DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法及びそのシステム
【課題】 正当にIPv4アドレス割り当てを要請するDSTMノードにのみIPV4アドレスを割り当てることができる、DSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 6-IP version 4)ネットワークにおけるIPv6パケットの偽造防止方法及びシステムを提供する。
【解決手段】IPv6ネットワークとIPv4ネットワークが共存するIPv6−IPv4ネットワークにおいて、DSTMノードによりIPv4アドレスの割り当てを要請されたDSTMサーバー(110)が動的アドレステーブルを使用して該要請の正当性を判断し、正当な要請のみに対してIPv4アドレスを割り当て、該サーバーの動的アドレステーブルとDSTM境界ルータ(120)の動的アドレステーブルを同期化させて、正当にIPv4アドレスを割り当てられたパケットだけをルーティングすることによって、IPv6パケットの偽造を防止する。
【解決手段】IPv6ネットワークとIPv4ネットワークが共存するIPv6−IPv4ネットワークにおいて、DSTMノードによりIPv4アドレスの割り当てを要請されたDSTMサーバー(110)が動的アドレステーブルを使用して該要請の正当性を判断し、正当な要請のみに対してIPv4アドレスを割り当て、該サーバーの動的アドレステーブルとDSTM境界ルータ(120)の動的アドレステーブルを同期化させて、正当にIPv4アドレスを割り当てられたパケットだけをルーティングすることによって、IPv6パケットの偽造を防止する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケットの偽造を防止するための方法及びシステムに関する。
【背景技術】
【0002】
IPv6(Internet Protocol version 6)−IPv4(IP version 4)ネットワークは、IPv6ネットワークとIPv4ネットワークとが共存するネットワークを意味する。IPv6ネットワークは、以前に使われたIPv4のアドレス不足問題などを解決するために提案されたものである。この新たに提案されたIPv6ネットワークの導入以後は、既存のIPv4ネットワークと新たなIPv6ネットワークとが共存している。IPv4ネットワークとIPv6ネットワークの共存は、既存のIPv4がIPv6ネットワークに完全に代替されるまで続くものと考えられる。このようなIPv4ネットワークとIPv6ネットワークの共存により、IPv4ネットワークとIPv6ネットワークとの間のデータ通信のための技術が必要とされる。
【0003】
IPv6ネットワークとIPv4ネットワークとの間の通信のための技術は、IPv6/IPv4デュアルスタック、トンネリング技術、変換技術などの様々な分野において研究がなされている。IPv6/IPv4トンネリング技術には、6to4、DSTM(Dual Stack Transition Mechanism)、ISATAP(Intra Site Automatic Tunnel Addressing Protocol)、TEREDO、トンネルブローカー(Tunnel Broker)などの方法がある。また、変換技術には、NAT−PT(Network Address Transition Protocol Transition)、SIIT(Stateless IPv6-IPv4 Translator)、BIA(Bump-in-the-API)などの方法がある。このようなIPv6/IPv4の変換ないし転換、転移(transition)のための技術は、IETF(Internet Engineering Task Force)v6opsWG(Work Group)で研究されている。
【0004】
これらのうち、DSTM技術は、既存のIPv4システムのうちアップグレードが可能なノードを、IPv4とIPv6を共に支援するデュアルスタック構造で製作し、当該ノードにIPv6アドレスを割り当ててIPv6ノードとして動作できるようにし、かつ、当該ノードが必要とする時毎にIPv4アドレスを動的に割り当てて(他のいわゆる純粋な)IPv4ノードと通信できるようにする技術である。このDSTM技術は、全てのネットワークがIPv6ネットワークに代替される最後の段階において適用できる技術である。
【0005】
DSTMの環境下では、IPv4ネットワークと通信しようとするIPv6ネットワーク側ノード(以下、「DSTMノード」と言う。)は、DSTMサーバーからIPv4アドレスを(動的に)割り当てられ、その割り当てられたIPv4アドレスを使用してIPv4ネットワークと通信する。
【0006】
しかしながら、DSTMノードに対するIPv4アドレス割り当てに際して、以下のような問題が発生することが考えられる。
【0007】
すなわち、IPv4ネットワークとの円滑な通信を行うために、DSTMサーバーは、IPv4アドレスを割り当てることを要請される。ところが、このとき、悪意的なノードからの不法(illegal)で且つ反復的なIPv4アドレス割り当て要請により、DSTMサーバーでIPv4アドレスが不足する事態が発生し得る。その理由は、偽造されたマック(MAC)アドレスまたは偽造されたIPv6アドレスを使用して、不法なIPv4アドレス割り当て要請を繰り返し行うことができるからである。したがって、DSTM環境では、偽造されたIPv6パケットを使用した不法で且つ反復的なIPv4アドレス割り当て要請によるDoS(Denial-of-Service)攻撃の問題が発生することが考えられる。また、DSTMノードからTEP(Tunnel End Point)を通過してIPv4ネットワークに向かうIPv6パケットの偽造の問題が発生することも考えられる。言い換えると、DSTMノードは、DSTMサーバーへのIPv4アドレス割り当て要請を通じて正常でなく(abnormally)割り当てられた不法なIPv4アドレスを使用して、IPv4ネットワークと通信できるものである。
【0008】
DSTM環境では、IPv4アドレス割り当て過程及びIPv4ネットワークとの通信過程で発生し得るこのような問題を解決するために、DSTMサーバーとしてDNSSEC(Domain Name System SECurity Extension)、DHCPv6サーバーを使用する場合には、DHCPv6の認証メッセージを使用することがDNS(Domain Name Server)側に勧告されている。しかしながら、これらの技術は、保安(セキュリティ)プロトコルや暗号学的技法を、DSTM構造自体に付加的に使用しなければならない、という点で短所を有している。
【特許文献1】大韓民国出願第10−2002−0029954号明細書
【発明の開示】
【発明が解決しようとする課題】
【0009】
従って、本発明の目的は、正当にIPv4アドレス割り当てを要請するDSTMノードにのみIPV4アドレスを割り当てることができる、DSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 6-IP version 4)ネットワークにおけるIPv6パケットの偽造防止方法及びシステムを提供することにある。
【0010】
また、本発明の他の目的は、IPv4アドレスの消耗を防止できる、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケットの偽造防止方法及びシステムを提供することにある。
【0011】
また、本発明のさらに他の目的は、DSTM構造を変更することなく、IPv6パケットの偽造を防止することによって、light-weight securityサービスを提供できる、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケットの偽造防止方法及びそのシステムを提供することにある。
【課題を解決するための手段】
【0012】
前記目的を達成するために、本発明の一側面によるDSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 4-IP version 6)ネットワークにおけるIPv6パケット偽造防止方法は、DSTMサーバーがDSTMノードからIPv4アドレス割り当て要請を受信する過程と、前記DSTMサーバーが、予め格納された自機の動的アドレステーブルを使用して前記要請が正当な要請であるか否かを判断する過程と、前記要請が正当であると判断された場合に、前記DSTMサーバーが前記DSTMノードにIPv4アドレスを割り当て、前記DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報とを含むように、前記動的アドレステーブルを更新する過程と、前記DSTMサーバーが、前記割り当てられたIPv4アドレスを前記DSTMノードに送信する過程と、前記DSTMサーバーが、前記更新された動的アドレステーブルをDSTM境界ルータに送信し、自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルとを同期化する過程と、を備えることができる。
【0013】
前記DSTMノードの情報は、少なくとも前記DSTMノードのマック(Media Access Control;MAC)アドレス及びIPv6アドレスを含むことができる。
【0014】
前記DSTMサーバーが前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、前記DSTMサーバーが、前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv6アドレスと、自機の動的アドレステーブルに含まれた、当該マックアドレスに対応するIPv6アドレスとを比較する過程と、当該比較の結果、前記DSTMノードのIPv6アドレスと自機の動的アドレステーブルに含まれたIPv6アドレスとが同一でない場合には、前記DSTMノードのIPv4アドレス割り当て要請は、不当な要請であると判断する過程と、を備えることができる。
【0015】
また、前記DSTMサーバーが前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、前記DSTMサーバーが、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていないと判断された場合に、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv4アドレス割り当て要請は不当な要請であると判断する過程と、を備えることができる。
【0016】
本発明の方法では、前記DSTM境界ルータが、前記DSTMサーバーの動的アドレステーブルに同期化された自機の動的アドレステーブルを使用して、受信されるパケットが正当なパケットであるか否かを判断する過程と、前記DSTM境界ルータが、前記正当であると判断されたパケットをフォワーディングする過程と、をさらに備えることができる。
【0017】
前記受信パケットが正当であるか否かをDSTM境界ルータで判断する過程は、前記受信パケットの情報が前記自機の動的アドレステーブルに含まれている場合に、当該パケットを正当であると判断する過程を備えることができる。
【0018】
前記DSTM境界ルータの動的アドレステーブル及び前記DSTMノードの動的アドレステーブルは、タイムアウト項目、マーカー項目をさらに含むことができる。
【0019】
また、本発明方法では、前記DSTM境界ルータが自機の動的アドレステーブルに含まれたDSTMノードからのパケット受信が当該ノードに割り当てられたタイムアウト時間内になされない場合に、当該DSTMノードを不当なノードであると判断する過程をさらに備えることができる。
【0020】
さらに、本発明方法では、前記DSTM境界ルータが前記タイムアウトチェックにより不当と判断されたDSTMノードの情報を自機の動的アドレステーブルから削除し、自機の動的アドレステーブルと前記DSTMサーバーの動的アドレステーブルを同期化させるために、前記削除されたDSTMノードの情報を前記DSTMサーバーに送信する過程をさらに備えることができる。
【0021】
また、本発明方法では、当該DSTMノードに割り当てられたタイムアウト時間内に当該DSTMノードが送信したパケットが受信される場合に、前記DSTM境界ルータが自機の動的アドレステーブルの、当該DSTMノードに対応するマーカー項目に所定の値を設定する過程をさらに備えることができる。
【0022】
