレントにしておくことは、有益である可能性がある。特定のホーム・エージェント・アドレスに対するセキュリティ・アソシエーションがモバイル・ノードとホーム・エージェントとの間に確立されている(例えば、MIPv6の場合)と仮定すると、使用されている各ホーム・エージェント・アドレスは一般的にはそれぞれ別のセキュリティ・アソシエーションを必要とする。したがって、頻繁に変化する可能性のある擬似ホーム・エージェント・アドレスをセキュリティ関連の機能又はプロトコルから見てトランスペアレントにしておくことによって、「実際の」ホーム・エージェント・アドレスに対して確立された1つのセキュリティ・アソシエーション(例えば、図7の例ではMIPv6用のIPsec)を、アドレッシング機能を提供する下位のネットワーク層プロトコル(例えば、図7の例ではIPv6)によって通信のために採用されて実際に使用される「擬似」ホーム・エージェント・アドレスとは独立に使用することができる。
【0100】
ホーム・エージェント・アドレスの変更に関連する別の潜在的な問題は、変化するアドレスが、モバイル・ノードとホーム・エージェントとの間で交換されるパケットのルーティングに一般的に利用されることである(例えば、変化するアドレスが、パケットの送信元アドレス及び/又は宛先アドレスとして設定される必要がある場合には、パケットのヘッダに設定される)。ルーティングは一般的にはパケットのヘッダに設定された宛先アドレスのプレフィックスに基づくので、設定されたホーム・エージェント・アドレスを潜在的な攻撃者から隠すために考え得る別の解決法は、インタフェースの識別子のみをマスクすることであろう。擬似ホーム・エージェント・アドレスを使用する例示的な場合を考えると、上記の問題と潜在的な解決策は似ている。擬似ホーム・エージェント・アドレスでホーム・エージェントに到達可能なようにするために、一般的には、これらアドレスがホーム・エージェントに設定される必要があり、このことは、ホーム・エージェントの持つ擬似ホーム・エージェント・アドレスもDoS攻撃の対象になり得ることを意味しているからである。
【0101】
従って、パケットのヘッダにおいて宛先又は送信元アドレスとして使用されるホーム・エージェント・アドレスが長時間使用されることがないということは有益なようである。本発明の一実施の形態において、1つ又は複数のモバイル・ノードに割り当てられたホーム・エージェント・アドレスはこのようにホーム・エージェントによって定期的に変更されてもよい。ホーム・エージェント・アドレスの変更が上位の層にとってトランスペアレントに行われなければならない場合は、モバイル・ノードによって使用される擬似ホーム・エージェント・アドレスは定期的に変更してもよい。例示の目的のために、攻撃者が現在有効な(擬似)ホーム・エージェント・アドレスを入手し、その有効なアドレスを自身の支配下にあるコンピュータ機器にばら撒いて、DDoS攻撃を仕掛けるのに約30分必要であると仮定すると、モバイル・ノードに割り当てられた(擬似)ホーム・エージェント・アドレスは30分間隔よりも頻繁に、例えば、20分毎などに変更されてもよい。このことは、ホーム・エージェント・アドレスの盗み出しに対して役立つだけではなく、モバイル・ノードを支配下に置く攻撃者に対しても役立つ。ホーム・エージェント・アドレスが十分頻繁に変われば、攻撃者にとってホーム・エージェント・アドレスを突き止め、それらのアドレスをばら撒き、攻撃を開始するのに十分な時間がない可能性がある。
【0102】
1つ又は複数のモバイル・ノードに対応する実際のホーム・エージェント・アドレスを変更する際には、アクティブなモビリティ・セッションを実行し続けることが一般的に望ましいようである。したがって、本発明の一実施の形態による1つの考え得る解決策は、例えば、IETF mip6作業グループにおいて現在開発中のホーム・エージェント・スイッチ・プロトコル(例えば、Wakikawa,”Home Agent Reliability Protocol,”IETFインターネット草稿,draft−ietf−mip6−hareliability−00.txt,2006年6月及びHaley他、”Mobility Header Home Agent Switch Message,”IETFインターネット草稿,draft−ietf−mip6−ha−switch−00.txt,2006年6月を参照のこと。両文献は、http://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)を使用して、モバイル・ノードを新しいホーム・エージェント・アドレスに再配置することである。
【0103】
(擬似)ホーム・エージェント・アドレスの変更が達成できる方法については、いくつかの異なる手段があり得る。例えば、一実施の形態においては、鍵付きハッシュ関数を使用して新しい(擬似)ホーム・エージェント・アドレスを生成してもよい。鍵関数を使用してアドレスを生成するために使用される鍵は例えば、モバイル・ノードとホーム・エージェントとの間でBinding Updateメッセージを認証するために共有される鍵から導き出してもよい。
【0104】
この実施の形態の変形例においては、新しい(擬似)アドレスはパケットx個毎に生成されてもよい。したがって、鍵ハッシュ関数だけではなく、カウンタの値が鍵の生成に含まれるようにし、パケットx個毎に別のインタフェース識別子を生成してもよい。極端な場合においては、整数xは1であり、モバイル・ノードとホーム・エージェントとの間で交換されるパケット毎に異なる宛先/送信元アドレス((擬似)ホーム・エージェント・アドレス)を持つ。カウンタとしては、例えば、パケット・カウンタ又はBinding Updateメッセージのシーケンス番号を用いることができる。
【0105】
ホーム・エージェントは、一般的には、モバイル・ノードからパケットを受信できるように、(擬似)ホーム・エージェント・アドレスで設定されている必要があるので、ホーム・エージェントは、モバイル・ノードによって新しいホーム・エージェント・アドレスとして予想される次の宛先アドレスを決定するだけではなく、この新しいアドレス宛てのパケットが適切に受信されるように、この新しいアドレスで少なくとも1つのインタフェースをさらに設定してもよい。パケット・ロスに対応できるように、ホーム・エージェントは例えば、単に次に予想されるアドレスだけに留まらず、それ以外にもアドレスを設定してもよい(すなわち、その後に使用するためのいくつかの、例えばn個のアドレスを同時に設定してもよい)。
【0106】
将来の攻撃を防止するために、攻撃者の支配下にある(例えば、ウイルスに感染している)モバイル・ノードを特定することが望ましい可能性がある。本発明の1つの態様は、攻撃されたモバイル・ノードの検出に関し、さらにその結果に応じて対処することに関する。この場合、例えば、ホーム・エージェントは、攻撃されたモバイル端末が攻撃に対してもはや無防備ではないということが確実にならない限り(例えば、そのモバイル・ノードがウイルス・チェックを行いコンピュータ・ウイルスを除去するまで)、攻撃されたモバイル・ノードに対してモビリティ・サービスの提供及びホーム・エージェント・アドレスの割り当てを停止することができる。
【0107】
各モバイル・ノードに個別のホーム・エージェント・アドレスが割り当てられる場合は、ホーム・エージェント・アドレスを攻撃者に知られてしまったモバイル・ノードを特定するのはホーム・エージェントにとって簡単なことである。この状況においては、ホーム・エージェントが、攻撃されたホーム・エージェント・アドレス及び対応するホーム・エージェント・アドレスを割り当てられた対応するモバイル・ノード・アドレスのリストを維持するだけで十分である可能性がある。このリストによって、攻撃されたモバイル・ノードを即座に特定できる可能性がある。
【0108】
しかしながら、1つのモバイル・ノードに一意に割り当てられたホーム・エージェント・アドレスに対する攻撃が最初に検出された際には、可能ではあるものの、反応しないことが有益である可能性がある。例えば、個々のホーム・エージェント・アドレスに対するパケット・レートを監視しても、攻撃者がモバイル・ノードとホーム・エージェントとの間の経路上にいてホーム・エージェント・アドレスを盗み出すかどうか、あるいは、モバイル・ノードが実際に「永久的に」攻撃者の支配下にあるのかどうか、識別できない可能性がある。しかしながら、ホーム・エージェントにより保持されている検出された攻撃に関するレコード(例えば、攻撃されたホーム・エージェント・アドレスと、そのアドレスを割り当てられたモバイル・ノードと、オプションとして、攻撃の仕掛けられた時点などの更なる情報と、を特定する)を使用して、偶発的な「経路上攻撃」であるのか攻撃者の支配下にあるモバイル・ノードであるのかを識別してもよい。例えば、あるモバイル・ノード(例えば、ホーム・アドレスによって識別される)がいくつかのレコード(例えば、所定の期間内に閾値を超える回数の攻撃)に含まれる場合、これを、そのモバイル・ノードは頻繁に攻撃されているので、攻撃に対して無防備である、あるいは攻撃者によって支配されてさえいる兆候と見なしてもよい。
【0109】
1つの例示的な実施の形態によれば、ホーム・エージェントは、攻撃された可能性のあるモバイル・ノードを検出した場合、モバイル・ノードにモビリティ・サービスをもはや提供しないことを決定してもよい。あるいは、ホーム・エージェントは、更なる攻撃を防止する何らかの対応策を取る前に、まずモバイル端末が実際に攻撃者の支配下にあるかどうか又は攻撃の原因となっているかどうかさえテストしてもよい。例えば、攻撃された可能性のあるモバイル・ノードに、1回以上ホーム・エージェントのサービスを受けたことのある他のモバイル・ノードによって使用されていないホーム・エージェント・アドレスを割り当ててもよい。このアドレス(これらのアドレス)が攻撃にさらされる場合は、ホーム・エージェントはこれを最初の疑いを裏付けるものと見なしてもよく、モビリティ機能をそのモバイル・ノードに提供するのを停止してもよい。
【0110】
上述のように、設定されたホーム・エージェント・アドレスとモバイル・ノードとの間の1対1対応は、例えば、攻撃されている又はそれ自身が攻撃者であるモバイル・ノードを特定することとの関連では、有益である可能性がある。しかしながら、潜在的な問題は、ホーム・エージェントのインタフェース上に何千ものアドレスを設定することはできないということである可能性がある。例えば、運用システムは、同時に設定されているアドレスを限られた数しかサポートしないからである。
【0111】
この場合、複数のモバイル・ノードに同じホーム・エージェント・アドレスを割り当ててもよい。もちろん、このシナリオにおいては、同じホーム・エージェント・アドレスを割り当てられたモバイル・ノードの集合の中で、攻撃者の支配下にあるモバイル・ノードを特定することはもはや簡単ではない。本質的には、上述したように、この潜在的な問題は、遭遇した攻撃に関するレコードを保持することにより緩和される可能性がある。さらに、一群のモバイル・ノードに割り当てられたホーム・エージェント・アドレスに対する攻撃を検出したとき、ホーム・エージェントは、例えば、攻撃下にあるホーム・エージェント・アドレスを持つ各モバイル・ノードを、別のホーム・エージェント・アドレスを割り当てられる別の端末群に再配置してもよい。上記した例と同様に、複数の攻撃の後、単一の又は少数のモバイル・ノードのみが最近の一連の攻撃のうちの複数に含まれている場合、それらのモバイル・ノードは攻撃者の支配下にあると見なしてもよく、上記において概説したように適切な対応策を取ってもよい。
【0112】
単一のホーム・エージェント上にモバイル・ノード毎のホーム・エージェント・アドレスを多数設定することによるもう1つの結果として、例えば、重複アドレス検出(DAD)及びアドレス解決が原因で、ホーム・エージェントが位置しているホーム・リンク上でARP/NDPのオーバーヘッドが著しく増加する可能性がある。従って、本発明の別の実施の形態によれば、ホーム・エージェントは自身のネットワーク・インタフェース上にホーム・エージェント・アドレス専用に設定されたプレフィックスを使用してもよい。このプレフィックスは、どのホーム・リンク・プレフィックスとも違っていてもよい(すなわち、モバイル・ノードのホーム・アドレスのプレフィックスと違っていてもよい)。
【0113】
従って、ホーム・エージェントは、重複ホーム・エージェント・アドレスが存在しないことを内部で確実にしてもよく、それらのアドレスに対するDADシグナリングは省略されてもよい。別のオプションとしては、各モバイル・ノードが異なるホーム・プレフィックスを割り当てられて、特定のモバイル・ノードに割り当てられたホーム・エージェント・アドレスのプレフィックスがモバイル・ノードのホーム・アドレスのプレフィックスに一致するようにしてもよい。従って、モバイル・ノードとホーム・エージェントだけが同じプレフィックスからアドレスを設定し、そして、ホーム・エージェントがモバイル・ノードにホーム・アドレスを割り当てる場合、DADは要求されない。さらに、例えば、既に言及したIETF RFC 2461に概説されるように、ホーム・エージェントとモバイル・ノードがNS及びRS/RAパケットにおいて送信元/宛先リンク層アドレスを使用する場合、アドレス解決シグナリングはほぼゼロである。
【0114】
さらに、以下の各節では、各モバイル・ノードが1つ又は複数の個別のホーム・エージェント・アドレスを割り当てられる本発明の様々な実施の形態に焦点を合わせる。ホーム・エージェント・アドレスとモバイル・ノードとの間の対応は1対1対応が望ましいということを考慮して、異なるホーム・エージェント・アドレスを異なるモバイル・ノードに割り当てること、理想的には、モバイル・ノード1つ毎に異なるホーム・エージェント・アドレスを割り当てることが可能な様々なメカニズムが以下で提案される。しかしながら、本発明は、いかなるホーム・エージェント・アドレス割り当て/発見メカニズムと共に用いることも可能であり、以下の実施の形態によるメカニズムのみを用いた作業には限定されないことに注意されたい。さらに、記載されているメカニズムのうちのいくつかは、同じホーム・エージェント・アドレスを複数のモバイル・ノードに割り当てるために使用することが可能である。
【0115】
