IPSECとIPV6近隣要請の競合解消方法及びそのシステム
【課題】IPsecポリシーを有する複数のホストデバイスがIPv6通信ネットワークを介して相互通信を行うための方法を提供する。
【解決手段】ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立する工程と、を備える方法。
【解決手段】ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立する工程と、を備える方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IPsecとIPv6近隣要請の競合解消方法及びそのシステムに関するもので、特に、IPv6ネットワーク(インターネットプロトコルバージョン6)における近隣探索IPセキュリティ(IPsec)にアドレス解決プロトコル(ARP)を使用する方法およびそのシステムに関する。
【背景技術】
【0002】
ネットワーク(ネットワーク接続)によってパソコンと他のパソコン及び/又は他のネットワークデバイスに通信をさせ、電子メッセージを使用することによって、通信及び情報アクセス能力が高められてきた。パソコン間及び/又はネットワークデバイス間で電子メッセージの伝送が行われる際、電子メッセージは、電子メッセージ内のデータに処理(例えば、パケット分解、ルーティング、フロー制御など)を施すプロトコルスタックを通過することが多い。
【0003】
アドレッシング構造の最初の主要バージョンであるインターネットプロトコルバージョン4(IPv4)は、後継者であるインターネットプロトコルバージョン6(IPv6)が世界中に活発に広がってきてはいるものの、依然として有力なインターネットプロトコルである。IPv4ベースのインターネットからIPv6ベースのインターネットへの移行には時間がかかると考えられ、その間は両者が共存することになるだろう。具体的には、その段階的移行期間中、既存のIPv4アプリケーションは、IPv4プロトコルスタックとIPv6プロトコルスタックの両方を備えるデュアルスタックを使用した、新しいIPv6対応アプリケーションと連携可能となる。
【0004】
IPv6ネットワークプロトコルは、IPv6ホストやIPv6ホストデバイス(例えば、画像形成装置や他のデバイス)はICMPv6近隣探索メッセージ(すなわち、近隣探索プロトコル又はNDP)を使用するIPv6ネットワークに接続されると、自動設定(すなわち、ステートレスアドレス自動設定)を行う、と規定している。IPv6ホストはネットワークに最初に接続された際、重複アドレス検出(dad)のため、仮リンクローカルアドレスを広告するリンクローカルマルチキャスト近隣要請要求を送信し、問題がなければそのリンクローカルアドレスを使用する。そして、ネットワーク層構成パラメータを取得するためにルータ要請を送信(タイミングによってはルータ広告を受信)し、ルータはこのような要求に対し、ネットワーク層構成パラメータを含むルータ広告パケットで応答する。
【0005】
しかし近隣探索プロトコル(NDP)仕様は、NDPメッセージを保護するためにIPsecの使用を要求する。これがホスト(ホストデバイス)に問題をもたらすことがある。具体的には、IPsecでは、IKE(インターネット鍵交換)使用におけるブートストラップ問題のために、セキュリティアソシエーションを手動設定することによってのみしか使用できないことが問題となる。なぜなら、いかなるIPv6パケットでも配信できるようにするためには、NDPメッセージ送信に必要なセッションの確立に、NDPメッセージの事前交換が要求されるからである。また、一ネットワーク上に存在するホストの一般的な数に鑑みて、手動設定されるIPsecセッションのソリューションは現実的ではない。さらに、NDPを保護するために必要とされる、手動設定されるセキュリティアソシエーションの数は膨大になる可能性があり、大抵の場合、そのアプローチは非実用的である。
【0006】
上述の問題を解決する方法の一つとして、セキュア近隣探索(SEND)プロトコルが使用されてきた。セキュア近隣探索プロトコルは、IPv6における近隣探索プロトコルのセキュリティ拡張版である。セキュア近隣探索(SEND)はIPsecとは別の暗号化方式を用いてNDPの安全性を高めるためのメカニズムを提供するものであり、IPv6通信を安全に行うためのオリジナルかつ特有の方法である。
【発明の概要】
【発明が解決しようとする課題】
【0007】
上述の問題点に鑑みると、SENDに代わる解決方法を持つことが望まれる。その解決方法として、近隣要請にアドレス解決プロトコルを用いてIPsecとIPv6近隣要請の競合を解消する、画像形成装置などのホストデバイス及び/又はネットワークデバイスと関連するアプリケーションが考えられる。
【課題を解決するための手段】
【0008】
一実施形態によれば、IPsecポリシーを有する複数のホストデバイスがIPv6通信ネットワークを介して相互通信を行うための方法は、
ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立する工程と、を備える方法である。
【0009】
他の実施形態によれば、IPv6通信ネットワークのための近隣探索システムは、
アプリケーションを有する送信元ホストと、
アプリケーションを有するターゲットホストと、を備え、
前記送信元ホストは、
前記ターゲットホストのIPv6アドレスのセキュリティポリシーから、前記ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
前記送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信する工程と、を実行し、
前記ターゲットホストは、
前記ターゲットホスト上で前記ARP要求を受信する工程と、
前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルと比較する工程と、
前記送信元ホストの前記MAC IDが前記ターゲットホストの前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、を実行するシステムである。
【0010】
更に他の実施形態によれば、IPv6通信ネットワークの近隣探索のためのコンピュータプログラムを収容するコンピュータ読取可能媒体において、該コンピュータプログラムは実行可能な指示を備え、該実行可能な指示は、
ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出するための指示と、
送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索するための指示と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、
前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立するための指示と、であることを特徴とする前記コンピュータ読取可能媒体である。
【0011】
上述した概要及び以下の詳細な説明は共に、例示的かつ説明的なものであって、特許請求の範囲に記載された本発明について更なる説明を提供することを意図するものである。
【図面の簡単な説明】
【0012】
添付の図面は本発明の更なる理解を提供するために含まれ、この明細書に組み込まれてその一部を構成する。これらの図面は、本発明の実施態様を例示し、明細書と共に、本発明の原則を説明するためのものである。図面において、
【図1】一の実施形態に係る通常の通信プロトコルを用いたネットワークシステムを示す図である。
【図2】他の実施形態に係るセキュアなIPv6通信プロトコルを用いたネットワークシステムを示す図である。
【図3】一の実施形態に係るIPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーションの実行を示すフローチャートである。
【図4】他の実施形態に係るIPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーションの実行を示すフローチャートである。
【発明を実施するための形態】
【0013】
ここで、添付図に例示される本発明の望ましい実施の形態について詳細に説明する。同一又は類似の部品を参照するため、可能な限り、図面及び説明中に同一の参照番号を用いる。
【0014】
図1は、本発明の実施形態に係る通常の通信プロトコルを有するネットワークシステム100を示し、ネットワークシステム100は、画像形成装置の形態のホストデバイス(ホストA)110を備えている。図1に示されるように、ネットワークシステム100はホストデバイス(画像形成装置)110と、少なくとも一の第二ホスト又はクライアントデバイス(ホストB)120で構成されている。ホストデバイス(画像形成装置)110と第二ホスト(クライアントデバイス)120は、通信ネットワーク130を介してデータ通信可能な状態で相互接続されている。ホスト110、120は、ARP、IPv4、IPsec及びIPv6をサポートするネットワークデバイスであれば、いかなるデバイスでもよい。本発明の実施形態に従った通信ネットワーク130としては、例えば、インターネット、イントラネット、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)などがあるが、これらに限られるものではない。ホストデバイス(画像形成装置)110と第二ホスト(クライアントデバイス)120は、ケーブルを用いて有線接続することができる。また、無線周波数(RF)、赤外線(IR)伝送、USB,IEEE1394及び/又はその他の適切な無線技術を用いて、無線接続することもできる。
【0015】
本発明の実施形態によれば、図1に示される通信ネットワーク130は、IPv6(インターネットプロトコルバージョン6)132と、IPv4(インターネットプロトコルバージョン4)134と、第三のコンピュータネットワークプロトコルとしてのアドレス解決プロトコル(ARP)136を備えている。本発明の実施形態によれば、IPv6 132は、近隣探索プロトコルを備えている。ホスト110、120間でARPパケットの交換が行われると、ARPパケットにはホスト110、120のMAC ID及びIPv4アドレスが含まれる。IPv4アドレスはIPv6から独立したものである。
【0016】