本発明の方法において、前記DSTMサーバーは、IPv4アドレスを割り当てられたDSTMノードから自機がIPv4アドレスの割り当てを要請しなかったことを通知される場合に、当該IPv4アドレスの割り当てを取り消す過程をさらに備えることができる。
【0023】
また、本発明の他の側面によるDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システムは、DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含む動的アドレステーブルを使用して、任意のDSTMノードから受信されるパケットを認証し、認証されたパケットをフォワーディングするDSTM境界ルータと、DSTMノードからのIPv4アドレス割り当て要請を受信した場合に、当該要請が正当な要請であるか否かを判断した後、正当であると判断された要請に応答して当該DSTMノードにIPv4アドレスを割り当て、当該DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含むように、予め格納された自機の動的アドレステーブルを更新し、当該更新された動的アドレステーブルを前記DSTM境界ルータに提供して自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルを同期化するDSTMサーバーと、を備える。
【0024】
前記DSTMサーバーは、前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれていて、前記動的アドレステーブルに含まれた、前記マックアドレスに対応するIPv6アドレスが前記DSTMノードのIPv6アドレスと同一でない場合には、前記DSTMノードの要請は不当と判断することができる。
【0025】
前記DSTMサーバーは、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれておらず、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードの要請は不当な要請であると判断することができる。
【0026】
前記DSTM境界ルータは、自機の動的アドレステーブルに含まれたDSTMノードの各々に対して、当該DSTMノードが送信したパケットが当該DSTMノードに割り当てられた所定のタイムアウト時間内に受信されるか否かを判断し、当該DSTMノードが送信するパケットが前記タイムアウト時間内に受信されない場合に、当該DSTMノードは不当なDSTMノードであると判断することができる。
【0027】
前記DSTM境界ルータは、前記タイムアウトチェックの結果、不当と判断されたDSTMノードを前記自機の動的アドレステーブルから削除し、当該削除されたDSTMノードの情報を前記DSTMサーバーに提供することができる。
【0028】
前述したように、本発明に係るDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法及びそのシステムは、動的アドレステーブル(Dynamic Address Table;DAT)を使用してIPv6パケットの偽造を防止することを特徴とする。
【0029】
DSTM技術は、既存のIPv4システムのうちアップグレードが可能なノードを、IPv4とIPv6を共に支援するデュアルスタック構造で製作し、IPv6アドレスを割り当てて純粋なIPv4ノードと通信できるようにする方法である。DSTM技術は、全てのネットワークがIPv6に行く最後の段階に適用されることが好ましい。このような場合、DSTM技術は、IPv6ネットワークのホストと孤立されたIPv4ネットワークのホスト間の通信のために使われることができる。
【発明の効果】
【0030】
本発明によるDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法及びそのシステムは、動的アドレステーブルを使用して不法なIPv4アドレス割り当て要請を検出し、正当にIPv4アドレス割り当てを要請したDSTMノードのみにIPv4アドレスを割り当てることができる。したがって、本発明によれば、IPv6パケットの偽造を防止することができ、DSTM環境で発生し得るDoS(Denial-of-Service)攻撃を防止することができる。また、本発明によれば、IPv4アドレスの消耗ないし不足を防止することができる。さらに、本発明によれば、付加的なプロトコルまたは暗号学的技法を使用することなく、IPv6パケットの偽造を防止することによって、動作等が重くならない(light-weight)セキュリティサービスを提供することができる。
【発明を実施するための最良の形態】
【0031】
以下、添付の図面を参照して本発明を詳細に説明する。
【0032】
図1は、本発明が適用される、DSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 4-IP version 6)ネットワークの一例を示す構成図である。
【0033】
図1に示すように、DSTM環境のIPv6−IPv4ネットワークは、少なくとも1つのDSTMノード(図では説明の便宜のため、100−A,100−Bの2つのDSTMノードを示す。)と、DSTMサーバー110と、DSTM境界ルータ(border router;BR)120と、少なくとも1つのIPv4ホスト130と、を備えて構成されることができる。なお、図1の形態は、本発明の理解を助けるために提示された一例に過ぎないものであって、本発明は、これ以外にも様々な形態のDSTM環境のIPv6−IPv4ネットワークに適用されることができる。
【0034】
IPv6ネットワークドメインの構成要素であるDSTMノード100−A,100−Bは、DSTMサーバー110に対して、IPv4ネットワークとの通信のためのIPv4アドレス割り当ての要請を行い、また、DSTMサーバー110から割り当てられたIPv4アドレスを使用して、IPv4ネットワークドメインのIPv4ホスト130と通信を行うことができる。
【0035】
DSTMサーバー110は、通信しようとする目的のIPv4ノードの位置情報を把握するためのDNS(Domain Name Server)機能、IPv4ホストとの通信のために必要なIPv4アドレスの割り当てに関連するDHCPv6(Dynamic Host Configuration Protocol version 6)機能、IPv4アドレスプール(pool)機能、などを遂行する。
【0036】
DSTMサーバー110は、DSTMノード100−A(或いは100−B)からIPv4アドレス割り当てが要請される場合に、当該要請に応答して当該DSTMノード100−A(或いは100−B)にIPv4アドレスを割り当てる。DSTMサーバー110は、DSTMノード100−A(或いは100−B)からのIPv4アドレス割り当て要請に対して、当該要請が不当(ないし不法)な要請でなく正当な要請であるか、すなわち、当該DSTMサーバー110のドメイン内に存在するDSTMノード100−A(或いは100−B)からの、正常な手続による要請であるか否か、を判断する。DSTMノード100−A(或いは100−B)からの要請が正当な要請であるか否かを判断したDSTMサーバー110は、当該要請が正当な要請であれば、DSTMノード100−A(或いは100−B)にIPv4アドレスを割り当て、当該要請が正当な要請でない場合には、IPv4アドレスを割り当てない。
【0037】
特に、本発明に従うDSTMサーバー110は、DSTMノード100−A(或いは100−B)からのIPv4アドレス要請が正当な要請であるか否かを判断するために、動的アドレステーブルを使用する。かかる動的アドレステーブルは、現在のDSTMサーバー110のIPv4アドレス割り当ての状態情報を含むことができる。すなわち、動的アドレステーブルは、現在IPv4アドレスを割り当てられているDSTMノードの情報と、各ノードに割り当てられたIPv4アドレスのマッピング関係についての情報などを含むことができる。
【0038】
本発明の実施形態による、DSTMサーバー110が使用する動的アドレステーブルを、下記の表1に示す例を参照して説明する。
【0039】
【表1】
【0040】
表1は、動的アドレステーブルの構成例を示している。表1の例のように、本発明に従う動的アドレステーブルは、DSTMサーバー110からIPv4アドレスを割り当てられたDSTMノードの情報であるマック(Media Access Control;MAC)アドレス、IPv6アドレスなどの情報とともに、当該DSTMノードに割り当てられたIPv4アドレスの情報を含むことができる。また、動的アドレステーブルは、各々のDSTMノードに割り当てられたタイムアウト及びマーカー(marker)をさらに含むことができる。
【0041】
このうち、タイムアウト及びマーカーは、DSTMノードからのIPv4アドレス要請に対する正当性の有無を判断するために用いられる。タイムアウトは、IPv4アドレスが割り当てられた後、所定の時間内に当該IPv4アドレスを使用するパケットがDSTM境界ルータ120を介してルーティングされない場合に、当該IPv4アドレスが不当な要請により割り当てられたと判断するために、チェックされるものである。マーカーは、タイムアウトをチェックした(以下、「タイムアウトチェック」ともいう。)結果、正当だと判断されたことを表示するために用いられる。
【0042】
タイムアウトチェックは、DSTM境界ルータ120で行われることができる。なお、タイムアウトチェックについては、後述するDSTM境界ルータ120の説明の際に詳細に説明する。DSTMサーバー110の動的アドレステーブルは、IPv4割り当て過程で随時更新されることができ、DSTM境界ルータ120の動的アドレステーブルと同じ内容を有するように同期化される。
【0043】
DSTMサーバー110の動的アドレステーブルは、DSTMサーバー110によって構成(構築)され更新される。下記では、DSTMサーバー110による動的アドレステーブルの更新の例について説明する。また、DSTMサーバー110が動的アドレステーブルを使用して行う、DSTMノードからのIPv4アドレス割り当て要請の正当性判断についても説明する。説明の理解を助けるために、一例として、DSTMノードA 100−AのIPv4アドレス割り当て要請に応じてIPv4アドレスが割り当てられるものと仮定して説明する。
【0044】
まず、動的アドレステーブルの更新について説明する。
【0045】
DSTMサーバー110は、DSTMノードA 100−AからIPv4アドレス割り当てを要請される場合に、当該要請が正当な要請であるか否かを判断する。すなわち、DSTMサーバー110は、DSTMノードA 100−Aの要請が正当な要請であるか否かを判断するために、動的アドレステーブルを使用する。
【0046】
DSTMサーバー110は、DSTMノードA 100−Aの情報と、自機があらかじめ格納している動的アドレステーブルに含まれた情報とを比較し、DSTMノード 100−Aの要請が正当な要請であるか否かを判断できる。ここで、DSTMサーバー110によって使用されるDSTMノードA 100−Aの情報は、IPv4アドレス割り当て要請と共に、DSTMサーバー110に転送される。
【0047】
DSTMサーバー110による、IPv4アドレス割り当て要請の正当性判断を具体的に説明すると、次の通りである。以下、DSTMノードの情報としてマックアドレス及びIPv6アドレスが用いられる場合について説明する。
【0048】
まず、偽造されたIPv6を使用してIPv4アドレス割り当てが要請された場合について説明する。
【0049】
DSTMサーバー110は、IPv4アドレス割り当てを要請したDSTMノードA 100−Aのマックアドレス、すなわちDSTMノードA 100−Aのマックアドレスと同じマックアドレスが、自機の動的アドレステーブルに含まれているか否かを判断する。DSTMサーバー110は、DSTMノードA 100−Aのマックアドレスが自機の動的アドレステーブルに含まれている場合には、動的アドレステーブルに含まれた、当該マックアドレスに対応するIPv6アドレスがDSTMノードA 100−AのIPv6アドレスと同一か否かを判断する。この際、IPv6アドレスが偽造されたアドレスならば、2つのIPv6アドレスは互いに異なる。この場合、DSTMサーバー110は、DSTMノードA 100−Aの要請は不当な要請であると判断する。一方、DSTMサーバー110は、任意のマックアドレス−IPv6アドレス対が動的アドレステーブルに含まれている状態で当該アドレス対と同じアドレス対を有するDSTMノードからIPv4アドレス割り当てが要請される場合に、当該要請を拒否する。その理由は、1つのマックアドレス−IPv6アドレスの対には、1つのIPv4アドレスのみが割り当てられるからである。
【0050】
次に、偽造されたマックアドレスを使用してIPv4アドレス割り当てが要請された場合について説明する。
【0051】
DSTMサーバー110は、DSTMノードA 100−Aのマックアドレスが自機の動的アドレステーブルに含まれていない場合、自機の動的アドレステーブルを検索して、DSTMノードA 100−AのIPv6アドレスが自機の動的アドレステーブルに含まれているか否かを判断する。DSTMサーバー110は、DSTMノードA 100−Aのマックアドレスが動的アドレステーブルに含まれていない状態で、DSTMノードA 100−AのIPv6アドレスだけが動的アドレステーブルに含まれている場合に、DSTMノードA 100−Aの要請は正当な要請でないと判断できる。
【0052】
次に、偽造されたマックアドレス及び偽造されたIPv6アドレスを使用してIPv4アドレス割り当てが要請された場合について説明する。
【0053】
DSTMサーバー110は、DSTM A 100−Aのマックアドレス及びIPv6アドレスが共に自機の動的アドレステーブルに含まれていない場合、一旦は、DSTMA 100−AによるIPv4アドレス割り当て要請が正当な要請であると判断する。この際に、DSTMサーバー110は、DSTM A 100−Aに対してIPv4アドレスを割り当てる。そして、DSTMサーバー110は、割り当てたIPv4アドレスをDSTMA 100−Aに送信する。
【0054】
ところが、仮にDSTMサーバー110がDSTMノードA 100−Aから受けたと判断したIPv4アドレス割り当て要請が、本物のDSTMノードA 100−Aからの正当なIPv4アドレス割り当て要請でない場合には、マックアドレス及びIPv6アドレスを偽造して不法的にIPv4アドレス割り当てを要請したノードは、割り当てられたIPv4アドレスを受信することができない。その理由は、IPv6環境では、基本的にMAC cache poisoning攻撃が不可能だからである。
【0055】
偽造されたマックアドレスがDSTMサーバー110のドメイン内にないマックアドレスであれば、当該マックアドレスに割り当てられたIPv4アドレスは、当該マックアドレスに送信されることができない。また、たとえ偽造されたマックアドレスがDSTMサーバー110と同じドメイン内に在る場合であったとしても、DSTMサーバー110が割り当てたIPv4アドレスは、IPSecを通じて暗号化され転送されるので、他のノードが当該IPv4アドレスを把握することはできない。
【0056】
すなわち、偽造されたマックアドレス及び偽造されたIPv6アドレスを使用したIPv4アドレス割り当て要請に応答して割り当てられたIPv4アドレスは、当該要請をしたノードに転送されない。したがって、不当なIPv4アドレス割り当て要請により割り当てられたIPv4アドレスを通じてのパケットの転送は、遂行されない。言い換えると、IPv4アドレスを割り当てられたDSTMノードが所定の時間内に当該IPv4アドレスを使用してパケットを送信しない場合に、当該DSTMノードからのIPv4アドレス割り当て要請は、不当な要請であると判断されることができる。
【0057】
このような場合を判断するために使用されるものが、動的アドレステーブルのタイムアウト情報である。タイムアウト情報を使用したタイムアウトチェックは、DSTM境界ルータ120により実行される。
【0058】
DSTM境界ルータ120は、パケットが受信される際に、当該パケットが正当なパケットなのか否かを判断する認証過程を行い、正当なパケットであると判断されたパケットをフォワーディング(すなわち目的地へ転送)する。DSTM境界ルータ120は、受信されたパケットを認証するために、自機の動的アドレステーブルを使用する。DSTM境界ルータ120は、パケットが受信される場合、自機の動的アドレステーブルを検索して、受信されたパケットを送信したDSTMノードの情報が自機の動的アドレステーブルに含まれているか否かを判断する。そして、DSTM境界ルータ120は、送信DSTMノードの情報が自機の動的アドレステーブルに含まれている場合に、当該DSTMノードから受信したパケットは正当なパケットであると判断する。
【0059】
この際、DSTM境界ルータ120により正当なパケットであると判断されるパケットには、DSTMサーバー110により割り当てられたIPv4アドレスを使用して転送されるパケットが含まれることができる。言い換えると、DSTM境界ルータ120は、受信されるパケットを認証するために、DSTMサーバー110が割り当てたIPv4アドレス情報を把握していなければならない。DSTM境界ルータ120は、DSTM境界ルータ120(すなわち自機)の動的アドレステーブルとDSTMサーバー110の動的アドレステーブルとの同期化を通じて、DSTMサーバー110が割り当てたIPv4アドレス情報を把握する。具体的には、2つの動的アドレステーブルの同期化のために、DSTMサーバー110の動的アドレステーブルが更新される場合には、更新されたDSTMサーバー110の動的アドレステーブルがDSTM境界ルータ120に提供され、一方、DSTM境界ルータ120の動的アドレステーブルが更新される場合には、更新されたDSTM境界ルータ120の動的アドレステーブルがDSTMサーバー110に提供される。この際、2つの動的アドレステーブルの同期化のためには、DSTMサーバー110とDSTM境界ルータ120との間で、更新された動的アドレステーブル全体が交換されることよりは、削除された或いは追加された等の更新されたデータデータだけが交換されることが好ましい。
【0060】
DSTM境界ルータ120は、受信されたパケットの情報(例えば、当該パケットを送信したDSTMノードの情報)が自機の動的アドレステーブルに含まれていない場合や、当該パケットの情報が自機の動的アドレステーブルの情報と一致しない場合には、当該パケットは不当なパケット(不法パケット)である、と判断する。ここで、不当なパケットとは、当該パケットがDSTMサーバー110から正当に割り当てられたIPv4パケットを使用して送信されたパケットではない、という意味である。この際、DSTM境界ルータ120は、正当なIPv4割り当て要請無しに発生したIPv4アドレス割り当てをDSTMサーバー110に通知し、DSTMサーバー110のIPv4アドレス不足を防止する。
【0061】
また、DSTM境界ルータ120は、前述したように、自機の動的アドレステーブルを用いてタイムアウトチェックを行う。DSTM境界ルータ120は、自機の動的アドレステーブルに含まれたIPv4アドレスのうち、割り当てられた後の所定時間が経過する前のパケット転送には使われないIPv4アドレスが在る場合、当該IPv4アドレスは不当な要請に応答して割り当てられたアドレスである、と判断する。タイムアウト時間は、割り当て可能なIPv4アドレスの総量、現在割り当て可能なIPv4アドレスの残余量、などのシステム特性を考慮して設定されることができる。タイムアウト時間は、IPv4アドレスを割り当てるDSTMサーバー110により設定されることが好ましい。
【0062】
DSTM境界ルータ120は、タイムアウトチェックの結果、任意のIPv4アドレスが不当な要請に応答して割り当てられたアドレスであると判断された場合には、当該IPv4アドレス及び当該IPv4アドレスと対応する情報を、自機の動的アドレステーブルから削除する。また、DSTM境界ルータ120は、タイムアウトチェックの結果により自機の動的アドレステーブルが更新される場合には、更新された自機の動的アドレステーブルをDSTMサーバー110に提供し、これにより、自機の動的アドレステーブルとDSTMサーバー110の動的アドレステーブルとが同期化できるようにする。
【0063】
図1には、本発明に従う過程が番号付き矢印によって示されている。
【0064】
過程1は、DSTMノード(例えば図1のノードA)がDSTMサーバー110にIPv4アドレスを要請する過程を示す。ここで、DSTMノードは、特定のDSTMノードでなく、DSTMサーバー110と同じドメインに含まれる任意のDSTMノードであるから、DSTMノードに対しては参照符号を省略して説明する。
【0065】
DSTMノードからIPv4アドレス割り当てを要請されたDSTMサーバー110は、IPv4アドレスを要請したDSTMノードのマックアドレス及びIPv6アドレスと、当該DSTMノードに割り当てられるIPv4アドレスの対と、を全てマッピングできる動的アドレステーブルを構築する。この動的アドレステーブルは、IPv4アドレスを要請するDSTMノードのMACアドレスに基づいた、動的な更新過程の対象となる。すなわち、DSTMサーバー110は、DSTMノードがIPv4アドレスを要請する場合毎に、自機の動的アドレステーブルにおける当該DSTMノードのマックアドレスとIPv6アドレスの余剰(redundancy)を順に検査する。
【0066】
動的アドレステーブルは、表1に示されたように、マック(MAC)アドレス、IPv6アドレス、IPv4アドレス、タイムアウト(Timeout)情報及びマーカーを含むことができる。タイムアウト情報は、前述したように、タイムアウトチェックのために使われる。タイムアウト時間内にDSTM境界ルータ120によってルーティングされたパケットに対しては、マーカーが設定され、タイムアウトは無視される。一般的に、タイムアウトチェックを通過する際に、マーカーは、“1”に設定されるが、その値は、システムの設定によって変更できる。
【0067】
過程2は、DSTMノードのIPv4アドレス要請により動的アドレステーブルを生成したDSTMサーバー110が、自機の動的アドレステーブルをDSTM境界ルータ120の動的アドレステーブルと共有する過程である。この過程は、2つの動的アドレステーブルの同期化を通じて実行される。すなわち、DSTMサーバー110及びDSTM境界ルータ120は、自機の動的アドレステーブルにおける内容の削除、追加または変更などの更新が発生する場合に、当該更新情報を相手方に提供することによって、自機の動的アドレステーブルを相手方の動的アドレステーブルと同一に維持できる。
【0068】
過程3は、DSTMノードが要請したIPv4アドレスをDSTMサーバー110から割り当てられる過程である。
【0069】
過程4と過程5は、割り当てられたIPv4アドレスを有するDSTMノードが、DSTM境界ルータ120を介してIPv4ネットワークに通信を試みる過程である。この際に、DSTM境界ルータ120は、DSTMサーバー110と共有している動的アドレステーブルを使用して、現在自機を経由するIPv6パケットの正当性を検査する。
【0070】
最後に、過程3−1及び3−2は、DSTMサーバー110が、偽造されたマックアドレスを有する不当なDSTMノードのIPv4アドレス要請に応答して割り当てたIPv4アドレスを、実際のマックアドレスを有するDSTMノードに転送する場合である。この際、自機の要請無しにIPv4アドレスを割り当てられたDSTMノードB 100−Bは、IPv4アドレス要請無しにアドレスが割り当てられたことをDSTMサーバー110に通知することによって、割り当てられたIPv4を取り消すことができる。DSTMノードB 100−Bから自機が要請しなかったことを通知されたDSTMサーバー110は、DSTMノードB 100−Bに割り当てられたIPV4アドレスを取り消す。
【0071】
前述した、本発明を適用したDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止のための過程を、図2を参照して以下に説明する。
【0072】
図2は、本発明の一実施形態による、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止過程を示すフローチャートである。
【0073】
まず、DSTMノードがDSTMサーバーにIPv4アドレス割り当てを要請する(ステップS200)。IPv4アドレス割り当てを要請されたDSTMサーバー110は、当該要請が正当な要請であるか否かを判断し、正当な要請に対してIPv4アドレスを割り当て、割り当てられたIPv4アドレスのマッピング情報を含むように自機の動的アドレステーブルを更新する(ステップS202)。続いて、DSTMサーバー110は、DSTM境界ルータ120との動的アドレステーブル同期化を行う(ステップS204)。そして、DSTMサーバーは、IPv4アドレス割り当てを要請したDSTMノードに、当該割り当てられたIPv4アドレスを通知する(ステップS206)。また、DSTM境界ルータ120は、自機の動的アドレステーブルを使用して、受信したパケットに対するタイムアウトチェック及び認証を行う(ステップS208)。そして、DSTM境界ルータ120は、パケットの認証が成功したか否かを判断し(ステップS210)、成功した場合には、当該認証されたパケットを該当するノードに転送(フォワーディング)する(ステップS212)。一方、DSTM境界ルータ120は、パケットの認証が成功しない場合には、当該パケットを送信したDSTMノードに割り当てられていたIPv4アドレスを取り消し、その取消結果を反映するように自機の動的アドレステーブルを更新した後に、DSTMサーバー110の動的アドレステーブルと自機の動的アドレステーブルとを同期化する(ステップS214)。