本発明の例示的な一実施の形態によるアドレス割り当て手法は、DHCPを用いたモバイル・ノード毎のホーム・エージェント・アドレス割り当てに基づく。DHCPベースのアドレス割り当ての1つの考え得る実装は、Chowdhury他、”MIP6−bootstrapping via DHCPv6 for the Integrated Scenario,”IETFインターネット草稿,draft−ietf−mip6−bootstrapping−integrated−dhc− 01.txt,2006年6月(http://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)に記載の原理を利用する。この文献によれば、ホーム・ネットワーク内のAAAサーバ(AAAHとも呼ばれる)はホーム・ネットワークのホーム・エージェント・アドレスをモバイル・ノードに割り当てる。基本的な手順は次の通りである。すなわち、ネットワーク・アクセス認証において、モバイル・ノードはネットワーク・アクセス・サーバ(NAS)と対話し、次に、ネットワーク・アクセス・サーバがAAAHサーバと対話する。この対話において、AAAHサーバはホーム・エージェント・アドレス(ホーム・エージェント情報に含まれる)をNASに伝える。そして、モバイル・ノードがDHCP要求をホーム・ネットワークに関する付加的な情報とともに送信する。NASと同じ場所に配置されるDHCPリレーは、このメッセージをインターセプトし、AAAHから受信したホーム・エージェント・アドレスを追加して、このメッセージをDHCPサーバに送信する。DHCPサーバはDHCP応答メッセージにホーム・エージェント・アドレスと場合によっては他のコンフィギュレーション情報を追加して、それをDHCPリレー経由でモバイル・ノードに送信する。
【0116】
本発明のこの実施の形態においては、この動作は変更され、AAAHサーバが、例えば、各モバイル・ノードに個別のホーム・エージェント・アドレスを割り当ててもよい。この動作は、統合シナリオの存在を必要とする。すなわち、在圏ネットワークのプロバイダがホーム・ネットワークのプロバイダと同一であるか、又は、ホーム・ネットワークのプロバイダとの間に信頼関係を持っている。
【0117】
本発明の別の実施の形態によるホーム・エージェント・アドレスをモバイル・ノードに割り当てる別のメカニズムにおいては、エニーキャスト又はマルチキャストベースのホーム・エージェント発見を使用してもよい。例えば、あるモバイル・ノードに対応するホーム・エージェント・アドレスは、モバイル・ノードとホーム・エージェントとの間にセキュリティ・アソシエーションを確立するための手順の一部として生成されてもよい。MIPv6においては、一般的には、セキュリティ・アソシエーションを確立するのに使用されるインターネット鍵交換プロトコル(通例、IKEと略される)がある。IKEプロトコルは一般的には、ディフィー・へルマン鍵交換を使用してセッション共有秘密を設定する。このセッション共有秘密から、モバイル・ノードとホーム・エージェントとの間の通信のために暗号化キーが導き出される。さらに、公開鍵の手法又は事前共有鍵(事前共有秘密とも呼ぶ)を使用して、通信ノード間、すなわち、モバイル・ノードとホーム・エージェントとの間で相互に認証を行ってもよい。詳細は、Kaufman,”Internet Key Exchange (IKEv2) Protocol,”IETF RFC 4306,2005年12月(http://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)を参照されたい。
【0118】
例示的な一実施の形態においては、Dupont and Weniger,”IKEv2−based Home Agent Assignment in Mobile IPv6/NEMO Bootstrapping,”IETFインターネット草稿,draft−dupont−ikev2−haassign−01.txt,2006年3月に記載されているようにモバイル・ノードによってエニーキャストのホーム・エージェント・アドレスに送信されたIKE_SA_INITメッセージを受信すると、ホーム・エージェントはホーム・エージェント・アドレスを生成してもよく、さらに自身のインタフェースのうち少なくとも1つをこの生成したアドレスで設定してもよい。モバイル・ノードからのIKE_SA_INITメッセージに応じて、ホーム・エージェントは、生成したホーム・エージェント・アドレスを応答メッセージの送信元アドレスとして用いて、応答メッセージを送信してもよい。
【0119】
ホーム・エージェント・アドレスは、例えば、乱数発生器を用いて生成されてもよいし、又は、データベースへのアクセスを用いてあるいはIKE_SA_INITの送信元アドレス(すなわち、モバイル・ノードのアドレス)に基づく数学関数を用いて決定することもできる。しかしながら、ホーム・エージェントに何百万ものホーム・エージェント・アドレスを生成する新しいDoS攻撃を防止するために、別の実施の形態によるホーム・エージェントは、まだ完了していないIKEセッション、すなわち、モバイル・ノードがまだ自身をホーム・エージェントに対して正常に認証できていないセッションに使用されるホーム・エージェント・アドレスの同時に設定できる数を制限してもよい。このモバイル・ノード毎にホーム・エージェント・アドレスを割り当てるメカニズムは、DHCPベースのメカニズムよりも一般的である。なぜなら、在圏ネットワークのプロバイダとホーム・ネットワークのプロバイダとの間に信頼関係を必要としないからである(すなわち、分割シナリオ)。本発明の別の実施の形態において上述のIKEベースのメカニズムの代わりに使用される別の代替的なエニーキャストベースの発見メカニズムとしては、IETF RFC 3775に記載のDHAAD発見メカニズムを用いてもよい。この場合、ホーム・エージェントは、DHAAD要求メッセージを受信したときに新しいホーム・エージェント・アドレスを生成し、新たに生成したアドレスをDHAAD応答メッセージに挿入する。
【0120】
図6は、本発明の例示的な一実施の形態によるホーム・アドレスの生成、設定、配布、及び設定解除の手順の様々な態様を示す例示的なフローチャートを示す。
【0121】
本発明のこの実施の形態においては、例えばIKEなどのセキュリティ関連のプロトコルがホーム・エージェントとモバイル・ノードとの間でセキュリティ・アソシエーションを確立するのに使用されると仮定する。例示的な一実施の形態によれば、セキュリティ・アソシエーション(SA)の確立手順は、モバイル端末に対する個別のホーム・エージェント・アドレスの生成と配布を含んでもよい。例えば、モバイル・ノードMN1が、SA開始メッセージ(例えば、IKE_SA_INITメッセージ)を自身のホーム・エージェントHAに送信する(601)と。このメッセージとしては、例えば、ホーム・リンクに対して送信されるエニーキャストの要求メッセージを用いることができる。ホーム・エージェントHAは、このメッセージに応じて、ホーム・エージェント・アドレスを生成する(602)。例えば、ホーム・エージェントHAは、ハッシュ化された鍵関数を使用して、要求を出しているモバイル・ノードMN1に対して個別のIPアドレスHA1(この例ではホーム・エージェント・アドレス)を生成してもよい。また、ホーム・エージェントHAは、さらに、生成したアドレスHA1を用いてホーム・リンク上に自身のインタフェースのうちの1つを設定してもよい。SA開始メッセージに応じて、ホーム・エージェントHAは、モバイル・ノードMN1にSA開始応答を返す(603)。この応答メッセージとしては、例えば、新たに生成されたホーム・エージェント・アドレスHA1がパケットの送信元アドレスとして設定されているパケットを用いることができる。モバイル・ノードMN1は応答メッセージからホーム・エージェント・アドレスHA1を読み出し、それによって、更なる通信に使うホーム・エージェント・アドレスHA1及びどのアドレスにセキュリティ・アソシエーションが確立されるのかを知らされる。点線の四角で示されるように、ホーム・エージェントHAとモバイル・ノードMN1はさらに、セキュリティ・アソシエーションを確立するための標準ブートストラップ手順を進める(604)。このセキュリティ・アソシエーションは、図1に基づいて説明したようにMIPv6と類似して又は同様に、例えば、セッション内でモバイル・ノードMN1とホーム・エージェントHAとの間でトンネリングされるパケット(例えば、シグナリング・パケット及びデータ・パケット)を保護するために用いることができる。
