IPv6ネットワーク内ホスト遮断及び探索方法
【課題】IPv6を使用するネットワークにおいて、ホストの探知と未認可ネットワーク接近に対する遮断を行う。
【解決手段】探索しようとするIPをICMPv6目標アドレスに設定した近隣要請(NS)パケットをネットワークに伝送して探索IPに対するリンク層アドレス情報とIPアドレス情報を含むホスト情報を要請するステップと、パケット伝送後にホストの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機するステップと、前記所定時間待機後に前記探索しようとするIPの近隣要請(NA)パケットが受信されたかどうかを判定するステップと、要請パケットに対するNAパケットが受信された場合、当該パケットからホスト情報を取得するステップと、を含む。
【解決手段】探索しようとするIPをICMPv6目標アドレスに設定した近隣要請(NS)パケットをネットワークに伝送して探索IPに対するリンク層アドレス情報とIPアドレス情報を含むホスト情報を要請するステップと、パケット伝送後にホストの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機するステップと、前記所定時間待機後に前記探索しようとするIPの近隣要請(NA)パケットが受信されたかどうかを判定するステップと、要請パケットに対するNAパケットが受信された場合、当該パケットからホスト情報を取得するステップと、を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はIPv6ネットワーク内ホスト遮断及び探索方法に係り、特に、IPv6ネットワーク環境における近隣探索プロトコル(NDP:Neighbor Discovery Protocol)を用いたIPv6ネットワーク内ホスト遮断及び探索方法に関する。
【背景技術】
【0002】
32ビットアドレス体系であるIPv4の枯渇が次第に現実化しつつある。韓国インターネット振興院IPv6ポータル(http://IPv6.vsix.net)の情報によれば、2009年1月20日現在、約791日後にIPv4アドレスが枯渇する見込みであり、アドレス枯渇を認知した多くの企業及び官公署においては既にIPv4ネットワークからIPv6ネットワークへの転換事業が進んでおり、IPv6への需要が次第に高まりつつある傾向にある。
【0003】
また、IPv6においてはIPアドレスの自動設定を支援するが、このように自動的に割当が行われる場合、ネットワークの資源を管理する側面からは、全ての装備のIPを確認し、当該情報を維持する必要性が発生してくる。
【0004】
さらに、IPアドレスの自動設定が行われるため、悪意を持ったユーザーがいかなる制約を受けることなくネットワークの主要装備に接近可能となるという問題が発生するため、これらのユーザーに対する管理及び遮断が必要である。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的は、IPv6環境においてネットワークの主資源を効率よく管理することのできるホスト探索方法と、未認可ホストのネットワーク接近を遮断して一段と高いセキュリティ環境を構築することのできるIPv6ネットワーク内ホスト遮断及び探索方法を提供するところにある。
【課題を解決するための手段】
【0006】
上記の目的を達成するために、本発明は、探索しようとするIPをICMPv6目標アドレスに設定した近隣要請(NS)パケットをネットワークに伝送して探索IPに対するリンク層アドレス情報とIPアドレス情報を含むホスト情報を要請するステップと、パケット伝送後にホストの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機するステップと、前記所定時間待機後に前記探索しようとするIPの近隣要請(NA)パケットが受信されたかどうかを判定するステップと、要請パケットに対するNAパケットが受信された場合、当該パケットからホスト情報を取得するステップと、を含む。
【0007】
本発明の他の特徴によれば、ルーター要請(RS)パケットをネットワークに伝送してリンク層アドレス情報とIPアドレス情報を含むルーター情報を要請するステップと、パケット伝送後にルーターの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機するステップと、前記所定時間待機後にルーター公告(RA)パケットが受信されたかどうかを判定するステップと、要請パケットに対するRAパケットが受信された場合、当該パケットからルーター情報を取得するステップと、を含む。
【0008】
本発明のさらに他の特徴によれば、近隣探索プロトコル(NDP)パケットを採取するステップと、採取したパケットがルーター要請(RS)パケット、近隣要請(NS)パケット、近隣要請(NA)パケットのうちのいずれか一種であるかどうかを判定するステップと、判定の結果、採取したパケットがルーター要請(RS)パケット、近隣要請(NS)パケット、近隣要請(NA)パケットのうちのいずれか一種であれば、採取されたパケットからリンク層アドレス情報とIPアドレス情報を含むホスト情報を取得し、あるいは、判定の結果、採取したパケットがルーター公告(RA)パケットであれば、採取されたパケットからルーター情報を取得するステップと、を含む。
【0009】
本発明のさらに他の特徴によれば、前記ホスト情報は、近隣公告(NA)パケットのフィールド情報を選択的にさらに含む。
【0010】
本発明のさらに他の特徴によれば、前記ルーター情報は、リンク層アドレス情報とIPアドレス情報を含む。
【0011】
本発明のさらに他の特徴によれば、前記ルーター情報は、ルーター公告(RA)パケットのフィールド情報を選択的にさらに含む。
【0012】
本発明のさらに他の特徴によれば、前記ホスト情報または前記ルーター情報のうち少なくとも一方は、IPアドレスとリンク層アドレスをリストとして管理する。
【0013】
本発明のさらに他の特徴によれば、ホストのネットワーク遮断のための政策が設定されれば、ネットワーク内において近隣探索プロトコル(NDP)パケットを採取するステップと、採取したパケットの種別に応じて遮断政策に含まれるかどうかを判定するステップと、判定の結果、遮断政策に含まれる場合、前記ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップと、を含む。
【0014】
本発明のさらに他の特徴によれば、ホストのネットワーク遮断のための政策が設定されれば、ネットワーク内において遮断ホストの近隣探索プロトコル(NDP)パケットが採取されていない状況において、遮断ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップを含む。
【0015】
本発明のさらに他の特徴によれば、前記近隣公告(NA)パケットのリンク層アドレスを当該ネットワークに存在しない仮想のリンク層アドレスまたは特定のリンク層アドレスに設定した変調済みNAパケットをマルチキャストまたはユニキャストすることによりホストの遮断を行う。
【0016】
本発明のさらに他の特徴によれば、前記ホストのネットワーク遮断のための政策がリストとして管理される。
【0017】
本発明のさらに他の特徴によれば、前記ホストのネットワーク遮断のための政策は、IPアドレスまたはリンク層アドレスを含む。
【0018】
本発明のさらに他の特徴によれば、前記ホストのネットワーク遮断のための政策は、政策の開始時間と満了時間をさらに含む。
【0019】
本発明のさらに他の特徴によれば、前記ホストの遮断を行うステップは、前記遮断ホストに変調済みNAパケットを伝送して前記遮断ホストのネットワークインタフェースへのIP割当に失敗させることによりホストの遮断を行う。
【0020】
本発明のさらに他の特徴によれば、前記ホストの遮断を行うステップは、前記遮断ホストが属するネットワーク内ホストに前記遮断ホストの変調済みNAパケットを伝送して前記遮断ホストに対する変調済みNAパケット情報をもって近隣キャッシュを更新することにより前記遮断ホストとの通信を切断する方法を用いてホストの遮断を行う。
【0021】
本発明のさらに他の特徴によれば、前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが、ルーター要請(RS)パケットまたはルーター公告(RA)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定する。
【0022】
本発明のさらに他の特徴によれば、前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣要請(NS)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定するステップと、判定の結果、発信元情報が遮断ホストである場合、重複アドレス検出(DAD)確認パケットであるかどうかを判定するステップと、発信元情報が遮断ホストではない場合、目的地情報を用いて遮断ホストを判定するステップと、を含む。
【0023】
本発明のさらに他の特徴によれば、前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣公告(NA)パケットであれば、発信元情報が遮断ホストであるかどうかを判定するステップと、判定の結果、発信元情報が遮断ホストではなければ、目的地情報が遮断ホストであるかどうかを判定するステップと、を含む。
【0024】
本発明のさらに他の特徴によれば、前記発信元情報は、ソースリンク層アドレス、ソースIPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含む。
【0025】
本発明のさらに他の特徴によれば、前記目的地情報は、目的地リンク層アドレス、目的地IPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含む。
【発明の効果】
【0026】
上記の構成によれば、IPv6環境においてネットワークの主資源を効率よく保護することができ、特に、未認可ホストのネットワーク接近を遮断して一段と高いセキュリティ環境を構築することができる。
【図面の簡単な説明】
【0027】
【図1】本発明に係るNSパケットとNAパケットを用いたホスト探索方法を示すフローチャートである。
【図2】本発明に係るRSパケットとRAパケットを用いたホスト探索方法を示すフローチャートである。
【図3】本発明に係るネットワークにおいて採取されるNDPパケット分析を通じたホスト及びルーター探索方法を示すフローチャートである。
【図4】本発明に係るホストの遮断方法を示すフローチャートである。
【発明を実施するための形態】
【0028】
以下、添付図面に基づき、本発明の実施の形態を詳述する。
【0029】
本発明によれば、IPv6においてホストの探索及び遮断のために、近隣探索プロトコル(NDP:Neighbor Discovery Protocol)を利用する。
【0030】
具体的に、ホストの探索方法には3通りの方法があるが、一つ目は、近隣要請(NS:Neighbor Solicitation)パケットを用いて探索IPのホスト情報を要請し、当該ホストが近隣公告(NA:Neighbor Advertisement)パケットで応答すれば、受信されたパケットからホスト情報を取得する方法である。
【0031】
二つ目は、ルーター要請(RS:Router Solicitation)パケットを用いてルーター情報を要請し、RSパケットを受け取ったルーターがルーター公告(RA:Router Advertisement)パケットで応答すれば、受け取ったパケットからルーター情報を取得する方法である。
【0032】
三つ目は、ネットワークにおいてNDPパケットを採取した後、種類に応じてホスト及びルーター情報を取得する方法である。
【0033】
本発明は、IPv6ネットワーク環境におけるホストの遮断及び探索に関するものであり、IPと明示した場合、IPv4と混同を起こす恐れがある。このため、特にIPv4と明示していない項目につき、IPv6及びIPv6ネットワークを意味するものとする。
【0034】
まず、本発明を説明するに先立って、IPv6における基盤技術について説明する。
【0035】
1)ICMP
ICMPは、Internet Control Message Protocolの略字であり、ネットワーク状態に対するメッセージを送受可能にするものであり、IPと同じLayer3のネットワーク層において動作する。ICMPは、基本的に、IPv4において動作するプロトコルであり、その主な機能は、表1に示す通りである。
【0036】
【表1】
2)ICMPv6
IPv6において用いられるICMPであり、基本的な機能はICMPと同じであり、IPv4において用いられていた一部のプロトコル(ARP、RARP、IGMP)がさらに表2のように含まれている。
【0037】
【表2】
3)NDP(Neighbor Discovery Protocol)
NDPは、IPv6環境において隣接ホストと通信を行うために用いられるプロトコルであり、ICMPv6に含まれてIPv4環境でアドレス解決プロトコル(ARP:Address Resolution Protocol)が行う機能を代わりに行う。NDPの主な機能は、表3に示す通りである。
【0038】
【表3】
4)NDPパケットの種類及び用途
NDの主な機能を実現するために、表4のパケットを使用する。
【0039】
【表4】
5)DAD(Duplicate Address Detection)
IPv6においてIPを構成する方法には、手動設定と自動設定(stateless、stateful)があるが、いかなる方法でIPを構成しても、DAD過程を経てIPが既に使用中であるかどうかを確認することになっている。DADとは、使用しようとするIPが現在ネットワークにおいて使用中であるかどうかを確認する方法であり、使用しようとするIPが含まれているNSパケットをネットワークに伝送して応答が来ないことを期待することである。DAD確認のためのNSパケットを受け取ったネットワーク内のホストは、自分のIPと比較して同じであれば、NSパケットを送ったホストにNAパケットを送り、同じではなければ、隣キャッシュを更新する。なお、DADを行うホストは、NAパケットを受け取った場合、使用しようとするIPが既に使用中であると判断する。
【0040】
DADを行う過程を簡単に説明すれば、まず、使用しようとするホストAが設定されたDupAddrDetectTransmits値だけRetransTimer時間間隔にてNSパケットを伝送した後、RetransTimer時間だけ待機する。RetransTimer時間が過ぎてもNAパケット応答がない場合、インタフェースに新たに構成したIPを割当し、通信を開始する。これに対し、他のホストBが当該IPを使用中であるとき、ホストAが同じIPを使用することを試みる場合、ホストBは、NAパケットをホストAに送って既に使用中のIPである旨を知らせる。このように、ホストAが当該IPに対するNAパケットを確認することによりIP割当に失敗することとなる。
【0041】
以下、本発明に係るホストの探索と遮断方法について詳述する。
【0042】
<ホストの探索>
NDPの近隣要請(NS)パケットと近隣公告(NA)パケット、ルーター要請(RS)パケットとルーター公告(RA)パケットを用いてネットワークに接続されたホストを探索することができる。また、ネットワークにおいて採取されるNDPパケット分析を通じてホスト及びルーターを探索することができる。
【0043】
ここで言及されるホスト情報とは、基本的に、リンク層アドレス情報とIPアドレス情報を意味し、状況に応じて、NAパケットのフィールド情報を選択的にさらに含んでいてもよい。
【0044】
また、ルーター情報とは、基本的に、リンク層アドレス情報とIPアドレス情報を意味し、状況に応じて、RAパケットのフィールド情報を選択的にさらに含んでいてもよい。
【0045】
図1は、本発明に係るNSパケットとNAパケットを用いたホスト探索方法を示すフローチャートである。
【0046】
まず、探索しようとするIPをICMPv6目標アドレスに設定したNSパケットをネットワークに伝送して探索IPに対するホスト情報を要請する(ステップS11)。
【0047】
パケット伝送後にホストの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機する(ステップS12)
次いで、所定時間待機後に探索しようとするIPのNAパケットが受信されたかどうかを判定し(ステップS13)、要請パケットに対するNAパケットが受信された場合に、当該パケットからホスト情報を取得する(ステップS14)。これに対し、ステップS13において受信されたNAパケットがなければ、処理を終了する。
【0048】
図2は、本発明に係るRSパケットとRAパケットを用いたホスト探索方法を示すフローチャートである。
【0049】
まず、RSパケットをネットワークに伝送してルーター情報を要請する(ステップS21)。
【0050】
パケット伝送後にルーターの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機する(ステップS22)。
【0051】
次いで、所定時間待機後にRAパケットが受信されたかどうかを判定し(ステップS23)、RAパケットが受信された場合に、当該パケットからルーター情報を取得する(ステップS24)。これに対し、ステップS23において受信されたRAパケットがなければ、処理を終了する。
【0052】
図3は、本発明に係るネットワークにおいて採取されるNDP分析を通じたホスト及びルーター探索方法を示すフローチャートである。
【0053】
まず、NDPパケットが採取されれば(ステップS31)、パケットがRS、NS、NAのうちのいずれか一種であるかどうかを判定する(ステップS33)。
【0054】
判定の結果、RS、NS、NAのうちのいずれか一種であれば、採取されたパケットからホスト情報を取得し(ステップS32)、パケットがRS、NS、NAのうちのいずれか一種ではなければ、RAパケットであるかどうかを判定する(ステップS34)。
【0055】
判定の結果、RAであれば、採取されたパケットからルーター情報を取得する(ステップS35)。
【0056】
ステップS34において、RAパケットではなければ、処理を終了する。
【0057】
<ホストの遮断>
本発明のホスト遮断は、重複アドレス検出(DAD:Duplicate Address Detection)動作を用いて行い、後述する遮断ホストの変調済み近隣公告(NA)パケットとは、遮断ホストのリンク層アドレスを当該ネットワークに存在しない仮想のリンク層アドレスまたは特定のリンク層アドレスを設定したNAパケットを意味する。
【0058】
具体的に、ネットワークにおいてホストがIPを使用するためのDAD確認パケットが採取されれば、当該パケットを分析した後、接近を遮断する必要がある場合、遮断ホストの変調済みNAパケットで応答する。NAパケットを受け取った遮断ホストは、DAD動作により当該IPが既に使用中であると判断し、ネットワークインタフェースにIP割当に失敗する。
【0059】
加えて、既にDAD動作を終えてIPを割り当てた状態のホストを遮断する必要がある場合、当該ホストのNDPパケットが採取されれば、遮断ホストの変調済みNAパケットを全ノードマルチキャストIPに設定して伝送する。ネットワーク内のホストは、遮断ホストの変調済みNAパケットを受け取り、近隣キャッシュを更新して遮断ホストとの通信に失敗する。
【0060】
本発明のホスト遮断方法において、ホストの遮断のための政策設定時に設定情報として遮断IPアドレスまたは遮断リンク層アドレスが設定され、両方とも設定されることもある。また、選択的に政策の開始時間と終了時間をさらに含んでいてもよい。
【0061】
本発明によれば、NDPパケットを採取すれば、パケットの種別(RS、RA、NS、NA)を確認し、パケットの種別に応じて遮断政策に含まれるかどうかを判定する。判定の結果、遮断政策に含まれる場合、DAD確認パケットであるかどうかを確認し、DAD確認パケットであれば、遮断ホストに変調済みNAパケットで応答し、DAD確認パケットではなければ、全ノードマルチキャストIPに遮断ホストの変調済みNAパケットを伝送して遮断を行う。なお、政策に含まれない場合、当該パケットを無視して通信を許容する。
【0062】
加えて、DAD確認パケットであると判定されれば、遮断ホストに変調済みNAパケットで応答する方法に加えて、全ノードマルチキャストIPに遮断ホストの変調済みNAパケットを伝送する方法を用いて遮断を行うこともできる。
【0063】
以下、本発明に係るホスト遮断方法を詳述する。
【0064】
図4は、本発明に係るホストの遮断方法を示すフローチャートである。
【0065】
ここで、発信元情報は、ソースリンク層アドレスまたはソースIPアドレスとなり、目的地情報は、目的地リンク層アドレスまたは目的地IPアドレスである。また、遮断ホストを区別する方法は、IPアドレスとリンク層アドレス情報に基づく。さらに、発信元と目的地の情報を区別するとき、パケットの種別に応じて、ソースIPアドレスまたは目的地IPアドレスが有効ではない場合がある。この場合には、ICMP6ヘッダーの目標アドレスを発信元IPまたは目的地IPアドレス情報に置き換えて処理する。
【0066】
図4を参照するに、NDPパケットが採取されれば(ステップS41)、採取されたパケットがルーター要請(RS)またはルーター公告(RA)であるかを判定する(ステップS42)。
【0067】
判定の結果、RSまたはRAであれば、発信元情報が遮断ホストであるかどうかを判定する(ステップS43)。判定の結果、発信元情報が遮断ホストであれば、全ノードマルチキャストIPに遮断ホストの変調済みNAパケットを伝送し(ステップS51)、存在しなければ処理を終了する。
【0068】
ステップS42において、RSパケットまたはRAパケットではなければ、近隣要請(NS)パケットであるかどうかを判定する(ステップS44)。判定の結果、NSパケットであれば、発信元情報が遮断ホストであるかどうかを判定する(ステップS45)。判定の結果、発信元情報が遮断ホストであれば、DAD確認パケットであるかどうかを判定し(ステップS47)、DAD確認パケットであれば、遮断ホストに変調済みNAパケットを伝送した後(ステップS52)に処理を終了する。ステップS47において、DAD確認パケットではないと判定されれば、ステップS51を行った後に処理を終了する。
【0069】
ステップS45において、発信元情報が遮断ホストではなければ、目的地情報が遮断ホストであるかどうかを判定する(ステップS46)。
【0070】
目的地情報が遮断ホストであると判定されれば、ステップS51を行った後に処理を終了する。ステップS46において、遮断ホストではないと判定されれば、処理を終了する。
【0071】
一方、上記のステップS44において、NSパケットではなければ、近隣公告(NA)パケットであるかどうかを判定する(ステップS48)。判定の結果、NAパケットであれば、発信元情報が遮断ホストであるかどうかを判定し(ステップS49)、遮断ホストであると判定されれば、ステップS51を行った後に処理を終了する。これに対し、遮断ホストではないと判定されれば、目的地情報が遮断ホストであるかどうかを判定する(ステップS50)。目的地情報が遮断ホストであると判定されれば、同様に、ステップS51を行った後に処理を終了し、目的地情報が遮断ホストではないと判定されれば、処理を終了する。一方、ステップS48における判定の結果、NAパケットではなければ、処理を終了する。
【0072】
以上では本発明の実施の形態を中心に説明したが、当業者のレベルにおいて様々な変更を加えることができるということは言うまでもない。よって、本発明の権利範囲は上記の実施の形態に限定されて解釈されてはならず、後述する特許請求の範囲によって解釈さるべきである。
【技術分野】
【0001】
本発明はIPv6ネットワーク内ホスト遮断及び探索方法に係り、特に、IPv6ネットワーク環境における近隣探索プロトコル(NDP:Neighbor Discovery Protocol)を用いたIPv6ネットワーク内ホスト遮断及び探索方法に関する。
【背景技術】
【0002】
32ビットアドレス体系であるIPv4の枯渇が次第に現実化しつつある。韓国インターネット振興院IPv6ポータル(http://IPv6.vsix.net)の情報によれば、2009年1月20日現在、約791日後にIPv4アドレスが枯渇する見込みであり、アドレス枯渇を認知した多くの企業及び官公署においては既にIPv4ネットワークからIPv6ネットワークへの転換事業が進んでおり、IPv6への需要が次第に高まりつつある傾向にある。
【0003】
また、IPv6においてはIPアドレスの自動設定を支援するが、このように自動的に割当が行われる場合、ネットワークの資源を管理する側面からは、全ての装備のIPを確認し、当該情報を維持する必要性が発生してくる。
【0004】
さらに、IPアドレスの自動設定が行われるため、悪意を持ったユーザーがいかなる制約を受けることなくネットワークの主要装備に接近可能となるという問題が発生するため、これらのユーザーに対する管理及び遮断が必要である。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的は、IPv6環境においてネットワークの主資源を効率よく管理することのできるホスト探索方法と、未認可ホストのネットワーク接近を遮断して一段と高いセキュリティ環境を構築することのできるIPv6ネットワーク内ホスト遮断及び探索方法を提供するところにある。
【課題を解決するための手段】
【0006】
上記の目的を達成するために、本発明は、探索しようとするIPをICMPv6目標アドレスに設定した近隣要請(NS)パケットをネットワークに伝送して探索IPに対するリンク層アドレス情報とIPアドレス情報を含むホスト情報を要請するステップと、パケット伝送後にホストの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機するステップと、前記所定時間待機後に前記探索しようとするIPの近隣要請(NA)パケットが受信されたかどうかを判定するステップと、要請パケットに対するNAパケットが受信された場合、当該パケットからホスト情報を取得するステップと、を含む。
【0007】
本発明の他の特徴によれば、ルーター要請(RS)パケットをネットワークに伝送してリンク層アドレス情報とIPアドレス情報を含むルーター情報を要請するステップと、パケット伝送後にルーターの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機するステップと、前記所定時間待機後にルーター公告(RA)パケットが受信されたかどうかを判定するステップと、要請パケットに対するRAパケットが受信された場合、当該パケットからルーター情報を取得するステップと、を含む。
【0008】
本発明のさらに他の特徴によれば、近隣探索プロトコル(NDP)パケットを採取するステップと、採取したパケットがルーター要請(RS)パケット、近隣要請(NS)パケット、近隣要請(NA)パケットのうちのいずれか一種であるかどうかを判定するステップと、判定の結果、採取したパケットがルーター要請(RS)パケット、近隣要請(NS)パケット、近隣要請(NA)パケットのうちのいずれか一種であれば、採取されたパケットからリンク層アドレス情報とIPアドレス情報を含むホスト情報を取得し、あるいは、判定の結果、採取したパケットがルーター公告(RA)パケットであれば、採取されたパケットからルーター情報を取得するステップと、を含む。
【0009】
本発明のさらに他の特徴によれば、前記ホスト情報は、近隣公告(NA)パケットのフィールド情報を選択的にさらに含む。
【0010】
本発明のさらに他の特徴によれば、前記ルーター情報は、リンク層アドレス情報とIPアドレス情報を含む。
【0011】
本発明のさらに他の特徴によれば、前記ルーター情報は、ルーター公告(RA)パケットのフィールド情報を選択的にさらに含む。
【0012】
本発明のさらに他の特徴によれば、前記ホスト情報または前記ルーター情報のうち少なくとも一方は、IPアドレスとリンク層アドレスをリストとして管理する。
【0013】
本発明のさらに他の特徴によれば、ホストのネットワーク遮断のための政策が設定されれば、ネットワーク内において近隣探索プロトコル(NDP)パケットを採取するステップと、採取したパケットの種別に応じて遮断政策に含まれるかどうかを判定するステップと、判定の結果、遮断政策に含まれる場合、前記ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップと、を含む。
【0014】
本発明のさらに他の特徴によれば、ホストのネットワーク遮断のための政策が設定されれば、ネットワーク内において遮断ホストの近隣探索プロトコル(NDP)パケットが採取されていない状況において、遮断ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップを含む。
【0015】
本発明のさらに他の特徴によれば、前記近隣公告(NA)パケットのリンク層アドレスを当該ネットワークに存在しない仮想のリンク層アドレスまたは特定のリンク層アドレスに設定した変調済みNAパケットをマルチキャストまたはユニキャストすることによりホストの遮断を行う。
【0016】
本発明のさらに他の特徴によれば、前記ホストのネットワーク遮断のための政策がリストとして管理される。
【0017】
本発明のさらに他の特徴によれば、前記ホストのネットワーク遮断のための政策は、IPアドレスまたはリンク層アドレスを含む。
【0018】
本発明のさらに他の特徴によれば、前記ホストのネットワーク遮断のための政策は、政策の開始時間と満了時間をさらに含む。
【0019】
本発明のさらに他の特徴によれば、前記ホストの遮断を行うステップは、前記遮断ホストに変調済みNAパケットを伝送して前記遮断ホストのネットワークインタフェースへのIP割当に失敗させることによりホストの遮断を行う。
【0020】
本発明のさらに他の特徴によれば、前記ホストの遮断を行うステップは、前記遮断ホストが属するネットワーク内ホストに前記遮断ホストの変調済みNAパケットを伝送して前記遮断ホストに対する変調済みNAパケット情報をもって近隣キャッシュを更新することにより前記遮断ホストとの通信を切断する方法を用いてホストの遮断を行う。
【0021】
本発明のさらに他の特徴によれば、前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが、ルーター要請(RS)パケットまたはルーター公告(RA)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定する。
【0022】
本発明のさらに他の特徴によれば、前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣要請(NS)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定するステップと、判定の結果、発信元情報が遮断ホストである場合、重複アドレス検出(DAD)確認パケットであるかどうかを判定するステップと、発信元情報が遮断ホストではない場合、目的地情報を用いて遮断ホストを判定するステップと、を含む。
【0023】
本発明のさらに他の特徴によれば、前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣公告(NA)パケットであれば、発信元情報が遮断ホストであるかどうかを判定するステップと、判定の結果、発信元情報が遮断ホストではなければ、目的地情報が遮断ホストであるかどうかを判定するステップと、を含む。
【0024】
本発明のさらに他の特徴によれば、前記発信元情報は、ソースリンク層アドレス、ソースIPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含む。
【0025】
本発明のさらに他の特徴によれば、前記目的地情報は、目的地リンク層アドレス、目的地IPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含む。
【発明の効果】
【0026】
上記の構成によれば、IPv6環境においてネットワークの主資源を効率よく保護することができ、特に、未認可ホストのネットワーク接近を遮断して一段と高いセキュリティ環境を構築することができる。
【図面の簡単な説明】
【0027】
【図1】本発明に係るNSパケットとNAパケットを用いたホスト探索方法を示すフローチャートである。
【図2】本発明に係るRSパケットとRAパケットを用いたホスト探索方法を示すフローチャートである。
【図3】本発明に係るネットワークにおいて採取されるNDPパケット分析を通じたホスト及びルーター探索方法を示すフローチャートである。
【図4】本発明に係るホストの遮断方法を示すフローチャートである。
【発明を実施するための形態】
【0028】
以下、添付図面に基づき、本発明の実施の形態を詳述する。
【0029】
本発明によれば、IPv6においてホストの探索及び遮断のために、近隣探索プロトコル(NDP:Neighbor Discovery Protocol)を利用する。
【0030】
具体的に、ホストの探索方法には3通りの方法があるが、一つ目は、近隣要請(NS:Neighbor Solicitation)パケットを用いて探索IPのホスト情報を要請し、当該ホストが近隣公告(NA:Neighbor Advertisement)パケットで応答すれば、受信されたパケットからホスト情報を取得する方法である。
【0031】
二つ目は、ルーター要請(RS:Router Solicitation)パケットを用いてルーター情報を要請し、RSパケットを受け取ったルーターがルーター公告(RA:Router Advertisement)パケットで応答すれば、受け取ったパケットからルーター情報を取得する方法である。
【0032】
三つ目は、ネットワークにおいてNDPパケットを採取した後、種類に応じてホスト及びルーター情報を取得する方法である。
【0033】
本発明は、IPv6ネットワーク環境におけるホストの遮断及び探索に関するものであり、IPと明示した場合、IPv4と混同を起こす恐れがある。このため、特にIPv4と明示していない項目につき、IPv6及びIPv6ネットワークを意味するものとする。
【0034】
まず、本発明を説明するに先立って、IPv6における基盤技術について説明する。
【0035】
1)ICMP
ICMPは、Internet Control Message Protocolの略字であり、ネットワーク状態に対するメッセージを送受可能にするものであり、IPと同じLayer3のネットワーク層において動作する。ICMPは、基本的に、IPv4において動作するプロトコルであり、その主な機能は、表1に示す通りである。
【0036】
【表1】
2)ICMPv6
IPv6において用いられるICMPであり、基本的な機能はICMPと同じであり、IPv4において用いられていた一部のプロトコル(ARP、RARP、IGMP)がさらに表2のように含まれている。
【0037】
【表2】
3)NDP(Neighbor Discovery Protocol)
NDPは、IPv6環境において隣接ホストと通信を行うために用いられるプロトコルであり、ICMPv6に含まれてIPv4環境でアドレス解決プロトコル(ARP:Address Resolution Protocol)が行う機能を代わりに行う。NDPの主な機能は、表3に示す通りである。
【0038】
【表3】
4)NDPパケットの種類及び用途
NDの主な機能を実現するために、表4のパケットを使用する。
【0039】
【表4】
5)DAD(Duplicate Address Detection)
IPv6においてIPを構成する方法には、手動設定と自動設定(stateless、stateful)があるが、いかなる方法でIPを構成しても、DAD過程を経てIPが既に使用中であるかどうかを確認することになっている。DADとは、使用しようとするIPが現在ネットワークにおいて使用中であるかどうかを確認する方法であり、使用しようとするIPが含まれているNSパケットをネットワークに伝送して応答が来ないことを期待することである。DAD確認のためのNSパケットを受け取ったネットワーク内のホストは、自分のIPと比較して同じであれば、NSパケットを送ったホストにNAパケットを送り、同じではなければ、隣キャッシュを更新する。なお、DADを行うホストは、NAパケットを受け取った場合、使用しようとするIPが既に使用中であると判断する。
【0040】
DADを行う過程を簡単に説明すれば、まず、使用しようとするホストAが設定されたDupAddrDetectTransmits値だけRetransTimer時間間隔にてNSパケットを伝送した後、RetransTimer時間だけ待機する。RetransTimer時間が過ぎてもNAパケット応答がない場合、インタフェースに新たに構成したIPを割当し、通信を開始する。これに対し、他のホストBが当該IPを使用中であるとき、ホストAが同じIPを使用することを試みる場合、ホストBは、NAパケットをホストAに送って既に使用中のIPである旨を知らせる。このように、ホストAが当該IPに対するNAパケットを確認することによりIP割当に失敗することとなる。
【0041】
以下、本発明に係るホストの探索と遮断方法について詳述する。
【0042】
<ホストの探索>
NDPの近隣要請(NS)パケットと近隣公告(NA)パケット、ルーター要請(RS)パケットとルーター公告(RA)パケットを用いてネットワークに接続されたホストを探索することができる。また、ネットワークにおいて採取されるNDPパケット分析を通じてホスト及びルーターを探索することができる。
【0043】
ここで言及されるホスト情報とは、基本的に、リンク層アドレス情報とIPアドレス情報を意味し、状況に応じて、NAパケットのフィールド情報を選択的にさらに含んでいてもよい。
【0044】
また、ルーター情報とは、基本的に、リンク層アドレス情報とIPアドレス情報を意味し、状況に応じて、RAパケットのフィールド情報を選択的にさらに含んでいてもよい。
【0045】
図1は、本発明に係るNSパケットとNAパケットを用いたホスト探索方法を示すフローチャートである。
【0046】
まず、探索しようとするIPをICMPv6目標アドレスに設定したNSパケットをネットワークに伝送して探索IPに対するホスト情報を要請する(ステップS11)。
【0047】
パケット伝送後にホストの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機する(ステップS12)
次いで、所定時間待機後に探索しようとするIPのNAパケットが受信されたかどうかを判定し(ステップS13)、要請パケットに対するNAパケットが受信された場合に、当該パケットからホスト情報を取得する(ステップS14)。これに対し、ステップS13において受信されたNAパケットがなければ、処理を終了する。
【0048】
図2は、本発明に係るRSパケットとRAパケットを用いたホスト探索方法を示すフローチャートである。
【0049】
まず、RSパケットをネットワークに伝送してルーター情報を要請する(ステップS21)。
【0050】
パケット伝送後にルーターの処理速度とネットワーク環境及び状態による伝送速度を考慮して所定時間待機する(ステップS22)。
【0051】
次いで、所定時間待機後にRAパケットが受信されたかどうかを判定し(ステップS23)、RAパケットが受信された場合に、当該パケットからルーター情報を取得する(ステップS24)。これに対し、ステップS23において受信されたRAパケットがなければ、処理を終了する。
【0052】
図3は、本発明に係るネットワークにおいて採取されるNDP分析を通じたホスト及びルーター探索方法を示すフローチャートである。
【0053】
まず、NDPパケットが採取されれば(ステップS31)、パケットがRS、NS、NAのうちのいずれか一種であるかどうかを判定する(ステップS33)。
【0054】
判定の結果、RS、NS、NAのうちのいずれか一種であれば、採取されたパケットからホスト情報を取得し(ステップS32)、パケットがRS、NS、NAのうちのいずれか一種ではなければ、RAパケットであるかどうかを判定する(ステップS34)。
【0055】
判定の結果、RAであれば、採取されたパケットからルーター情報を取得する(ステップS35)。
【0056】
ステップS34において、RAパケットではなければ、処理を終了する。
【0057】
<ホストの遮断>
本発明のホスト遮断は、重複アドレス検出(DAD:Duplicate Address Detection)動作を用いて行い、後述する遮断ホストの変調済み近隣公告(NA)パケットとは、遮断ホストのリンク層アドレスを当該ネットワークに存在しない仮想のリンク層アドレスまたは特定のリンク層アドレスを設定したNAパケットを意味する。
【0058】
具体的に、ネットワークにおいてホストがIPを使用するためのDAD確認パケットが採取されれば、当該パケットを分析した後、接近を遮断する必要がある場合、遮断ホストの変調済みNAパケットで応答する。NAパケットを受け取った遮断ホストは、DAD動作により当該IPが既に使用中であると判断し、ネットワークインタフェースにIP割当に失敗する。
【0059】
加えて、既にDAD動作を終えてIPを割り当てた状態のホストを遮断する必要がある場合、当該ホストのNDPパケットが採取されれば、遮断ホストの変調済みNAパケットを全ノードマルチキャストIPに設定して伝送する。ネットワーク内のホストは、遮断ホストの変調済みNAパケットを受け取り、近隣キャッシュを更新して遮断ホストとの通信に失敗する。
【0060】
本発明のホスト遮断方法において、ホストの遮断のための政策設定時に設定情報として遮断IPアドレスまたは遮断リンク層アドレスが設定され、両方とも設定されることもある。また、選択的に政策の開始時間と終了時間をさらに含んでいてもよい。
【0061】
本発明によれば、NDPパケットを採取すれば、パケットの種別(RS、RA、NS、NA)を確認し、パケットの種別に応じて遮断政策に含まれるかどうかを判定する。判定の結果、遮断政策に含まれる場合、DAD確認パケットであるかどうかを確認し、DAD確認パケットであれば、遮断ホストに変調済みNAパケットで応答し、DAD確認パケットではなければ、全ノードマルチキャストIPに遮断ホストの変調済みNAパケットを伝送して遮断を行う。なお、政策に含まれない場合、当該パケットを無視して通信を許容する。
【0062】
加えて、DAD確認パケットであると判定されれば、遮断ホストに変調済みNAパケットで応答する方法に加えて、全ノードマルチキャストIPに遮断ホストの変調済みNAパケットを伝送する方法を用いて遮断を行うこともできる。
【0063】
以下、本発明に係るホスト遮断方法を詳述する。
【0064】
図4は、本発明に係るホストの遮断方法を示すフローチャートである。
【0065】
ここで、発信元情報は、ソースリンク層アドレスまたはソースIPアドレスとなり、目的地情報は、目的地リンク層アドレスまたは目的地IPアドレスである。また、遮断ホストを区別する方法は、IPアドレスとリンク層アドレス情報に基づく。さらに、発信元と目的地の情報を区別するとき、パケットの種別に応じて、ソースIPアドレスまたは目的地IPアドレスが有効ではない場合がある。この場合には、ICMP6ヘッダーの目標アドレスを発信元IPまたは目的地IPアドレス情報に置き換えて処理する。
【0066】
図4を参照するに、NDPパケットが採取されれば(ステップS41)、採取されたパケットがルーター要請(RS)またはルーター公告(RA)であるかを判定する(ステップS42)。
【0067】
判定の結果、RSまたはRAであれば、発信元情報が遮断ホストであるかどうかを判定する(ステップS43)。判定の結果、発信元情報が遮断ホストであれば、全ノードマルチキャストIPに遮断ホストの変調済みNAパケットを伝送し(ステップS51)、存在しなければ処理を終了する。
【0068】
ステップS42において、RSパケットまたはRAパケットではなければ、近隣要請(NS)パケットであるかどうかを判定する(ステップS44)。判定の結果、NSパケットであれば、発信元情報が遮断ホストであるかどうかを判定する(ステップS45)。判定の結果、発信元情報が遮断ホストであれば、DAD確認パケットであるかどうかを判定し(ステップS47)、DAD確認パケットであれば、遮断ホストに変調済みNAパケットを伝送した後(ステップS52)に処理を終了する。ステップS47において、DAD確認パケットではないと判定されれば、ステップS51を行った後に処理を終了する。
【0069】
ステップS45において、発信元情報が遮断ホストではなければ、目的地情報が遮断ホストであるかどうかを判定する(ステップS46)。
【0070】
目的地情報が遮断ホストであると判定されれば、ステップS51を行った後に処理を終了する。ステップS46において、遮断ホストではないと判定されれば、処理を終了する。
【0071】
一方、上記のステップS44において、NSパケットではなければ、近隣公告(NA)パケットであるかどうかを判定する(ステップS48)。判定の結果、NAパケットであれば、発信元情報が遮断ホストであるかどうかを判定し(ステップS49)、遮断ホストであると判定されれば、ステップS51を行った後に処理を終了する。これに対し、遮断ホストではないと判定されれば、目的地情報が遮断ホストであるかどうかを判定する(ステップS50)。目的地情報が遮断ホストであると判定されれば、同様に、ステップS51を行った後に処理を終了し、目的地情報が遮断ホストではないと判定されれば、処理を終了する。一方、ステップS48における判定の結果、NAパケットではなければ、処理を終了する。
【0072】
以上では本発明の実施の形態を中心に説明したが、当業者のレベルにおいて様々な変更を加えることができるということは言うまでもない。よって、本発明の権利範囲は上記の実施の形態に限定されて解釈されてはならず、後述する特許請求の範囲によって解釈さるべきである。
【特許請求の範囲】
【請求項1】
近隣探索プロトコル(NDP)パケットを採取するステップと、
採取したパケットがルーター要請(RS)パケット、近隣要請(NS)パケット、近隣要請(NA)パケットのうちのいずれか一種であるかどうかを判定するステップと、
判定の結果、採取したパケットがルーター要請(RS)パケット、近隣要請(NS)パケット、近隣要請(NA)パケットのうちのいずれか一種であれば、採取されたパケットからリンク層アドレス情報とIPアドレス情報を含むホスト情報を取得し、あるいは、判定の結果、採取したパケットがルーター公告(RA)パケットであれば、採取されたパケットからルーター情報を取得するステップと、
を含むことを特徴とするIPv6ネットワーク内ホスト探索方法。
【請求項2】
前記ホスト情報は、近隣公告(NA)パケットのフィールド情報を選択的にさらに含むことを特徴とする請求項1に記載のIPv6ネットワーク内ホスト探索方法。
【請求項3】
前記ルーター情報は、リンク層アドレス情報とIPアドレス情報を含むことを特徴とする請求項1に記載のIPv6ネットワーク内ホスト探索方法。
【請求項4】
前記ルーター情報は、ルーター公告(RA)パケットのフィールド情報を選択的にさらに含むことを特徴とする請求項1に記載のIPv6ネットワーク内ホスト探索方法。
【請求項5】
前記ホスト情報または前記ルーター情報のうち少なくとも一方は、IPアドレスとリンク層アドレスをリストとして管理することを特徴とする請求項1に記載のIPv6ネットワーク内ホスト探索方法。
【請求項6】
ホストのネットワーク遮断のための政策が設定されれば、
ネットワーク内において近隣探索プロトコル(NDP)パケットを採取するステップと、
採取したパケットの種別に応じて遮断政策に含まれるかどうかを判定するステップと、
判定の結果、遮断政策に含まれる場合、前記ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップと、
を含むことを特徴とするIPv6ネットワーク内ホスト遮断方法。
【請求項7】
ホストのネットワーク遮断のための政策が設定されれば、ネットワーク内において遮断ホストの近隣探索プロトコル(NDP)パケットが採取されていない状況において、遮断ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップを含むことを特徴とするIPv6ネットワーク内ホスト遮断方法。
【請求項8】
前記近隣公告(NA)パケットのリンク層アドレスを当該ネットワークに存在しない仮想のリンク層アドレスまたは特定のリンク層アドレスに設定した変調済みNAパケットをマルチキャストまたはユニキャストすることによりホストの遮断を行うことを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項9】
前記ホストのネットワーク遮断のための政策がリストとして管理されることを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項10】
前記ホストのネットワーク遮断のための政策は、IPアドレスまたはリンク層アドレスを含むことを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項11】
前記ホストのネットワーク遮断のための政策は、政策の開始時間と満了時間をさらに含むことを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項12】
前記ホストの遮断を行うステップは、
前記遮断ホストに変調済みNAパケットを伝送して前記遮断ホストのネットワークインタフェースへのIP割当に失敗させることによりホストの遮断を行うことを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項13】
前記ホストの遮断を行うステップは、
前記遮断ホストが属するネットワーク内ホストに前記遮断ホストの変調済みNAパケットを伝送して前記遮断ホストに対する変調済みNAパケット情報をもって近隣キャッシュを更新することにより前記遮断ホストとの通信を切断する方法を用いてホストの遮断を行うことを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項14】
前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが、ルーター要請(RS)パケットまたはルーター公告(RA)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定することを特徴とする請求項6に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項15】
前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣要請(NS)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定するステップと、
判定の結果、発信元情報が遮断ホストである場合、重複アドレス検出(DAD)確認パケットであるかどうかを判定するステップと、
発信元情報が遮断ホストではない場合、目的地情報を用いて遮断ホストを判定するステップと、
を含むことを特徴とする請求項6に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項16】
前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣公告(NA)パケットであれば、発信元情報が遮断ホストであるかどうかを判定するステップと、
判定の結果、発信元情報が遮断ホストではなければ、目的地情報が遮断ホストであるかどうかを判定するステップと、
を含むことを特徴とする請求項6に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項17】
前記発信元情報は、ソースリンク層アドレス、ソースIPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含むことを特徴とする請求項14から請求項16のいずれかに記載のIPv6ネットワーク内ホスト遮断方法。
【請求項18】
前記目的地情報は、目的地リンク層アドレス、目的地IPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含むことを特徴とする請求項15または請求項16に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項1】
近隣探索プロトコル(NDP)パケットを採取するステップと、
採取したパケットがルーター要請(RS)パケット、近隣要請(NS)パケット、近隣要請(NA)パケットのうちのいずれか一種であるかどうかを判定するステップと、
判定の結果、採取したパケットがルーター要請(RS)パケット、近隣要請(NS)パケット、近隣要請(NA)パケットのうちのいずれか一種であれば、採取されたパケットからリンク層アドレス情報とIPアドレス情報を含むホスト情報を取得し、あるいは、判定の結果、採取したパケットがルーター公告(RA)パケットであれば、採取されたパケットからルーター情報を取得するステップと、
を含むことを特徴とするIPv6ネットワーク内ホスト探索方法。
【請求項2】
前記ホスト情報は、近隣公告(NA)パケットのフィールド情報を選択的にさらに含むことを特徴とする請求項1に記載のIPv6ネットワーク内ホスト探索方法。
【請求項3】
前記ルーター情報は、リンク層アドレス情報とIPアドレス情報を含むことを特徴とする請求項1に記載のIPv6ネットワーク内ホスト探索方法。
【請求項4】
前記ルーター情報は、ルーター公告(RA)パケットのフィールド情報を選択的にさらに含むことを特徴とする請求項1に記載のIPv6ネットワーク内ホスト探索方法。
【請求項5】
前記ホスト情報または前記ルーター情報のうち少なくとも一方は、IPアドレスとリンク層アドレスをリストとして管理することを特徴とする請求項1に記載のIPv6ネットワーク内ホスト探索方法。
【請求項6】
ホストのネットワーク遮断のための政策が設定されれば、
ネットワーク内において近隣探索プロトコル(NDP)パケットを採取するステップと、
採取したパケットの種別に応じて遮断政策に含まれるかどうかを判定するステップと、
判定の結果、遮断政策に含まれる場合、前記ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップと、
を含むことを特徴とするIPv6ネットワーク内ホスト遮断方法。
【請求項7】
ホストのネットワーク遮断のための政策が設定されれば、ネットワーク内において遮断ホストの近隣探索プロトコル(NDP)パケットが採取されていない状況において、遮断ホストIPに対して変調済みNAパケットを生成してマルチキャストまたはユニキャストIPに伝送することによりホストの遮断を行うステップを含むことを特徴とするIPv6ネットワーク内ホスト遮断方法。
【請求項8】
前記近隣公告(NA)パケットのリンク層アドレスを当該ネットワークに存在しない仮想のリンク層アドレスまたは特定のリンク層アドレスに設定した変調済みNAパケットをマルチキャストまたはユニキャストすることによりホストの遮断を行うことを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項9】
前記ホストのネットワーク遮断のための政策がリストとして管理されることを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項10】
前記ホストのネットワーク遮断のための政策は、IPアドレスまたはリンク層アドレスを含むことを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項11】
前記ホストのネットワーク遮断のための政策は、政策の開始時間と満了時間をさらに含むことを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項12】
前記ホストの遮断を行うステップは、
前記遮断ホストに変調済みNAパケットを伝送して前記遮断ホストのネットワークインタフェースへのIP割当に失敗させることによりホストの遮断を行うことを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項13】
前記ホストの遮断を行うステップは、
前記遮断ホストが属するネットワーク内ホストに前記遮断ホストの変調済みNAパケットを伝送して前記遮断ホストに対する変調済みNAパケット情報をもって近隣キャッシュを更新することにより前記遮断ホストとの通信を切断する方法を用いてホストの遮断を行うことを特徴とする請求項6または請求項7に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項14】
前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが、ルーター要請(RS)パケットまたはルーター公告(RA)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定することを特徴とする請求項6に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項15】
前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣要請(NS)パケットであれば、発信元情報を用いて遮断ホストであるかどうかを判定するステップと、
判定の結果、発信元情報が遮断ホストである場合、重複アドレス検出(DAD)確認パケットであるかどうかを判定するステップと、
発信元情報が遮断ホストではない場合、目的地情報を用いて遮断ホストを判定するステップと、
を含むことを特徴とする請求項6に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項16】
前記ネットワーク内において採取された近隣探索プロトコル(NDP)パケットが近隣公告(NA)パケットであれば、発信元情報が遮断ホストであるかどうかを判定するステップと、
判定の結果、発信元情報が遮断ホストではなければ、目的地情報が遮断ホストであるかどうかを判定するステップと、
を含むことを特徴とする請求項6に記載のIPv6ネットワーク内ホスト遮断方法。
【請求項17】
前記発信元情報は、ソースリンク層アドレス、ソースIPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含むことを特徴とする請求項14から請求項16のいずれかに記載のIPv6ネットワーク内ホスト遮断方法。
【請求項18】
前記目的地情報は、目的地リンク層アドレス、目的地IPアドレス、ICMPv6ヘッダーの目標アドレスのうちのいずれか一種以上を含むことを特徴とする請求項15または請求項16に記載のIPv6ネットワーク内ホスト遮断方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2012−85335(P2012−85335A)
【公開日】平成24年4月26日(2012.4.26)
【国際特許分類】
【出願番号】特願2011−272336(P2011−272336)
【出願日】平成23年12月13日(2011.12.13)
【分割の表示】特願2011−525998(P2011−525998)の分割
【原出願日】平成22年1月15日(2010.1.15)
【出願人】(511060032)ネットマン カンパニー リミテッド (2)
【Fターム(参考)】
【公開日】平成24年4月26日(2012.4.26)
【国際特許分類】
【出願日】平成23年12月13日(2011.12.13)
【分割の表示】特願2011−525998(P2011−525998)の分割
【原出願日】平成22年1月15日(2010.1.15)
【出願人】(511060032)ネットマン カンパニー リミテッド (2)
【Fターム(参考)】
[ Back to top ]