【0074】
前述したように、本発明を適用した実施形態によれば、動的アドレステーブルを使用することによって、別途の付加的な保安プロトコルや暗号化技法を用いずに、IPv6パケットの偽造による不当なIPv4アドレスの割り当て要請を検出し、正当なIPv4アドレス割り当て要請のみに対してIPv4アドレスを割り当てることによって、IPv4アドレスの消耗ないし不足を防止することができる。
【図面の簡単な説明】
【0075】
【図1】本発明が適用されることができるDSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4ネットワークの一実施形態によるネットワーク構成図である。
【図2】本発明の一実施形態による、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止過程を示すフローチャートである。
【符号の説明】
【0076】
110 DSTMサーバー
100−A DSTMノード A
100−B DSTMノード B
120 DSTM境界ルータ
130 IPv4ホスト
【技術分野】
【0001】
本発明は、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケットの偽造を防止するための方法及びシステムに関する。
【背景技術】
【0002】
IPv6(Internet Protocol version 6)−IPv4(IP version 4)ネットワークは、IPv6ネットワークとIPv4ネットワークとが共存するネットワークを意味する。IPv6ネットワークは、以前に使われたIPv4のアドレス不足問題などを解決するために提案されたものである。この新たに提案されたIPv6ネットワークの導入以後は、既存のIPv4ネットワークと新たなIPv6ネットワークとが共存している。IPv4ネットワークとIPv6ネットワークの共存は、既存のIPv4がIPv6ネットワークに完全に代替されるまで続くものと考えられる。このようなIPv4ネットワークとIPv6ネットワークの共存により、IPv4ネットワークとIPv6ネットワークとの間のデータ通信のための技術が必要とされる。
【0003】
IPv6ネットワークとIPv4ネットワークとの間の通信のための技術は、IPv6/IPv4デュアルスタック、トンネリング技術、変換技術などの様々な分野において研究がなされている。IPv6/IPv4トンネリング技術には、6to4、DSTM(Dual Stack Transition Mechanism)、ISATAP(Intra Site Automatic Tunnel Addressing Protocol)、TEREDO、トンネルブローカー(Tunnel Broker)などの方法がある。また、変換技術には、NAT−PT(Network Address Transition Protocol Transition)、SIIT(Stateless IPv6-IPv4 Translator)、BIA(Bump-in-the-API)などの方法がある。このようなIPv6/IPv4の変換ないし転換、転移(transition)のための技術は、IETF(Internet Engineering Task Force)v6opsWG(Work Group)で研究されている。
【0004】
これらのうち、DSTM技術は、既存のIPv4システムのうちアップグレードが可能なノードを、IPv4とIPv6を共に支援するデュアルスタック構造で製作し、当該ノードにIPv6アドレスを割り当ててIPv6ノードとして動作できるようにし、かつ、当該ノードが必要とする時毎にIPv4アドレスを動的に割り当てて(他のいわゆる純粋な)IPv4ノードと通信できるようにする技術である。このDSTM技術は、全てのネットワークがIPv6ネットワークに代替される最後の段階において適用できる技術である。
【0005】
DSTMの環境下では、IPv4ネットワークと通信しようとするIPv6ネットワーク側ノード(以下、「DSTMノード」と言う。)は、DSTMサーバーからIPv4アドレスを(動的に)割り当てられ、その割り当てられたIPv4アドレスを使用してIPv4ネットワークと通信する。
【0006】
しかしながら、DSTMノードに対するIPv4アドレス割り当てに際して、以下のような問題が発生することが考えられる。
【0007】
すなわち、IPv4ネットワークとの円滑な通信を行うために、DSTMサーバーは、IPv4アドレスを割り当てることを要請される。ところが、このとき、悪意的なノードからの不法(illegal)で且つ反復的なIPv4アドレス割り当て要請により、DSTMサーバーでIPv4アドレスが不足する事態が発生し得る。その理由は、偽造されたマック(MAC)アドレスまたは偽造されたIPv6アドレスを使用して、不法なIPv4アドレス割り当て要請を繰り返し行うことができるからである。したがって、DSTM環境では、偽造されたIPv6パケットを使用した不法で且つ反復的なIPv4アドレス割り当て要請によるDoS(Denial-of-Service)攻撃の問題が発生することが考えられる。また、DSTMノードからTEP(Tunnel End Point)を通過してIPv4ネットワークに向かうIPv6パケットの偽造の問題が発生することも考えられる。言い換えると、DSTMノードは、DSTMサーバーへのIPv4アドレス割り当て要請を通じて正常でなく(abnormally)割り当てられた不法なIPv4アドレスを使用して、IPv4ネットワークと通信できるものである。
【0008】
DSTM環境では、IPv4アドレス割り当て過程及びIPv4ネットワークとの通信過程で発生し得るこのような問題を解決するために、DSTMサーバーとしてDNSSEC(Domain Name System SECurity Extension)、DHCPv6サーバーを使用する場合には、DHCPv6の認証メッセージを使用することがDNS(Domain Name Server)側に勧告されている。しかしながら、これらの技術は、保安(セキュリティ)プロトコルや暗号学的技法を、DSTM構造自体に付加的に使用しなければならない、という点で短所を有している。
【特許文献1】大韓民国出願第10−2002−0029954号明細書
【発明の開示】
【発明が解決しようとする課題】
【0009】
従って、本発明の目的は、正当にIPv4アドレス割り当てを要請するDSTMノードにのみIPV4アドレスを割り当てることができる、DSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 6-IP version 4)ネットワークにおけるIPv6パケットの偽造防止方法及びシステムを提供することにある。
【0010】
また、本発明の他の目的は、IPv4アドレスの消耗を防止できる、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケットの偽造防止方法及びシステムを提供することにある。
【0011】
また、本発明のさらに他の目的は、DSTM構造を変更することなく、IPv6パケットの偽造を防止することによって、light-weight securityサービスを提供できる、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケットの偽造防止方法及びそのシステムを提供することにある。
【課題を解決するための手段】
【0012】
前記目的を達成するために、本発明の一側面によるDSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 4-IP version 6)ネットワークにおけるIPv6パケット偽造防止方法は、DSTMサーバーがDSTMノードからIPv4アドレス割り当て要請を受信する過程と、前記DSTMサーバーが、予め格納された自機の動的アドレステーブルを使用して前記要請が正当な要請であるか否かを判断する過程と、前記要請が正当であると判断された場合に、前記DSTMサーバーが前記DSTMノードにIPv4アドレスを割り当て、前記DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報とを含むように、前記動的アドレステーブルを更新する過程と、前記DSTMサーバーが、前記割り当てられたIPv4アドレスを前記DSTMノードに送信する過程と、前記DSTMサーバーが、前記更新された動的アドレステーブルをDSTM境界ルータに送信し、自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルとを同期化する過程と、を備えることができる。
【0013】
前記DSTMノードの情報は、少なくとも前記DSTMノードのマック(Media Access Control;MAC)アドレス及びIPv6アドレスを含むことができる。
【0014】
前記DSTMサーバーが前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、前記DSTMサーバーが、前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv6アドレスと、自機の動的アドレステーブルに含まれた、当該マックアドレスに対応するIPv6アドレスとを比較する過程と、当該比較の結果、前記DSTMノードのIPv6アドレスと自機の動的アドレステーブルに含まれたIPv6アドレスとが同一でない場合には、前記DSTMノードのIPv4アドレス割り当て要請は、不当な要請であると判断する過程と、を備えることができる。
【0015】
また、前記DSTMサーバーが前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、前記DSTMサーバーが、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていないと判断された場合に、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv4アドレス割り当て要請は不当な要請であると判断する過程と、を備えることができる。
【0016】
本発明の方法では、前記DSTM境界ルータが、前記DSTMサーバーの動的アドレステーブルに同期化された自機の動的アドレステーブルを使用して、受信されるパケットが正当なパケットであるか否かを判断する過程と、前記DSTM境界ルータが、前記正当であると判断されたパケットをフォワーディングする過程と、をさらに備えることができる。
【0017】
前記受信パケットが正当であるか否かをDSTM境界ルータで判断する過程は、前記受信パケットの情報が前記自機の動的アドレステーブルに含まれている場合に、当該パケットを正当であると判断する過程を備えることができる。
【0018】
前記DSTM境界ルータの動的アドレステーブル及び前記DSTMノードの動的アドレステーブルは、タイムアウト項目、マーカー項目をさらに含むことができる。
【0019】
また、本発明方法では、前記DSTM境界ルータが自機の動的アドレステーブルに含まれたDSTMノードからのパケット受信が当該ノードに割り当てられたタイムアウト時間内になされない場合に、当該DSTMノードを不当なノードであると判断する過程をさらに備えることができる。
【0020】
さらに、本発明方法では、前記DSTM境界ルータが前記タイムアウトチェックにより不当と判断されたDSTMノードの情報を自機の動的アドレステーブルから削除し、自機の動的アドレステーブルと前記DSTMサーバーの動的アドレステーブルを同期化させるために、前記削除されたDSTMノードの情報を前記DSTMサーバーに送信する過程をさらに備えることができる。
【0021】
また、本発明方法では、当該DSTMノードに割り当てられたタイムアウト時間内に当該DSTMノードが送信したパケットが受信される場合に、前記DSTM境界ルータが自機の動的アドレステーブルの、当該DSTMノードに対応するマーカー項目に所定の値を設定する過程をさらに備えることができる。
【0022】