【0122】
また、図6はさらに、ステップ605、606、607、及び608において、第2のモバイル・ノードMN2に対するホーム・エージェント・アドレスHA2の生成と配布を示す。この手順は、上述のモバイル・ノードMN1に対する手順と類似している。また、別の実施の形態においては、モバイル・ノードMN1がモビリティ・サービスを停止する(609)と仮定してもよい。例えば、モバイル・ノードMN1がホームに戻ると(すなわち、MIPv6環境では、ホーム・リンクに接続すると)、モバイル・ノードMN1は自身の気付アドレスのホーム・エージェントでの登録を解除してもよい。これは、例えば、モバイル・ノードのホーム・アドレスを新しい気付アドレスとして示すBinding Updateをホーム・エージェントHAに送信する(610)ことによって達成されてもよい。例えばそのBinding Updateに基づいて、モビリティ・サービスがホーム・エージェントHAで停止されることを検出すると、ホーム・エージェントHAはこれまでモバイル・ノードMN1に割り当てていたホーム・エージェント・アドレスHA1を設定解除してもよい(611)。
【0123】
別の例示的な実施の形態においては、攻撃者がモバイル・ノードMN2のホーム・エージェント・アドレスHA2を知ってしまったと仮定してもよい。攻撃者が、ホーム・エージェント・アドレスHA2を使用するホーム・エージェントHAに対して(D)DoS攻撃を仕掛ける(612)と仮定する。次に、ホーム・エージェントHAは、例えばHA2宛てのパケットについてのパケット受信レートの急な増加に基づいて、その攻撃を検出してもよい(613)。したがって、ホーム・エージェントは、MN2に対応するホーム・エージェント・アドレスHA2を設定解除してもよい(614)。オプションとして、ホーム・エージェントHAはさらに、新しいホーム・エージェント・アドレスをモバイル・ノードMN2に割り当ててもよい。あるいは、モバイル・ノードMN2がホーム・エージェントHAに対する過去の攻撃のいくつかに関与していた場合、ホーム・エージェントHAは、既に概説したように、もはやモビリティ機能をモバイル・ノードMN2に提供しなくてもよい。
【0124】
本発明の別の実施の形態による分割シナリオにおけるモバイル・ノード毎にホーム・エージェント・アドレスを割り当てるためのさらに別の代替的なメカニズムは、Giaretta他、”Mobile IPv6 bootstrapping in split scenario,”IETFインターネット草稿,draft−ietf−mip6−bootstrapping−split− 02.txt,2006年3月(http://www.ietf.orgにて入手可能であり、参照することによりここに組み込まれる)に記載されるようなホーム・エージェント・アドレス発見のためのDNSを共有秘密ベースのホーム・エージェント・アドレス生成と組み合わせることである。この例示的な実施の形態においては、ホーム・エージェントは例えば、DNSにおいてシード値(これは公開されているホーム・エージェント・アドレスであってもよい)を発行してもよい。モバイル・ノードとホーム・エージェントは、このシード値を共有鍵と共に用いて、ホーム・エージェントとモバイル・ノードだけが知っているモバイル・ノード毎のホーム・エージェント・アドレスを算出する。
【0125】
このホーム・エージェント・アドレスの生成において使用される鍵は例えば、モバイルIPシグナリングを保護するのに必要な共有鍵から(例えば、IETF RFC 3775に記載されているようなリターン・ルータビリティ手順から、又はセキュリティ・アソシエーションを確立するためのIPsec関連のシグナリングから)導き出してもよい。
【0126】
ホーム・エージェント・アドレスを算出する又は生成するための関数は、例えば、鍵付きハッシュ関数であってもよい。例示的な目的のために、PHAをDNSにおいて発行された公開ホーム・エージェント・アドレス、kをモバイル・ノードとホーム・エージェントだけが知っている共有秘密であると仮定すると、モバイル・ノードとホーム・エージェントは例えば、関数MHA=H(k,PHA)を用いてモバイル・ノード毎のホーム・エージェント・アドレスMHAを算出できる。ここで、Hは公開ホーム・エージェント・アドレスPHAに適用される鍵kを用いる鍵付きハッシュ関数である。また、変形例においては、プレフィックスは予め設定されたもの又はホーム・エージェントによって割り当てられたものに変更されてもよい。ホーム・エージェントは例えば、公開ホーム・エージェント・アドレスPHAを変更することにより、又は新しい鍵kを導きだすことにより、モバイル・ノード毎のホーム・エージェント・アドレスを変更してもよい。あるいは、既に述べたように、シーケンス番号などほかのパラメータ又はパケット・カウンタを鍵生成メカニズムにおいて考慮してもよい。
【0127】
このホーム・アドレス生成メカニズムの利点として考えられるのは、モバイル・ノード毎にホーム・エージェント・アドレスを割り当てるためのシグナリングを必要としないことである。しかしながら、特定のホーム・エージェント・アドレスをモバイル・ノードに割り当てること、あるいは、同じホーム・エージェント・アドレスを複数のモバイル・ノードに割り当てることは困難である可能性がある。
【0128】
また、別の実施の形態による別の例示的なホーム・アドレス配布メカニズムは特に、プロキシ・モバイルIP(PMIPとも呼ばれる。Chowdhury他、”Network Based Layer 3 Connectivity and Mobility Management for IPv6,”IETFインターネット草稿,draft−chowdhury− netmip6−01.txt,2006年9月を参照のこと。この文献は、http://wwwjetf.orgにて入手可能であり、参照することによりここに組み込まれる)とモバイルIPv6の組み合わせが使用される状況に適用可能である。この実施の形態においては、モバイル・ノードではなくMIPプロキシ・エージェント(例えば、プロキシMIPにおけるAR)に特定のホーム・エージェント・アドレスを排他的に割り当ててもよい。これは有益である可能性がある。これらのエージェントはネットワーク・プロバイダの支配下にあるネットワーク・エンティティであるので、モバイル・ノードよりも安全で、全体的に見てプロキシは攻撃者の支配下に置かれる可能性が低いと仮定し得るからである。従って、プロキシがモバイル・ノードとは異なるホーム・エージェント・アドレスを使用する場合、同じホーム・エージェントがMIP及びPMIPサービスに使用されているにもかかわらず、また、感染しているモバイル・ノードによりMIPサービスのために使用されていたホーム・エージェント・アドレスは攻撃のためホーム・エージェントによって設定解除されたにもかかわらず、感染しているモバイル・ノードはPMIPモビリティ・サービスを使い続けることが可能である。