本発明の実施形態によれば、ホストデバイス(画像形成装置)110は、プリンタ、複合機(MFP)、その他周知の画像形成装置などによって具現化され、第二ホスト(クライアントデバイス)120によって生成された印刷データに基づいて、用紙などの印刷媒体(記録媒体)に画像を印刷する。本発明の実施形態において、ホストデバイス(画像形成装置)110は複合機(MFP)であり、少なくとも、コピー機能、画像読取機能及び印刷機能を備え、第二ホスト(クライアントデバイス)120から送信された印刷ジョブ(印刷指示)や、ホストデバイス(画像形成装置)110に備えられたスキャナなどの画像読取部によって読み取られた画像データなどに基づいて、用紙に画像を形成する。
【0017】
本発明の実施形態によれば、コンピュータシステムなどで具現化される第二ホスト(クライアントデバイス)120は、ホストデバイス(画像形成装置)110で使用可能な印刷データを生成し、生成した印刷データをホストデバイス(画像形成装置)110へ送信する。第二ホスト(クライアントデバイス)120は、例えば、コンピュータ及び/又はノートパソコン、携帯電話、携帯情報端末(PDA)などの可搬型デバイスである。ホストデバイス(画像形成装置)110と第二ホスト(クライアントデバイス)120は、画像形成システムを構築して、通信ポートを設置し、印刷データを生成し、生成した印刷データに応じて印刷媒体に画像を形成する印刷動作を行うことができる。
【0018】
第二ホストデバイス(クライアントデバイス)120は複数のパソコンであってもよく、画像形成装置の形態の第一ホストデバイス110へ印刷ジョブを送信する機能を備えている。プリンタドライバプログラム(以下、単に「プリンタドライバ」とする場合有り)が第二ホスト120内に設置され、第二ホスト120はプリンタドライバの機能を使用して、画像形成時に適用される印刷条件のデータや画像データなどを含む印刷ジョブを生成し、生成した印刷ジョブを画像形成装置の形態の第一ホストデバイス110へ送信する。
【0019】
図2は、本発明の他の実施形態に係るセキュアなIPv6通信プロトコルを用いたネットワークシステム200を示す図である。図2に示されるように、システム200は、ホストデバイス又は送信元ホスト(ホストA)210と、少なくとも一の第二ホスト又はターゲット/宛先ホスト(ホストB)220と、通信ネットワーク230とを、データ通信可能な状態で備えている。本発明の実施形態によれば、通信ネットワーク230は図2に示されるように、自動IPsecを実装したIPv6(インターネットプロトコルバージョン6)232と、自動IPsecを実装したIPv4(インターネットプロトコルバージョン4)と、アドレス解決プロトコル(ARP)236を備えている。本発明の実施形態によれば、IPv6 232は近隣探索プロトコルを備えている。しかし、IPv6ネットワークのセキュリティポリシーはIPsecセキュリティを含んでおり、IPv6アドレスをリンク層アドレス(及びIPv4アドレス)に変換するメカニズムが近隣探索プロトコル(NDP)を用いて実行されるため、ホスト210、220(ホストA、B)は相互通信を行うことができない。
【0020】
本発明の実施形態によれば、上記課題の一つの解決方法は、アプリケーション(ソフトウェアモジュール)を用いることである。このアプリケーションは、ホスト(ノード)210、220のMAC IDの一致を確立するために、アドレス解決プロトコル(ARP)テーブル情報を使用するものである。ARPテーブルによりMAC IDの一致が確立すると、アプリケーションによって、各ホスト(ノード)210、220の近隣キャッシュテーブルに、仮近隣キャッシュエントリが作成される。近隣キャッシュテーブル内に仮近隣キャッシュエントリが設定されると、対応するセキュリティアソシエーションが作成され、IPsecネゴシエーションが開始される。本発明の他の実施形態によれば、ホスト210、220間のIPv6接続が確立すると、アプリケーションによって、一方または両方の近隣キャッシュテーブルから、キャッシュエントリを削除することができる。
【0021】
本発明の実施形態において、ホスト(ホストA、B)210、220が、各ホストに完全にセキュアなIPv6通信を要求するIPsecポリシーを備えている場合、IPv6ネットワークプロトコルは、IPv6ホスト又はIPv6ホストデバイス(例えば、画像形成装置や他のデバイス)はICMPv6近隣探索メッセージ(すなわち、近隣探索プロトコル又はNDP)を使用するIPv6ネットワークに接続した場合、自動設定(すなわち、ステートレスアドレス自動設定)できる、と規定している。一般的にIPv6ネットワーク接続において、IPv6ホストは初めてそのネットワークに接続した際には、重複アドレス検出(dad)のため、仮リンクローカルアドレスを広告するリンクローカルマルチキャスト近隣要請要求を送信し、問題がなければ、そのリンクローカルアドレスを使用する。しかしホスト210、220は、IPsecポリシーにより、IPv6パケット配信を可能にするためのNDPメッセージ交換を行うことができない。
【0022】
本発明の実施形態において、各ホスト210、220はアプリケーションを備えている。このアプリケーションによって、IPv4アドレス解決プロトコル(ARP)の交換が行われ、ホスト(ノード)間でIPsecネゴシエーションをするのに必要なセキュリティアソシエーションが確立される。本発明の実施形態によれば、ホスト210、220のARPテーブルには他のホスト(ノード)のMAC IDを事前に投入することができ、このテーブルに基づいて、ホスト(ノード)210、220間に適切なセキュリティプロトコルが設定されている。
【0023】
本発明の他の実施形態によれば、各ホスト(ノード)210、220は、ステートレスアドレス自動設定プロトコルによって生成されたIPv6アドレスからメディアアクセス制御(MAC)IDを取得するアプリケーションを備えている。このアプリケーションによって、与えられたIPv6アドレスからMAC IDを取得したり、ARPテーブル内のMAC IDからIPv6アドレスを取得したりすることができる。MAC IDの一致があると、アプリケーションによって、近隣キャッシュテーブルに仮近隣キャッシュエントリが作成される。本発明の実施形態によれば、対応するセキュリティアソシエーションが作成されると、IPsecネゴシエーションが開始される。
【0024】
本発明の更に他の実施形態によれば、第一ホスト210(例えば、ホストA)のIPsecポリシーが所定の第二ホスト220(例えば、ホストB)の(全トラフィックは安全でならなければならないことを意味する)IPv6アドレスを所有していない場合、アプリケーションによって、IPv6用セキュリティアソシエーションがARPテーブル内の各MAC IDに対して作成されているか確認され、その後、セキュアなIPv6通信を設定するための処理が行われる。
【0025】
本発明の実施形態によれば、IPv6近隣探索はIPv4 ARPプロトコルを用いて行われる。それによって、ネットワークインターフェイスカードの物理アドレスを既知のIPアドレスに対応させることができる。ネットワークに接続される各デバイスや装置は、48ビットの識別番号(MAC ID)を有する。しかし、インターネット上の通信においては、MAC IDは直接的には使用されない。これは、ネットワークインターフェイスカードが変わる度に、ホストのアドレスも必然的に変わるためである。代わりに、システムによって割り当てられる倫理アドレス、すなわちIPアドレスが使用される。物理アドレスは論理アドレスとリンクできるため、IPv4 ARPプロトコルを使用してネットワーク装置の物理アドレスが取得され、キャッシュメモリ内に論理アドレスと物理アドレスのルックアップテーブルが作成される。
【0026】
一般的には、一のホストが他のホストとの通信を必要とする場合、第一ホストはルックアップテーブルを調べる。通常、要求されたアドレスがテーブル内で発見されない場合、ARPプロトコルによりネットワーク上に要求を発行する。ネットワーク上の各ホストは、この倫理アドレスと自身のアドレスを比較する。これらホストのいずれかがその論理アドレスによって自身を特定すると、そのホストはIPv4 ARP要求に応答し、ルックアップテーブルにはその一対のアドレスが記憶される。そして、ホスト210、220間でIPv6通信が可能となる。
【0027】
本発明の実施形態によれば、ARPテーブルを備えた第一ホストデバイス(送信元ホスト)210は、ADP要求内にMAC IDを内包する。第一ホストデバイス210は、ターゲットホスト220が属するブロードキャストドメインへ、ARP要求を有するパケットをブロードキャストする。それにより、特定のMAC IDアドレスを有するターゲットホスト210が自身を特定し、受信側のハードウェアアドレスを要求側に提供する。この処理はリソースディスカバリとして知られている。
【0028】
ARP要求は、(送信元ホスト又は送信元デバイスのための)宛先局のIPアドレスや、(ターゲットホスト又は遠隔デバイスのための)デフォルトルータのIPアドレスを含む。対象とされたノードは、ARP応答内に自身のMACアドレスを内包して応答する。ローカルホスト(送信元ホスト)は、この情報を用いてフレームの宛先MACアドレスを解決する。不要なトラフィックを最小化するために、IPアドレスとMACアドレスのマッピングをローカルにARPキャッシュ内に記憶させる。ARPキャッシュはTCP/IPプロトコルの実行に応じて、所定期間保持される。
【0029】
ネットワークの効率を高め、また、ARPブロードキャストに係る帯域幅を独占しないように、各ホスト210、220は、IPアドレスとそれに一致するMAC IDアドレスのテーブル、すなわち、ARPキャッシュをメモリ(メモリ配列)に保持する。送信側ホスト(ホストデバイス)210、220は、ブロードキャストを送信する前に、情報がARPキャッシュ内にあるかどうか確認する。ターゲットホスト220のMAC IDが送信元ホスト210のARPキャッシュ内にある場合、送信元ホスト210は、ARPブロードキャストを行わずに、ARPデータパケットを完成することができる。
【0030】
ネットワーク層は、インターネットプロトコル(IP)アドレスに応じて、送信元デバイス(送信元ホスト)210と宛先デバイス(ターゲットホスト)220の間でメッセージを伝送させる。これは、送信元IPアドレスと宛先IPアドレスを示す各パケットにIPヘッダを追加することによって行われる。最下層はハードウェアMACアドレスが使われる物理リンク層である。したがってIPv4ネットワークにおいて、ARPプロトコルはIPv4やIPv6のネットワーク層よりも下層で使用されるため、ホスト210、220は最初からIPsecを動作させることなく、通信を行うことができる。