本発明の方法において、前記DSTMサーバーは、IPv4アドレスを割り当てられたDSTMノードから自機がIPv4アドレスの割り当てを要請しなかったことを通知される場合に、当該IPv4アドレスの割り当てを取り消す過程をさらに備えることができる。
【0023】
また、本発明の他の側面によるDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システムは、DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含む動的アドレステーブルを使用して、任意のDSTMノードから受信されるパケットを認証し、認証されたパケットをフォワーディングするDSTM境界ルータと、DSTMノードからのIPv4アドレス割り当て要請を受信した場合に、当該要請が正当な要請であるか否かを判断した後、正当であると判断された要請に応答して当該DSTMノードにIPv4アドレスを割り当て、当該DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含むように、予め格納された自機の動的アドレステーブルを更新し、当該更新された動的アドレステーブルを前記DSTM境界ルータに提供して自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルを同期化するDSTMサーバーと、を備える。
【0024】
前記DSTMサーバーは、前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれていて、前記動的アドレステーブルに含まれた、前記マックアドレスに対応するIPv6アドレスが前記DSTMノードのIPv6アドレスと同一でない場合には、前記DSTMノードの要請は不当と判断することができる。
【0025】
前記DSTMサーバーは、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれておらず、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードの要請は不当な要請であると判断することができる。
【0026】
前記DSTM境界ルータは、自機の動的アドレステーブルに含まれたDSTMノードの各々に対して、当該DSTMノードが送信したパケットが当該DSTMノードに割り当てられた所定のタイムアウト時間内に受信されるか否かを判断し、当該DSTMノードが送信するパケットが前記タイムアウト時間内に受信されない場合に、当該DSTMノードは不当なDSTMノードであると判断することができる。
【0027】
前記DSTM境界ルータは、前記タイムアウトチェックの結果、不当と判断されたDSTMノードを前記自機の動的アドレステーブルから削除し、当該削除されたDSTMノードの情報を前記DSTMサーバーに提供することができる。
【0028】
前述したように、本発明に係るDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法及びそのシステムは、動的アドレステーブル(Dynamic Address Table;DAT)を使用してIPv6パケットの偽造を防止することを特徴とする。
【0029】
DSTM技術は、既存のIPv4システムのうちアップグレードが可能なノードを、IPv4とIPv6を共に支援するデュアルスタック構造で製作し、IPv6アドレスを割り当てて純粋なIPv4ノードと通信できるようにする方法である。DSTM技術は、全てのネットワークがIPv6に行く最後の段階に適用されることが好ましい。このような場合、DSTM技術は、IPv6ネットワークのホストと孤立されたIPv4ネットワークのホスト間の通信のために使われることができる。
【発明の効果】
【0030】
本発明によるDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法及びそのシステムは、動的アドレステーブルを使用して不法なIPv4アドレス割り当て要請を検出し、正当にIPv4アドレス割り当てを要請したDSTMノードのみにIPv4アドレスを割り当てることができる。したがって、本発明によれば、IPv6パケットの偽造を防止することができ、DSTM環境で発生し得るDoS(Denial-of-Service)攻撃を防止することができる。また、本発明によれば、IPv4アドレスの消耗ないし不足を防止することができる。さらに、本発明によれば、付加的なプロトコルまたは暗号学的技法を使用することなく、IPv6パケットの偽造を防止することによって、動作等が重くならない(light-weight)セキュリティサービスを提供することができる。
【発明を実施するための最良の形態】
【0031】
以下、添付の図面を参照して本発明を詳細に説明する。
【0032】
図1は、本発明が適用される、DSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 4-IP version 6)ネットワークの一例を示す構成図である。
【0033】
図1に示すように、DSTM環境のIPv6−IPv4ネットワークは、少なくとも1つのDSTMノード(図では説明の便宜のため、100−A,100−Bの2つのDSTMノードを示す。)と、DSTMサーバー110と、DSTM境界ルータ(border router;BR)120と、少なくとも1つのIPv4ホスト130と、を備えて構成されることができる。なお、図1の形態は、本発明の理解を助けるために提示された一例に過ぎないものであって、本発明は、これ以外にも様々な形態のDSTM環境のIPv6−IPv4ネットワークに適用されることができる。
【0034】
IPv6ネットワークドメインの構成要素であるDSTMノード100−A,100−Bは、DSTMサーバー110に対して、IPv4ネットワークとの通信のためのIPv4アドレス割り当ての要請を行い、また、DSTMサーバー110から割り当てられたIPv4アドレスを使用して、IPv4ネットワークドメインのIPv4ホスト130と通信を行うことができる。
【0035】
DSTMサーバー110は、通信しようとする目的のIPv4ノードの位置情報を把握するためのDNS(Domain Name Server)機能、IPv4ホストとの通信のために必要なIPv4アドレスの割り当てに関連するDHCPv6(Dynamic Host Configuration Protocol version 6)機能、IPv4アドレスプール(pool)機能、などを遂行する。
【0036】
DSTMサーバー110は、DSTMノード100−A(或いは100−B)からIPv4アドレス割り当てが要請される場合に、当該要請に応答して当該DSTMノード100−A(或いは100−B)にIPv4アドレスを割り当てる。DSTMサーバー110は、DSTMノード100−A(或いは100−B)からのIPv4アドレス割り当て要請に対して、当該要請が不当(ないし不法)な要請でなく正当な要請であるか、すなわち、当該DSTMサーバー110のドメイン内に存在するDSTMノード100−A(或いは100−B)からの、正常な手続による要請であるか否か、を判断する。DSTMノード100−A(或いは100−B)からの要請が正当な要請であるか否かを判断したDSTMサーバー110は、当該要請が正当な要請であれば、DSTMノード100−A(或いは100−B)にIPv4アドレスを割り当て、当該要請が正当な要請でない場合には、IPv4アドレスを割り当てない。
【0037】
特に、本発明に従うDSTMサーバー110は、DSTMノード100−A(或いは100−B)からのIPv4アドレス要請が正当な要請であるか否かを判断するために、動的アドレステーブルを使用する。かかる動的アドレステーブルは、現在のDSTMサーバー110のIPv4アドレス割り当ての状態情報を含むことができる。すなわち、動的アドレステーブルは、現在IPv4アドレスを割り当てられているDSTMノードの情報と、各ノードに割り当てられたIPv4アドレスのマッピング関係についての情報などを含むことができる。
【0038】
本発明の実施形態による、DSTMサーバー110が使用する動的アドレステーブルを、下記の表1に示す例を参照して説明する。
【0039】
【表1】
【0040】
表1は、動的アドレステーブルの構成例を示している。表1の例のように、本発明に従う動的アドレステーブルは、DSTMサーバー110からIPv4アドレスを割り当てられたDSTMノードの情報であるマック(Media Access Control;MAC)アドレス、IPv6アドレスなどの情報とともに、当該DSTMノードに割り当てられたIPv4アドレスの情報を含むことができる。また、動的アドレステーブルは、各々のDSTMノードに割り当てられたタイムアウト及びマーカー(marker)をさらに含むことができる。
【0041】
このうち、タイムアウト及びマーカーは、DSTMノードからのIPv4アドレス要請に対する正当性の有無を判断するために用いられる。タイムアウトは、IPv4アドレスが割り当てられた後、所定の時間内に当該IPv4アドレスを使用するパケットがDSTM境界ルータ120を介してルーティングされない場合に、当該IPv4アドレスが不当な要請により割り当てられたと判断するために、チェックされるものである。マーカーは、タイムアウトをチェックした(以下、「タイムアウトチェック」ともいう。)結果、正当だと判断されたことを表示するために用いられる。
【0042】
タイムアウトチェックは、DSTM境界ルータ120で行われることができる。なお、タイムアウトチェックについては、後述するDSTM境界ルータ120の説明の際に詳細に説明する。DSTMサーバー110の動的アドレステーブルは、IPv4割り当て過程で随時更新されることができ、DSTM境界ルータ120の動的アドレステーブルと同じ内容を有するように同期化される。
【0043】
DSTMサーバー110の動的アドレステーブルは、DSTMサーバー110によって構成(構築)され更新される。下記では、DSTMサーバー110による動的アドレステーブルの更新の例について説明する。また、DSTMサーバー110が動的アドレステーブルを使用して行う、DSTMノードからのIPv4アドレス割り当て要請の正当性判断についても説明する。説明の理解を助けるために、一例として、DSTMノードA 100−AのIPv4アドレス割り当て要請に応じてIPv4アドレスが割り当てられるものと仮定して説明する。
【0044】
まず、動的アドレステーブルの更新について説明する。
【0045】
DSTMサーバー110は、DSTMノードA 100−AからIPv4アドレス割り当てを要請される場合に、当該要請が正当な要請であるか否かを判断する。すなわち、DSTMサーバー110は、DSTMノードA 100−Aの要請が正当な要請であるか否かを判断するために、動的アドレステーブルを使用する。
【0046】
DSTMサーバー110は、DSTMノードA 100−Aの情報と、自機があらかじめ格納している動的アドレステーブルに含まれた情報とを比較し、DSTMノード 100−Aの要請が正当な要請であるか否かを判断できる。ここで、DSTMサーバー110によって使用されるDSTMノードA 100−Aの情報は、IPv4アドレス割り当て要請と共に、DSTMサーバー110に転送される。
【0047】
DSTMサーバー110による、IPv4アドレス割り当て要請の正当性判断を具体的に説明すると、次の通りである。以下、DSTMノードの情報としてマックアドレス及びIPv6アドレスが用いられる場合について説明する。
【0048】
まず、偽造されたIPv6を使用してIPv4アドレス割り当てが要請された場合について説明する。
【0049】
DSTMサーバー110は、IPv4アドレス割り当てを要請したDSTMノードA 100−Aのマックアドレス、すなわちDSTMノードA 100−Aのマックアドレスと同じマックアドレスが、自機の動的アドレステーブルに含まれているか否かを判断する。DSTMサーバー110は、DSTMノードA 100−Aのマックアドレスが自機の動的アドレステーブルに含まれている場合には、動的アドレステーブルに含まれた、当該マックアドレスに対応するIPv6アドレスがDSTMノードA 100−AのIPv6アドレスと同一か否かを判断する。この際、IPv6アドレスが偽造されたアドレスならば、2つのIPv6アドレスは互いに異なる。この場合、DSTMサーバー110は、DSTMノードA 100−Aの要請は不当な要請であると判断する。一方、DSTMサーバー110は、任意のマックアドレス−IPv6アドレス対が動的アドレステーブルに含まれている状態で当該アドレス対と同じアドレス対を有するDSTMノードからIPv4アドレス割り当てが要請される場合に、当該要請を拒否する。その理由は、1つのマックアドレス−IPv6アドレスの対には、1つのIPv4アドレスのみが割り当てられるからである。