【0129】
本発明の別の実施の形態は、ハードウエア及びソフトウエアを用いた上述の様々な実施の形態の実現に関する。本発明の様々な実施の形態はコンピュータ機器(プロセッサ又は処理装置)を用いて実現又は実施し得ることが分かる。コンピュータ機器、プロセッサ、又は処理装置としては、例えば、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブル・ゲートアレイ(FPGA)、又は他のプログラマブル論理装置などを用いることができる。本発明の様々な実施の形態は、これらの機器の組み合わせによっても実施又は具体化し得る。
【0130】
また、本発明の様々な実施の形態は、プロセッサにより実行されるソフトウエア・モジュールによって、あるいはハードウエアにおいて直接、実現することができる。さらに、ソフトウエア・モジュールとハードウエア実装とを組み合わせることも可能であろう。ソフトウエア・モジュールは、例えば、RAM、EPROM、EEPROM、フラッシュメモリ、レジスタ、ハードディスク、CD−ROM、DVDなど、あらゆる種類のコンピュータ読み取り可能媒体に格納することができる。
【0131】
さらに、本発明の様々な実施の形態の個別の特徴は、単独で又は任意の組み合わせで、別の発明の主題であり得ることに留意されたい。
【0132】
具体的な実施の形態に示したように、広く記述された本発明の要旨又は範囲を逸脱することなく本発明に対して様々な変形及び/又は改良を実施し得ることが当業者には理解されるであろう。従って、これらの実施の形態はあらゆる点において限定的ではなく例示的と見なされるべきである。
【特許請求の範囲】
【請求項1】
複数のモバイル・ノードに対してモビリティをサポートしているホーム・エージェントに対するサービス妨害攻撃の影響を緩和する方法であって、
通信ネットワークにおいて前記ホーム・エージェントに到達可能な複数のアドレスを、前記ホーム・エージェントに設定するステップと、
前記モバイル・ノードのそれぞれに対し、前記複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当てるステップと、
前記ホーム・エージェントによってサービス妨害攻撃が検出された場合に、前記サービス妨害攻撃のデータ・パケットの宛先になっている前記ホーム・エージェント・アドレスを前記ホーム・エージェントにより設定解除するステップとを、
含む方法。
【請求項2】
前記設定されたホーム・エージェント・アドレスのそれぞれについて、前記ホーム・エージェントにおいて受信されるパケットの受信レートを前記ホーム・エージェントにおいて監視するステップをさらに含む、請求項1に記載の方法。
【請求項3】
前記監視された受信レートに基づいて、サービス妨害攻撃を前記ホーム・エージェントにおいて検出するステップをさらに含む、請求項2に記載の方法。
【請求項4】
ホーム・エージェント・アドレスに宛てたデータ・パケットの前記受信レートが閾値レベルを超えている前記ホーム・エージェント・アドレスを特定するステップと、前記特定されたホーム・エージェント・アドレスを前記ホーム・エージェントにより設定解除するステップとをさらに含む、請求項2又は3に記載の方法。
【請求項5】
前記設定解除されたホーム・エージェント・アドレスの代わりに前記ホーム・エージェントの持つリンク層アドレスを前記ホーム・エージェントにより広告するステップをさらに含み、前記広告されるリンク層アドレスはホーム・エージェントのリンク層アドレスとは異なる、請求項1又は4に記載の方法。
【請求項6】
少なくとも1つのモバイル・ノードに割り当てられた前記ホーム・エージェント・アドレスは、前記少なくとも1つのモバイル・ノードと前記ホーム・エージェントとの間で交換されるパケットのヘッダにおいてマスクされる、請求項1から5のいずれか1つに記載の方法。
【請求項7】
前記ホーム・エージェント・アドレスは、上位のプロトコル層及びモビリティ関連のセキュリティ機能にとってトランスペアレントなネットワーク層アドレスである擬似ホーム・エージェント・アドレスを含むことによりマスクされる、請求項6に記載の方法。
【請求項8】
前記擬似ホーム・エージェント・アドレスは鍵付きハッシュ関数を用いて生成される、請求項6又は7に記載の方法。
【請求項9】
前記鍵付きハッシュ関数を用いて生成した前記擬似ホーム・エージェント・アドレスで、前記ホーム・エージェントを設定するステップをさらに含む、請求項8に記載の方法。
【請求項10】
モバイル・ノードとホーム・エージェントは、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵に基づく鍵付きハッシュ関数を用いて擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成する、請求項1から9のいずれか1つに記載の方法。
【請求項11】
擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを、モバイル・ノードとホーム・エージェントとの間のセッションにおいて定期的に変更するステップをさらに含む、請求項1から10のいずれか1つに記載の方法。
【請求項12】
複数のモバイル・ノードが同一のホーム・エージェント・アドレスを割り当てられる、請求項1から11のいずれか1つに記載の方法。
【請求項13】
前記複数のモバイル・ノードのそれぞれに割り当てられたホーム・エージェント・アドレスを設定解除したときに、新しい個別のホーム・エージェント・アドレスを前記複数のモバイル・ノードのそれぞれに割り当てるステップをさらに含む、請求項12に記載の方法。
【請求項14】
攻撃された各ホーム・エージェント・アドレスと前記攻撃された各ホーム・エージェント・アドレスを割り当てられていたモバイル・ノードのリストとを示す、サービス妨害攻撃に関するレコードを、前記ホーム・エージェントにおいて保持するステップをさらに含み、請求項1から13のいずれか1つに記載の方法。
【請求項15】
前記保持されているレコードに基づいて、モバイル・ノードに対する攻撃を検出するステップをさらに含む、請求項14に記載の方法。
【請求項16】
攻撃されたモバイル・ノードに対してモビリティ・サービスの提供を停止するステップをさらに含む、請求項15に記載の方法。
【請求項17】
各モバイル・ノードは、割り当てられたホーム・エージェント・アドレスによって一意に識別されることが可能である、請求項1から11のいずれか1つに記載の方法。
【請求項18】
モバイル・ノードによって送信されたエニーキャスト又はマルチキャストの要求であって、前記ホーム・エージェントと前記要求しているモバイル・ノードとの間にセキュリティ・アソシエーションを設定するための、あるいはホーム・エージェント・アドレスを発見するための要求を受信したことに応じて、モバイル・ノードに対してホーム・エージェント・アドレスを前記ホーム・エージェントにおいて生成し、
前記生成されたホーム・エージェント・アドレスを用いて前記エニーキャスト又はマルチキャストの要求に応答するステップをさらに含む、請求項17に記載の方法。
【請求項19】
前記ホーム・エージェント・アドレスが生成されたときに、前記モバイル・ノードに対して生成された前記ホーム・エージェント・アドレスを用いて前記ホーム・エージェントのインタフェースを設定するステップをさらに含む、請求項18に記載の方法。
【請求項20】
前記ホーム・エージェントのシード値を公に入手可能とし、前記シード値と、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵とに基づいて、モバイル・ノードに対してホーム・エージェント・アドレスを生成するステップをさらに含む、請求項17に記載の方法。
【請求項21】
シード値は、DNSにおいて前記ホーム・エージェントのドメイン名にバインドすることにより公開されるアドレスである、請求項20に記載の方法。
【請求項22】
前記モバイル・ノードと前記ホーム・エージェントは共に、前記シード値と前記鍵とに基づいて同一の前記ホーム・エージェント・アドレスを生成する、請求項20又は21に記載の方法。
【請求項23】
前記生成されたホーム・エージェント・アドレスを用いて前記ホーム・エージェントのインタフェースを設定するステップをさらに含む、請求項20から22のいずれか1つに記載の方法。
【請求項24】
前記ホーム・エージェントに対して設定された前記複数のアドレスは、前記モバイル・ノードのホーム・アドレスを設定するのに用いられたネットワーク・プレフィックスとは異なるネットワーク・プレフィックスを有する、請求項1から23のいずれか1つに記載の方法。
【請求項25】
前記ホーム・エージェント・アドレスは、ネットワーク層アドレス及び/又はIPv6プロトコルに従ったアドレスである、請求項1から24のいずれか1つに記載の方法。
【請求項26】
前記ホーム・エージェントは、前記モバイル・ノード及び/又は前記ホーム・エージェントのネットワーク層モビリティをサポートし、前記モバイル・ノードは、モバイルIPv6を実装している、請求項1から25のいずれか1つに記載の方法。
【請求項27】
複数のモバイル・ノードに対してモビリティをサポートし、サービス妨害攻撃の影響を緩和するホーム・エージェントであって、
通信ネットワークにおいて前記ホーム・エージェントに到達可能な複数のアドレスを設定し、前記モバイル・ノードのそれぞれに対して前記複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当てる処理部を含み、
前記処理部はさらに、前記ホーム・エージェントによってサービス妨害攻撃が検出された場合に、前記サービス妨害攻撃のデータ・パケットの宛先になっている前記ホーム・エージェント・アドレスを設定解除するように適応されているホーム・エージェント。
【請求項28】
請求項1から24のいずれか1つに記載の方法における前記ステップを実行するように、又は前記ステップに関与するように適応された手段をさらに含む、請求項26に記載のホーム・エージェント。
【請求項29】
モビリティをサポートしている通信システムにおいて使用されるモバイル・ノードであって、
モバイル・ノードとホーム・エージェントとの間で交換されるパケットのヘッダに挿入される前記ホーム・エージェントの擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成する処理部と、
前記生成された擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスのそれぞれを用いて前記ホーム・エージェントとの間でパケットを交換する通信部と、
を含むモバイル・ノード。
【請求項30】
処理部は、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵に基づく鍵付きハッシュ関数を用いて前記擬似ホーム・エージェント・アドレス又は前記ホーム・エージェント・アドレスをそれぞれ生成するように適応されている、請求項28に記載のモバイル・ノード。
【請求項31】
前記通信部は、
モバイル・ノードによって送信された、エニーキャスト又はマルチキャストの要求であって、前記ホーム・エージェントと前記要求しているモバイル・ノードとの間にセキュリティ・アソシエーションを設定するための、あるいはホーム・エージェント・アドレスを発見するための要求を前記ホーム・エージェントに送信するように、及び、
前記エニーキャスト又はマルチキャストの要求に応じて前記ホーム・エージェントにより生成されたホーム・エージェント・アドレスを含む前記エニーキャスト又はマルチキャストの要求に応じて受信するように、
適応されている、請求項28に記載のモバイル・ノード。
【請求項32】
前記通信部は、前記ホーム・エージェントのシード値を入手するように適応され、前記処理部は、前記シード値と、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵とに基づいて、モバイル・ノードに対してホーム・エージェント・アドレスを生成するように適応されている、請求項28に記載のモバイル・ノード。
【請求項33】
前記モバイル・ノードと前記ホーム・エージェントは共に、前記シード値と前記鍵とに基づいて同一のホーム・エージェント・アドレスを生成する、請求項31に記載のモバイル・ノード。
【請求項34】
前記モバイル・ノードのモビリティをサポートしているホーム・エージェントの、少なくとも1つの割り当てられたホーム・エージェント・アドレスを入手する通信部をさらに含む、請求項28から30のいずれか1つに記載のモバイル・ノード。
【請求項35】
請求項1から24のいずれか1つに記載の方法を実行するように、又は前記方法に関与するように適応された手段をさらに含む、請求項28から33のいずれか1つに記載のモバイル・ノード。
【請求項36】
モバイル・ノードのモビリティをサポートする通信システムであって、請求項25又は27に記載のホーム・エージェント及び/又は請求項28から34のいずれか1つに記載のモバイル・ノードを含む通信システム。
【請求項37】
命令を格納するコンピュータ読み取り可能媒体であって、前記命令は、複数のモバイル・ノードに対してモビリティをサポートするホーム・エージェントのプロセッサによって実行された場合に、前記ホーム・エージェントに
通信ネットワークにおいて前記ホーム・エージェントに到達可能な複数のアドレスを設定させ、
前記モバイル・ノードのそれぞれに対し、前記複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当てさせ、
サービス妨害攻撃が前記ホーム・エージェントによって検出された場合に、前記サービス妨害攻撃のデータ・パケットの宛先になっている前記ホーム・エージェント・アドレスを設定解除させる
ことによって、サービス妨害攻撃の影響を緩和させる、コンピュータ読み取り可能媒体。
【請求項38】
前記ホーム・エージェントの前記プロセッサによって命令が実行された場合に、前記ホーム・エージェントに、請求項1から24のいずれか1つに記載の方法の前記ステップを実行させる、又は前記ステップに関与させる前記命令をさらに格納する、請求項36に記載のコンピュータ読み取り可能媒体。
【請求項39】
命令を格納するコンピュータ読み取り可能媒体であって、前記命令はモバイル・ノードのプロセッサによって実行された場合に、前記モバイル・ノードに
モバイル・ノードとホーム・エージェントとの間で交換されるパケットのヘッダに挿入される前記ホーム・エージェントの擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成させ、
前記生成された擬似ホーム・エージェント・アドレス又は前記ホーム・エージェント・アドレスを用いて前記ホーム・エージェントとの間でパケットをそれぞれ交換させる、
コンピュータ読み取り可能媒体。
