JP5662133B2 - Ipsecとipv6近隣要請の競合解消方法及びそのシステム - Google Patents

Ipsecとipv6近隣要請の競合解消方法及びそのシステム Download PDF

Info

Publication number
JP5662133B2
JP5662133B2 JP2010283016A JP2010283016A JP5662133B2 JP 5662133 B2 JP5662133 B2 JP 5662133B2 JP 2010283016 A JP2010283016 A JP 2010283016A JP 2010283016 A JP2010283016 A JP 2010283016A JP 5662133 B2 JP5662133 B2 JP 5662133B2
Authority
JP
Japan
Prior art keywords
host
mac
target host
arp
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010283016A
Other languages
English (en)
Other versions
JP2011205614A (ja
Inventor
ペレス・マリア
Original Assignee
コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド
コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド, コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド filed Critical コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド
Publication of JP2011205614A publication Critical patent/JP2011205614A/ja
Application granted granted Critical
Publication of JP5662133B2 publication Critical patent/JP5662133B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、IPsecとIPv6近隣要請の競合解消方法及びそのシステムに関するもので、特に、IPv6ネットワーク(インターネットプロトコルバージョン6)における近隣探索IPセキュリティ(IPsec)にアドレス解決プロトコル(ARP)を使用する方法およびそのシステムに関する。
ネットワーク(ネットワーク接続)によってパソコンと他のパソコン及び/又は他のネットワークデバイスに通信をさせ、電子メッセージを使用することによって、通信及び情報アクセス能力が高められてきた。パソコン間及び/又はネットワークデバイス間で電子メッセージの伝送が行われる際、電子メッセージは、電子メッセージ内のデータに処理(例えば、パケット分解、ルーティング、フロー制御など)を施すプロトコルスタックを通過することが多い。
アドレッシング構造の最初の主要バージョンであるインターネットプロトコルバージョン4(IPv4)は、後継者であるインターネットプロトコルバージョン6(IPv6)が世界中に活発に広がってきてはいるものの、依然として有力なインターネットプロトコルである。IPv4ベースのインターネットからIPv6ベースのインターネットへの移行には時間がかかると考えられ、その間は両者が共存することになるだろう。具体的には、その段階的移行期間中、既存のIPv4アプリケーションは、IPv4プロトコルスタックとIPv6プロトコルスタックの両方を備えるデュアルスタックを使用した、新しいIPv6対応アプリケーションと連携可能となる。
IPv6ネットワークプロトコルは、IPv6ホストやIPv6ホストデバイス(例えば、画像形成装置や他のデバイス)はICMPv6近隣探索メッセージ(すなわち、近隣探索プロトコル又はNDP)を使用するIPv6ネットワークに接続されると、自動設定(すなわち、ステートレスアドレス自動設定)を行う、と規定している。IPv6ホストはネットワークに最初に接続された際、重複アドレス検出(dad)のため、仮リンクローカルアドレスを広告するリンクローカルマルチキャスト近隣要請要求を送信し、問題がなければそのリンクローカルアドレスを使用する。そして、ネットワーク層構成パラメータを取得するためにルータ要請を送信(タイミングによってはルータ広告を受信)し、ルータはこのような要求に対し、ネットワーク層構成パラメータを含むルータ広告パケットで応答する。
しかし近隣探索プロトコル(NDP)仕様は、NDPメッセージを保護するためにIPsecの使用を要求する。これがホスト(ホストデバイス)に問題をもたらすことがある。具体的には、IPsecでは、IKE(インターネット鍵交換)使用におけるブートストラップ問題のために、セキュリティアソシエーションを手動設定することによってのみしか使用できないことが問題となる。なぜなら、いかなるIPv6パケットでも配信できるようにするためには、NDPメッセージ送信に必要なセッションの確立に、NDPメッセージの事前交換が要求されるからである。また、一ネットワーク上に存在するホストの一般的な数に鑑みて、手動設定されるIPsecセッションのソリューションは現実的ではない。さらに、NDPを保護するために必要とされる、手動設定されるセキュリティアソシエーションの数は膨大になる可能性があり、大抵の場合、そのアプローチは非実用的である。
上述の問題を解決する方法の一つとして、セキュア近隣探索(SEND)プロトコルが使用されてきた。セキュア近隣探索プロトコルは、IPv6における近隣探索プロトコルのセキュリティ拡張版である。セキュア近隣探索(SEND)はIPsecとは別の暗号化方式を用いてNDPの安全性を高めるためのメカニズムを提供するものであり、IPv6通信を安全に行うためのオリジナルかつ特有の方法である。
上述の問題点に鑑みると、SENDに代わる解決方法を持つことが望まれる。その解決方法として、近隣要請にアドレス解決プロトコルを用いてIPsecとIPv6近隣要請の競合を解消する、画像形成装置などのホストデバイス及び/又はネットワークデバイスと関連するアプリケーションが考えられる。
一実施形態によれば、IPsecポリシーを有する複数のホストデバイスがIPv6通信ネットワークを介して相互通信を行うための方法は、
ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストのために近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立する工程と、を備える方法である。
他の実施形態によれば、IPv6通信ネットワークのための近隣探索システムは、
アプリケーションを有する送信元ホストと、
アプリケーションを有するターゲットホストと、を備え、
前記送信元ホストは、
前記ターゲットホストのIPv6アドレスのセキュリティポリシーから、前記ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
前記送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストのために近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信する工程と、を実行し、
前記ターゲットホストは、
前記ターゲットホスト上で前記ARP要求を受信する工程と、
前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルと比較する工程と、
前記送信元ホストの前記MAC IDが前記ターゲットホストに関連する前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、を実行するシステムである。
更に他の実施形態によれば、IPv6通信ネットワークの近隣探索のためのコンピュータプログラムを収容するコンピュータ読取可能媒体において、該コンピュータプログラムは実行可能な指示を備え、該実行可能な指示は、
ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出するための指示と、
送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索するための指示と、
前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストのために近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、
前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立するための指示と、であることを特徴とする前記コンピュータ読取可能媒体である。
上述した概要及び以下の詳細な説明は共に、例示的かつ説明的なものであって、特許請求の範囲に記載された本発明について更なる説明を提供することを意図するものである。
添付の図面は本発明の更なる理解を提供するために含まれ、この明細書に組み込まれてその一部を構成する。これらの図面は、本発明の実施態様を例示し、明細書と共に、本発明の原則を説明するためのものである。図面において、
一の実施形態に係る通常の通信プロトコルを用いたネットワークシステムを示す図である。 他の実施形態に係るセキュアなIPv6通信プロトコルを用いたネットワークシステムを示す図である。 一の実施形態に係るIPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーションの実行を示すフローチャートである。 他の実施形態に係るIPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーションの実行を示すフローチャートである。
ここで、添付図に例示される本発明の望ましい実施の形態について詳細に説明する。同一又は類似の部品を参照するため、可能な限り、図面及び説明中に同一の参照番号を用いる。
図1は、本発明の実施形態に係る通常の通信プロトコルを有するネットワークシステム100を示し、ネットワークシステム100は、画像形成装置の形態のホストデバイス(ホストA)110を備えている。図1に示されるように、ネットワークシステム100はホストデバイス(画像形成装置)110と、少なくとも一の第二ホスト又はクライアントデバイス(ホストB)120で構成されている。ホストデバイス(画像形成装置)110と第二ホスト(クライアントデバイス)120は、通信ネットワーク130を介してデータ通信可能な状態で相互接続されている。ホスト110、120は、ARP、IPv4、IPsec及びIPv6をサポートするネットワークデバイスであれば、いかなるデバイスでもよい。本発明の実施形態に従った通信ネットワーク130としては、例えば、インターネット、イントラネット、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)などがあるが、これらに限られるものではない。ホストデバイス(画像形成装置)110と第二ホスト(クライアントデバイス)120は、ケーブルを用いて有線接続することができる。また、無線周波数(RF)、赤外線(IR)伝送、USB,IEEE1394及び/又はその他の適切な無線技術を用いて、無線接続することもできる。
本発明の実施形態によれば、図1に示される通信ネットワーク130は、IPv6(インターネットプロトコルバージョン6)132と、IPv4(インターネットプロトコルバージョン4)134と、第三のコンピュータネットワークプロトコルとしてのアドレス解決プロトコル(ARP)136を備えている。本発明の実施形態によれば、IPv6 132は、近隣探索プロトコルを備えている。ホスト110、120間でARPパケットの交換が行われると、ARPパケットにはホスト110、120のMAC ID及びIPv4アドレスが含まれる。IPv4アドレスはIPv6から独立したものである。
本発明の実施形態によれば、ホストデバイス(画像形成装置)110は、プリンタ、複合機(MFP)、その他周知の画像形成装置などによって具現化され、第二ホスト(クライアントデバイス)120によって生成された印刷データに基づいて、用紙などの印刷媒体(記録媒体)に画像を印刷する。本発明の実施形態において、ホストデバイス(画像形成装置)110は複合機(MFP)であり、少なくとも、コピー機能、画像読取機能及び印刷機能を備え、第二ホスト(クライアントデバイス)120から送信された印刷ジョブ(印刷指示)や、ホストデバイス(画像形成装置)110に備えられたスキャナなどの画像読取部によって読み取られた画像データなどに基づいて、用紙に画像を形成する。
本発明の実施形態によれば、コンピュータシステムなどで具現化される第二ホスト(クライアントデバイス)120は、ホストデバイス(画像形成装置)110で使用可能な印刷データを生成し、生成した印刷データをホストデバイス(画像形成装置)110へ送信する。第二ホスト(クライアントデバイス)120は、例えば、コンピュータ及び/又はノートパソコン、携帯電話、携帯情報端末(PDA)などの可搬型デバイスである。ホストデバイス(画像形成装置)110と第二ホスト(クライアントデバイス)120は、画像形成システムを構築して、通信ポートを設置し、印刷データを生成し、生成した印刷データに応じて印刷媒体に画像を形成する印刷動作を行うことができる。