【0050】
次に、偽造されたマックアドレスを使用してIPv4アドレス割り当てが要請された場合について説明する。
【0051】
DSTMサーバー110は、DSTMノードA 100−Aのマックアドレスが自機の動的アドレステーブルに含まれていない場合、自機の動的アドレステーブルを検索して、DSTMノードA 100−AのIPv6アドレスが自機の動的アドレステーブルに含まれているか否かを判断する。DSTMサーバー110は、DSTMノードA 100−Aのマックアドレスが動的アドレステーブルに含まれていない状態で、DSTMノードA 100−AのIPv6アドレスだけが動的アドレステーブルに含まれている場合に、DSTMノードA 100−Aの要請は正当な要請でないと判断できる。
【0052】
次に、偽造されたマックアドレス及び偽造されたIPv6アドレスを使用してIPv4アドレス割り当てが要請された場合について説明する。
【0053】
DSTMサーバー110は、DSTM A 100−Aのマックアドレス及びIPv6アドレスが共に自機の動的アドレステーブルに含まれていない場合、一旦は、DSTMA 100−AによるIPv4アドレス割り当て要請が正当な要請であると判断する。この際に、DSTMサーバー110は、DSTM A 100−Aに対してIPv4アドレスを割り当てる。そして、DSTMサーバー110は、割り当てたIPv4アドレスをDSTMA 100−Aに送信する。
【0054】
ところが、仮にDSTMサーバー110がDSTMノードA 100−Aから受けたと判断したIPv4アドレス割り当て要請が、本物のDSTMノードA 100−Aからの正当なIPv4アドレス割り当て要請でない場合には、マックアドレス及びIPv6アドレスを偽造して不法的にIPv4アドレス割り当てを要請したノードは、割り当てられたIPv4アドレスを受信することができない。その理由は、IPv6環境では、基本的にMAC cache poisoning攻撃が不可能だからである。
【0055】
偽造されたマックアドレスがDSTMサーバー110のドメイン内にないマックアドレスであれば、当該マックアドレスに割り当てられたIPv4アドレスは、当該マックアドレスに送信されることができない。また、たとえ偽造されたマックアドレスがDSTMサーバー110と同じドメイン内に在る場合であったとしても、DSTMサーバー110が割り当てたIPv4アドレスは、IPSecを通じて暗号化され転送されるので、他のノードが当該IPv4アドレスを把握することはできない。
【0056】
すなわち、偽造されたマックアドレス及び偽造されたIPv6アドレスを使用したIPv4アドレス割り当て要請に応答して割り当てられたIPv4アドレスは、当該要請をしたノードに転送されない。したがって、不当なIPv4アドレス割り当て要請により割り当てられたIPv4アドレスを通じてのパケットの転送は、遂行されない。言い換えると、IPv4アドレスを割り当てられたDSTMノードが所定の時間内に当該IPv4アドレスを使用してパケットを送信しない場合に、当該DSTMノードからのIPv4アドレス割り当て要請は、不当な要請であると判断されることができる。
【0057】
このような場合を判断するために使用されるものが、動的アドレステーブルのタイムアウト情報である。タイムアウト情報を使用したタイムアウトチェックは、DSTM境界ルータ120により実行される。
【0058】
DSTM境界ルータ120は、パケットが受信される際に、当該パケットが正当なパケットなのか否かを判断する認証過程を行い、正当なパケットであると判断されたパケットをフォワーディング(すなわち目的地へ転送)する。DSTM境界ルータ120は、受信されたパケットを認証するために、自機の動的アドレステーブルを使用する。DSTM境界ルータ120は、パケットが受信される場合、自機の動的アドレステーブルを検索して、受信されたパケットを送信したDSTMノードの情報が自機の動的アドレステーブルに含まれているか否かを判断する。そして、DSTM境界ルータ120は、送信DSTMノードの情報が自機の動的アドレステーブルに含まれている場合に、当該DSTMノードから受信したパケットは正当なパケットであると判断する。
【0059】
この際、DSTM境界ルータ120により正当なパケットであると判断されるパケットには、DSTMサーバー110により割り当てられたIPv4アドレスを使用して転送されるパケットが含まれることができる。言い換えると、DSTM境界ルータ120は、受信されるパケットを認証するために、DSTMサーバー110が割り当てたIPv4アドレス情報を把握していなければならない。DSTM境界ルータ120は、DSTM境界ルータ120(すなわち自機)の動的アドレステーブルとDSTMサーバー110の動的アドレステーブルとの同期化を通じて、DSTMサーバー110が割り当てたIPv4アドレス情報を把握する。具体的には、2つの動的アドレステーブルの同期化のために、DSTMサーバー110の動的アドレステーブルが更新される場合には、更新されたDSTMサーバー110の動的アドレステーブルがDSTM境界ルータ120に提供され、一方、DSTM境界ルータ120の動的アドレステーブルが更新される場合には、更新されたDSTM境界ルータ120の動的アドレステーブルがDSTMサーバー110に提供される。この際、2つの動的アドレステーブルの同期化のためには、DSTMサーバー110とDSTM境界ルータ120との間で、更新された動的アドレステーブル全体が交換されることよりは、削除された或いは追加された等の更新されたデータデータだけが交換されることが好ましい。
【0060】
DSTM境界ルータ120は、受信されたパケットの情報(例えば、当該パケットを送信したDSTMノードの情報)が自機の動的アドレステーブルに含まれていない場合や、当該パケットの情報が自機の動的アドレステーブルの情報と一致しない場合には、当該パケットは不当なパケット(不法パケット)である、と判断する。ここで、不当なパケットとは、当該パケットがDSTMサーバー110から正当に割り当てられたIPv4パケットを使用して送信されたパケットではない、という意味である。この際、DSTM境界ルータ120は、正当なIPv4割り当て要請無しに発生したIPv4アドレス割り当てをDSTMサーバー110に通知し、DSTMサーバー110のIPv4アドレス不足を防止する。
【0061】
また、DSTM境界ルータ120は、前述したように、自機の動的アドレステーブルを用いてタイムアウトチェックを行う。DSTM境界ルータ120は、自機の動的アドレステーブルに含まれたIPv4アドレスのうち、割り当てられた後の所定時間が経過する前のパケット転送には使われないIPv4アドレスが在る場合、当該IPv4アドレスは不当な要請に応答して割り当てられたアドレスである、と判断する。タイムアウト時間は、割り当て可能なIPv4アドレスの総量、現在割り当て可能なIPv4アドレスの残余量、などのシステム特性を考慮して設定されることができる。タイムアウト時間は、IPv4アドレスを割り当てるDSTMサーバー110により設定されることが好ましい。
【0062】
DSTM境界ルータ120は、タイムアウトチェックの結果、任意のIPv4アドレスが不当な要請に応答して割り当てられたアドレスであると判断された場合には、当該IPv4アドレス及び当該IPv4アドレスと対応する情報を、自機の動的アドレステーブルから削除する。また、DSTM境界ルータ120は、タイムアウトチェックの結果により自機の動的アドレステーブルが更新される場合には、更新された自機の動的アドレステーブルをDSTMサーバー110に提供し、これにより、自機の動的アドレステーブルとDSTMサーバー110の動的アドレステーブルとが同期化できるようにする。
【0063】
図1には、本発明に従う過程が番号付き矢印によって示されている。
【0064】
過程1は、DSTMノード(例えば図1のノードA)がDSTMサーバー110にIPv4アドレスを要請する過程を示す。ここで、DSTMノードは、特定のDSTMノードでなく、DSTMサーバー110と同じドメインに含まれる任意のDSTMノードであるから、DSTMノードに対しては参照符号を省略して説明する。
【0065】
DSTMノードからIPv4アドレス割り当てを要請されたDSTMサーバー110は、IPv4アドレスを要請したDSTMノードのマックアドレス及びIPv6アドレスと、当該DSTMノードに割り当てられるIPv4アドレスの対と、を全てマッピングできる動的アドレステーブルを構築する。この動的アドレステーブルは、IPv4アドレスを要請するDSTMノードのMACアドレスに基づいた、動的な更新過程の対象となる。すなわち、DSTMサーバー110は、DSTMノードがIPv4アドレスを要請する場合毎に、自機の動的アドレステーブルにおける当該DSTMノードのマックアドレスとIPv6アドレスの余剰(redundancy)を順に検査する。
【0066】
動的アドレステーブルは、表1に示されたように、マック(MAC)アドレス、IPv6アドレス、IPv4アドレス、タイムアウト(Timeout)情報及びマーカーを含むことができる。タイムアウト情報は、前述したように、タイムアウトチェックのために使われる。タイムアウト時間内にDSTM境界ルータ120によってルーティングされたパケットに対しては、マーカーが設定され、タイムアウトは無視される。一般的に、タイムアウトチェックを通過する際に、マーカーは、“1”に設定されるが、その値は、システムの設定によって変更できる。
【0067】
過程2は、DSTMノードのIPv4アドレス要請により動的アドレステーブルを生成したDSTMサーバー110が、自機の動的アドレステーブルをDSTM境界ルータ120の動的アドレステーブルと共有する過程である。この過程は、2つの動的アドレステーブルの同期化を通じて実行される。すなわち、DSTMサーバー110及びDSTM境界ルータ120は、自機の動的アドレステーブルにおける内容の削除、追加または変更などの更新が発生する場合に、当該更新情報を相手方に提供することによって、自機の動的アドレステーブルを相手方の動的アドレステーブルと同一に維持できる。
【0068】
過程3は、DSTMノードが要請したIPv4アドレスをDSTMサーバー110から割り当てられる過程である。
【0069】
過程4と過程5は、割り当てられたIPv4アドレスを有するDSTMノードが、DSTM境界ルータ120を介してIPv4ネットワークに通信を試みる過程である。この際に、DSTM境界ルータ120は、DSTMサーバー110と共有している動的アドレステーブルを使用して、現在自機を経由するIPv6パケットの正当性を検査する。
【0070】
最後に、過程3−1及び3−2は、DSTMサーバー110が、偽造されたマックアドレスを有する不当なDSTMノードのIPv4アドレス要請に応答して割り当てたIPv4アドレスを、実際のマックアドレスを有するDSTMノードに転送する場合である。この際、自機の要請無しにIPv4アドレスを割り当てられたDSTMノードB 100−Bは、IPv4アドレス要請無しにアドレスが割り当てられたことをDSTMサーバー110に通知することによって、割り当てられたIPv4を取り消すことができる。DSTMノードB 100−Bから自機が要請しなかったことを通知されたDSTMサーバー110は、DSTMノードB 100−Bに割り当てられたIPV4アドレスを取り消す。
【0071】
前述した、本発明を適用したDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止のための過程を、図2を参照して以下に説明する。
【0072】
図2は、本発明の一実施形態による、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止過程を示すフローチャートである。
【0073】
まず、DSTMノードがDSTMサーバーにIPv4アドレス割り当てを要請する(ステップS200)。IPv4アドレス割り当てを要請されたDSTMサーバー110は、当該要請が正当な要請であるか否かを判断し、正当な要請に対してIPv4アドレスを割り当て、割り当てられたIPv4アドレスのマッピング情報を含むように自機の動的アドレステーブルを更新する(ステップS202)。続いて、DSTMサーバー110は、DSTM境界ルータ120との動的アドレステーブル同期化を行う(ステップS204)。そして、DSTMサーバーは、IPv4アドレス割り当てを要請したDSTMノードに、当該割り当てられたIPv4アドレスを通知する(ステップS206)。また、DSTM境界ルータ120は、自機の動的アドレステーブルを使用して、受信したパケットに対するタイムアウトチェック及び認証を行う(ステップS208)。そして、DSTM境界ルータ120は、パケットの認証が成功したか否かを判断し(ステップS210)、成功した場合には、当該認証されたパケットを該当するノードに転送(フォワーディング)する(ステップS212)。一方、DSTM境界ルータ120は、パケットの認証が成功しない場合には、当該パケットを送信したDSTMノードに割り当てられていたIPv4アドレスを取り消し、その取消結果を反映するように自機の動的アドレステーブルを更新した後に、DSTMサーバー110の動的アドレステーブルと自機の動的アドレステーブルとを同期化する(ステップS214)。
【0074】
前述したように、本発明を適用した実施形態によれば、動的アドレステーブルを使用することによって、別途の付加的な保安プロトコルや暗号化技法を用いずに、IPv6パケットの偽造による不当なIPv4アドレスの割り当て要請を検出し、正当なIPv4アドレス割り当て要請のみに対してIPv4アドレスを割り当てることによって、IPv4アドレスの消耗ないし不足を防止することができる。
【図面の簡単な説明】
【0075】
【図1】本発明が適用されることができるDSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4ネットワークの一実施形態によるネットワーク構成図である。
【図2】本発明の一実施形態による、DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止過程を示すフローチャートである。
【符号の説明】
【0076】
110 DSTMサーバー
100−A DSTMノード A
100−B DSTMノード B
120 DSTM境界ルータ
130 IPv4ホスト
【特許請求の範囲】
【請求項1】
DSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 4-IP version 6)ネットワークにおけるIPv6パケット偽造防止方法であって、
DSTMサーバーがDSTMノードからのIPv4アドレス割り当て要請を受信する過程と、
前記DSTMサーバーが、予め格納された自機の動的アドレステーブルを使用して、前記要請が正当な要請であるか否かを判断する過程と、
前記要請が正当であると判断された場合に、前記DSTMサーバーが前記DSTMノードにIPv4アドレスを割り当て、前記DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報とを含むように、前記動的アドレステーブルを更新する過程と、
前記DSTMサーバーが、前記割り当てられたIPv4アドレスを前記DSTMノードに送信する過程と、
前記DSTMサーバーが、前記更新された動的アドレステーブルをDSTM境界ルータに送信し、自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルとを同期化する過程と、
を備えることを特徴とするDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項2】
前記DSTMノードの情報は、少なくとも前記DSTMノードのマック(Media Access Control;MAC)アドレス及びIPv6アドレスを含む
ことを特徴とする請求項1に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項3】
前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、
前記DSTMサーバーが、
前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、
前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv6アドレスと、自機の動的アドレステーブルに含まれた、当該マックアドレスに対応するIPv6アドレスと、を比較する過程と、
前記比較の結果、前記DSTMノードのIPv6アドレスと自機の動的アドレステーブルに含まれたIPv6アドレスとが同一でない場合には、前記DSTMノードのIPv4アドレス割り当て要請は不当な要請であると判断する過程と、
を備えることを特徴とする請求項2に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項4】
前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、
前記DSTMサーバーが、
前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、
前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていないと判断された場合に、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、
前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv4アドレス割り当て要請は不当な要請であると判断する過程と、
を備えることを特徴とする請求項2に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項5】
前記DSTM境界ルータが、前記DSTMサーバーの動的アドレステーブルに同期化された自機の動的アドレステーブルを使用して、受信されるパケットが正当なパケットであるか否かを判断する過程と、
前記DSTM境界ルータが、前記正当であると判断されたパケットをフォワーディングする過程と、
をさらに備えることを特徴とする請求項2に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項6】
前記DSTM境界ルータが、前記受信パケットが正当であるか否かを判断する過程は、
前記受信パケットの情報が前記自機の動的アドレステーブルに含まれている場合に、当該パケットを正当であると判断する過程を備える
ことを特徴とする請求項5に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項7】
前記DSTM境界ルータの動的アドレステーブル及び前記DSTMノードの動的アドレステーブルは、タイムアウト項目、マーカー項目をさらに含む
ことを特徴とする請求項1に記載のDSTM環境のIP−6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項8】
前記DSTM境界ルータが自機の動的アドレステーブルに含まれたDSTMノードからのパケット受信が当該ノードに割り当てられたタイムアウト時間内になされない場合に、当該DSTMノードを不当なノードであると判断する過程をさらに備える
ことを特徴とする請求項7に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項9】
当該DSTMノードに割り当てられたタイムアウト時間内に当該DSTMノードが送信したパケットが受信される場合に、前記DSTM境界ルータが自機の動的アドレステーブルの、当該DSTMノードに対応するマーカー項目に所定の値を設定する過程をさらに備える
ことを特徴とする請求項8に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項10】
前記DSTM境界ルータが前記タイムアウトチェックにより不当と判断されたDSTMノードの情報を自機の動的アドレステーブルから削除し、自機の動的アドレステーブルと前記DSTMサーバーの動的アドレステーブルを同期化させるために、前記削除されたDSTMノードの情報を前記DSTMサーバーに送信する過程をさらに備える
ことを特徴とする請求項8に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項11】
前記DSTMサーバーは、IPv4アドレスを割り当てられたDSTMノードから自機がIPv4アドレスの割り当てを要請しなかったことを通知される場合に、当該IPv4アドレスの割り当てを取り消す過程をさらに備える
ことを特徴とする請求項1に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項12】
DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システムであって、
DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含む動的アドレステーブルを使用して、任意のDSTMノードから受信されるパケットを認証し、認証されたパケットをフォワーディングするDSTM境界ルータと、
DSTMノードからのIPv4アドレス割り当て要請を受信した場合に、当該要請が正当な要請であるか否かを判断した後、正当であると判断された要請に応答して当該DSTMノードにIPv4アドレスを割り当て、当該DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含むように、予め格納された自機の動的アドレステーブルを更新し、当該更新された動的アドレステーブルを前記DSTM境界ルータに提供して自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルを同期化するDSTMサーバーと、
を備えることを特徴とするDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項13】
前記DSTMノードの情報は、少なくとも前記DSTMノードのマック(Media Access Control;MAC)アドレス及びIPv6アドレスを含む
ことを特徴とする請求項12に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項14】
前記DSTMサーバーは、前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれていて、前記動的アドレステーブルに含まれた、前記マックアドレスに対応するIPv6アドレスが前記DSTMノードのIPv6アドレスと同一でない場合には、前記DSTMノードの要請は不当と判断する
ことを特徴とする請求項13に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項15】
前記DSTMサーバーは、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれておらず、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードの要請は不当な要請であると判断する
ことを特徴とする請求項13に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項16】
前記DSTM境界ルータの動的アドレステーブルと前記DSTMノードの動的アドレステーブルは、タイムアウト項目、マーカー項目をさらに含む
ことを特徴とする請求項13に記載のDSTM環境のIP−6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項17】
前記DSTM境界ルータは、自機の動的アドレステーブルに含まれたDSTMノードの各々に対して、当該DSTMノードが送信したパケットが当該DSTMノードに割り当てられた所定のタイムアウト時間内に受信されるか否かを判断し、当該DSTMノードが送信するパケットが前記タイムアウト時間内に受信されない場合に、当該DSTMノードは不当なDSTMノードであると判断する
ことを特徴とする請求項16に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項18】
前記DSTM境界ルータは、前記タイムアウトチェックの結果、不当と判断されたDSTMノードを前記自機の動的アドレステーブルから削除し、当該削除されたDSTMノードの情報を前記DSTMサーバーに提供する
ことを特徴とする請求項17に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項19】
前記DSTM境界ルータは、前記タイムアウトチェックの結果、当該DSTMノードに割り当てられたタイムアウト時間内に当該DSTMノードが送信したパケットが受信される場合、動的アドレステーブルに含まれた、当該DSTMノードに対応するマーカー項目に所定の値を記録する
ことを特徴とする請求項17に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項20】
前記DSTMサーバーは、IPv4アドレスを割り当てられたDSTMノードから自機がIPv4アドレスの割り当てを要請しなかったことを通知される場合、当該IPv4アドレスの割り当てを取り消す
ことを特徴とする請求項12に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項1】
DSTM(Dual Stack Transition Mechanism)環境のIPv6−IPv4(Internet Protocol version 4-IP version 6)ネットワークにおけるIPv6パケット偽造防止方法であって、
DSTMサーバーがDSTMノードからのIPv4アドレス割り当て要請を受信する過程と、
前記DSTMサーバーが、予め格納された自機の動的アドレステーブルを使用して、前記要請が正当な要請であるか否かを判断する過程と、
前記要請が正当であると判断された場合に、前記DSTMサーバーが前記DSTMノードにIPv4アドレスを割り当て、前記DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報とを含むように、前記動的アドレステーブルを更新する過程と、
前記DSTMサーバーが、前記割り当てられたIPv4アドレスを前記DSTMノードに送信する過程と、
前記DSTMサーバーが、前記更新された動的アドレステーブルをDSTM境界ルータに送信し、自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルとを同期化する過程と、
を備えることを特徴とするDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項2】
前記DSTMノードの情報は、少なくとも前記DSTMノードのマック(Media Access Control;MAC)アドレス及びIPv6アドレスを含む
ことを特徴とする請求項1に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項3】
前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、
前記DSTMサーバーが、
前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、
前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv6アドレスと、自機の動的アドレステーブルに含まれた、当該マックアドレスに対応するIPv6アドレスと、を比較する過程と、
前記比較の結果、前記DSTMノードのIPv6アドレスと自機の動的アドレステーブルに含まれたIPv6アドレスとが同一でない場合には、前記DSTMノードのIPv4アドレス割り当て要請は不当な要請であると判断する過程と、
を備えることを特徴とする請求項2に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項4】
前記DSTMノードの要請が正当な要請であるか否かを判断する過程は、
前記DSTMサーバーが、
前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、
前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれていないと判断された場合に、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれているか否かを判断する過程と、
前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードのIPv4アドレス割り当て要請は不当な要請であると判断する過程と、
を備えることを特徴とする請求項2に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項5】
前記DSTM境界ルータが、前記DSTMサーバーの動的アドレステーブルに同期化された自機の動的アドレステーブルを使用して、受信されるパケットが正当なパケットであるか否かを判断する過程と、
前記DSTM境界ルータが、前記正当であると判断されたパケットをフォワーディングする過程と、
をさらに備えることを特徴とする請求項2に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項6】
前記DSTM境界ルータが、前記受信パケットが正当であるか否かを判断する過程は、
前記受信パケットの情報が前記自機の動的アドレステーブルに含まれている場合に、当該パケットを正当であると判断する過程を備える
ことを特徴とする請求項5に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項7】
前記DSTM境界ルータの動的アドレステーブル及び前記DSTMノードの動的アドレステーブルは、タイムアウト項目、マーカー項目をさらに含む
ことを特徴とする請求項1に記載のDSTM環境のIP−6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項8】
前記DSTM境界ルータが自機の動的アドレステーブルに含まれたDSTMノードからのパケット受信が当該ノードに割り当てられたタイムアウト時間内になされない場合に、当該DSTMノードを不当なノードであると判断する過程をさらに備える
ことを特徴とする請求項7に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項9】
当該DSTMノードに割り当てられたタイムアウト時間内に当該DSTMノードが送信したパケットが受信される場合に、前記DSTM境界ルータが自機の動的アドレステーブルの、当該DSTMノードに対応するマーカー項目に所定の値を設定する過程をさらに備える
ことを特徴とする請求項8に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項10】
前記DSTM境界ルータが前記タイムアウトチェックにより不当と判断されたDSTMノードの情報を自機の動的アドレステーブルから削除し、自機の動的アドレステーブルと前記DSTMサーバーの動的アドレステーブルを同期化させるために、前記削除されたDSTMノードの情報を前記DSTMサーバーに送信する過程をさらに備える
ことを特徴とする請求項8に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項11】
前記DSTMサーバーは、IPv4アドレスを割り当てられたDSTMノードから自機がIPv4アドレスの割り当てを要請しなかったことを通知される場合に、当該IPv4アドレスの割り当てを取り消す過程をさらに備える
ことを特徴とする請求項1に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止方法。
【請求項12】
DSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システムであって、
DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含む動的アドレステーブルを使用して、任意のDSTMノードから受信されるパケットを認証し、認証されたパケットをフォワーディングするDSTM境界ルータと、
DSTMノードからのIPv4アドレス割り当て要請を受信した場合に、当該要請が正当な要請であるか否かを判断した後、正当であると判断された要請に応答して当該DSTMノードにIPv4アドレスを割り当て、当該DSTMノードの情報と当該DSTMノードに割り当てられたIPv4アドレスのマッピング情報を含むように、予め格納された自機の動的アドレステーブルを更新し、当該更新された動的アドレステーブルを前記DSTM境界ルータに提供して自機の動的アドレステーブルと前記DSTM境界ルータの動的アドレステーブルを同期化するDSTMサーバーと、
を備えることを特徴とするDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項13】
前記DSTMノードの情報は、少なくとも前記DSTMノードのマック(Media Access Control;MAC)アドレス及びIPv6アドレスを含む
ことを特徴とする請求項12に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項14】
前記DSTMサーバーは、前記DSTMノードのマックアドレスと同じマックアドレスが自機の動的アドレステーブルに含まれていて、前記動的アドレステーブルに含まれた、前記マックアドレスに対応するIPv6アドレスが前記DSTMノードのIPv6アドレスと同一でない場合には、前記DSTMノードの要請は不当と判断する
ことを特徴とする請求項13に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項15】
前記DSTMサーバーは、前記DSTMノードのマックアドレスが自機の動的アドレステーブルに含まれておらず、前記DSTMノードのIPv6アドレスが自機の動的アドレステーブルに含まれていると判断された場合に、前記DSTMノードの要請は不当な要請であると判断する
ことを特徴とする請求項13に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項16】
前記DSTM境界ルータの動的アドレステーブルと前記DSTMノードの動的アドレステーブルは、タイムアウト項目、マーカー項目をさらに含む
ことを特徴とする請求項13に記載のDSTM環境のIP−6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項17】
前記DSTM境界ルータは、自機の動的アドレステーブルに含まれたDSTMノードの各々に対して、当該DSTMノードが送信したパケットが当該DSTMノードに割り当てられた所定のタイムアウト時間内に受信されるか否かを判断し、当該DSTMノードが送信するパケットが前記タイムアウト時間内に受信されない場合に、当該DSTMノードは不当なDSTMノードであると判断する
ことを特徴とする請求項16に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項18】
前記DSTM境界ルータは、前記タイムアウトチェックの結果、不当と判断されたDSTMノードを前記自機の動的アドレステーブルから削除し、当該削除されたDSTMノードの情報を前記DSTMサーバーに提供する
ことを特徴とする請求項17に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項19】
前記DSTM境界ルータは、前記タイムアウトチェックの結果、当該DSTMノードに割り当てられたタイムアウト時間内に当該DSTMノードが送信したパケットが受信される場合、動的アドレステーブルに含まれた、当該DSTMノードに対応するマーカー項目に所定の値を記録する
ことを特徴とする請求項17に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【請求項20】
前記DSTMサーバーは、IPv4アドレスを割り当てられたDSTMノードから自機がIPv4アドレスの割り当てを要請しなかったことを通知される場合、当該IPv4アドレスの割り当てを取り消す
ことを特徴とする請求項12に記載のDSTM環境のIPv6−IPv4ネットワークにおけるIPv6パケット偽造防止システム。
【図1】
【図2】
【図2】
【公開番号】特開2007−221792(P2007−221792A)
【公開日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願番号】特願2007−35649(P2007−35649)
【出願日】平成19年2月16日(2007.2.16)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】Samsung Electronics Co.,Ltd.
【Fターム(参考)】
【公開日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願日】平成19年2月16日(2007.2.16)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】Samsung Electronics Co.,Ltd.
【Fターム(参考)】
[ Back to top ]