【請求項40】
前記モバイル・ノードの前記プロセッサによって命令が実行された場合に、前記モバイル・ノードに、請求項1から24のいずれか1つに記載の方法の前記ステップを実行させる、又は前記ステップに関与させる前記命令をさらに格納する、請求項38に記載のコンピュータ読み取り可能媒体。
【請求項1】
複数のモバイル・ノードに対してモビリティをサポートしているホーム・エージェントに対するサービス妨害攻撃の影響を緩和する方法であって、
通信ネットワークにおいて前記ホーム・エージェントに到達可能な複数のアドレスを、前記ホーム・エージェントに設定するステップと、
前記モバイル・ノードのそれぞれに対し、前記複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当てるステップと、
前記ホーム・エージェントによってサービス妨害攻撃が検出された場合に、前記サービス妨害攻撃のデータ・パケットの宛先になっている前記ホーム・エージェント・アドレスを前記ホーム・エージェントにより設定解除するステップとを、
含む方法。
【請求項2】
前記設定されたホーム・エージェント・アドレスのそれぞれについて、前記ホーム・エージェントにおいて受信されるパケットの受信レートを前記ホーム・エージェントにおいて監視するステップをさらに含む、請求項1に記載の方法。
【請求項3】
前記監視された受信レートに基づいて、サービス妨害攻撃を前記ホーム・エージェントにおいて検出するステップをさらに含む、請求項2に記載の方法。
【請求項4】
ホーム・エージェント・アドレスに宛てたデータ・パケットの前記受信レートが閾値レベルを超えている前記ホーム・エージェント・アドレスを特定するステップと、前記特定されたホーム・エージェント・アドレスを前記ホーム・エージェントにより設定解除するステップとをさらに含む、請求項2又は3に記載の方法。
【請求項5】
前記設定解除されたホーム・エージェント・アドレスの代わりに前記ホーム・エージェントの持つリンク層アドレスを前記ホーム・エージェントにより広告するステップをさらに含み、前記広告されるリンク層アドレスはホーム・エージェントのリンク層アドレスとは異なる、請求項1又は4に記載の方法。
【請求項6】
少なくとも1つのモバイル・ノードに割り当てられた前記ホーム・エージェント・アドレスは、前記少なくとも1つのモバイル・ノードと前記ホーム・エージェントとの間で交換されるパケットのヘッダにおいてマスクされる、請求項1から5のいずれか1つに記載の方法。
【請求項7】
前記ホーム・エージェント・アドレスは、上位のプロトコル層及びモビリティ関連のセキュリティ機能にとってトランスペアレントなネットワーク層アドレスである擬似ホーム・エージェント・アドレスを含むことによりマスクされる、請求項6に記載の方法。
【請求項8】
前記擬似ホーム・エージェント・アドレスは鍵付きハッシュ関数を用いて生成される、請求項6又は7に記載の方法。
【請求項9】
前記鍵付きハッシュ関数を用いて生成した前記擬似ホーム・エージェント・アドレスで、前記ホーム・エージェントを設定するステップをさらに含む、請求項8に記載の方法。
【請求項10】
モバイル・ノードとホーム・エージェントは、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵に基づく鍵付きハッシュ関数を用いて擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成する、請求項1から9のいずれか1つに記載の方法。
【請求項11】
擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを、モバイル・ノードとホーム・エージェントとの間のセッションにおいて定期的に変更するステップをさらに含む、請求項1から10のいずれか1つに記載の方法。
【請求項12】
複数のモバイル・ノードが同一のホーム・エージェント・アドレスを割り当てられる、請求項1から11のいずれか1つに記載の方法。
【請求項13】
前記複数のモバイル・ノードのそれぞれに割り当てられたホーム・エージェント・アドレスを設定解除したときに、新しい個別のホーム・エージェント・アドレスを前記複数のモバイル・ノードのそれぞれに割り当てるステップをさらに含む、請求項12に記載の方法。
【請求項14】
攻撃された各ホーム・エージェント・アドレスと前記攻撃された各ホーム・エージェント・アドレスを割り当てられていたモバイル・ノードのリストとを示す、サービス妨害攻撃に関するレコードを、前記ホーム・エージェントにおいて保持するステップをさらに含み、請求項1から13のいずれか1つに記載の方法。
【請求項15】
前記保持されているレコードに基づいて、モバイル・ノードに対する攻撃を検出するステップをさらに含む、請求項14に記載の方法。
【請求項16】
攻撃されたモバイル・ノードに対してモビリティ・サービスの提供を停止するステップをさらに含む、請求項15に記載の方法。
【請求項17】
各モバイル・ノードは、割り当てられたホーム・エージェント・アドレスによって一意に識別されることが可能である、請求項1から11のいずれか1つに記載の方法。
【請求項18】
モバイル・ノードによって送信されたエニーキャスト又はマルチキャストの要求であって、前記ホーム・エージェントと前記要求しているモバイル・ノードとの間にセキュリティ・アソシエーションを設定するための、あるいはホーム・エージェント・アドレスを発見するための要求を受信したことに応じて、モバイル・ノードに対してホーム・エージェント・アドレスを前記ホーム・エージェントにおいて生成し、
前記生成されたホーム・エージェント・アドレスを用いて前記エニーキャスト又はマルチキャストの要求に応答するステップをさらに含む、請求項17に記載の方法。
【請求項19】
前記ホーム・エージェント・アドレスが生成されたときに、前記モバイル・ノードに対して生成された前記ホーム・エージェント・アドレスを用いて前記ホーム・エージェントのインタフェースを設定するステップをさらに含む、請求項18に記載の方法。
【請求項20】
前記ホーム・エージェントのシード値を公に入手可能とし、前記シード値と、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵とに基づいて、モバイル・ノードに対してホーム・エージェント・アドレスを生成するステップをさらに含む、請求項17に記載の方法。
【請求項21】
シード値は、DNSにおいて前記ホーム・エージェントのドメイン名にバインドすることにより公開されるアドレスである、請求項20に記載の方法。
【請求項22】
前記モバイル・ノードと前記ホーム・エージェントは共に、前記シード値と前記鍵とに基づいて同一の前記ホーム・エージェント・アドレスを生成する、請求項20又は21に記載の方法。
【請求項23】
前記生成されたホーム・エージェント・アドレスを用いて前記ホーム・エージェントのインタフェースを設定するステップをさらに含む、請求項20から22のいずれか1つに記載の方法。
【請求項24】
前記ホーム・エージェントに対して設定された前記複数のアドレスは、前記モバイル・ノードのホーム・アドレスを設定するのに用いられたネットワーク・プレフィックスとは異なるネットワーク・プレフィックスを有する、請求項1から23のいずれか1つに記載の方法。
【請求項25】
前記ホーム・エージェント・アドレスは、ネットワーク層アドレス及び/又はIPv6プロトコルに従ったアドレスである、請求項1から24のいずれか1つに記載の方法。
【請求項26】
前記ホーム・エージェントは、前記モバイル・ノード及び/又は前記ホーム・エージェントのネットワーク層モビリティをサポートし、前記モバイル・ノードは、モバイルIPv6を実装している、請求項1から25のいずれか1つに記載の方法。
【請求項27】
複数のモバイル・ノードに対してモビリティをサポートし、サービス妨害攻撃の影響を緩和するホーム・エージェントであって、
通信ネットワークにおいて前記ホーム・エージェントに到達可能な複数のアドレスを設定し、前記モバイル・ノードのそれぞれに対して前記複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当てる処理部を含み、
前記処理部はさらに、前記ホーム・エージェントによってサービス妨害攻撃が検出された場合に、前記サービス妨害攻撃のデータ・パケットの宛先になっている前記ホーム・エージェント・アドレスを設定解除するように適応されているホーム・エージェント。
【請求項28】
請求項1から24のいずれか1つに記載の方法における前記ステップを実行するように、又は前記ステップに関与するように適応された手段をさらに含む、請求項26に記載のホーム・エージェント。
【請求項29】
モビリティをサポートしている通信システムにおいて使用されるモバイル・ノードであって、
モバイル・ノードとホーム・エージェントとの間で交換されるパケットのヘッダに挿入される前記ホーム・エージェントの擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成する処理部と、
前記生成された擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスのそれぞれを用いて前記ホーム・エージェントとの間でパケットを交換する通信部と、
を含むモバイル・ノード。
【請求項30】
処理部は、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵に基づく鍵付きハッシュ関数を用いて前記擬似ホーム・エージェント・アドレス又は前記ホーム・エージェント・アドレスをそれぞれ生成するように適応されている、請求項28に記載のモバイル・ノード。
【請求項31】
前記通信部は、
モバイル・ノードによって送信された、エニーキャスト又はマルチキャストの要求であって、前記ホーム・エージェントと前記要求しているモバイル・ノードとの間にセキュリティ・アソシエーションを設定するための、あるいはホーム・エージェント・アドレスを発見するための要求を前記ホーム・エージェントに送信するように、及び、
前記エニーキャスト又はマルチキャストの要求に応じて前記ホーム・エージェントにより生成されたホーム・エージェント・アドレスを含む前記エニーキャスト又はマルチキャストの要求に応じて受信するように、
適応されている、請求項28に記載のモバイル・ノード。
【請求項32】
前記通信部は、前記ホーム・エージェントのシード値を入手するように適応され、前記処理部は、前記シード値と、ホーム・エージェントとモバイル・ノードとの間のデータ・パケットの交換を保護するために使用される鍵とに基づいて、モバイル・ノードに対してホーム・エージェント・アドレスを生成するように適応されている、請求項28に記載のモバイル・ノード。
【請求項33】
前記モバイル・ノードと前記ホーム・エージェントは共に、前記シード値と前記鍵とに基づいて同一のホーム・エージェント・アドレスを生成する、請求項31に記載のモバイル・ノード。
【請求項34】
前記モバイル・ノードのモビリティをサポートしているホーム・エージェントの、少なくとも1つの割り当てられたホーム・エージェント・アドレスを入手する通信部をさらに含む、請求項28から30のいずれか1つに記載のモバイル・ノード。
【請求項35】
請求項1から24のいずれか1つに記載の方法を実行するように、又は前記方法に関与するように適応された手段をさらに含む、請求項28から33のいずれか1つに記載のモバイル・ノード。
【請求項36】
モバイル・ノードのモビリティをサポートする通信システムであって、請求項25又は27に記載のホーム・エージェント及び/又は請求項28から34のいずれか1つに記載のモバイル・ノードを含む通信システム。
【請求項37】
命令を格納するコンピュータ読み取り可能媒体であって、前記命令は、複数のモバイル・ノードに対してモビリティをサポートするホーム・エージェントのプロセッサによって実行された場合に、前記ホーム・エージェントに
通信ネットワークにおいて前記ホーム・エージェントに到達可能な複数のアドレスを設定させ、
前記モバイル・ノードのそれぞれに対し、前記複数のホーム・エージェント・アドレスのうちの少なくとも1つを割り当てさせ、
サービス妨害攻撃が前記ホーム・エージェントによって検出された場合に、前記サービス妨害攻撃のデータ・パケットの宛先になっている前記ホーム・エージェント・アドレスを設定解除させる
ことによって、サービス妨害攻撃の影響を緩和させる、コンピュータ読み取り可能媒体。
【請求項38】
前記ホーム・エージェントの前記プロセッサによって命令が実行された場合に、前記ホーム・エージェントに、請求項1から24のいずれか1つに記載の方法の前記ステップを実行させる、又は前記ステップに関与させる前記命令をさらに格納する、請求項36に記載のコンピュータ読み取り可能媒体。
【請求項39】
命令を格納するコンピュータ読み取り可能媒体であって、前記命令はモバイル・ノードのプロセッサによって実行された場合に、前記モバイル・ノードに
モバイル・ノードとホーム・エージェントとの間で交換されるパケットのヘッダに挿入される前記ホーム・エージェントの擬似ホーム・エージェント・アドレス又はホーム・エージェント・アドレスを生成させ、
前記生成された擬似ホーム・エージェント・アドレス又は前記ホーム・エージェント・アドレスを用いて前記ホーム・エージェントとの間でパケットをそれぞれ交換させる、
コンピュータ読み取り可能媒体。
【請求項40】
前記モバイル・ノードの前記プロセッサによって命令が実行された場合に、前記モバイル・ノードに、請求項1から24のいずれか1つに記載の方法の前記ステップを実行させる、又は前記ステップに関与させる前記命令をさらに格納する、請求項38に記載のコンピュータ読み取り可能媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2010−510736(P2010−510736A)
【公表日】平成22年4月2日(2010.4.2)
【国際特許分類】
【出願番号】特願2009−537515(P2009−537515)
【出願日】平成19年11月14日(2007.11.14)
【国際出願番号】PCT/EP2007/009843
【国際公開番号】WO2008/061659
【国際公開日】平成20年5月29日(2008.5.29)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
【公表日】平成22年4月2日(2010.4.2)
【国際特許分類】
【出願日】平成19年11月14日(2007.11.14)
【国際出願番号】PCT/EP2007/009843
【国際公開番号】WO2008/061659
【国際公開日】平成20年5月29日(2008.5.29)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]