【0031】
各ホストやデバイスが固有のMAC IDやIPアドレスを保持することは、通信ネットワークを適切に機能させるために不可欠である。MAC ID(MACアドレス)は48ビット長であり、IPアドレスは32ビット長である。MAC ID(MACアドレス)はハードウェアアドレスであり、簡単に変更できるものではなく、シリアルナンバーの形式で製造者毎に割り当てられている。よって、実際のアプリケーションにおいて、MACアドレスが複製されて問題を引き起こすことはほとんどない。
【0032】
送信元ホスト(デバイス)210がターゲットホスト(ノード)220と通信するための情報を持っている場合、IPアドレス割り当ての動的性質によって、ターゲットホスト又はターゲットホストデバイス220の現在のIPアドレスは、MACアドレスにマッピングするよう要求される。このマッピングは、送信元ホスト(ノード)210がARP要求を送信することで行われる。ARP要求はネットワーク上の全デバイスにブロードキャストされ、ターゲットのIPアドレスを持つデバイスにMACアドレスで応答するよう要求するものである。通常、該当する唯一のターゲットホスト(ノード)220が応答し、通信セッションが開始される。
【0033】
また、画像形成装置(例えば、複合機(MFP)やプリンタ)の形態のホスト210、220を含めてスタートレスアドレス設定を行うIPv6動作可能デバイスは、通常、固有の識別子またはメディアアクセス制御アドレス(MACアドレス)を有する。MACアドレスは、識別のために製造業者によってネットワークアダプタやネットワークインターフェイスカード(NICs)に割り当てられており、インターネットプロトコルバージョン6(IPv6)のメディアアクセス制御プロトコル副層で使用される。製造業者によって割り当てられると、MACアドレスには通常、製造業者の登録識別番号がコード化される。MACアドレスは、イーサネットハードウェアアドレス(EHA)、ハードウェアアドレス、アダプタアドレス又は物理アドレスとしても知られている。
【0034】
一方、インターネットプロトコルセキュリティ(IPsec)を使用することで、データストリームの各IPパケットの認証や暗号化によってインターネットプロトコル(IP)通信を安全に行うのに適したプロトコルが提供される。またIPsecは、通信セッション開始時にエージェント間の相互認証を行うためのプロトコルや、セッション中に使用される暗号鍵ネゴシエーションを行うためのプロトコルも含む。例えばIPsecは、一対のホスト210、220(例えば、コンピュータユーザ又はサーバ)間、一対のセキュリティゲートウェイ(例えば、ルータ又はファイアウォール)間、または、セキュリティゲートウェイとホスト210またはホスト220間のデータフローの保護に用いられる。
【0035】
図3は、本発明の実施形態に係るIPv4とIPv6の両方で運用可能なネットワーク接続時の近隣探索に、IPv4アドレス解決プロトコル(ARP)を使用するアプリケーションの実行を示すフローチャートである。本発明の実施形態において、システム300は一対のホスト(ホストA、B)を備え、各ホストA,BはIPv6とIPsecの両方で動作可能である。
【0036】
本発明の実施形態によれば、ホストAは、他のホスト(ノード)のMACアドレスのキャッシュ(ローカルデータベース)を有し、そのMACアドレスを該他のホスト(ノード)のIPアドレスにマッピングする。図3に示されるように、最初のステップ310において、管理者はセキュリティポリシーを設定する。このセキュリティポリシーは、ホストAとホストBにセキュアなIPv6ネットワーク通信を介して通信する(すなわち、IPv6−AはIPv6−Bとセキュア通信する)ことを要求するものである。その結果、ステップ320で、ARPプロトコル、セキュアIPv4プロトコル、セキュアIPv6プロトコルが全て自動的に開始するが、ホストAとホストBはIPv6プロトコルに従って互いからのパケットの認識を拒否するため、結果、ホストA、B間の通信は失敗する。
【0037】
ステップ330で、ホストAに関連するアプリケーションによって、セキュリティポリシーIPv6−ホストBアドレスからホストBのMAC IDが抽出される。ホストBのMAC IDは、ステートレス自動設定プロトコル(IPv6)によって生成されたIPv6アドレスから生成するか、または、ARPテーブルを介してホストBのIPv6アドレスを使用して取得することができる。そして、アプリケーションによってARPテーブル内でホストBのMAC IDが検索され(ステップ340)、ホストBのMAC IDがARPテーブルにあった場合、ステップ350で、そのホストBのMAC IDが検出及び/又は発見される。そして、ステップ360で、ホストAに関連するアプリケーションにより、ホストBの近隣キャッシュテーブル内に仮近隣キャッシュエントリが作成される。ステップ370で、ホストBのMAC ID情報が利用可能となり、ホストA、Bは、ホストAの近隣キャッシュテーブル内で発見されたホストBのMAC IDに基づいて、セキュアなIPsec通信を確立することができる。
【0038】
ステップ380に示されるように、セキュリティアソシエーションが確立されたため、ホストA、B間でセキュアなIPv6通信を確立することができる。オプションのステップ390においては、セキュアなIPv6通信がホストA,B間で確立すると、一方もしくは両方のホストから近隣キャッシュテーブルエントリを削除することができる。
【0039】
図4は、本発明の他の実施形態に係るIPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーション400の実行を示すフローチャートである。上述のホスト及び/又はデバイスはイーサネット層を備え、イーサネット層は送信元ホスト(すなわち、ホストA)と宛先ホスト(ホストB)の両方のMAC IDを含み、以下のように構成されている。
【数1】
【0040】
ステップ420で、ARPテーブルにデータが投入される。イーサネット宛先層のMAC IDを取得するために、IPv4通信が行われる前にARP(“arp”又は“<arp>”)メッセージを交換する必要がある。以下はarpテーブル内に表示されるMS−DOS<arp>指令の一例である。
【数2】
本発明の実施形態によれば、20.0.0.5が20.0.0.3に対して通信を行う前にARPパッケージの交換が行われ、イーサネット宛先層のテーブルエントリが作成される。
【0041】
ステップ430で、管理者はホスト(すなわち、送信元ホスト及び宛先ホスト)間で交換する一のセキュリティポリシー(もしくは複数のセキュリティポリシー)を作成する。例えばセキュリティポリシーのひとつを[Any packets going out from fe80::211:2fff:fe72:3ad5 to fe80::210:4bff:fe69:ae47 must be (encrypted) protected by a security association in the following way]: spdadd fe80::211:2fff:fe72:3ad5 fe80::210:4bff:fe69:ae47 any -P out ipsec, esp/transport//requireとすることができる。
【0042】
ステップ440でIPsecが開始する。しかし、IPsecがセキュリティアソシエーションを作成し、ホストAからホストBにIPv6パッケージを送信するためには、イーサネット層はホストA上でホストBのMAC IDが必要となる。しかし、ホストAはfe80::211:2fff:fe72:3ad5 to fe80::210:4bff:fe69:ae47に関連する近隣キャッシュを有していない。IPv6プロトコルは(ARP実行による)近隣探索を有するので、近隣要請メッセージを作成する。この近隣要請メッセージは保護されないので、ホストAから離れない。すなわち、セキュリティアソシエーションが必要となる。そのため、IPsec通信は自動的に失敗する。
【0043】
本発明の実施形態によれば、ステップ450で、ホストA上の、IPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーションが開始し、例えばfe80::210:4bff:fe69:ae47 -> fe80::210:4b:ff:fe69:ae47-> 00:10:4b:69:ae:47のように、セキュリティアソシエーションからMAC IDが抽出される。しかし(ホストBの)MAC IDは、基準IPv6アドレスやグローバルアドレス及び/又はリンクローカルアドレスから抽出することができる。
【0044】
ステップ460で、アプリケーションにより、ARPテーブル内で00:10:4b:69:ae:47の一致を検索する。オプションのステップにおいて、ホストAはホストBのMAC IDを取得及び/又は確認するために、ARPメッセージをホストBに送信することができる。
【0045】
ステップ480で00:10:4b:69:ae:47の一致が発見されると、アプリケーションによって以下のような近隣キャッシュエントリが作成される。
【数3】
【0046】
ステップ490でアプリケーションによりIPsecが再スタートする。IPsecは、データストリームの各IPパケットの認証や暗号化によってインターネットプロトコル(IP)通信を安全に行うのに適したプロトコルを提供する。またIPsecは、セッション開始時にエージェント間の相互認証を行うためのプロトコルと、セッション中に使用される暗号鍵ネゴシエーションを行うためのプロトコルも有する。
【0047】
本発明の実施形態によれば、IPv6ネットワークスタックはセキュリティアソシエーションを確立させるためのパッケージを構築する一方、内部構造として内部に以下を含む。
【数4】
【0048】
オプションのステップにおいて、ホストA,B間のIPv6通信が確立されると、アプリケーションによって仮近隣キャッシュエントリを削除することができる。
【0049】
本発明の他の実施形態によれば、IPv6通信ネットワークの近隣探索のためのコンピュータプログラムを収容するコンピュータ読取可能媒体において、該コンピュータプログラムは実行可能な指示を備え、該実行可能な指示は、ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出するための指示と、送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索するための指示と、前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立するための指示である。
【0050】
コンピュータ読み取り媒体は、当然のことながら、磁気記録媒体、光磁気記録媒体、またはその他今後開発される記録媒体であってもよい。これら記録媒体は全て、上述同様、本発明に適用可能であると考えられる。第一及び第二複製物、その他複製物を含むこれら媒体の複製物は、疑いなく、上記媒体の均等物であると考えられる。さらに、本発明の実施形態が、ソフトウェアとハードウェアの組み合わせであったとしても、本発明の趣旨から逸脱するものではない。本発明は、そのソフトウェア部分を事前に記録媒体に書き込んでおき、操作時に必要に応じて読み出すことにより実行されてもよい。
【0051】
本発明の構成に本発明の要旨から逸脱することなく種々の改良及び変更を加え得ることは、当業者において明らかであろう。このように、本発明は、特許請求の範囲及びその均等物の範囲内における改良及び変更を包含することが意図されている。
【技術分野】
【0001】
本発明は、IPsecとIPv6近隣要請の競合解消方法及びそのシステムに関するもので、特に、IPv6ネットワーク(インターネットプロトコルバージョン6)における近隣探索IPセキュリティ(IPsec)にアドレス解決プロトコル(ARP)を使用する方法およびそのシステムに関する。
【背景技術】
【0002】
ネットワーク(ネットワーク接続)によってパソコンと他のパソコン及び/又は他のネットワークデバイスに通信をさせ、電子メッセージを使用することによって、通信及び情報アクセス能力が高められてきた。パソコン間及び/又はネットワークデバイス間で電子メッセージの伝送が行われる際、電子メッセージは、電子メッセージ内のデータに処理(例えば、パケット分解、ルーティング、フロー制御など)を施すプロトコルスタックを通過することが多い。
【0003】
アドレッシング構造の最初の主要バージョンであるインターネットプロトコルバージョン4(IPv4)は、後継者であるインターネットプロトコルバージョン6(IPv6)が世界中に活発に広がってきてはいるものの、依然として有力なインターネットプロトコルである。IPv4ベースのインターネットからIPv6ベースのインターネットへの移行には時間がかかると考えられ、その間は両者が共存することになるだろう。具体的には、その段階的移行期間中、既存のIPv4アプリケーションは、IPv4プロトコルスタックとIPv6プロトコルスタックの両方を備えるデュアルスタックを使用した、新しいIPv6対応アプリケーションと連携可能となる。
【0004】
IPv6ネットワークプロトコルは、IPv6ホストやIPv6ホストデバイス(例えば、画像形成装置や他のデバイス)はICMPv6近隣探索メッセージ(すなわち、近隣探索プロトコル又はNDP)を使用するIPv6ネットワークに接続されると、自動設定(すなわち、ステートレスアドレス自動設定)を行う、と規定している。IPv6ホストはネットワークに最初に接続された際、重複アドレス検出(dad)のため、仮リンクローカルアドレスを広告するリンクローカルマルチキャスト近隣要請要求を送信し、問題がなければそのリンクローカルアドレスを使用する。そして、ネットワーク層構成パラメータを取得するためにルータ要請を送信(タイミングによってはルータ広告を受信)し、ルータはこのような要求に対し、ネットワーク層構成パラメータを含むルータ広告パケットで応答する。
【0005】
しかし近隣探索プロトコル(NDP)仕様は、NDPメッセージを保護するためにIPsecの使用を要求する。これがホスト(ホストデバイス)に問題をもたらすことがある。具体的には、IPsecでは、IKE(インターネット鍵交換)使用におけるブートストラップ問題のために、セキュリティアソシエーションを手動設定することによってのみしか使用できないことが問題となる。なぜなら、いかなるIPv6パケットでも配信できるようにするためには、NDPメッセージ送信に必要なセッションの確立に、NDPメッセージの事前交換が要求されるからである。また、一ネットワーク上に存在するホストの一般的な数に鑑みて、手動設定されるIPsecセッションのソリューションは現実的ではない。さらに、NDPを保護するために必要とされる、手動設定されるセキュリティアソシエーションの数は膨大になる可能性があり、大抵の場合、そのアプローチは非実用的である。
【0006】
上述の問題を解決する方法の一つとして、セキュア近隣探索(SEND)プロトコルが使用されてきた。セキュア近隣探索プロトコルは、IPv6における近隣探索プロトコルのセキュリティ拡張版である。セキュア近隣探索(SEND)はIPsecとは別の暗号化方式を用いてNDPの安全性を高めるためのメカニズムを提供するものであり、IPv6通信を安全に行うためのオリジナルかつ特有の方法である。
【発明の概要】
【発明が解決しようとする課題】
【0007】
上述の問題点に鑑みると、SENDに代わる解決方法を持つことが望まれる。その解決方法として、近隣要請にアドレス解決プロトコルを用いてIPsecとIPv6近隣要請の競合を解消する、画像形成装置などのホストデバイス及び/又はネットワークデバイスと関連するアプリケーションが考えられる。
【課題を解決するための手段】
【0008】
一実施形態によれば、IPsecポリシーを有する複数のホストデバイスがIPv6通信ネットワークを介して相互通信を行うための方法は、
ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立する工程と、を備える方法である。
【0009】
他の実施形態によれば、IPv6通信ネットワークのための近隣探索システムは、
アプリケーションを有する送信元ホストと、
アプリケーションを有するターゲットホストと、を備え、
前記送信元ホストは、
前記ターゲットホストのIPv6アドレスのセキュリティポリシーから、前記ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
前記送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信する工程と、を実行し、
前記ターゲットホストは、
前記ターゲットホスト上で前記ARP要求を受信する工程と、
前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルと比較する工程と、
前記送信元ホストの前記MAC IDが前記ターゲットホストの前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、を実行するシステムである。
【0010】
更に他の実施形態によれば、IPv6通信ネットワークの近隣探索のためのコンピュータプログラムを収容するコンピュータ読取可能媒体において、該コンピュータプログラムは実行可能な指示を備え、該実行可能な指示は、
ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出するための指示と、
送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索するための指示と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、
前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立するための指示と、であることを特徴とする前記コンピュータ読取可能媒体である。
【0011】
上述した概要及び以下の詳細な説明は共に、例示的かつ説明的なものであって、特許請求の範囲に記載された本発明について更なる説明を提供することを意図するものである。
【図面の簡単な説明】
【0012】
添付の図面は本発明の更なる理解を提供するために含まれ、この明細書に組み込まれてその一部を構成する。これらの図面は、本発明の実施態様を例示し、明細書と共に、本発明の原則を説明するためのものである。図面において、
【図1】一の実施形態に係る通常の通信プロトコルを用いたネットワークシステムを示す図である。
【図2】他の実施形態に係るセキュアなIPv6通信プロトコルを用いたネットワークシステムを示す図である。
【図3】一の実施形態に係るIPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーションの実行を示すフローチャートである。
【図4】他の実施形態に係るIPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーションの実行を示すフローチャートである。
【発明を実施するための形態】
【0013】
ここで、添付図に例示される本発明の望ましい実施の形態について詳細に説明する。同一又は類似の部品を参照するため、可能な限り、図面及び説明中に同一の参照番号を用いる。
【0014】
図1は、本発明の実施形態に係る通常の通信プロトコルを有するネットワークシステム100を示し、ネットワークシステム100は、画像形成装置の形態のホストデバイス(ホストA)110を備えている。図1に示されるように、ネットワークシステム100はホストデバイス(画像形成装置)110と、少なくとも一の第二ホスト又はクライアントデバイス(ホストB)120で構成されている。ホストデバイス(画像形成装置)110と第二ホスト(クライアントデバイス)120は、通信ネットワーク130を介してデータ通信可能な状態で相互接続されている。ホスト110、120は、ARP、IPv4、IPsec及びIPv6をサポートするネットワークデバイスであれば、いかなるデバイスでもよい。本発明の実施形態に従った通信ネットワーク130としては、例えば、インターネット、イントラネット、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)などがあるが、これらに限られるものではない。ホストデバイス(画像形成装置)110と第二ホスト(クライアントデバイス)120は、ケーブルを用いて有線接続することができる。また、無線周波数(RF)、赤外線(IR)伝送、USB,IEEE1394及び/又はその他の適切な無線技術を用いて、無線接続することもできる。
【0015】
本発明の実施形態によれば、図1に示される通信ネットワーク130は、IPv6(インターネットプロトコルバージョン6)132と、IPv4(インターネットプロトコルバージョン4)134と、第三のコンピュータネットワークプロトコルとしてのアドレス解決プロトコル(ARP)136を備えている。本発明の実施形態によれば、IPv6 132は、近隣探索プロトコルを備えている。ホスト110、120間でARPパケットの交換が行われると、ARPパケットにはホスト110、120のMAC ID及びIPv4アドレスが含まれる。IPv4アドレスはIPv6から独立したものである。
【0016】
本発明の実施形態によれば、ホストデバイス(画像形成装置)110は、プリンタ、複合機(MFP)、その他周知の画像形成装置などによって具現化され、第二ホスト(クライアントデバイス)120によって生成された印刷データに基づいて、用紙などの印刷媒体(記録媒体)に画像を印刷する。本発明の実施形態において、ホストデバイス(画像形成装置)110は複合機(MFP)であり、少なくとも、コピー機能、画像読取機能及び印刷機能を備え、第二ホスト(クライアントデバイス)120から送信された印刷ジョブ(印刷指示)や、ホストデバイス(画像形成装置)110に備えられたスキャナなどの画像読取部によって読み取られた画像データなどに基づいて、用紙に画像を形成する。
【0017】
本発明の実施形態によれば、コンピュータシステムなどで具現化される第二ホスト(クライアントデバイス)120は、ホストデバイス(画像形成装置)110で使用可能な印刷データを生成し、生成した印刷データをホストデバイス(画像形成装置)110へ送信する。第二ホスト(クライアントデバイス)120は、例えば、コンピュータ及び/又はノートパソコン、携帯電話、携帯情報端末(PDA)などの可搬型デバイスである。ホストデバイス(画像形成装置)110と第二ホスト(クライアントデバイス)120は、画像形成システムを構築して、通信ポートを設置し、印刷データを生成し、生成した印刷データに応じて印刷媒体に画像を形成する印刷動作を行うことができる。
【0018】
第二ホストデバイス(クライアントデバイス)120は複数のパソコンであってもよく、画像形成装置の形態の第一ホストデバイス110へ印刷ジョブを送信する機能を備えている。プリンタドライバプログラム(以下、単に「プリンタドライバ」とする場合有り)が第二ホスト120内に設置され、第二ホスト120はプリンタドライバの機能を使用して、画像形成時に適用される印刷条件のデータや画像データなどを含む印刷ジョブを生成し、生成した印刷ジョブを画像形成装置の形態の第一ホストデバイス110へ送信する。
【0019】
図2は、本発明の他の実施形態に係るセキュアなIPv6通信プロトコルを用いたネットワークシステム200を示す図である。図2に示されるように、システム200は、ホストデバイス又は送信元ホスト(ホストA)210と、少なくとも一の第二ホスト又はターゲット/宛先ホスト(ホストB)220と、通信ネットワーク230とを、データ通信可能な状態で備えている。本発明の実施形態によれば、通信ネットワーク230は図2に示されるように、自動IPsecを実装したIPv6(インターネットプロトコルバージョン6)232と、自動IPsecを実装したIPv4(インターネットプロトコルバージョン4)と、アドレス解決プロトコル(ARP)236を備えている。本発明の実施形態によれば、IPv6 232は近隣探索プロトコルを備えている。しかし、IPv6ネットワークのセキュリティポリシーはIPsecセキュリティを含んでおり、IPv6アドレスをリンク層アドレス(及びIPv4アドレス)に変換するメカニズムが近隣探索プロトコル(NDP)を用いて実行されるため、ホスト210、220(ホストA、B)は相互通信を行うことができない。
【0020】
本発明の実施形態によれば、上記課題の一つの解決方法は、アプリケーション(ソフトウェアモジュール)を用いることである。このアプリケーションは、ホスト(ノード)210、220のMAC IDの一致を確立するために、アドレス解決プロトコル(ARP)テーブル情報を使用するものである。ARPテーブルによりMAC IDの一致が確立すると、アプリケーションによって、各ホスト(ノード)210、220の近隣キャッシュテーブルに、仮近隣キャッシュエントリが作成される。近隣キャッシュテーブル内に仮近隣キャッシュエントリが設定されると、対応するセキュリティアソシエーションが作成され、IPsecネゴシエーションが開始される。本発明の他の実施形態によれば、ホスト210、220間のIPv6接続が確立すると、アプリケーションによって、一方または両方の近隣キャッシュテーブルから、キャッシュエントリを削除することができる。
【0021】
本発明の実施形態において、ホスト(ホストA、B)210、220が、各ホストに完全にセキュアなIPv6通信を要求するIPsecポリシーを備えている場合、IPv6ネットワークプロトコルは、IPv6ホスト又はIPv6ホストデバイス(例えば、画像形成装置や他のデバイス)はICMPv6近隣探索メッセージ(すなわち、近隣探索プロトコル又はNDP)を使用するIPv6ネットワークに接続した場合、自動設定(すなわち、ステートレスアドレス自動設定)できる、と規定している。一般的にIPv6ネットワーク接続において、IPv6ホストは初めてそのネットワークに接続した際には、重複アドレス検出(dad)のため、仮リンクローカルアドレスを広告するリンクローカルマルチキャスト近隣要請要求を送信し、問題がなければ、そのリンクローカルアドレスを使用する。しかしホスト210、220は、IPsecポリシーにより、IPv6パケット配信を可能にするためのNDPメッセージ交換を行うことができない。
【0022】
本発明の実施形態において、各ホスト210、220はアプリケーションを備えている。このアプリケーションによって、IPv4アドレス解決プロトコル(ARP)の交換が行われ、ホスト(ノード)間でIPsecネゴシエーションをするのに必要なセキュリティアソシエーションが確立される。本発明の実施形態によれば、ホスト210、220のARPテーブルには他のホスト(ノード)のMAC IDを事前に投入することができ、このテーブルに基づいて、ホスト(ノード)210、220間に適切なセキュリティプロトコルが設定されている。
【0023】
本発明の他の実施形態によれば、各ホスト(ノード)210、220は、ステートレスアドレス自動設定プロトコルによって生成されたIPv6アドレスからメディアアクセス制御(MAC)IDを取得するアプリケーションを備えている。このアプリケーションによって、与えられたIPv6アドレスからMAC IDを取得したり、ARPテーブル内のMAC IDからIPv6アドレスを取得したりすることができる。MAC IDの一致があると、アプリケーションによって、近隣キャッシュテーブルに仮近隣キャッシュエントリが作成される。本発明の実施形態によれば、対応するセキュリティアソシエーションが作成されると、IPsecネゴシエーションが開始される。
【0024】
本発明の更に他の実施形態によれば、第一ホスト210(例えば、ホストA)のIPsecポリシーが所定の第二ホスト220(例えば、ホストB)の(全トラフィックは安全でならなければならないことを意味する)IPv6アドレスを所有していない場合、アプリケーションによって、IPv6用セキュリティアソシエーションがARPテーブル内の各MAC IDに対して作成されているか確認され、その後、セキュアなIPv6通信を設定するための処理が行われる。
【0025】
本発明の実施形態によれば、IPv6近隣探索はIPv4 ARPプロトコルを用いて行われる。それによって、ネットワークインターフェイスカードの物理アドレスを既知のIPアドレスに対応させることができる。ネットワークに接続される各デバイスや装置は、48ビットの識別番号(MAC ID)を有する。しかし、インターネット上の通信においては、MAC IDは直接的には使用されない。これは、ネットワークインターフェイスカードが変わる度に、ホストのアドレスも必然的に変わるためである。代わりに、システムによって割り当てられる倫理アドレス、すなわちIPアドレスが使用される。物理アドレスは論理アドレスとリンクできるため、IPv4 ARPプロトコルを使用してネットワーク装置の物理アドレスが取得され、キャッシュメモリ内に論理アドレスと物理アドレスのルックアップテーブルが作成される。
【0026】
一般的には、一のホストが他のホストとの通信を必要とする場合、第一ホストはルックアップテーブルを調べる。通常、要求されたアドレスがテーブル内で発見されない場合、ARPプロトコルによりネットワーク上に要求を発行する。ネットワーク上の各ホストは、この倫理アドレスと自身のアドレスを比較する。これらホストのいずれかがその論理アドレスによって自身を特定すると、そのホストはIPv4 ARP要求に応答し、ルックアップテーブルにはその一対のアドレスが記憶される。そして、ホスト210、220間でIPv6通信が可能となる。
【0027】
本発明の実施形態によれば、ARPテーブルを備えた第一ホストデバイス(送信元ホスト)210は、ADP要求内にMAC IDを内包する。第一ホストデバイス210は、ターゲットホスト220が属するブロードキャストドメインへ、ARP要求を有するパケットをブロードキャストする。それにより、特定のMAC IDアドレスを有するターゲットホスト210が自身を特定し、受信側のハードウェアアドレスを要求側に提供する。この処理はリソースディスカバリとして知られている。
【0028】
ARP要求は、(送信元ホスト又は送信元デバイスのための)宛先局のIPアドレスや、(ターゲットホスト又は遠隔デバイスのための)デフォルトルータのIPアドレスを含む。対象とされたノードは、ARP応答内に自身のMACアドレスを内包して応答する。ローカルホスト(送信元ホスト)は、この情報を用いてフレームの宛先MACアドレスを解決する。不要なトラフィックを最小化するために、IPアドレスとMACアドレスのマッピングをローカルにARPキャッシュ内に記憶させる。ARPキャッシュはTCP/IPプロトコルの実行に応じて、所定期間保持される。
【0029】
ネットワークの効率を高め、また、ARPブロードキャストに係る帯域幅を独占しないように、各ホスト210、220は、IPアドレスとそれに一致するMAC IDアドレスのテーブル、すなわち、ARPキャッシュをメモリ(メモリ配列)に保持する。送信側ホスト(ホストデバイス)210、220は、ブロードキャストを送信する前に、情報がARPキャッシュ内にあるかどうか確認する。ターゲットホスト220のMAC IDが送信元ホスト210のARPキャッシュ内にある場合、送信元ホスト210は、ARPブロードキャストを行わずに、ARPデータパケットを完成することができる。
【0030】
ネットワーク層は、インターネットプロトコル(IP)アドレスに応じて、送信元デバイス(送信元ホスト)210と宛先デバイス(ターゲットホスト)220の間でメッセージを伝送させる。これは、送信元IPアドレスと宛先IPアドレスを示す各パケットにIPヘッダを追加することによって行われる。最下層はハードウェアMACアドレスが使われる物理リンク層である。したがってIPv4ネットワークにおいて、ARPプロトコルはIPv4やIPv6のネットワーク層よりも下層で使用されるため、ホスト210、220は最初からIPsecを動作させることなく、通信を行うことができる。
【0031】
各ホストやデバイスが固有のMAC IDやIPアドレスを保持することは、通信ネットワークを適切に機能させるために不可欠である。MAC ID(MACアドレス)は48ビット長であり、IPアドレスは32ビット長である。MAC ID(MACアドレス)はハードウェアアドレスであり、簡単に変更できるものではなく、シリアルナンバーの形式で製造者毎に割り当てられている。よって、実際のアプリケーションにおいて、MACアドレスが複製されて問題を引き起こすことはほとんどない。
【0032】
送信元ホスト(デバイス)210がターゲットホスト(ノード)220と通信するための情報を持っている場合、IPアドレス割り当ての動的性質によって、ターゲットホスト又はターゲットホストデバイス220の現在のIPアドレスは、MACアドレスにマッピングするよう要求される。このマッピングは、送信元ホスト(ノード)210がARP要求を送信することで行われる。ARP要求はネットワーク上の全デバイスにブロードキャストされ、ターゲットのIPアドレスを持つデバイスにMACアドレスで応答するよう要求するものである。通常、該当する唯一のターゲットホスト(ノード)220が応答し、通信セッションが開始される。
【0033】
また、画像形成装置(例えば、複合機(MFP)やプリンタ)の形態のホスト210、220を含めてスタートレスアドレス設定を行うIPv6動作可能デバイスは、通常、固有の識別子またはメディアアクセス制御アドレス(MACアドレス)を有する。MACアドレスは、識別のために製造業者によってネットワークアダプタやネットワークインターフェイスカード(NICs)に割り当てられており、インターネットプロトコルバージョン6(IPv6)のメディアアクセス制御プロトコル副層で使用される。製造業者によって割り当てられると、MACアドレスには通常、製造業者の登録識別番号がコード化される。MACアドレスは、イーサネットハードウェアアドレス(EHA)、ハードウェアアドレス、アダプタアドレス又は物理アドレスとしても知られている。
【0034】
一方、インターネットプロトコルセキュリティ(IPsec)を使用することで、データストリームの各IPパケットの認証や暗号化によってインターネットプロトコル(IP)通信を安全に行うのに適したプロトコルが提供される。またIPsecは、通信セッション開始時にエージェント間の相互認証を行うためのプロトコルや、セッション中に使用される暗号鍵ネゴシエーションを行うためのプロトコルも含む。例えばIPsecは、一対のホスト210、220(例えば、コンピュータユーザ又はサーバ)間、一対のセキュリティゲートウェイ(例えば、ルータ又はファイアウォール)間、または、セキュリティゲートウェイとホスト210またはホスト220間のデータフローの保護に用いられる。
【0035】
図3は、本発明の実施形態に係るIPv4とIPv6の両方で運用可能なネットワーク接続時の近隣探索に、IPv4アドレス解決プロトコル(ARP)を使用するアプリケーションの実行を示すフローチャートである。本発明の実施形態において、システム300は一対のホスト(ホストA、B)を備え、各ホストA,BはIPv6とIPsecの両方で動作可能である。
【0036】
本発明の実施形態によれば、ホストAは、他のホスト(ノード)のMACアドレスのキャッシュ(ローカルデータベース)を有し、そのMACアドレスを該他のホスト(ノード)のIPアドレスにマッピングする。図3に示されるように、最初のステップ310において、管理者はセキュリティポリシーを設定する。このセキュリティポリシーは、ホストAとホストBにセキュアなIPv6ネットワーク通信を介して通信する(すなわち、IPv6−AはIPv6−Bとセキュア通信する)ことを要求するものである。その結果、ステップ320で、ARPプロトコル、セキュアIPv4プロトコル、セキュアIPv6プロトコルが全て自動的に開始するが、ホストAとホストBはIPv6プロトコルに従って互いからのパケットの認識を拒否するため、結果、ホストA、B間の通信は失敗する。
【0037】
ステップ330で、ホストAに関連するアプリケーションによって、セキュリティポリシーIPv6−ホストBアドレスからホストBのMAC IDが抽出される。ホストBのMAC IDは、ステートレス自動設定プロトコル(IPv6)によって生成されたIPv6アドレスから生成するか、または、ARPテーブルを介してホストBのIPv6アドレスを使用して取得することができる。そして、アプリケーションによってARPテーブル内でホストBのMAC IDが検索され(ステップ340)、ホストBのMAC IDがARPテーブルにあった場合、ステップ350で、そのホストBのMAC IDが検出及び/又は発見される。そして、ステップ360で、ホストAに関連するアプリケーションにより、ホストBの近隣キャッシュテーブル内に仮近隣キャッシュエントリが作成される。ステップ370で、ホストBのMAC ID情報が利用可能となり、ホストA、Bは、ホストAの近隣キャッシュテーブル内で発見されたホストBのMAC IDに基づいて、セキュアなIPsec通信を確立することができる。
【0038】
ステップ380に示されるように、セキュリティアソシエーションが確立されたため、ホストA、B間でセキュアなIPv6通信を確立することができる。オプションのステップ390においては、セキュアなIPv6通信がホストA,B間で確立すると、一方もしくは両方のホストから近隣キャッシュテーブルエントリを削除することができる。
【0039】
図4は、本発明の他の実施形態に係るIPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーション400の実行を示すフローチャートである。上述のホスト及び/又はデバイスはイーサネット層を備え、イーサネット層は送信元ホスト(すなわち、ホストA)と宛先ホスト(ホストB)の両方のMAC IDを含み、以下のように構成されている。
【数1】
【0040】
ステップ420で、ARPテーブルにデータが投入される。イーサネット宛先層のMAC IDを取得するために、IPv4通信が行われる前にARP(“arp”又は“<arp>”)メッセージを交換する必要がある。以下はarpテーブル内に表示されるMS−DOS<arp>指令の一例である。
【数2】
本発明の実施形態によれば、20.0.0.5が20.0.0.3に対して通信を行う前にARPパッケージの交換が行われ、イーサネット宛先層のテーブルエントリが作成される。
【0041】
ステップ430で、管理者はホスト(すなわち、送信元ホスト及び宛先ホスト)間で交換する一のセキュリティポリシー(もしくは複数のセキュリティポリシー)を作成する。例えばセキュリティポリシーのひとつを[Any packets going out from fe80::211:2fff:fe72:3ad5 to fe80::210:4bff:fe69:ae47 must be (encrypted) protected by a security association in the following way]: spdadd fe80::211:2fff:fe72:3ad5 fe80::210:4bff:fe69:ae47 any -P out ipsec, esp/transport//requireとすることができる。
【0042】
ステップ440でIPsecが開始する。しかし、IPsecがセキュリティアソシエーションを作成し、ホストAからホストBにIPv6パッケージを送信するためには、イーサネット層はホストA上でホストBのMAC IDが必要となる。しかし、ホストAはfe80::211:2fff:fe72:3ad5 to fe80::210:4bff:fe69:ae47に関連する近隣キャッシュを有していない。IPv6プロトコルは(ARP実行による)近隣探索を有するので、近隣要請メッセージを作成する。この近隣要請メッセージは保護されないので、ホストAから離れない。すなわち、セキュリティアソシエーションが必要となる。そのため、IPsec通信は自動的に失敗する。
【0043】
本発明の実施形態によれば、ステップ450で、ホストA上の、IPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーションが開始し、例えばfe80::210:4bff:fe69:ae47 -> fe80::210:4b:ff:fe69:ae47-> 00:10:4b:69:ae:47のように、セキュリティアソシエーションからMAC IDが抽出される。しかし(ホストBの)MAC IDは、基準IPv6アドレスやグローバルアドレス及び/又はリンクローカルアドレスから抽出することができる。
【0044】
ステップ460で、アプリケーションにより、ARPテーブル内で00:10:4b:69:ae:47の一致を検索する。オプションのステップにおいて、ホストAはホストBのMAC IDを取得及び/又は確認するために、ARPメッセージをホストBに送信することができる。
【0045】
ステップ480で00:10:4b:69:ae:47の一致が発見されると、アプリケーションによって以下のような近隣キャッシュエントリが作成される。
【数3】
【0046】
ステップ490でアプリケーションによりIPsecが再スタートする。IPsecは、データストリームの各IPパケットの認証や暗号化によってインターネットプロトコル(IP)通信を安全に行うのに適したプロトコルを提供する。またIPsecは、セッション開始時にエージェント間の相互認証を行うためのプロトコルと、セッション中に使用される暗号鍵ネゴシエーションを行うためのプロトコルも有する。
【0047】
本発明の実施形態によれば、IPv6ネットワークスタックはセキュリティアソシエーションを確立させるためのパッケージを構築する一方、内部構造として内部に以下を含む。
【数4】
【0048】
オプションのステップにおいて、ホストA,B間のIPv6通信が確立されると、アプリケーションによって仮近隣キャッシュエントリを削除することができる。
【0049】
本発明の他の実施形態によれば、IPv6通信ネットワークの近隣探索のためのコンピュータプログラムを収容するコンピュータ読取可能媒体において、該コンピュータプログラムは実行可能な指示を備え、該実行可能な指示は、ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出するための指示と、送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索するための指示と、前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立するための指示である。
【0050】
コンピュータ読み取り媒体は、当然のことながら、磁気記録媒体、光磁気記録媒体、またはその他今後開発される記録媒体であってもよい。これら記録媒体は全て、上述同様、本発明に適用可能であると考えられる。第一及び第二複製物、その他複製物を含むこれら媒体の複製物は、疑いなく、上記媒体の均等物であると考えられる。さらに、本発明の実施形態が、ソフトウェアとハードウェアの組み合わせであったとしても、本発明の趣旨から逸脱するものではない。本発明は、そのソフトウェア部分を事前に記録媒体に書き込んでおき、操作時に必要に応じて読み出すことにより実行されてもよい。
【0051】
本発明の構成に本発明の要旨から逸脱することなく種々の改良及び変更を加え得ることは、当業者において明らかであろう。このように、本発明は、特許請求の範囲及びその均等物の範囲内における改良及び変更を包含することが意図されている。
【特許請求の範囲】
【請求項1】
IPsecポリシーを有する複数のホストデバイスがIPv6通信ネットワークを介して相互通信を行うための方法であって、
ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立する工程と、を備える方法。
【請求項2】
前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信する工程と、
前記ターゲットホスト上で前記ARP要求を受信する工程と、
前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルと比較する工程と、
前記送信元ホストの前記MAC IDが前記ターゲットホストの前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、を更に備えることを特徴とする請求項1に記載の方法。
【請求項3】
前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程は、
前記送信元ホストにARP応答を送信する工程と、
前記送信元ホスト上で前記ARP応答を受信する工程と、
前記ターゲットホストのMAC IDを、前記ターゲットホストに関連するローカルアドレス解決プロトコル(ARP)テーブルと比較する工程と、
前記送信元ホストからの前記MAC IDが前記ターゲットホストの前記ARPテーブルにあるMAC IDと一致する場合、前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程と、を備える請求項1に記載の方法。
【請求項4】
前記セキュリティアソシエーションを確立する工程は、
前記送信元ホストと前記ターゲットホスト間のセキュリティアソシエーションに基づいて、前記送信元ホストと前記ターゲットホスト間のIPsecネゴシエーションを開始する工程と、を備える請求項1に記載の方法。
【請求項5】
前記送信元ホストと前記ターゲットホスト間にIPv6接続を確立する請求項1に記載の方法。
【請求項6】
前記送信元ホストと前記ターゲットホスト間に前記IPv6接続が確立されると、前記送信元ホスト及び/又は前記ターゲットホストから前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリを削除する工程を更に備える請求項5に記載の方法。
【請求項7】
前記送信元ホストと前記ターゲットホストは、前記仮近隣キャッシュエントリによって、データストリームの各IPパケットの認証及び暗号化を含むIPv6ネットワークプロトコルで、IPv6パケットの交換が可能となることを特徴とする請求項1に記載の方法。
【請求項8】
前記送信元ホストと前記ターゲットホストのIPv6アドレスは、ステートレスアドレス自動設定を用いて自動的に設定されることを特徴とする請求項7に記載の方法。
【請求項9】
前記ARP要求を前記ターゲットホストに送信する工程は、
前記アドレス解決プロトコル(ARP)テーブルから前記メディアアクセス制御識別子(MAC ID)を読み出す工程と、
前記送信元ホストの前記MAC IDを、内包ARPデータパケットに変換する工程と、
前記内包ARPデータパケットを前記ターゲットホストにブロードキャストする工程と、を備える請求項2に記載の方法。
【請求項10】
前記ターゲットホストは、少なくとも二以上のターゲットホストで構成されていることを特徴とする請求項1に記載の方法。
【請求項11】
前記送信元ホスト及び/又は前記ターゲットホスト上にアプリケーションを更に備え、
該アプリケーションは、前記送信元ホスト及び/又は前記ターゲットホストのインターネット層でIPv6アドレスを有する入力IPv6パケットが受信される前に、前記IPv6パケットを取り込むことを特徴とする請求項1に記載の方法。
【請求項12】
前記IPv6アドレスは、ルータによって前記送信元ホストと前記ターゲットホストに提供されるネットワークプレフィクスから形成され、前記ターゲットホストのリンクローカルアドレス形成中に生成される前記MAC IDと組み合わされた、グローバルに一意なアドレスであることを特徴とする請求項1に記載の方法。
【請求項13】
前記アプリケーションは前記送信元ホストと前記ターゲットホストのオペレーティングシステム上で実行されていることを特徴とする請求項11に記載の方法。
【請求項14】
前記送信元ホスト及び/又は前記ターゲットホストのうち、少なくとも1つは画像形成装置であることを特徴とする請求項1に記載の方法。
【請求項15】
IPv6通信ネットワークのための近隣探索システムであって、
アプリケーションを有する送信元ホストと、
アプリケーションを有するターゲットホストと、を備え、
前記送信元ホストは、
前記ターゲットホストのIPv6アドレスのセキュリティポリシーから、前記ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
前記送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信する工程と、を実行し、
前記ターゲットホストは、
前記ターゲットホスト上で前記ARP要求を受信する工程と、
前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルと比較する工程と、
前記送信元ホストの前記MAC IDが前記ターゲットホストの前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、を実行するシステム。
【請求項16】
前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間にセキュリティアソシエーションを確立する工程をさらに備える請求項15に記載のシステム。
【請求項17】
前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程は、
前記送信元ホストにARP応答を送信する工程と、
前記送信元ホスト上で前記ARP応答を受信する工程と、
前記ターゲットホストの前記MAC IDを、前記ターゲットホストに関連する前記ローカルアドレス解決プロトコル(ARP)テーブルと比較する工程と、
前記送信元ホストからの前記MAC IDが前記ターゲットホストの前記ARPテーブルにあるMAC IDと一致する場合、前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程と、を備える請求項16に記載のシステム。
【請求項18】
前記送信元ホストと前記ターゲットホスト間の前記セキュリティアソシエーションに基づいて、前記送信元ホストと前記ターゲットホスト間のIPsecネゴシエーションを開始する工程を更に備える請求項17に記載のシステム。
【請求項19】
IPv6通信ネットワークの近隣探索のためのコンピュータプログラムを収容するコンピュータ読取可能媒体であって、該コンピュータプログラムは実行可能な指示を備え、該実行可能な指示は、
ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出するための指示と、
送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索するための指示と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、
前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立するための指示と、であることを特徴とする前記コンピュータ読取可能媒体。
【請求項20】
前記実行可能な指示であって、
前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信するための指示と、
前記ターゲットホスト上で前記ARP要求を受信するための指示と、
前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルを比較するための指示と、
前記送信元ホストの前記MAC IDが前記ターゲットホストの前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、を更に含むことを特徴とする請求項19に記載のコンピュータ読出可能媒体。
【請求項21】
前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程は、
前記送信元ホストにARP応答を送信することと、
前記送信元ホスト上で前記ARP応答を受信することと、
前記ターゲットホストの前記MAC IDを、前記ターゲットホストに関連する前記ローカルアドレス解決プロトコル(ARP)テーブルと比較することと、
前記送信元ホストからの前記MAC IDが前記ターゲットホストの前記ARPテーブルにあるMAC IDと一致する場合、前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立することと、を含むことを特徴とする請求項19に記載のコンピュータ読取可能媒体。
【請求項1】
IPsecポリシーを有する複数のホストデバイスがIPv6通信ネットワークを介して相互通信を行うための方法であって、
ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立する工程と、を備える方法。
【請求項2】
前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信する工程と、
前記ターゲットホスト上で前記ARP要求を受信する工程と、
前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルと比較する工程と、
前記送信元ホストの前記MAC IDが前記ターゲットホストの前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、を更に備えることを特徴とする請求項1に記載の方法。
【請求項3】
前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程は、
前記送信元ホストにARP応答を送信する工程と、
前記送信元ホスト上で前記ARP応答を受信する工程と、
前記ターゲットホストのMAC IDを、前記ターゲットホストに関連するローカルアドレス解決プロトコル(ARP)テーブルと比較する工程と、
前記送信元ホストからの前記MAC IDが前記ターゲットホストの前記ARPテーブルにあるMAC IDと一致する場合、前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程と、を備える請求項1に記載の方法。
【請求項4】
前記セキュリティアソシエーションを確立する工程は、
前記送信元ホストと前記ターゲットホスト間のセキュリティアソシエーションに基づいて、前記送信元ホストと前記ターゲットホスト間のIPsecネゴシエーションを開始する工程と、を備える請求項1に記載の方法。
【請求項5】
前記送信元ホストと前記ターゲットホスト間にIPv6接続を確立する請求項1に記載の方法。
【請求項6】
前記送信元ホストと前記ターゲットホスト間に前記IPv6接続が確立されると、前記送信元ホスト及び/又は前記ターゲットホストから前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリを削除する工程を更に備える請求項5に記載の方法。
【請求項7】
前記送信元ホストと前記ターゲットホストは、前記仮近隣キャッシュエントリによって、データストリームの各IPパケットの認証及び暗号化を含むIPv6ネットワークプロトコルで、IPv6パケットの交換が可能となることを特徴とする請求項1に記載の方法。
【請求項8】
前記送信元ホストと前記ターゲットホストのIPv6アドレスは、ステートレスアドレス自動設定を用いて自動的に設定されることを特徴とする請求項7に記載の方法。
【請求項9】
前記ARP要求を前記ターゲットホストに送信する工程は、
前記アドレス解決プロトコル(ARP)テーブルから前記メディアアクセス制御識別子(MAC ID)を読み出す工程と、
前記送信元ホストの前記MAC IDを、内包ARPデータパケットに変換する工程と、
前記内包ARPデータパケットを前記ターゲットホストにブロードキャストする工程と、を備える請求項2に記載の方法。
【請求項10】
前記ターゲットホストは、少なくとも二以上のターゲットホストで構成されていることを特徴とする請求項1に記載の方法。
【請求項11】
前記送信元ホスト及び/又は前記ターゲットホスト上にアプリケーションを更に備え、
該アプリケーションは、前記送信元ホスト及び/又は前記ターゲットホストのインターネット層でIPv6アドレスを有する入力IPv6パケットが受信される前に、前記IPv6パケットを取り込むことを特徴とする請求項1に記載の方法。
【請求項12】
前記IPv6アドレスは、ルータによって前記送信元ホストと前記ターゲットホストに提供されるネットワークプレフィクスから形成され、前記ターゲットホストのリンクローカルアドレス形成中に生成される前記MAC IDと組み合わされた、グローバルに一意なアドレスであることを特徴とする請求項1に記載の方法。
【請求項13】
前記アプリケーションは前記送信元ホストと前記ターゲットホストのオペレーティングシステム上で実行されていることを特徴とする請求項11に記載の方法。
【請求項14】
前記送信元ホスト及び/又は前記ターゲットホストのうち、少なくとも1つは画像形成装置であることを特徴とする請求項1に記載の方法。
【請求項15】
IPv6通信ネットワークのための近隣探索システムであって、
アプリケーションを有する送信元ホストと、
アプリケーションを有するターゲットホストと、を備え、
前記送信元ホストは、
前記ターゲットホストのIPv6アドレスのセキュリティポリシーから、前記ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
前記送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信する工程と、を実行し、
前記ターゲットホストは、
前記ターゲットホスト上で前記ARP要求を受信する工程と、
前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルと比較する工程と、
前記送信元ホストの前記MAC IDが前記ターゲットホストの前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、を実行するシステム。
【請求項16】
前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間にセキュリティアソシエーションを確立する工程をさらに備える請求項15に記載のシステム。
【請求項17】
前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程は、
前記送信元ホストにARP応答を送信する工程と、
前記送信元ホスト上で前記ARP応答を受信する工程と、
前記ターゲットホストの前記MAC IDを、前記ターゲットホストに関連する前記ローカルアドレス解決プロトコル(ARP)テーブルと比較する工程と、
前記送信元ホストからの前記MAC IDが前記ターゲットホストの前記ARPテーブルにあるMAC IDと一致する場合、前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程と、を備える請求項16に記載のシステム。
【請求項18】
前記送信元ホストと前記ターゲットホスト間の前記セキュリティアソシエーションに基づいて、前記送信元ホストと前記ターゲットホスト間のIPsecネゴシエーションを開始する工程を更に備える請求項17に記載のシステム。
【請求項19】
IPv6通信ネットワークの近隣探索のためのコンピュータプログラムを収容するコンピュータ読取可能媒体であって、該コンピュータプログラムは実行可能な指示を備え、該実行可能な指示は、
ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出するための指示と、
送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索するための指示と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、
前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立するための指示と、であることを特徴とする前記コンピュータ読取可能媒体。
【請求項20】
前記実行可能な指示であって、
前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信するための指示と、
前記ターゲットホスト上で前記ARP要求を受信するための指示と、
前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルを比較するための指示と、
前記送信元ホストの前記MAC IDが前記ターゲットホストの前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、を更に含むことを特徴とする請求項19に記載のコンピュータ読出可能媒体。
【請求項21】
前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程は、
前記送信元ホストにARP応答を送信することと、
前記送信元ホスト上で前記ARP応答を受信することと、
前記ターゲットホストの前記MAC IDを、前記ターゲットホストに関連する前記ローカルアドレス解決プロトコル(ARP)テーブルと比較することと、
前記送信元ホストからの前記MAC IDが前記ターゲットホストの前記ARPテーブルにあるMAC IDと一致する場合、前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立することと、を含むことを特徴とする請求項19に記載のコンピュータ読取可能媒体。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−205614(P2011−205614A)
【公開日】平成23年10月13日(2011.10.13)
【国際特許分類】
【外国語出願】
【出願番号】特願2010−283016(P2010−283016)
【出願日】平成22年12月20日(2010.12.20)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(507031918)コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド (157)
【Fターム(参考)】
【公開日】平成23年10月13日(2011.10.13)
【国際特許分類】
【出願番号】特願2010−283016(P2010−283016)
【出願日】平成22年12月20日(2010.12.20)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(507031918)コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド (157)
【Fターム(参考)】
[ Back to top ]