第二ホストデバイス(クライアントデバイス)120は複数のパソコンであってもよく、画像形成装置の形態の第一ホストデバイス110へ印刷ジョブを送信する機能を備えている。プリンタドライバプログラム(以下、単に「プリンタドライバ」とする場合有り)が第二ホスト120内に設置され、第二ホスト120はプリンタドライバの機能を使用して、画像形成時に適用される印刷条件のデータや画像データなどを含む印刷ジョブを生成し、生成した印刷ジョブを画像形成装置の形態の第一ホストデバイス110へ送信する。
図2は、本発明の他の実施形態に係るセキュアなIPv6通信プロトコルを用いたネットワークシステム200を示す図である。図2に示されるように、システム200は、ホストデバイス又は送信元ホスト(ホストA)210と、少なくとも一の第二ホスト又はターゲット/宛先ホスト(ホストB)220と、通信ネットワーク230とを、データ通信可能な状態で備えている。本発明の実施形態によれば、通信ネットワーク230は図2に示されるように、自動IPsecを実装したIPv6(インターネットプロトコルバージョン6)232と、自動IPsecを実装したIPv4(インターネットプロトコルバージョン4)と、アドレス解決プロトコル(ARP)236を備えている。本発明の実施形態によれば、IPv6 232は近隣探索プロトコルを備えている。しかし、IPv6ネットワークのセキュリティポリシーはIPsecセキュリティを含んでおり、IPv6アドレスをリンク層アドレス(及びIPv4アドレス)に変換するメカニズムが近隣探索プロトコル(NDP)を用いて実行されるため、ホスト210、220(ホストA、B)は相互通信を行うことができない。
本発明の実施形態によれば、上記課題の一つの解決方法は、アプリケーション(ソフトウェアモジュール)を用いることである。このアプリケーションは、ホスト(ノード)210、220のMAC IDの一致を確立するために、アドレス解決プロトコル(ARP)テーブル情報を使用するものである。ARPテーブルによりMAC IDの一致が確立すると、アプリケーションによって、各ホスト(ノード)210、220の近隣キャッシュテーブルに、仮近隣キャッシュエントリが作成される。近隣キャッシュテーブル内に仮近隣キャッシュエントリが設定されると、対応するセキュリティアソシエーションが作成され、IPsecネゴシエーションが開始される。本発明の他の実施形態によれば、ホスト210、220間のIPv6接続が確立すると、アプリケーションによって、一方または両方の近隣キャッシュテーブルから、キャッシュエントリを削除することができる。
本発明の実施形態において、ホスト(ホストA、B)210、220が、各ホストに完全にセキュアなIPv6通信を要求するIPsecポリシーを備えている場合、IPv6ネットワークプロトコルは、IPv6ホスト又はIPv6ホストデバイス(例えば、画像形成装置や他のデバイス)はICMPv6近隣探索メッセージ(すなわち、近隣探索プロトコル又はNDP)を使用するIPv6ネットワークに接続した場合、自動設定(すなわち、ステートレスアドレス自動設定)できる、と規定している。一般的にIPv6ネットワーク接続において、IPv6ホストは初めてそのネットワークに接続した際には、重複アドレス検出(dad)のため、仮リンクローカルアドレスを広告するリンクローカルマルチキャスト近隣要請要求を送信し、問題がなければ、そのリンクローカルアドレスを使用する。しかしホスト210、220は、IPsecポリシーにより、IPv6パケット配信を可能にするためのNDPメッセージ交換を行うことができない。
本発明の実施形態において、各ホスト210、220はアプリケーションを備えている。このアプリケーションによって、IPv4アドレス解決プロトコル(ARP)の交換が行われ、ホスト(ノード)間でIPsecネゴシエーションをするのに必要なセキュリティアソシエーションが確立される。本発明の実施形態によれば、ホスト210、220のARPテーブルには他のホスト(ノード)のMAC IDを事前に投入することができ、このテーブルに基づいて、ホスト(ノード)210、220間に適切なセキュリティプロトコルが設定されている。
本発明の他の実施形態によれば、各ホスト(ノード)210、220は、ステートレスアドレス自動設定プロトコルによって生成されたIPv6アドレスからメディアアクセス制御(MAC)IDを取得するアプリケーションを備えている。このアプリケーションによって、与えられたIPv6アドレスからMAC IDを取得したり、ARPテーブル内のMAC IDからIPv6アドレスを取得したりすることができる。MAC IDの一致があると、アプリケーションによって、近隣キャッシュテーブルに仮近隣キャッシュエントリが作成される。本発明の実施形態によれば、対応するセキュリティアソシエーションが作成されると、IPsecネゴシエーションが開始される。
本発明の更に他の実施形態によれば、第一ホスト210(例えば、ホストA)のIPsecポリシーが所定の第二ホスト220(例えば、ホストB)の(全トラフィックは安全でならなければならないことを意味する)IPv6アドレスを所有していない場合、アプリケーションによって、IPv6用セキュリティアソシエーションがARPテーブル内の各MAC IDに対して作成されているか確認され、その後、セキュアなIPv6通信を設定するための処理が行われる。
本発明の実施形態によれば、IPv6近隣探索はIPv4 ARPプロトコルを用いて行われる。それによって、ネットワークインターフェイスカードの物理アドレスを既知のIPアドレスに対応させることができる。ネットワークに接続される各デバイスや装置は、48ビットの識別番号(MAC ID)を有する。しかし、インターネット上の通信においては、MAC IDは直接的には使用されない。これは、ネットワークインターフェイスカードが変わる度に、ホストのアドレスも必然的に変わるためである。代わりに、システムによって割り当てられる理アドレス、すなわちIPアドレスが使用される。物理アドレスは論理アドレスとリンクできるため、IPv4 ARPプロトコルを使用してネットワーク装置の物理アドレスが取得され、キャッシュメモリ内に論理アドレスと物理アドレスのルックアップテーブルが作成される。
一般的には、一のホストが他のホストとの通信を必要とする場合、第一ホストはルックアップテーブルを調べる。通常、要求されたアドレスがテーブル内で発見されない場合、ARPプロトコルによりネットワーク上に要求を発行する。ネットワーク上の各ホストは、この理アドレスと自身のアドレスを比較する。これらホストのいずれかがその論理アドレスによって自身を特定すると、そのホストはIPv4 ARP要求に応答し、ルックアップテーブルにはその一対のアドレスが記憶される。そして、ホスト210、220間でIPv6通信が可能となる。
本発明の実施形態によれば、ARPテーブルを備えた第一ホストデバイス(送信元ホスト)210は、AP要求内にMAC IDを内包する。第一ホストデバイス210は、ターゲットホスト220が属するブロードキャストドメインへ、ARP要求を有するパケットをブロードキャストする。それにより、特定のMAC IDアドレスを有するターゲットホスト210が自身を特定し、受信側のハードウェアアドレスを要求側に提供する。この処理はリソースディスカバリとして知られている。
ARP要求は、(送信元ホスト又は送信元デバイスのための)宛先局のIPアドレスや、(ターゲットホスト又は遠隔デバイスのための)デフォルトルータのIPアドレスを含む。対象とされたノードは、ARP応答内に自身のMACアドレスを内包して応答する。ローカルホスト(送信元ホスト)は、この情報を用いてフレームの宛先MACアドレスを解決する。不要なトラフィックを最小化するために、IPアドレスとMACアドレスのマッピングをローカルにARPキャッシュ内に記憶させる。ARPキャッシュはTCP/IPプロトコルの実行に応じて、所定期間保持される。
ネットワークの効率を高め、また、ARPブロードキャストに係る帯域幅を独占しないように、各ホスト210、220は、IPアドレスとそれに一致するMAC IDアドレスのテーブル、すなわち、ARPキャッシュをメモリ(メモリ配列)に保持する。送信側ホスト(ホストデバイス)210、220は、ブロードキャストを送信する前に、情報がARPキャッシュ内にあるかどうか確認する。ターゲットホスト220のMAC IDが送信元ホスト210のARPキャッシュ内にある場合、送信元ホスト210は、ARPブロードキャストを行わずに、ARPデータパケットを完成することができる。
ネットワーク層は、インターネットプロトコル(IP)アドレスに応じて、送信元デバイス(送信元ホスト)210と宛先デバイス(ターゲットホスト)220の間でメッセージを伝送させる。これは、送信元IPアドレスと宛先IPアドレスを示す各パケットにIPヘッダを追加することによって行われる。最下層はハードウェアMACアドレスが使われる物理リンク層である。したがってIPv4ネットワークにおいて、ARPプロトコルはIPv4やIPv6のネットワーク層よりも下層で使用されるため、ホスト210、220は最初からIPsecを動作させることなく、通信を行うことができる。
各ホストやデバイスが固有のMAC IDやIPアドレスを保持することは、通信ネットワークを適切に機能させるために不可欠である。MAC ID(MACアドレス)は48ビット長であり、IPアドレスは32ビット長である。MAC ID(MACアドレス)はハードウェアアドレスであり、簡単に変更できるものではなく、シリアルナンバーの形式で製造者毎に割り当てられている。よって、実際のアプリケーションにおいて、MACアドレスが複製されて問題を引き起こすことはほとんどない。
送信元ホスト(デバイス)210がターゲットホスト(ノード)220と通信するための情報を持っている場合、IPアドレス割り当ての動的性質によって、ターゲットホスト又はターゲットホストデバイス220の現在のIPアドレスは、MACアドレスにマッピングするよう要求される。このマッピングは、送信元ホスト(ノード)210がARP要求を送信することで行われる。ARP要求はネットワーク上の全デバイスにブロードキャストされ、ターゲットのIPアドレスを持つデバイスにMACアドレスで応答するよう要求するものである。通常、該当する唯一のターゲットホスト(ノード)220が応答し、通信セッションが開始される。
また、画像形成装置(例えば、複合機(MFP)やプリンタ)の形態のホスト210、220を含めてスタートレスアドレス設定を行うIPv6動作可能デバイスは、通常、固有の識別子またはメディアアクセス制御アドレス(MACアドレス)を有する。MACアドレスは、識別のために製造業者によってネットワークアダプタやネットワークインターフェイスカード(NICs)に割り当てられており、インターネットプロトコルバージョン6(IPv6)のメディアアクセス制御プロトコル副層で使用される。製造業者によって割り当てられると、MACアドレスには通常、製造業者の登録識別番号がコード化される。MACアドレスは、イーサネットハードウェアアドレス(EHA)、ハードウェアアドレス、アダプタアドレス又は物理アドレスとしても知られている。
一方、インターネットプロトコルセキュリティ(IPsec)を使用することで、データストリームの各IPパケットの認証や暗号化によってインターネットプロトコル(IP)通信を安全に行うのに適したプロトコルが提供される。またIPsecは、通信セッション開始時にエージェント間の相互認証を行うためのプロトコルや、セッション中に使用される暗号鍵ネゴシエーションを行うためのプロトコルも含む。例えばIPsecは、一対のホスト210、220(例えば、コンピュータユーザ又はサーバ)間、一対のセキュリティゲートウェイ(例えば、ルータ又はファイアウォール)間、または、セキュリティゲートウェイとホスト210またはホスト220間のデータフローの保護に用いられる。
図3は、本発明の実施形態に係るIPv4とIPv6の両方で運用可能なネットワーク接続時の近隣探索に、IPv4アドレス解決プロトコル(ARP)を使用するアプリケーションの実行を示すフローチャートである。本発明の実施形態において、システム300は一対のホスト(ホストA、B)を備え、各ホストA,BはIPv6とIPsecの両方で動作可能である。
本発明の実施形態によれば、ホストAは、他のホスト(ノード)のMACアドレスのキャッシュ(ローカルデータベース)を有し、そのMACアドレスを該他のホスト(ノード)のIPアドレスにマッピングする。図3に示されるように、最初のステップ310において、管理者はセキュリティポリシーを設定する。このセキュリティポリシーは、ホストAとホストBにセキュアなIPv6ネットワーク通信を介して通信する(すなわち、IPv6−AはIPv6−Bとセキュア通信する)ことを要求するものである。その結果、ステップ320で、ARPプロトコル、セキュアIPv4プロトコル、セキュアIPv6プロトコルが全て自動的に開始するが、ホストAとホストBはIPv6プロトコルに従って互いからのパケットの認識を拒否するため、結果、ホストA、B間の通信は失敗する。
ステップ330で、ホストAに関連するアプリケーションによって、セキュリティポリシーIPv6−ホストBアドレスからホストBのMAC IDが抽出される。ホストBのMAC IDは、ステートレス自動設定プロトコル(IPv6)によって生成されたIPv6アドレスから生成するか、または、ARPテーブルを介してホストBのIPv6アドレスを使用して取得することができる。そして、アプリケーションによってARPテーブル内でホストBのMAC IDが検索され(ステップ340)、ホストBのMAC IDがARPテーブルにあった場合、ステップ350で、そのホストBのMAC IDが検出及び/又は発見される。そして、ステップ360で、ホストAに関連するアプリケーションにより、ホストBのために近隣キャッシュテーブル内に仮近隣キャッシュエントリが作成される。ステップ370で、ホストBのMAC ID情報が利用可能となり、ホストA、Bは、ホストAの近隣キャッシュテーブル内で発見されたホストBのMAC IDに基づいて、セキュアなIPsec通信を確立することができる。
ステップ380に示されるように、セキュリティアソシエーションが確立されたため、ホストA、B間でセキュアなIPv6通信を確立することができる。オプションのステップ390においては、セキュアなIPv6通信がホストA,B間で確立すると、一方もしくは両方のホストから近隣キャッシュテーブルエントリを削除することができる。
図4は、本発明の他の実施形態に係るIPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーション400の実行を示すフローチャートである。上述のホスト及び/又はデバイスはイーサネット層を備え、イーサネット層は送信元ホスト(すなわち、ホストA)と宛先ホスト(ホストB)の両方のMAC IDを含み、以下のように構成されている。
Figure 0005662133
ステップ420で、ARPテーブルにデータが投入される。イーサネット宛先層のMAC IDを取得するために、IPv4通信が行われる前にARP(“arp”又は“<arp>”)メッセージを交換する必要がある。以下はarpテーブル内に表示されるMS−DOS<arp>指令の一例である。
Figure 0005662133
 本発明の実施形態によれば、20.0.0.5が20.0.0.3に対して通信を行う前にARPパッケージの交換が行われ、イーサネット宛先層のテーブルエントリが作成される。
ステップ430で、管理者はホスト(すなわち、送信元ホスト及び宛先ホスト)間で交換する一のセキュリティポリシー(もしくは複数のセキュリティポリシー)を作成する。例えばセキュリティポリシーのひとつを[Any packets going out from fe80::211:2fff:fe72:3ad5 to fe80::210:4bff:fe69:ae47 must be (encrypted) protected by a security association in the following way]: spdadd fe80::211:2fff:fe72:3ad5 fe80::210:4bff:fe69:ae47 any -P out ipsec, esp/transport//requireとすることができる。
ステップ440でIPsecが開始する。しかし、IPsecがセキュリティアソシエーションを作成し、ホストAからホストBにIPv6パッケージを送信するためには、イーサネット層はホストA上でホストBのMAC IDが必要となる。しかし、ホストAはfe80::211:2fff:fe72:3ad5 to fe80::210:4bff:fe69:ae47に関連する近隣キャッシュを有していない。IPv6プロトコルは(ARP実行による)近隣探索を有するので、近隣要請メッセージを作成する。この近隣要請メッセージは保護されないので、ホストAから離れない。すなわち、セキュリティアソシエーションが必要となる。そのため、IPsec通信は自動的に失敗する。
本発明の実施形態によれば、ステップ450で、ホストA上の、IPsecとIPv6近隣要請の競合解消にアドレス解決プロトコル(ARP)を使用するアプリケーションが開始し、例えばfe80::210:4bff:fe69:ae47 -> fe80::210:4b:ff:fe69:ae47-> 00:10:4b:69:ae:47のように、セキュリティアソシエーションからMAC IDが抽出される。しかし(ホストBの)MAC IDは、基準IPv6アドレスやグローバルアドレス及び/又はリンクローカルアドレスから抽出することができる。
ステップ460で、アプリケーションにより、ARPテーブル内で00:10:4b:69:ae:47の一致を検索する。オプションのステップにおいて、ホストAはホストBのMAC IDを取得及び/又は確認するために、ARPメッセージをホストBに送信することができる。
ステップ480で00:10:4b:69:ae:47の一致が発見されると、アプリケーションによって以下のような近隣キャッシュエントリが作成される。
Figure 0005662133
ステップ490でアプリケーションによりIPsecが再スタートする。IPsecは、データストリームの各IPパケットの認証や暗号化によってインターネットプロトコル(IP)通信を安全に行うのに適したプロトコルを提供する。またIPsecは、セッション開始時にエージェント間の相互認証を行うためのプロトコルと、セッション中に使用される暗号鍵ネゴシエーションを行うためのプロトコルも有する。
本発明の実施形態によれば、IPv6ネットワークスタックはセキュリティアソシエーションを確立させるためのパッケージを構築する一方、内部構造として内部に以下を含む。
Figure 0005662133
オプションのステップにおいて、ホストA,B間のIPv6通信が確立されると、アプリケーションによって仮近隣キャッシュエントリを削除することができる。
本発明の他の実施形態によれば、IPv6通信ネットワークの近隣探索のためのコンピュータプログラムを収容するコンピュータ読取可能媒体において、該コンピュータプログラムは実行可能な指示を備え、該実行可能な指示は、ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出するための指示と、送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索するための指示と、前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストの近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、前記近隣キャッシュテーブル内の前記仮近隣エントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立するための指示である。
コンピュータ読み取り媒体は、当然のことながら、磁気記録媒体、光磁気記録媒体、またはその他今後開発される記録媒体であってもよい。これら記録媒体は全て、上述同様、本発明に適用可能であると考えられる。第一及び第二複製物、その他複製物を含むこれら媒体の複製物は、疑いなく、上記媒体の均等物であると考えられる。さらに、本発明の実施形態が、ソフトウェアとハードウェアの組み合わせであったとしても、本発明の趣旨から逸脱するものではない。本発明は、そのソフトウェア部分を事前に記録媒体に書き込んでおき、操作時に必要に応じて読み出すことにより実行されてもよい。
本発明の構成に本発明の要旨から逸脱することなく種々の改良及び変更を加え得ることは、当業者において明らかであろう。このように、本発明は、特許請求の範囲及びその均等物の範囲内における改良及び変更を包含することが意図されている。

Claims (21)

  1. IPsecポリシーを有する複数のホストデバイスがIPv6通信ネットワークを介して相互通信を行うための方法であって、
    ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
    送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
    前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストのために近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
    前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立する工程と、を備える方法。
  2. 前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信する工程と、
    前記ターゲットホスト上で前記ARP要求を受信する工程と、
    前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルと比較する工程と、
    前記送信元ホストの前記MAC IDが前記ターゲットホストに関連する前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、を更に備えることを特徴とする請求項1に記載の方法。
  3. 前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程は、
    前記送信元ホストにARP応答を送信する工程と、
    前記送信元ホスト上で前記ARP応答を受信する工程と、
    前記ターゲットホストのMAC IDを、前記送信元ホストに関連するローカルアドレス解決プロトコル(ARP)テーブルと比較する工程と、
    前記ターゲットホストの前記MAC IDが前記送信元ホストに関連する前記ARPテーブルにあるMAC IDと一致する場合、前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程と、を備える請求項に記載の方法。
  4. 前記セキュリティアソシエーションを確立する工程は、
    前記送信元ホストと前記ターゲットホスト間のセキュリティアソシエーションに基づいて、前記送信元ホストと前記ターゲットホスト間のIPsecネゴシエーションを開始する工程と、を備える請求項1に記載の方法。
  5. 前記送信元ホストと前記ターゲットホスト間にIPv6接続を確立する請求項に記載の方法。
  6. 前記送信元ホストと前記ターゲットホスト間に前記IPv6接続が確立されると、前記送信元ホスト及び/又は前記ターゲットホストから前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリを削除する工程を更に備える請求項5に記載の方法。
  7. 前記送信元ホストと前記ターゲットホストは、前記仮近隣キャッシュエントリによって、データストリームの各IPパケットの認証及び暗号化を含むIPv6ネットワークプロトコルで、IPv6パケットの交換が可能となることを特徴とする請求項1に記載の方法。
  8. 前記送信元ホストと前記ターゲットホストのIPv6アドレスは、ステートレスアドレス自動設定を用いて自動的に設定されることを特徴とする請求項7に記載の方法。
  9. 前記ARP要求を前記ターゲットホストに送信する工程は、
    前記アドレス解決プロトコル(ARP)テーブルから前記メディアアクセス制御識別子(MAC ID)を読み出す工程と、
    前記送信元ホストの前記MAC IDを、当該MAC IDを内包するARPデータパケットに変換する工程と、
    前記内包ARPデータパケットを前記ターゲットホストにブロードキャストする工程と、を備える請求項2に記載の方法。
  10. 前記ターゲットホストは、少なくとも二以上のターゲットホストで構成されていることを特徴とする請求項1に記載の方法。
  11. 前記送信元ホスト及び/又は前記ターゲットホスト上にアプリケーションを更に備え、
    該アプリケーションは、前記送信元ホスト及び/又は前記ターゲットホストのインターネット層でIPv6アドレスを有する入力IPv6パケットが受信される前に、前記IPv6パケットを取り込むことを特徴とする請求項1に記載の方法。
  12. 前記IPv6アドレスは、ルータによって前記送信元ホストと前記ターゲットホストに提供されるネットワークプレフィクスから形成され、前記ターゲットホストのリンクローカルアドレス形成中に生成される前記MAC IDと組み合わされた、グローバルに一意なアドレスであることを特徴とする請求項1に記載の方法。
  13. 前記アプリケーションは前記送信元ホストと前記ターゲットホストのオペレーティングシステム上で実行されていることを特徴とする請求項11に記載の方法。
  14. 前記送信元ホスト及び/又は前記ターゲットホストのうち、少なくとも1つは画像形成装置であることを特徴とする請求項1に記載の方法。
  15. IPv6通信ネットワークのための近隣探索システムであって、
    アプリケーションを有する送信元ホストと、
    アプリケーションを有するターゲットホストと、を備え、
    前記送信元ホストは、
    前記ターゲットホストのIPv6アドレスのセキュリティポリシーから、前記ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出する工程と、
    前記送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索する工程と、
    前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストのために近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、
    前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信する工程と、を実行し、
    前記ターゲットホストは、
    前記ターゲットホスト上で前記ARP要求を受信する工程と、
    前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルと比較する工程と、
    前記送信元ホストの前記MAC IDが前記ターゲットホストに関連する前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成する工程と、を実行するシステム。
  16. 前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリに基づいて、前記送信元ホストと前記ターゲットホスト間にセキュリティアソシエーションを確立する工程をさらに備える請求項15に記載のシステム。
  17. 前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程は、
    前記送信元ホストにARP応答を送信する工程と、
    前記送信元ホスト上で前記ARP応答を受信する工程と、
    前記ターゲットホストの前記MAC IDを、前記送信元ホストに関連する前記ローカルアドレス解決プロトコル(ARP)テーブルと比較する工程と、
    前記ターゲットホストの前記MAC IDが前記送信元ホストに関連する前記ARPテーブルにあるMAC IDと一致する場合、前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立する工程と、を備える請求項16に記載のシステム。
  18. 前記送信元ホストと前記ターゲットホスト間の前記セキュリティアソシエーションに基づいて、前記送信元ホストと前記ターゲットホスト間のIPsecネゴシエーションを開始する工程を更に備える請求項17に記載のシステム。
  19. IPv6通信ネットワークの近隣探索のためのコンピュータプログラムを収容するコンピュータ読取可能媒体であって、該コンピュータプログラムは実行可能な指示を備え、該実行可能な指示は、
    ターゲットホストのIPv6アドレスのセキュリティポリシーから、該ターゲットホストのメディアアクセス制御識別子(MAC ID)を抽出するための指示と、
    送信元ホスト上のアドレス解決プロトコル(ARP)テーブルにおいて、前記ターゲットホストのMAC IDを検索するための指示と、
    前記ターゲットホストのMAC IDを検出すると、前記ターゲットホストのために近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、
    前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリに基づいて、前記送信元ホストと前記ターゲットホスト間に、前記送信元ホストと前記ターゲットホスト間のIPv6通信を可能にするセキュリティアソシエーションを確立するための指示と、であることを特徴とする前記コンピュータ読取可能媒体。
  20. 前記コンピュータプログラムは前記実行可能な指示として、
    前記送信元ホストに関連するメディアアクセス制御識別子(MAC ID)を有するアドレス解決プロトコル(ARP)要求を、前記ターゲットホストに送信するための指示と、
    前記ターゲットホスト上で前記ARP要求を受信するための指示と、
    前記送信元ホストの前記MAC IDを前記ターゲットホストに関連するローカルARPテーブルを比較するための指示と、
    前記送信元ホストの前記MAC IDが前記ターゲットホストに関連する前記ローカルARPテーブルにあるMAC IDと一致する場合、前記ターゲットホストに関連する近隣キャッシュテーブル内に仮近隣キャッシュエントリを作成するための指示と、を更に備えることを特徴とする請求項19に記載のコンピュータ読出可能媒体。
  21. 前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立するための指示は、
    前記送信元ホストにARP応答を送信するための指示と、
    前記送信元ホスト上で前記ARP応答を受信するための指示と、
    前記ターゲットホストの前記MAC IDを、前記送信元ホストに関連する前記ローカルアドレス解決プロトコル(ARP)テーブルと比較するための指示と、
    前記ターゲットホストの前記MAC IDが前記送信元ホストに関連する前記ARPテーブルにあるMAC IDと一致する場合、前記各ホストに関連する前記近隣キャッシュテーブル内の前記仮近隣キャッシュエントリに基づいて、前記送信元ホストと前記ターゲットホスト間に前記セキュリティアソシエーションを確立するための指示と、を備えることを特徴とする請求項20に記載のコンピュータ読取可能媒体。
JP2010283016A 2009-12-30 2010-12-20 Ipsecとipv6近隣要請の競合解消方法及びそのシステム Expired - Fee Related JP5662133B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/649,835 US8352618B2 (en) 2009-12-30 2009-12-30 Method and system for resolving conflicts between IPsec and IPv6 neighbor solicitation
US12/649,835 2009-12-30

Publications (2)

Publication Number Publication Date
JP2011205614A JP2011205614A (ja) 2011-10-13
JP5662133B2 true JP5662133B2 (ja) 2015-01-28

Family

ID=44188909

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010283016A Expired - Fee Related JP5662133B2 (ja) 2009-12-30 2010-12-20 Ipsecとipv6近隣要請の競合解消方法及びそのシステム

Country Status (2)

Country Link
US (1) US8352618B2 (ja)
JP (1) JP5662133B2 (ja)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8713661B2 (en) 2009-02-05 2014-04-29 Wwpass Corporation Authentication service
US8752153B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Accessing data based on authenticated user, provider and system
JP5414309B2 (ja) * 2009-03-05 2014-02-12 キヤノン株式会社 画像処理装置、画像処理装置の制御方法、及びプログラム
US9131004B2 (en) * 2009-04-26 2015-09-08 Jeffrey Alan Carley Method and apparatus for network address resolution
US8615571B2 (en) * 2010-05-12 2013-12-24 International Business Machines Corporation Network address assignment in a data center
US8976807B2 (en) * 2011-06-07 2015-03-10 Cisco Technology, Inc. Dynamically determining hostnames of network devices
JP5610400B2 (ja) * 2011-09-20 2014-10-22 株式会社Pfu ノード検出装置、ノード検出方法、及びプログラム
CN103036794A (zh) * 2011-10-10 2013-04-10 华为技术有限公司 一种报文的学习方法、装置和***
US8555079B2 (en) 2011-12-06 2013-10-08 Wwpass Corporation Token management
US8832820B2 (en) * 2012-06-25 2014-09-09 International Business Machines Corporation Isolation and security hardening among workloads in a multi-tenant networked environment
CN103685592B (zh) * 2012-09-20 2018-11-30 新华三技术有限公司 一种无线网桥及实现dhcp地址申请的方法
US9838259B1 (en) 2013-03-08 2017-12-05 F5 Networks, Inc. Methods for managing client defined response requirements in DNS query and devices thereof
TWI489891B (zh) * 2013-06-05 2015-06-21 智邦科技股份有限公司 分散式資料處理系統、分散式資料處理方法與其無線終端機
US9736263B2 (en) * 2015-02-16 2017-08-15 Telefonaktiebolaget L M Ericsson (Publ) Temporal caching for ICN
US10084820B2 (en) * 2015-02-27 2018-09-25 Konica Minolta Laboratory U.S.A., Inc. Method and system for IPSec security for IPP-USB data
WO2016148676A1 (en) * 2015-03-13 2016-09-22 Hewlett Packard Enterprise Development Lp Determine anomalous behavior based on dynamic device configuration address range
US9742798B2 (en) 2015-03-16 2017-08-22 Cisco Technology, Inc. Mitigating neighbor discovery-based denial of service attacks
US10412177B2 (en) * 2016-03-30 2019-09-10 Konica Minolta Laboratory U.S.A., Inc. Method and system of using IPV6 neighbor discovery options for service discovery
JP6253751B1 (ja) * 2016-11-29 2017-12-27 キヤノン株式会社 印刷装置及び印刷装置の制御方法
KR102342734B1 (ko) * 2017-04-04 2021-12-23 삼성전자주식회사 Sdn 제어 장치 및 이의 데이터 패킷의 전송 룰 설정 방법
US10516645B1 (en) 2017-04-27 2019-12-24 Pure Storage, Inc. Address resolution broadcasting in a networked device
US11044200B1 (en) 2018-07-06 2021-06-22 F5 Networks, Inc. Methods for service stitching using a packet header and devices thereof
US11102169B2 (en) * 2019-06-06 2021-08-24 Cisco Technology, Inc. In-data-plane network policy enforcement using IP addresses
CN111641639B (zh) * 2020-05-28 2022-07-26 深圳供电局有限公司 一种IPv6网络安全防护***
JP2023083757A (ja) * 2021-12-06 2023-06-16 株式会社日立製作所 ストレージ管理システム、及びストレージシステムの管理方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7685434B2 (en) * 2004-03-02 2010-03-23 Advanced Micro Devices, Inc. Two parallel engines for high speed transmit IPsec processing
JP2006025341A (ja) * 2004-07-09 2006-01-26 Nippon Telegr & Teleph Corp <Ntt> Vlanの近隣探索代理方式および方法、並びにルータ装置
KR100652964B1 (ko) * 2005-08-25 2006-12-01 삼성전자주식회사 듀얼스택 네트워크 기기 및 그 브로드캐스트 방법
US8166205B2 (en) * 2007-07-31 2012-04-24 Cisco Technology, Inc. Overlay transport virtualization

Also Published As

Publication number Publication date
US20110161665A1 (en) 2011-06-30
JP2011205614A (ja) 2011-10-13
US8352618B2 (en) 2013-01-08

Similar Documents

Publication Publication Date Title
JP5662133B2 (ja) Ipsecとipv6近隣要請の競合解消方法及びそのシステム
US11290420B2 (en) Dynamic VPN address allocation
US8291489B2 (en) Method and apparatus for registering auto-configured network addresses based on connection authentication
JP5398410B2 (ja) ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
JP4766574B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
US9686279B2 (en) Method and system for providing GPS location embedded in an IPv6 address using neighbor discovery
US8438390B2 (en) Method and system for using neighbor discovery unspecified solicitation to obtain link local address
US8601271B2 (en) Method and system for power management using ICMPV6 options
JP2006014312A (ja) Ieee802.11を基盤とする無線プリンティングシステム及び方法
JP5882855B2 (ja) ホストデバイスを保護するための方法、システム及びプログラム
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
US8516141B2 (en) Method and system for modifying and/or changing a MAC ID utilizing an IPv6 network connection
JP2006352719A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法
US20090328139A1 (en) Network communication device
JP2004312482A (ja) ネットワークシステム、網内識別子の設定方法、アクセス認証情報管理装置、そのプログラム、ネットワーク接続点、網内識別子の設定プログラム、及び記録媒体
JP2006074451A (ja) IPv6/IPv4トンネリング方法
US8699483B2 (en) Method and system having an application for a run time IPv6 only network
JP4586721B2 (ja) 通信中にアドレス変更が可能な通信装置、システム及び通信方法
JP2005311829A (ja) 通信路設定方法、ゲートウェイ装置及び通信システム
US9455837B2 (en) Method and system for exchange multifunction job security using IPV6 neighbor discovery options
US10412177B2 (en) Method and system of using IPV6 neighbor discovery options for service discovery
JP2009225287A (ja) 通信システム、サーバ装置、クライアント装置、通信方法、プログラムおよび記録媒体
JP2004207788A (ja) アクセス制御方法、アクセス制御装置およびその装置を用いたアクセス制御システム
WO2022218194A1 (zh) 服务路由方法及设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130618

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140520

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140820

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141204

R150 Certificate of patent or registration of utility model

Ref document number: 5662133

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees