JP4410791B2 - アドレス詐称チェック装置およびネットワークシステム - Google Patents

アドレス詐称チェック装置およびネットワークシステム Download PDF

Info

Publication number
JP4410791B2
JP4410791B2 JP2006342644A JP2006342644A JP4410791B2 JP 4410791 B2 JP4410791 B2 JP 4410791B2 JP 2006342644 A JP2006342644 A JP 2006342644A JP 2006342644 A JP2006342644 A JP 2006342644A JP 4410791 B2 JP4410791 B2 JP 4410791B2
Authority
JP
Japan
Prior art keywords
address
authentication information
data
communication address
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006342644A
Other languages
English (en)
Other versions
JP2008154164A (ja
Inventor
孝夫 小倉
健之 大西
健一 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006342644A priority Critical patent/JP4410791B2/ja
Priority to US11/866,456 priority patent/US8015402B2/en
Publication of JP2008154164A publication Critical patent/JP2008154164A/ja
Application granted granted Critical
Publication of JP4410791B2 publication Critical patent/JP4410791B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

この発明は、ネットワークにおいて送信元アドレスの認証を行うアドレス詐称チェック装置およびネットワークシステムに関する。
近時、インターネット等のネットワークにおいて、サービス拒否(DoS:Denial of Services)攻撃や分散DoS(DDoS:Distributed DoS)攻撃等を行うための不正なデータ、ウィルスまたはワームなどは、悪意のユーザから送信元アドレスを詐称して発信されることが多い。従って、これらの脅威をなくすには、送信元アドレスが詐称されているパケットを検知することが重要である。また、送信元アドレスが詐称されているパケットがネットワークへ流入するのを防ぐことが重要である。
従来、ルータやファイアウォールは、例えば、送信元アドレスと宛先アドレスが同じパケットの転送を許可しないというような規則的なルールに基づいてフィルタを行うことにより、結果的に送信元アドレスの詐称を検知している。また、ルータは、送信元アドレスをルーティングテーブルと照合し、ルーティングテーブルに登録されていない送信元アドレスのパケットを廃棄するというuRPF(unicast Reverse Path Forwarding)機能を備えている。
さらに、厳密に送信元アドレスの詐称を防止する従来の技術として、IPsec(Security Architecture for Internet Protocol)のAHモード通信がある。また、送信元アドレスの詐称によるなりすましを防ぐ提案が公知である。この提案では、ホストは、ゲートウェイまたはDHCPサーバと通信して、IPv6アドレスを決めるとともに、ゲートウェイまたはDHCPサーバから公開鍵証明書を受け取り、通信相手に、IPv6アドレスを含む公開鍵証明書を送る(例えば、特許文献1参照。)。
特開2004−7512号公報([要約]の[解決手段])
しかしながら、上述した従来のルータやファイアウォールによる送信元アドレスの詐称検知機能では、規則性を持たないグローバルアドレスの詐称を防ぐことができないため、送信元アドレスの詐称を確実に検知することができないという問題点がある。また、従来のIPsecのAHモード通信を行うには、ネットワーク側認証(VPN:Virtual Private Network)サーバでユーザ単位に様々な情報(IPアドレスやユーザIDやIKEのプリシェアードキーなど)を管理する必要があるため、加入者数に比例して管理情報量および処理量が増えてしまい、大規模なシステムには適していないという問題点がある。
この発明は、上述した従来技術による問題点を解消するため、ユーザの情報を管理することなく、容易に送信元アドレスの詐称を検知することができるアドレス詐称チェック装置およびネットワークシステムを提供することを目的とする。また、この発明は、送信元アドレスが詐称されているパケットがネットワークへ流入するのを容易に防ぐことを目的とする。
上述した課題を解決し、目的を達成するため、本発明にかかるアドレス詐称チェック装置は、通信アドレス、及び、該通信アドレスを元に特定関数を用いて生成した認証情報を通知する通信アドレス設定装置から受けた該通信アドレスを用い、該通知を受けた認証情報を付してデータ通信を行う通信装置からのデータ受信が可能なアドレス詐称チェック装置であって、送信元の通信アドレス及び認証情報を含むデータを受信する受信手段と、前記通信アドレス設定装置が用いる特定関数と同じ特定関数を用い、前記受信装置が受信したデータに含まれる認証情報から通信アドレスを生成し、該生成した通信アドレスと前記受信手段が受信したデータに含まれる送信元の通信アドレスを照合する認証情報チェック手段と、を備えることを特徴とする。
また、前記認証情報チェック手段は、前記生成した通信アドレスと前記受信手段が受信したデータに含まれる送信元の通信アドレスが一致しない場合、前記受信手段が受信したデータを廃棄することを特徴とする。
また、前記認証情報チェック手段は、前記データに含まれる送信時刻情報と、前記受信手段が受信した時刻とを比較し、許容誤差時刻範囲外である場合は、前記受信手段が受信したデータを破棄することを特徴とする。
また、本発明にかかるネットワークシステムは、通信アドレス、及び、該通信アドレスを元に特定関数を用いて生成した認証情報を通知する通信アドレス設定装置と、前記通信アドレス設定装置から受けた該通信アドレスを用い、該通知を受けた認証情報を付してデータ通信を行う通信装置と、前記通信装置からのデータ受信が可能なアドレス詐称チェック装置と、を有し、前記通信アドレス詐称チェック装置は、送信元の通信アドレス及び認証情報を含むデータを受信する受信手段と、前記通信アドレス設定装置が用いる特定関数と同じ特定関数を用い、前記受信手段が受信したデータに含まれる認証情報から通信アドレスを生成し、該生成した通信アドレスと前記受信手段が受信したデータに含まれる送信元の通信アドレスを照合する認証情報チェック手段と、を備えることを特徴とする。
この発明によれば、アドレス詐称チェック装置は、送信元の通信アドレス及び認証情報を含むデータを受信し、通信アドレス設定装置が用いる特定関数と同じ特定関数を用い、受信したデータに含まれる認証情報から通信アドレスを生成し、生成した通信アドレスと受信手段が受信したデータに含まれる送信元の通信アドレスを照合する。これにより、ユーザ送出データの送信元の通信アドレスが詐称されているか否かを検知することができる。
本発明によれば、ユーザの情報を管理することなく、容易に送信元アドレスの詐称を検知することができるという効果を奏する。また、送信元アドレスが詐称されているパケットがネットワークへ流入するのを容易に防ぐことができるという効果を奏する。
以下に添付図面を参照して、この発明にかかるアドレス認証情報払い出し装置、アドレス認証情報付加装置、アドレス詐称チェック装置およびネットワークシステムの好適な実施の形態を詳細に説明する。
(ネットワークシステム)
図1は、この発明の実施の形態にかかるネットワークシステムの構成を説明する図である。図2は、ネットワークシステムの動作シーケンスを説明する図である。まず、これらの図を参照しながら、この発明の実施の形態にかかるネットワークシステムの構成および動作の概略を説明する。
図1に示すように、キャリアネットワーク1には、アドレス認証情報払い出し装置としての機能を有するDHCP/認証サーバ2、およびアドレス詐称チェック装置としての機能を有するアドレス詐称チェックサーバ3が設けられている。また、アドレス認証情報付加装置としての機能を有するホームゲートウェイ4は、ネットワークゲートウェイとなるルータ5に接続されている。
ユーザの端末6は、ホームネットワークの1つの端末であり、ホームゲートウェイ4に接続されている。DHCP/認証サーバ2、アドレス詐称チェックサーバ3およびホームゲートウェイ4の詳細な構成については、後述する。
図2に示すように、ホームゲートウェイ4は、ネットワーク接続時または定期的に、ルータ5を介してDHCP/認証サーバ2に、DHCP要求によりアドレスの払い出しを要求する(ステップS1)。DHCP/認証サーバ2は、DHCP要求を受信すると、その送信元であるホームゲートウェイ4に割り当てるIPアドレス(IPx)を確定し、払い出す(ステップS2)。
また、DHCP/認証サーバ2は、その払い出したIPアドレス(IPx)に基づいて、後述する暗号化関数E1を計算し、そのIPアドレスが真正であることを証明する認証情報(P_key)を作成する(ステップS3)。そして、DHCP/認証サーバ2は、ルータ5を介してホームゲートウェイ4に、DHCP応答によりIPアドレス(IPx)とその認証情報(P_key)を返信する(ステップS4)。
ホームゲートウェイ4は、DHCP/認証サーバ2から受信したDHCP応答に基づいて、ネットワーク設定を行う。また、ホームゲートウェイ4は、DHCP応答から認証情報(P_key)を抽出し、その認証情報(P_key)を格納する(ステップS5)。この状態で端末6がインターネットプロトコルによる通信(IP通信)によりIPパケットを送出すると(ステップS6)、ホームゲートウェイ4は、そのIPパケットを受信する。
そして、ホームゲートウェイ4は、格納している認証情報(P_key)と現在の時刻(t1)の情報に基づいて、後述する暗号化関数E2を計算し、認証データ(Cx1)を作成する。ホームゲートウェイ4は、受信したIPパケットに、通信用認証情報として認証データ(Cx1)と現在の時刻(t1)の情報を付加し(ステップS7)、それをルータ5を介してIP通信により転送する(ステップS8)。
キャリアネットワーク1内のいずれかのアドレス詐称チェックサーバ3が、ホームゲートウェイ4から送られてきたIPパケットを受信する。そして、アドレス詐称チェックサーバ3は、受信したIPパケットから送信元IPアドレス(IPy)と時刻(t1)の情報と元の認証データ(Cx1)を抽出し、その時刻(t1)と現在の時刻(t2)を比較する。両時刻の時間差が許容誤差範囲外であれば、アドレス詐称チェックサーバ3は、リプレイ攻撃であると判断して、その受信したIPパケットを廃棄する。
一方、両時刻の時間差が許容誤差範囲内であれば、アドレス詐称チェックサーバ3は、受信したIPパケットの送信元IPアドレス(IPy)に基づいて、DHCP/認証サーバ2における前記暗号化関数E1と同じ関数を計算し、仮の認証情報(P_key2)を作成する。さらに、アドレス詐称チェックサーバ3は、その仮の認証情報(P_key2)と、受信したIPパケットから抽出した時刻(t1)の情報に基づいて、ホームゲートウェイ4における前記暗号化関数E2と同じ関数を計算し、仮の認証データ(Cx2)を作成する。
そして、アドレス詐称チェックサーバ3は、その仮の認証データ(Cx2)を、受信したIPパケットから抽出した元の認証データ(Cx1)と照合する(ステップS9)。元の認証データ(Cx1)は、DHCP/認証サーバ2からホームゲートウェイ4に払い出されたIPアドレス(IPx)から導き出されたデータである。一方、仮の認証データ(Cx2)は、ホームゲートウェイ4から転送されてきたIPパケットに付されていた送信元IPアドレス(IPy)から導き出されたデータである。
従って、両認証データ(Cx1、Cx2)が一致すれば、受信したIPパケットの送信元IPアドレスが詐称されていない、つまり、真正であるので、アドレス詐称チェックサーバ3は、そのIPパケットを、IP通信により通信相手であるSIPサーバ7(図1参照)に転送する(ステップS10)。一方、両認証データ(Cx1、Cx2)が一致しない場合には、受信したIPパケットの送信元IPアドレスが詐称されていることになるので、アドレス詐称チェックサーバ3は、そのIPパケットを廃棄する。
DHCP/認証サーバ2において、IPアドレス(IPx)を払い出す際に認証情報(P_key)を作成しない場合には、上述したステップS3を省略し、ステップS2に続いて、DHCP/認証サーバ2は、ホームゲートウェイ4に、DHCP応答によりIPアドレス(IPx)を返信する(ステップS4)。そして、ホームゲートウェイ4は、ステップS5とステップS7を省略し、端末6から送られてきたIPパケットをそのままアドレス詐称チェックサーバ3に転送する(ステップS8)。
ここで、DHCP/認証サーバ2の前記暗号化関数E1、ホームゲートウェイ4の前記暗号化関数E2、並びにアドレス詐称チェックサーバ3の前記暗号化関数E1および前記暗号化関数E2は、例えば、引数の1つに共通鍵を含む関数である。例えば、暗号化関数E1または暗号化関数E2として、CRC32、MD5またはSHA−1等のハッシュ関数を用いることができる。この場合には、暗号化する前の元のデータを特定できないので、好ましい。本文では暗号化関数E1、暗号化関数E2はハッシュ関数としてMD5を用いたものとして説明する。
図1に示すように、実施の形態にかかるネットワークシステムでは、これら暗号化関数E1および暗号化関数E2は、アプリケーションサーバ8からの遠隔ダウンロードにより、変更可能となっている。また、その引数である共通鍵は、定期的に変更される。また、DHCP/認証サーバ2、アドレス詐称チェックサーバ3またはホームゲートウェイ4の各ソフトウェアについても、アプリケーションサーバ8からの遠隔ダウンロードにより、バージョンアップ可能である。
図1において、一点鎖線で示す両矢印は、暗号化関数E1や暗号化関数E2、またはソフトウェアの遠隔ダウンロードによるデータの流れを表している。また、図1において、破線で示す片矢印は、各装置間でのデータ(IPパケット)の流れを表している。
また、上述したように、リプレイ攻撃に対応するためにホームゲートウェイ4では正確な時刻が必要となる。そこで、ホームゲートウェイ4は、図1において省略したNTPサーバからネットワークタイムプロトコル(NTP:Network Time Protocol)により時刻情報を取得し、自身の時刻調整を行う。
また、ネットワークシステムには、複数のアドレス詐称チェックサーバ3が設けられている。ルータ5を介して接続中のアドレス詐称チェックサーバ3が故障した場合、ルータ5は、ホームゲートウェイ4の接続先を他のアドレス詐称チェックサーバ3に変更する。接続中のアドレス詐称チェックサーバ3の負荷が大きい場合も、同様である。
(DHCP/認証サーバ)
図3は、この発明の実施の形態にかかるDHCP/認証サーバの構成を説明する図である。図3に示すように、DHCP/認証サーバ2は、IPアドレス払い出し部11、オプションチェック部12および認証情報払い出し部13を備えている。IPアドレス払い出し部11および認証情報払い出し部13は、それぞれ、アドレス払い出し手段および認証情報払い出し手段としての機能を有する。
IPアドレス払い出し部11は、ホームゲートウェイ4からのDHCP要求に応答して、ホームゲートウェイ4に割り当てるIPアドレス(IPx)を払い出す。オプションチェック部12は、DHCP要求の、指定のIDが登録されているオプションフィールドを照合する。
図4に、インターネットプロトコルのバージョンが4(IPv4)である場合のDHCP要求のパケットフォーマットを示す。例えば、このパケットフォーマット21では、IPヘッダのオプションフィールド22は、オプションコード23、オプション長24およびベンダクラスID25からなり、ベンダクラスIDの格納に用いられている。この場合のオプションコードは、60(0x3C)である。
この場合、オプションチェック部12は、オプションコード23を照合する。図5に、オプションフィールドの格納データの一例を示す。図5に示す例では、オプションコード23にオプションコードとして60(0x3C)が格納されている。ベンダクラスID25の7バイトには、富士通株式会社のIDが格納されている。
認証情報払い出し部13は、IPアドレス払い出し部11により払い出されたIPアドレス(IPx)と共通鍵に基づいて、暗号化関数E1を計算し、そのIPアドレス(IPx)を証明する認証情報(P_key)を作成する。認証情報払い出し部13は、DHCP応答のオプションフィールドにその認証情報(P_key)を登録する。
図6に、IPv4におけるDHCP応答のパケットフォーマットを示す。例えば、このパケットフォーマット31では、IPヘッダのオプションフィールド32は、オプションコード33、オプション長34、ベンダID35、認証情報長36および認証情報37からなり、ベンダ特殊情報の格納に用いられている。この場合のオプションコードは、43(0x2B)である。
認証情報(P_key)は、認証情報長36および認証情報37を利用して登録される。図7に、オプションフィールドの格納データの一例を示す。図7に示す例では、ベンダID35が01であり、認証情報37の16バイトに認証情報(P_key)が登録される。
図8は、DHCP/認証サーバのアドレス払い出し処理手順を説明する図である。図8に示すように、DHCP/認証サーバ2の処理が開始され、ホームゲートウェイ4からDHCP要求を受信すると(ステップS21)、オプションチェック部12は、そのIPヘッダのオプションフィールド22のオプションコード23を照合し、そこに指定のオプションコードがあるか否かを判断する(ステップS22)。ここでは、指定のオプションコードは、オプションフィールド22がベンダクラスID25の格納に用いられていることを表す60(0x3C)である。
指定のオプションコードがある場合には(ステップS22:Yes)、認証情報払い出し部13は、IPアドレス払い出し部11により払い出されたIPアドレス(IPx)と共通鍵を用いて前記暗号化関数E1を計算し、認証情報(P_key)を求める(ステップS23)。DHCP/認証サーバ2は、DHCP応答のIPヘッダのオプションフィールド32に、ベンダ特殊情報として認証情報(P_key)を登録する。
そして、DHCP/認証サーバ2は、ホームゲートウェイ4にDHCP応答を返信することにより、IPアドレス(IPx)と認証情報(P_key)を通知し(ステップS24)、処理を終了する。一方、指定のオプションコードがない場合には(ステップS22:No)、DHCP/認証サーバ2は、DHCP応答によりホームゲートウェイ4にIPアドレス(IPx)を通知し(ステップS25)、処理を終了する。
(ホームゲートウェイ)
図9は、この発明の実施の形態にかかるホームゲートウェイの構成を説明する図である。図9に示すように、ホームゲートウェイ4は、DHCP処理部41、認証情報格納部42、Cx1情報払い出し部43、Cx1,t1付加部44、IPパケット長チェック部45、ICMPエラー送出部46、送信部48および受信部49からなるネットワーク側インタフェース47、並びに送信部52および受信部51からなる端末側インタフェース50を備えている。
認証情報格納部42、Cx1情報払い出し部43、Cx1,t1付加部44、IPパケット長チェック部45およびICMPエラー送出部46は、それぞれ、認証情報格納手段、暗号化情報払い出し手段、付加手段、チェック手段およびエラー送出手段としての機能を有する。ネットワーク側インタフェース47の受信部49は、DHCP/認証サーバ2から送られてくるDHCP応答を受信する。
このDHCP応答には、DHCP/認証サーバ2によりホームゲートウェイ4に割り当てられるIPアドレス(IPx)が含まれており、さらにそのIPアドレス(IPx)の認証情報(P_key)が含まれることがある。従って、この受信部49は、IPアドレス(IPx)と認証情報(P_key)を受信する受信手段としての機能を有する。
DHCP処理部41は、ネットワーク接続時または定期的にDHCP要求をDHCP/認証サーバ2へ送信する。その際、DHCP処理部41は、DHCP要求のオプションに指定のベンダクラスIDを登録する。また、DHCP処理部41は、DHCP応答の、ベンダ特殊情報を格納するオプションからIPアドレス(IPx)と認証情報(P_key)を抽出する。
また、DHCP処理部41は、DHCP応答に基づいて、ネットワーク設定を行う。さらに、DHCP処理部41は、ホームゲートウェイ4のキャリアネットワーク1側のIPアドレス(グローバルアドレス)とホームネットワーク側の各端末6のIPアドレス(プライベートアドレス)との間のNAT(Network Address Translation)処理を行う。
認証情報格納部42は、抽出された認証情報(P_key)をメモリ等に格納する。Cx1情報払い出し部43は、認証情報格納部42に格納されている認証情報(P_key)を暗号化する。その際、Cx1情報払い出し部43は、その認証情報(P_key)と現在時刻(t1)に基づいて、暗号化関数E2を計算し、認証データ(Cx1)を作成する。
Cx1,t1付加部44は、端末6から送られてくるIPパケット(ユーザ送出データ)に、その認証データ(Cx1)と時刻(t1)の情報を付加する。その際、NAT処理後に、Cx1,t1付加部44が認証データ(Cx1)と時刻(t1)の情報を付加するようにしてもよい。
ネットワーク側インタフェース47の送信部48は、Cx1,t1付加部44により所定の情報が付加されたIPパケットをキャリアネットワーク1へ送信する。従って、この送信部48は、ユーザ送出データをキャリアネットワーク1へ送信する送信手段としての機能を有する。
図10に、IPv4におけるIPパケットのフォーマットを示す。例えば、このパケットフォーマット61では、IPヘッダのオプションフィールド62は、オプションタイプ63、オプション長64、時刻65、認証データ66およびオプションタイプ(パディング用)67からなる。
認証データ(Cx1)および時刻(t1)の情報は、それぞれ、認証データ66および時刻65を利用して登録される。図11に、オプションフィールドの格納データの一例を示す。図11に示す例では、オプションタイプが25(0x19)であり、オプション長が26バイトになっている。
端末側インタフェース50の受信部51は、端末6から送られてくるIPパケットを受信する。IPパケット長チェック部45は、そのIPパケットに認証データ(Cx1)を付加した場合のパケット長が1500バイト(イーサネットの場合)以下になるか否かを調べる。イーサネットの場合、ホームゲートウェイ4からキャリアネットワーク1へ送出されるデータのパケット長が1500バイトを超えると、パケット分割(フラグメンテーション)が起こることがある。
これを防ぐために、端末6は、IPヘッダのDFを1(Don't Fragment)としてホームゲートウェイ4へデータを送信する。そのようなデータを受信したホームゲートウェイ4は、パケット長が1500バイトを超えそうになると、ICMP(Internet Control Message Protocol)により、MTU(Maximum Transmission Unit)を1472バイトに設定するためのICMPエラー(NEXT MTU=1472)を送出する。これは、図11に示す例においてIPパケットのオプションフィールドが28バイトであるからである。
端末側インタフェース50の送信部52は、このICMPエラー(NEXT MTU=1472)を端末6へ送信する。このICMPエラー(NEXT MTU=1472)を受信した端末6は、パスMTUディスカバリーの処理として、データを1472バイトで送出し直す。
図12は、ホームゲートウェイの認証情報登録処理手順を説明する図である。図12に示すように、認証情報登録処理が開始されると、DHCP処理部41およびネットワーク側インタフェース47の送信部48は、DHCP要求のオプションに指定のベンダクラスIDを登録し、それをDHCP/認証サーバ2へ送信する(ステップS31)。
ネットワーク側インタフェース47の受信部49およびDHCP処理部41は、そのDHCP要求の送信に対する応答として、DHCP/認証サーバ2からDHCP応答を受信する(ステップS32)。そして、DHCP処理部41は、ネットワーク設定を行うとともに、そのDHCP応答のオプションフィールド(ベンダ特殊情報)に認証情報が格納されているか否かを判断する(ステップS33)。
認証情報が格納されていれば(ステップS33:Yes)、DHCP処理部41は、その認証情報を抽出する。そして、認証情報格納部42は、その抽出された認証情報(P_key)を登録し(ステップS34)、処理を終了する。一方、認証情報が格納されていない場合には(ステップS33:No)、そのまま処理を終了する。
図13は、ホームゲートウェイのデータ転送処理手順を説明する図である。図13に示すように、端末側インタフェース50の受信部51が端末6からIPパケットを受信すると(ステップS41)、ホームゲートウェイ4は、アドレス詐称防止機能の有無を判断する(ステップS42)。アドレス詐称防止機能がある場合には(ステップS42:Yes)、受信したIPパケットのパケット長(L)が例えば1472バイト以下であるか否かを調べる(ステップS43)。
パケット長が1472バイト以下であれば(ステップS43:Yes)、Cx1情報払い出し部43は、認証情報格納部42から認証情報(P_key)を取得する(ステップS44)。また、Cx1情報払い出し部43は、キャリアネットワーク1から時刻(t1)の情報を取得する(ステップS45)。そして、Cx1情報払い出し部43は、認証情報(P_key)と時刻(t1)の情報を用いて前記暗号化関数E2を計算し、認証データ(Cx1)を求める(ステップS46)。
Cx1,t1付加部44は、その認証データ(Cx1)と時刻(t1)の情報を、端末側インタフェース50の受信部51からネットワーク側インタフェース47の送信部48に渡されるIPパケットに付加する。そして、ネットワーク側インタフェース47の送信部48は、そのIPパケットをキャリアネットワーク1へ送信する(ステップS47)。
受信したIPパケットのパケット長(L)が1472バイトを超える場合には(ステップS43:No)、ICMPエラー送出部46および端末側インタフェース50の送信部52は、ICMPエラー(NEXT MTU=1472)を送信元へ返信し(ステップS48)、処理を終了する。また、アドレス詐称防止機能がない場合には(ステップS42:No)、端末6から受信したIPパケットをそのままキャリアネットワーク1へ送信し(ステップS49)、処理を終了する。
(アドレス詐称チェックサーバ)
図14は、この発明の実施の形態にかかるアドレス詐称チェックサーバの構成を説明する図である。図14に示すように、アドレス詐称チェックサーバ3は、Cx1,t1値抽出部71、E1,E2計算チェック機能部72、Cx1,t1値削除部73、送信部76および受信部75からなるホームゲートウェイ側インタフェース74、並びに送信部78および受信部79からなる通信相手側インタフェース77を備えている。
Cx1,t1値抽出部71、E1,E2計算チェック機能部72およびCx1,t1値削除部73は、それぞれ、認証情報抽出手段、認証情報チェック手段および認証情報削除手段としての機能を有する。ホームゲートウェイ側インタフェース74の受信部(受信手段)75は、ホームゲートウェイ4から送られてくるIPパケットを受信する。
Cx1,t1値抽出部71は、そのIPパケットのIPヘッダから送信元IPアドレス(IPy)と時刻(t1)の情報と認証データ(Cx1)を抽出する。E1,E2計算チェック機能部72は、Cx1,t1値抽出部71により抽出された時刻(t1)の情報と、アドレス詐称チェックサーバ3が受信部75においてIPパケットを受信した時刻(t2)の情報を比較する。
そして、E1,E2計算チェック機能部72は、時刻(t1)と時刻(t2)の差(t2−t1)が許容誤差範囲(Δt)内であれば、そのIPパケットを有効であると判断し、許容誤差範囲外であれば、リプレイ攻撃であると判断してそのIPパケットを廃棄する。ここで、許容誤差範囲(Δt)については、実際に時刻(t1)と時刻(t2)の差(t2−t1)を計測し、その計測値の平均値に例えば500msecを足した値とすればよい。
また、E1,E2計算チェック機能部72は、Cx1,t1値抽出部71により抽出された送信元IPアドレス(IPy)と共通鍵に基づいて、暗号化関数E1を計算し、仮の認証情報(P_key2)を作成する。さらに、E1,E2計算チェック機能部72は、その仮の認証情報(P_key2)と、Cx1,t1値抽出部71により抽出された時刻(t1)の情報に基づいて、暗号化関数E2を計算し、仮の認証データ(Cx2)を作成する。
そして、E1,E2計算チェック機能部72は、その仮の認証データ(Cx2)を元の認証データ(Cx1)と照合する。その照合の結果、両認証データ(Cx1、Cx2)が一致しない場合には、E1,E2計算チェック機能部72は、受信したIPパケットの送信元IPアドレス(IPy)が詐称されているとして、そのIPパケットを廃棄する。
Cx1,t1値削除部73は、両認証データ(Cx1、Cx2)が一致する場合に、受信したIPパケットから元の認証データ(Cx1)と時刻(t1)の情報を削除する。通信相手側インタフェース77の送信部(送信手段)78は、認証データ(Cx1)と時刻(t1)の情報が削除されたIPパケットを、端末6が指定する宛先へ向けて送信する。
図15は、アドレス詐称チェックサーバのアドレス詐称チェック処理手順を説明する図である。図15に示すように、アドレス詐称チェックサーバ3の処理が開始され、ホームゲートウェイ側インタフェース74の受信部75がホームゲートウェイ4からIPパケットを受信すると、Cx1,t1値抽出部71は、そのIPパケットのIPヘッダから送信元IPアドレス(IPy)と時刻(t1)の情報と認証データ(Cx1)を抽出する(ステップS51)。
そして、E1,E2計算チェック機能部72は、その時刻(t1)の情報と、IPパケットの受信時刻(t2)の情報を比較し、その差(t2−t1)が許容誤差範囲(Δt)内であるか否かを判断する(ステップS52)。両時刻の差(t2−t1)が許容誤差範囲(Δt)内であれば(ステップS52:Yes)、E1,E2計算チェック機能部72は、前記暗号化関数E1と前記暗号化関数E2を計算し、仮の認証情報(P_key2)と仮の認証データ(Cx2)を求める(ステップS53)。
そして、E1,E2計算チェック機能部72は、元の認証データ(Cx1)と仮の認証データ(Cx2)が一致するか否かを判断する(ステップS54)。両認証データ(Cx1、Cx2)が一致する場合には(ステップS54:Yes)、Cx1,t1値削除部73は、ホームゲートウェイ側インタフェース74の受信部75から通信相手側インタフェース77の送信部78に渡されるIPパケットから元の認証データ(Cx1)と時刻(t1)の情報を削除する。
通信相手側インタフェース77の送信部(送信手段)78は、認証データ(Cx1)と時刻(t1)の情報が削除されたIPパケットを、端末6が指定する宛先へ向けて転送し(ステップS55)、処理を終了する。一方、ステップS52で、時刻(t1)と時刻(t2)の差(t2−t1)が許容誤差範囲(Δt)外である場合(ステップS52:No)、またはステップS54で両認証データ(Cx1、Cx2)が一致しない場合には(ステップS54:No)、受信したIPパケットを廃棄し(ステップS56)、処理を終了する。
以上説明したように、実施の形態によれば、受信したIPパケットの送信元IPアドレスに基づいてアドレス詐称チェックサーバ3により作成された仮の認証データ(Cx2)を、DHCP/認証サーバ2から払い出された元の認証データ(Cx1)と照合し、両認証データ(Cx1、Cx2)が一致しなければ、送信元IPアドレスが詐称されていることになる。従って、ユーザの情報を管理することなく、容易に送信元IPアドレスの詐称を検知することができる。また、送信元IPアドレスが詐称されているパケットがネットワークへ流入するのを容易に防ぐことができる。
以上において本発明は、上述した実施の形態に限らず、種々変更可能である。例えば、インターネットプロトコルのバージョンが6(IPv6)である場合には、図16に示すパケット構成において、IPv6ヘッダ71内のネクストヘッダに専用コードを登録し、拡張ヘッダ72に認証データを格納すればよい。また、ホームゲートウェイ4に設けられている認証情報付加機能を端末6に備えさせてもよい。さらに、アドレス詐称チェックサーバ3の機能をルータ5に備えさせてもよい。
また、ユーザ送出データがTCP/IPパケットである場合には、SYNパケット(同期パケット)にのみ認証データを付加するようにすれば、負荷が軽減される。また、ユーザが固定IPアドレスを利用する場合には、ネットワーク認証時に利用するIPアドレスをネットワークへ申告し、そのIPアドレスの認証データを付加してアドレス詐称チェックサーバ3へ送信するようにすればよい。
(付記1)ユーザのアドレス払い出し要求に応答してユーザに割り当てるアドレスを払い出すアドレス払い出し手段と、前記アドレスを証明する認証情報を払い出す認証情報払い出し手段と、を備えることを特徴とするアドレス認証情報払い出し装置。
(付記2)前記認証情報払い出し手段は、前記アドレス払い出し要求に所定のオプションがある場合に、前記認証情報を払い出すことを特徴とする付記1に記載のアドレス認証情報払い出し装置。
(付記3)前記認証情報払い出し手段は、前記アドレス払い出し手段から払い出される前記アドレスに基づいて前記認証情報を作成することを特徴とする付記2に記載のアドレス認証情報払い出し装置。
(付記4)前記認証情報払い出し手段は、暗号化関数に基づいて前記認証情報を作成し、該暗号化関数は、共通鍵と前記アドレス払い出し手段から払い出される前記アドレスを引数に含む関数であることを特徴とする付記3に記載のアドレス認証情報払い出し装置。
(付記5)ユーザに割り当てるアドレスと該アドレスを証明する認証情報をネットワークから受信する受信手段と、前記受信手段により受信された前記認証情報を格納する認証情報格納手段と、ユーザ送出データに、前記認証情報格納手段に格納されている前記認証情報を付加する付加手段と、前記ユーザ送出データに前記認証情報が付加されたデータをネットワークへ送信する送信手段と、を備えることを特徴とするアドレス認証情報付加装置。
(付記6)前記認証情報格納手段に格納されている前記認証情報を暗号化して前記付加手段へ払い出す暗号化情報払い出し手段、をさらに備えることを特徴とする付記5に記載のアドレス認証情報付加装置。
(付記7)前記暗号化情報払い出し手段は、暗号化関数に基づいて前記認証情報の暗号化を行い、該暗号化関数は、暗号化時の時刻情報と前記認証情報格納手段に格納されている前記認証情報を引数に含む関数であることを特徴とする付記6に記載のアドレス認証情報付加装置。
(付記8)前記付加手段は、前記ユーザ送出データに、前記暗号化情報払い出し手段による暗号化時の時刻情報をさらに付加することを特徴とする付記7に記載のアドレス認証情報付加装置。
(付記9)ユーザ側の1個以上の端末により構築されるホームネットワークに接続するホームゲートウェイ機能を有することを特徴とする付記5に記載のアドレス認証情報付加装置。
(付記10)前記ユーザ送出データの長さを調べるチェック手段と、前記チェック手段によるチェックの結果、前記ユーザ送出データが所定の長さを超える場合に、前記ユーザ送出データの長さを所定の長さ以下にするための制御メッセージを送出するエラー送出手段と、をさらに備えることを特徴とする付記9に記載のアドレス認証情報付加装置。
(付記11)ユーザから送信されてくるデータを受信する受信手段と、前記受信手段により受信されたデータから送信元アドレスと該送信元アドレスを証明する第1の認証情報を抽出する認証情報抽出手段と、前記認証情報抽出手段により抽出される前記送信元アドレスに基づいて第2の認証情報を作成し、該第2の認証情報を、前記認証情報抽出手段により抽出される前記第1の認証情報と照合する認証情報チェック手段と、を備えることを特徴とするアドレス詐称チェック装置。
(付記12)前記認証情報チェック手段は、前記第1の認証情報と前記第2の認証情報の照合の結果、両認証情報が一致しない場合には、前記受信手段により受信されたデータを廃棄することを特徴とする付記11に記載のアドレス詐称チェック装置。
(付記13)前記認証情報チェック手段による前記第1の認証情報と前記第2の認証情報の照合の結果、両認証情報が一致する場合に、前記受信手段により受信されたデータから前記第1の認証情報を削除する認証情報削除手段と、前記認証情報削除手段により前記第1の認証情報が削除されたデータを、前記ユーザが指定する宛先へ向けて送信する送信手段と、をさらに備えることを特徴とする付記11に記載のアドレス詐称チェック装置。
(付記14)前記認証情報抽出手段は、前記受信手段により受信されたデータから時刻情報をさらに抽出する機能を備え、前記認証情報チェック手段は、前記認証情報抽出手段により抽出される前記時刻情報と、前記受信手段による前記データの受信時刻の情報を比較し、両時刻の差が許容誤差範囲外である場合には、前記受信手段により受信されたデータを廃棄することを特徴とする付記11に記載のアドレス詐称チェック装置。
(付記15)前記認証情報チェック手段は、暗号化関数に基づいて前記第2の認証情報を作成し、該暗号化関数は、共通鍵と前記認証情報抽出手段により抽出される前記送信元アドレスを引数に含む関数であることを特徴とする付記11に記載のアドレス詐称チェック装置。
(付記16)ユーザに割り当てるアドレスとともに該アドレスを証明する第1の認証情報を払い出すアドレス認証情報払い出し装置と、ユーザ送出データに、前記アドレス認証情報払い出し装置から払い出される前記アドレスおよび前記第1の認証情報を付加するアドレス認証情報付加装置と、前記アドレス認証情報付加装置から送られてくるユーザ送出データを受信し、該ユーザ送出データから抽出される送信元アドレスに基づいて作成される第2の認証情報を、前記ユーザ送出データから抽出される前記第1の認証情報と照合するアドレス詐称チェック装置と、を備えることを特徴とするネットワークシステム。
(付記17)前記アドレス詐称チェック装置は、前記第1の認証情報と前記第2の認証情報の照合の結果、両認証情報が一致しない場合には、前記ユーザ送出データを廃棄することを特徴とする付記16に記載のネットワークシステム。
(付記18)前記アドレス詐称チェック装置は、前記第1の認証情報と前記第2の認証情報の照合の結果、両認証情報が一致する場合に、前記ユーザ送出データを、前記ユーザが指定する宛先へ向けて転送することを特徴とする付記16に記載のネットワークシステム。
(付記19)前記アドレス詐称チェック装置は、前記ユーザ送出データから時刻情報をさらに抽出し、該時刻情報と、前記ユーザ送出データの受信時刻の情報を比較し、両時刻の差が許容誤差範囲外である場合には、前記ユーザ送出データを廃棄することを特徴とする付記16に記載のネットワークシステム。
(付記20)前記アドレス認証情報払い出し装置は、ユーザに割り当てるアドレスと共通鍵を引数に含む暗号化関数に基づいて前記第1の認証情報を作成し、前記アドレス詐称チェック装置は、前記暗号化関数と同じであり、かつ前記ユーザ送出データから抽出される前記送信元アドレスと共通鍵を引数に含む関数に基づいて前記第2の認証情報を作成することを特徴とする付記16に記載のネットワークシステム。
以上のように、本発明にかかるアドレス認証情報払い出し装置、アドレス認証情報付加装置、アドレス詐称チェック装置およびネットワークシステムは、ユーザがデータを送信する際に使用するアドレスを払い出す機能を備えたネットワークに有用であり、特に、DHCPサーバを備えたインターネット等のIPネットワークに適している。
この発明の実施の形態にかかるネットワークシステムの構成を説明する図である。 この発明の実施の形態にかかるネットワークシステムの動作シーケンスを説明する図である。 この発明の実施の形態にかかるDHCP/認証サーバの構成を説明する図である。 IPv4におけるDHCP要求のパケットフォーマットを示す図である。 IPv4におけるDHCP要求のオプションフィールドの格納データの一例を示す図である。 IPv4におけるDHCP応答のパケットフォーマットを示す図である。 IPv4におけるDHCP応答のオプションフィールドの格納データの一例を示す図である。 この発明の実施の形態にかかるDHCP/認証サーバのアドレス払い出し処理手順を説明する図である。 この発明の実施の形態にかかるホームゲートウェイの構成を説明する図である。 IPv4におけるIPパケットのフォーマットを示す図である。 IPv4におけるIPパケットのオプションフィールド格納データの一例を示す図である。 この発明の実施の形態にかかるホームゲートウェイの認証情報登録処理手順を説明する図である。 この発明の実施の形態にかかるホームゲートウェイのデータ転送処理手順を説明する図である。 この発明の実施の形態にかかるアドレス詐称チェックサーバの構成を説明する図である。 この発明の実施の形態にかかるアドレス詐称チェックサーバのアドレス詐称チェック処理手順を説明する図である。 IPv6におけるIPパケットの構成を示す図である。
符号の説明
1 キャリアネットワーク
2 DHCP/認証サーバ
3 アドレス詐称チェックサーバ
4 ホームゲートウェイ
6 端末
11 IPアドレス払い出し部
13 認証情報払い出し部
42 認証情報格納部
43 Cx1情報払い出し部
44 Cx1,t1付加部
45 IPパケット長チェック部
46 ICMPエラー送出部
48,78 送信部
49,75 受信部
71 Cx1,t1値抽出部
72 E1,E2計算チェック機能部
73 Cx1,t1値削除部

Claims (6)

  1. 通信アドレス、及び、該通信アドレスを元に特定関数を用いて生成した認証情報を通知する通信アドレス設定装置から受けた該通信アドレスを用い、該通知を受けた認証情報を付してデータ通信を行う通信装置からのデータ受信が可能なアドレス詐称チェック装置であって、
    送信元の通信アドレス及び認証情報を含むデータを受信する受信手段と、
    前記通信アドレス設定装置が用いる特定関数と同じ特定関数を用い、前記受信装置が受信したデータに含まれる認証情報から通信アドレスを生成し、該生成した通信アドレスと前記受信手段が受信したデータに含まれる送信元の通信アドレスを照合する認証情報チェック手段と、
    を備えることを特徴とするアドレス詐称チェック装置。
  2. 前記認証情報チェック手段は、前記生成した通信アドレスと前記受信手段が受信したデータに含まれる送信元の通信アドレスが一致しない場合、前記受信手段が受信したデータを廃棄することを特徴とする請求項1に記載のアドレス詐称チェック装置。
  3. 前記認証情報チェック手段は、前記データに含まれる送信時刻情報と、前記受信手段が受信した時刻とを比較し、許容誤差時刻範囲外である場合は、前記受信手段が受信したデータを破棄することを特徴とする請求項1または2に記載のアドレス詐称チェック装置。
  4. 通信アドレス、及び、該通信アドレスを元に特定関数を用いて生成した認証情報を通知する通信アドレス設定装置と、
    前記通信アドレス設定装置から受けた該通信アドレスを用い、該通知を受けた認証情報を付してデータ通信を行う通信装置と、
    前記通信装置からのデータ受信が可能なアドレス詐称チェック装置と、
    を有し、
    前記通信アドレス詐称チェック装置は、
    送信元の通信アドレス及び認証情報を含むデータを受信する受信手段と、
    前記通信アドレス設定装置が用いる特定関数と同じ特定関数を用い、前記受信手段が受信したデータに含まれる認証情報から通信アドレスを生成し、該生成した通信アドレスと前記受信手段が受信したデータに含まれる送信元の通信アドレスを照合する認証情報チェック手段と、
    を備えることを特徴とするネットワークシステム。
  5. 前記認証情報チェック手段は、前記生成した通信アドレスと前記受信手段が受信したデータに含まれる送信元の通信アドレスが一致しない場合、前記受信手段が受信したデータを破棄することを特徴とする請求項4に記載のネットワークシステム。
  6. 前記認証情報チェック手段は、前記データに含まれる送信時刻情報と、前記受信手段が受信した時刻とを比較し、許容誤差時刻範囲外である場合は、前記受信手段が受信したデータを破棄することを特徴とする請求項4または5に記載のネットワークシステム。
JP2006342644A 2006-12-20 2006-12-20 アドレス詐称チェック装置およびネットワークシステム Expired - Fee Related JP4410791B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006342644A JP4410791B2 (ja) 2006-12-20 2006-12-20 アドレス詐称チェック装置およびネットワークシステム
US11/866,456 US8015402B2 (en) 2006-12-20 2007-10-03 Address-authentification-information issuing apparatus, address-authentification-information adding apparatus, false-address checking apparatus, and network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006342644A JP4410791B2 (ja) 2006-12-20 2006-12-20 アドレス詐称チェック装置およびネットワークシステム

Publications (2)

Publication Number Publication Date
JP2008154164A JP2008154164A (ja) 2008-07-03
JP4410791B2 true JP4410791B2 (ja) 2010-02-03

Family

ID=39544891

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006342644A Expired - Fee Related JP4410791B2 (ja) 2006-12-20 2006-12-20 アドレス詐称チェック装置およびネットワークシステム

Country Status (2)

Country Link
US (1) US8015402B2 (ja)
JP (1) JP4410791B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020088798A (ja) * 2018-11-30 2020-06-04 トヨタ自動車株式会社 ネットワークシステム

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4320603B2 (ja) * 2004-02-26 2009-08-26 日本電気株式会社 加入者回線収容装置およびパケットフィルタリング方法
CN101329720B (zh) * 2008-08-01 2011-06-01 西安西电捷通无线网络通信股份有限公司 一种基于预共享密钥的匿名双向认证方法
JP5239618B2 (ja) * 2008-08-19 2013-07-17 沖電気工業株式会社 アドレス変換装置、方法及びプログラム、並びにノード
JP2010118752A (ja) * 2008-11-11 2010-05-27 Hitachi Ltd ネットワークシステム、dhcpサーバ装置、及びdhcpクライアント装置
US9143508B2 (en) * 2010-12-30 2015-09-22 Verizon Patent And Licensing Inc. Service location based authentication
JP5535254B2 (ja) * 2012-02-20 2014-07-02 株式会社日立システムズ ネットワークシステム、端末識別方法、およびプログラム
JP6148458B2 (ja) * 2012-11-30 2017-06-14 株式会社東芝 認証装置およびその方法、ならびにコンピュータプログラム
US10645057B2 (en) * 2016-06-22 2020-05-05 Cisco Technology, Inc. Domain name system identification and attribution
JP6707413B2 (ja) * 2016-07-26 2020-06-10 住友電工システムソリューション株式会社 無線機、路側通信機、判定方法、及びコンピュータプログラム
JP6678995B2 (ja) * 2016-08-19 2020-04-15 住友電工システムソリューション株式会社 無線通信機、情報登録方法、及びコンピュータプログラム
JP6746869B2 (ja) * 2016-11-02 2020-08-26 住友電工システムソリューション株式会社 無線通信機、パケットの処理方法、及びコンピュータプログラム
KR102457620B1 (ko) * 2018-05-18 2022-10-21 한화테크윈 주식회사 네트워크 보안 시스템 및 그 동작 방법
US11108773B1 (en) * 2019-03-15 2021-08-31 Facebook, Inc. Mobile user authentication over WIFI using IPX networks
US10819676B1 (en) * 2019-05-22 2020-10-27 Verizon Patent And Licensing Inc. System and method of acquiring network-centric information for customer premises equipment (CPE) management
JP6994616B2 (ja) * 2020-05-19 2022-01-14 住友電工システムソリューション株式会社 無線機、路側通信機、通信パケットの送信方法、及びコンピュータプログラム
CN112217715B (zh) * 2020-09-27 2022-08-16 辽宁便利电科技有限公司 一种复杂数据反复交互的智能动态网关***
DE102020214945A1 (de) * 2020-11-27 2022-06-02 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
CN112929269B (zh) * 2021-03-09 2021-10-26 清华大学 互联网域间源地址验证表的分布式生成方法和装置
CN114513364B (zh) * 2022-02-25 2024-03-15 杭州涂鸦信息技术有限公司 一种服务授权方法及相关组件

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3599552B2 (ja) * 1998-01-19 2004-12-08 株式会社日立製作所 パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
EP1075123A1 (en) 1999-08-06 2001-02-07 Lucent Technologies Inc. Dynamic home agent system for wireless communication systems
JP2003242116A (ja) * 2002-01-31 2003-08-29 Internatl Business Mach Corp <Ibm> 認証装置、認証システム、サーバ、携帯端末、認証端末、および認証方法
EP1355447B1 (en) * 2002-04-17 2006-09-13 Canon Kabushiki Kaisha Public key certification providing apparatus
JP3782788B2 (ja) 2002-04-17 2006-06-07 キヤノン株式会社 公開鍵証明書提供装置、方法、及び、接続装置
US8068414B2 (en) * 2004-08-09 2011-11-29 Cisco Technology, Inc. Arrangement for tracking IP address usage based on authenticated link identifier
US20060114863A1 (en) * 2004-12-01 2006-06-01 Cisco Technology, Inc. Method to secure 802.11 traffic against MAC address spoofing
US8059551B2 (en) * 2005-02-15 2011-11-15 Raytheon Bbn Technologies Corp. Method for source-spoofed IP packet traceback
US7783756B2 (en) * 2005-06-03 2010-08-24 Alcatel Lucent Protection for wireless devices against false access-point attacks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020088798A (ja) * 2018-11-30 2020-06-04 トヨタ自動車株式会社 ネットワークシステム
JP7110950B2 (ja) 2018-11-30 2022-08-02 トヨタ自動車株式会社 ネットワークシステム

Also Published As

Publication number Publication date
US20080155657A1 (en) 2008-06-26
JP2008154164A (ja) 2008-07-03
US8015402B2 (en) 2011-09-06

Similar Documents

Publication Publication Date Title
JP4410791B2 (ja) アドレス詐称チェック装置およびネットワークシステム
US9438592B1 (en) System and method for providing unified transport and security protocols
US8499146B2 (en) Method and device for preventing network attacks
Touch Defending TCP against spoofing attacks
US8068414B2 (en) Arrangement for tracking IP address usage based on authenticated link identifier
EP2329621B1 (en) Key distribution to a set of routers
CN105207778B (zh) 一种在接入网关设备上实现包身份标识及数字签名的方法
WO2010000171A1 (zh) 一种通信的建立方法、***和装置
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
US8364949B1 (en) Authentication for TCP-based routing and management protocols
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
Aura et al. Effects of mobility and multihoming on transport-protocol security
EP1836559B1 (en) Apparatus and method for traversing gateway device using a plurality of batons
Jerschow et al. CLL: A cryptographic link layer for local area networks
JP4768547B2 (ja) 通信装置の認証システム
Hu et al. TrueID: A practical solution to enhance Internet accountability by assigning packets with creditable user identity code
Tupakula et al. Tracing DDoS floods: An automated approach
WO2010003326A1 (zh) 保护代理邻居发现的方法、***和相关装置
Kimiyama et al. Autonomous and distributed internet security (AIS) infrastructure for safe internet
Chandrashekar Cooperative Firewall Signaling over SCION
Wang et al. Inter-domain routing validator based spoofing defence system
Kuptsov et al. SAVAH: Source Address Validation with Host Identity Protocol
Cullen et al. Port Control Protocol (PCP) Authentication Mechanism
Kukek et al. Native Send Kernel API for BSD
Maaz Evasive Internet Protocol: End to End Performance

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090421

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090622

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091110

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091113

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121120

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121120

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131120

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees